ColorFx Posted November 26, 2014 (edited) · Report post Всем добрый день! Столкнулся с такой проблемой. Нужно зарезервировать сеть в разрезе между апстримом и (сервером Анти-ДДОС) далее > Роутером. т.е. в случае, если по какой-то причине, сервер (Анти-ДДОС) падает, зависает и тп. и тд, то Байпасс это видит и пускает инет по резевному каналу далее к роутеру... Существует множество байпассов, но большая из них часть достаточно многофункциональна и поэтому дорога. мне же нужен на 1G в пределах 50 тыс. р., лучше и дешевле =). Огромная просьба, если кто знает, где, что купить, прошу поделиться информацией! Заранее благодарю! Edited November 26, 2014 by ColorFx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 26, 2014 · Report post http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted November 26, 2014 · Report post Навскидку 2 варианта: 1. Альтернативный линк роутер - апстрим. Watchdog на роутере. У нас в одном из сегментов используется ip sla на cisco роутере, работает бронебойно. 2. Купить сетевую карту с байпасс для Анти-ДДОС сервера. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ColorFx Posted November 27, 2014 (edited) · Report post Навскидку 2 варианта: 1. Альтернативный линк роутер - апстрим. Watchdog на роутере. У нас в одном из сегментов используется ip sla на cisco роутере, работает бронебойно. 2. Купить сетевую карту с байпасс для Анти-ДДОС сервера. 1. Неоправданно дорогой вариант 2. Да, я тоже о ней думал, и даже видел, но купить так и не вышло, в еу и америке искал, ну нету в наличии. Сейчас посмотрим, что прислал SyJet http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней Спасибо! Edited November 27, 2014 by ColorFx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ColorFx Posted November 27, 2014 · Report post http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 27, 2014 · Report post http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Это фантастика! Да еще и за 50 тыс рублей. Для этих целей есть система мониторинга, которая должна это анализировать и предупреждать администаторов, либо запускать нужные скрипты. P.S. А зачем нужна железка, которая тормозит и жутко дропает? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted November 27, 2014 (edited) · Report post 1. Неоправданно дорогой вариант Вам же нужно только устранить точку отказа, не обязательно доп. аплинк тянуть до роутера. Можно поставить между апстримом и сервером доп. свитч. / -- Сервер---\ Апстрим ---свитч свитч---- роутер \ ------------/ На роутере какой-нибудь механизм мониторинга и переключения каналов. Edited November 27, 2014 by EDA_SPB Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
saaremaa Posted November 28, 2014 · Report post Используем в DPI карту PEG6BPi6 - Six Port Copper Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based на случай работ на DPI. Довольны. Если нужна оптика рекомендую PE210G2BPi9 - Dual Port Fiber 10 Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based - только ценник там ух если новая. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ColorFx Posted November 28, 2014 (edited) · Report post http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Это фантастика! Да еще и за 50 тыс рублей. Для этих целей есть система мониторинга, которая должна это анализировать и предупреждать администаторов, либо запускать нужные скрипты. P.S. А зачем нужна железка, которая тормозит и жутко дропает? Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. 1. Неоправданно дорогой вариант Вам же нужно только устранить точку отказа, не обязательно доп. аплинк тянуть до роутера. Можно поставить между апстримом и сервером доп. свитч. / -- Сервер---\ Апстрим ---свитч свитч---- роутер \ ------------/ На роутере какой-нибудь механизм мониторинга и переключения каналов. как вы себе представляете, свич, который мониторит лежит канал или нет, и в случае чего переключает? ))) я уж молчу, про кол-во вланов, которое на нем будит поднятно, для включения в него сервера (анти-ддос) плюс всего остального ))) Используем в DPI карту PEG6BPi6 - Six Port Copper Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based на случай работ на DPI. Довольны. Если нужна оптика рекомендую PE210G2BPi9 - Dual Port Fiber 10 Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based - только ценник там ух если новая. Писал ранее , что это отлько на 50% решает задачу, нужен внешний байпас.. ( Edited November 28, 2014 by ColorFx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 28, 2014 · Report post Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ColorFx Posted November 28, 2014 (edited) · Report post Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. У нас же не в питании дело, а в ИНЕТсети! вот , что, что, а питание на сервере ниразу не падало, только сеть бывает отваливается или зависает по различным причинам.. Edited November 28, 2014 by ColorFx Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted November 28, 2014 · Report post Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. У нас же не в питании дело, а в ИНЕТсети! вот , что, что, а питание на сервере ниразу не падало, только сеть бывает отваливается или зависает по различным причинам.. Ну так вы хотите байпас с мониторингом состояние канала, как я понимаю что-то типа шейпещчего бриджа либо DPI. Я вам и посоветовал - пусть система (у меня zabbix) мониторинг состояние канала, и ежели что не так - тушит сервак по питанию, байпас сработает с сетевой, что я вам кидал выше. Что тут сложного? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mcdemon Posted November 28, 2014 · Report post я может немного нубоват в этом... но на линуксах (сервер наверное на линуксе?) нельзя прикрутить STP? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NikAlexAn Posted November 28, 2014 · Report post я может немного нубоват в этом... но на линуксах (сервер наверное на линуксе?) нельзя прикрутить STP? Если в режиме моста то и прикручивать то не надо - коммутаторы с stp разрулят. Но если как бы работает но тормозит - хз какие критерии для переключения на байпас тогда. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EDA_SPB Posted November 28, 2014 · Report post как вы себе представляете, свич, который мониторит лежит канал или нет, и в случае чего переключает? ))) я уж молчу, про кол-во вланов, которое на нем будит поднятно, для включения в него сервера (анти-ддос) плюс всего остального ))) А зачем мониторить на свиче? Про вланы вообще не понял... Нашел тут в одной нашей сети вот такую схему (кеш сервер подключен) server | | | | internet --- cisco 6500 --- local На 6500 настроен pbr для перенаправления трафика на сервер (можно было бы приземлить один из линков сервера в vrf и избавится от pbr. На 6500 настроен ip sla и в случае чего pbr убирается и трафик идет напрямую. Посмотрел статистику, за 3 года было 5 таких случаев. Вроде бы ip sla умеет и сервисы мониторить, не нужно сбоку прикручивать сервер. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted November 28, 2014 · Report post Писал ранее , что это отлько на 50% решает задачу, нужен внешний байпас.. купите оптический байпас от cisco 8000 он внешний и все дела, и стоит 4000$ Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vlad11 Posted November 29, 2014 · Report post Ставьте на участок перед апстримами два коммутатора L2/L2+/L3 с зеркалированием. Для детектирования падений/непропуска трафика, пускайте вовнутрь STP, что проходил через Анти-ДДОС сервер. И как правильно заметили выше, лучше на зеркале анализировать траффик, и уже потом посылать на коммутатор-маршрутизатор правила блокировки или фильтрации траффика. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...