Перейти к содержимому
Калькуляторы

#351. Корпоративный бэкап.

#351. Корпоративный бэкап.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.

Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы? Там эникейщики, в лучшем случае системные администраторы.

А за настройку, продажу и поддержку они телеком оператору платят. Такой вот "сетевой" saas.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)

Не очень, но некоторые могут :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

так-то оно так, но если у одного провайдера проблемы с доступностью какой-либо сети(-й) где-нибудь далеко от него в Интернете, то sla работать не будет. Так что правильно говорили, BGP, приватная автономка. Для этого дорогая cisco не нужна, можно и софт-роутером обойтись.
Дело не в том что, sla работать не будет, а в том, что данным методом сложно резервировать свои публичные сервисы, если они есть (почта, www, voip шлюз и тд). Для просто доступа в инет с резервированием, вполне рабочий метод.

Вот именно что сервисы на провайдеровских PA-блоках. Исходящий-то можно раскидывать как хочешь, линукс-NAT-скрипты_башовые - и пожалуйста, резервирование, лоадбаланс туда же. Пишется и тестируется за денек.

А вот сервисы.. Тут без BGP видимо фиг обойдешься.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И много домушных админов могут настроить бгп на софтовом роутере? ;-)

:)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nag, а откуда в среднем и мелком энтерпрайзе сетевые админы?
Задам другой вопрос: Nag, а ведь это хорошая тема для очередного обзора? Нет? :)

 

И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И много админов корпоратов могут настроить бгп на софтовом роутере? ;-)
И еще одна тема для обзора! :)

Так была ж тут статья с примерами, как настроить простое взаимодействие.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

косяк вылезет раньше, когда то устройство которое проверяет железка перестанет отвечать на ping, либо то будет отвечать то не отвечать

даже если вы поставите пинг шлюза/dns/core router, в случае потери связности у провайдера это устройство всё равно будет отвечать на пинг, и чего?

и БГП иногда не спасает, видел когда от Корбины приходит фт, а траса заканчивается где то внутри их сети, связность "как бы" есть, а пакеты не бегают :)

пинговать остаётся только нок

 

знаю чудный банк который при такой схеме делает IPSec до центрального офиса и гоняет через него внутреннюю телефонию.

при ипических флапах тётки в филиале сходят с ума :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот сервисы.. Тут без BGP видимо фиг обойдешься.
А тут ничего не остаётся делать, кроме как:

Прописать для нашей зоны запись NS с IP из каждого выделенного блока адресов вышестоящего провайдера и ловить эти запросы во view с match-destinations.

Выставить маленький TTL

Выдавать те адреса, которые на текущий момент основные.

Если нет задачи не потерять входящий коннект - то этого достаточно.

Отрицательная сторона - всегда будет входящий трафик по backup-каналу (за счёт DNS) и за него придётся платить.

 

Тут начальство делает умное лицо и говорит: "Eсли мы за него уже платим, так давайте использовать его по полной !"

И тут начинается песня про bgp - и главное - вовремя донести мысль, что за такие желания надо будет платить:

1) AS + PI/LIR + каналы + единоразовую настройку + за железо, которое примет full view (не существенно для юрлица, но существенно для провайдера - может просто не найтись человека, который сможет решать проблемы с ассиметрией).

2) AS + PI/LIR + каналы + единоразовую настройку + железо, которое вытянет ваш трафик с PBR (опять же, проблемы для провайдера с разрывом клиентских сессий)

 

Словом, решить технически (в идеале техника должна обеспечивать бизнес) это можно, но зачастую будет стоить дороже.

Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.

500 баксов - дороже этой сиски и коммутатора. ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну на нескольких каналах с провайдерскими адресами надо еще полиси-раутинг, чтоб ответ уходил туда же, откуда пришел, плюс чекать, не отвалился ли основной канал и переставлять туда дефолт, плюс вот то что вы описали с ДНС... Тоже гемор немаленький.

С бгп и адресами - блок PI /23 и автономка стоит в нетассисте 500 баксов (для юрика деньги смешные). Железка - ну на тот же раутер с линуксом, на котором были два канала с РА от провайдеров и всеми наворотами, ставим кваггу и вперед. При 100+ тыщ раутов (фв с порезанными /24, судя по всему) зебра утверждает, что съела 11 метров памяти, при современных объемах это такая мелочь :). Конечно, тут вылезают вопросы с балансировкой по каналам и прочие радости динамики, но мне такой вариант кажется более правильным.

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный. Технически вариант конечно более правильный, но реально мало выполним. Я знаю только одну SOHO контору, которая использует BGP, и то, BGP админит фрилансер, параллельно работающий в о-о-очень крупном телекоме.

Ну в общем и схему с несколькими провайдерами эникейщик тоже не заимплементит - познаний не хватит. Так что если для конторы связь - бизнес-критична, то либо надо специалиста купить, либо отдать на аутсорсинг. Зависит конечно от конкретной конторы - стоит ли игра свеч. Хотя в нашей провинции я например не знаю грамотных аутсорсеров, умеющих настраивать BGP :) - только отдельных людей.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Надо еще добавить, что эникейщик со знанием BGP обойдется баксов на 500 дороже, чем обычный.
500 баксов - дороже этой сиски и коммутатора. ;-)

Циска с коммутатором тоже сама не будет настраиваться :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в данном случае более чем еффективное решение

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если два линка и денег жалко - вот девайсик

Со своими глюками, но рабочий вариант. Несколько клиентов пользуются.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кроме D-Link'a подобные SOHO девайсы никто не делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кроме D-Link'a подобные SOHO девайсы никто не делает?

Fortigate. Про модель Fortigate B50, кажется, на Cnews недавно обзор читал

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Админ бы лучше не Цыскарей пинал, а поиск использовал. Тема давно обсасаная. И для SLA, и без SLA. Там даже такие извраты есть с VRF.

Кстати, помимо SLA не надо забывать, что IOS 12.4. А это доп. требования на пямять (флеш/оперативка).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А кроме D-Link'a подобные SOHO девайсы никто не делает?

OpenWRT и можно почти любой девайс использовать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.