Jump to content
Калькуляторы

#351. Корпоративный бэкап.

#351. Корпоративный бэкап.

Share this post


Link to post
Share on other sites

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Share this post


Link to post
Share on other sites

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Share this post


Link to post
Share on other sites
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

 

 

Share this post


Link to post
Share on other sites
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы? Там эникейщики, в лучшем случае системные администраторы.

А за настройку, продажу и поддержку они телеком оператору платят. Такой вот "сетевой" saas.

Share this post


Link to post
Share on other sites
Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Не очень, но некоторые могут :).

Share this post


Link to post
Share on other sites
так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Вот именно что сервисы на провайдеровских PA-блоках. Исходящий-то можно раскидывать как хочешь, линукс-NAT-скрипты_башовые - и пожалуйста, резервирование, лоадбаланс туда же. Пишется и тестируется за денек.

А вот сервисы.. Тут без BGP видимо фиг обойдешься.

Share this post


Link to post
Share on other sites
И много домушных админов могут настроить бгп на софтовом роутере? ;-)

:)

 

Share this post


Link to post
Share on other sites
Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы?
Задам другой вопрос: Nag, а ведь это хорошая тема для очередного обзора? Нет? :)

 

И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)

Share this post


Link to post
Share on other sites
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)

Так была ж тут статья с примерами, как настроить простое взаимодействие.

Share this post


Link to post
Share on other sites

косяк вылезет раньше, когда то устройство которое проверяет железка перестанет отвечать на ping, либо то будет отвечать то не отвечать

даже если вы поставите пинг шлюза/dns/core router, в случае потери связности у провайдера это устройство всё равно будет отвечать на пинг, и чего?

и БГП иногда не спасает, видел когда от Корбины приходит фт, а траса заканчивается где то внутри их сети, связность "как бы" есть, а пакеты не бегают :)

пинговать остаётся только нок

 

знаю чудный банк который при такой схеме делает IPSec до центрального офиса и гоняет через него внутреннюю телефонию.

при ипических флапах тётки в филиале сходят с ума :)

Share this post


Link to post
Share on other sites
А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

Share this post


Link to post
Share on other sites
А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

 

 

Share this post


Link to post
Share on other sites
Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.

Share this post


Link to post
Share on other sites
Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.

500 баксов - дороже этой сиски и коммутатора. ;-)

Share this post


Link to post
Share on other sites
Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.

Ну в общем и схему с несколькими провайдерами эникейщик тоже не заимплементит - познаний не хватит. Так что если для конторы связь - бизнес-критична, то либо надо специалиста купить, либо отдать на аутсорсинг. Зависит конечно от конкретной конторы - стоит ли игра свеч. Хотя в нашей провинции я например не знаю грамотных аутсорсеров, умеющих настраивать BGP :) - только отдельных людей.

 

Share this post


Link to post
Share on other sites
Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.
500 баксов - дороже этой сиски и коммутатора. ;-)

Циска с коммутатором тоже сама не будет настраиваться :)

Share this post


Link to post
Share on other sites

в данном случае более чем еффективное решение

Share this post


Link to post
Share on other sites

Если два линка и денег жалко - вот девайсик

Со своими глюками, но рабочий вариант. Несколько клиентов пользуются.

Share this post


Link to post
Share on other sites

А кроме D-Link'a подобные SOHO девайсы никто не делает?

Share this post


Link to post
Share on other sites
А кроме D-Link'a подобные SOHO девайсы никто не делает?

Fortigate. Про модель Fortigate B50, кажется, на Cnews недавно обзор читал

Share this post


Link to post
Share on other sites

Админ бы лучше не Цыскарей пинал, а поиск использовал. Тема давно обсасаная. И для SLA, и без SLA. Там даже такие извраты есть с VRF.

Кстати, помимо SLA не надо забывать, что IOS 12.4. А это доп. требования на пямять (флеш/оперативка).

Share this post


Link to post
Share on other sites

А кроме D-Link'a подобные SOHO девайсы никто не делает?

OpenWRT и можно почти любой девайс использовать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this