Jump to content

#351. Корпоративный бэкап.

Nag

By Nag
in У нага

 Share

Recommended Posts

corrchess

corrchess

Posted
Posted

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Cr_net

Cr_net

Posted
Posted

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Nag

Nag

Posted
  • Author
Posted
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

 

 

Cr_net

Cr_net

Posted
Posted
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы? Там эникейщики, в лучшем случае системные администраторы.

А за настройку, продажу и поддержку они телеком оператору платят. Такой вот "сетевой" saas.

jurs

jurs

Posted
Posted
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Не очень, но некоторые могут :).
jurs

jurs

Posted
Posted
так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Вот именно что сервисы на провайдеровских PA-блоках. Исходящий-то можно раскидывать как хочешь, линукс-NAT-скрипты_башовые - и пожалуйста, резервирование, лоадбаланс туда же. Пишется и тестируется за денек.

А вот сервисы.. Тут без BGP видимо фиг обойдешься.

Andrei

Andrei

Posted
Posted
Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы?
Задам другой вопрос: Nag, а ведь это хорошая тема для очередного обзора? Нет? :)

 

И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)
Yokodzun

Yokodzun

Posted
Posted
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)

Так была ж тут статья с примерами, как настроить простое взаимодействие.

ingress

ingress

Posted
Posted

косяк вылезет раньше, когда то устройство которое проверяет железка перестанет отвечать на ping, либо то будет отвечать то не отвечать

даже если вы поставите пинг шлюза/dns/core router, в случае потери связности у провайдера это устройство всё равно будет отвечать на пинг, и чего?

и БГП иногда не спасает, видел когда от Корбины приходит фт, а траса заканчивается где то внутри их сети, связность "как бы" есть, а пакеты не бегают :)

пинговать остаётся только нок

 

знаю чудный банк который при такой схеме делает IPSec до центрального офиса и гоняет через него внутреннюю телефонию.

при ипических флапах тётки в филиале сходят с ума :)

aaa111

aaa111

Posted
Posted
А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

jurs

jurs

Posted
Posted
А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

 

 

Ilya Nikitin

Ilya Nikitin

Posted
Posted
Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.
Nag

Nag

Posted
  • Author
Posted
Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.

500 баксов - дороже этой сиски и коммутатора. ;-)

jurs

jurs

Posted
Posted
Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.

Ну в общем и схему с несколькими провайдерами эникейщик тоже не заимплементит - познаний не хватит. Так что если для конторы связь - бизнес-критична, то либо надо специалиста купить, либо отдать на аутсорсинг. Зависит конечно от конкретной конторы - стоит ли игра свеч. Хотя в нашей провинции я например не знаю грамотных аутсорсеров, умеющих настраивать BGP :) - только отдельных людей.

 

jurs

jurs

Posted
Posted
Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.
500 баксов - дороже этой сиски и коммутатора. ;-)

Циска с коммутатором тоже сама не будет настраиваться :)
Vanger_

Vanger_

Posted
Posted
А кроме D-Link'a подобные SOHO девайсы никто не делает?

Fortigate. Про модель Fortigate B50, кажется, на Cnews недавно обзор читал

leveler

leveler

Posted
Posted

Админ бы лучше не Цыскарей пинал, а поиск использовал. Тема давно обсасаная. И для SLA, и без SLA. Там даже такие извраты есть с VRF.

Кстати, помимо SLA не надо забывать, что IOS 12.4. А это доп. требования на пямять (флеш/оперативка).

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.