ColorFx Опубликовано 26 ноября, 2014 (изменено) · Жалоба Всем добрый день! Столкнулся с такой проблемой. Нужно зарезервировать сеть в разрезе между апстримом и (сервером Анти-ДДОС) далее > Роутером. т.е. в случае, если по какой-то причине, сервер (Анти-ДДОС) падает, зависает и тп. и тд, то Байпасс это видит и пускает инет по резевному каналу далее к роутеру... Существует множество байпассов, но большая из них часть достаточно многофункциональна и поэтому дорога. мне же нужен на 1G в пределах 50 тыс. р., лучше и дешевле =). Огромная просьба, если кто знает, где, что купить, прошу поделиться информацией! Заранее благодарю! Изменено 26 ноября, 2014 пользователем ColorFx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 26 ноября, 2014 · Жалоба http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 26 ноября, 2014 · Жалоба Навскидку 2 варианта: 1. Альтернативный линк роутер - апстрим. Watchdog на роутере. У нас в одном из сегментов используется ip sla на cisco роутере, работает бронебойно. 2. Купить сетевую карту с байпасс для Анти-ДДОС сервера. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColorFx Опубликовано 27 ноября, 2014 (изменено) · Жалоба Навскидку 2 варианта: 1. Альтернативный линк роутер - апстрим. Watchdog на роутере. У нас в одном из сегментов используется ip sla на cisco роутере, работает бронебойно. 2. Купить сетевую карту с байпасс для Анти-ДДОС сервера. 1. Неоправданно дорогой вариант 2. Да, я тоже о ней думал, и даже видел, но купить так и не вышло, в еу и америке искал, ну нету в наличии. Сейчас посмотрим, что прислал SyJet http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней Спасибо! Изменено 27 ноября, 2014 пользователем ColorFx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColorFx Опубликовано 27 ноября, 2014 · Жалоба http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 27 ноября, 2014 · Жалоба http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Это фантастика! Да еще и за 50 тыс рублей. Для этих целей есть система мониторинга, которая должна это анализировать и предупреждать администаторов, либо запускать нужные скрипты. P.S. А зачем нужна железка, которая тормозит и жутко дропает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 27 ноября, 2014 (изменено) · Жалоба 1. Неоправданно дорогой вариант Вам же нужно только устранить точку отказа, не обязательно доп. аплинк тянуть до роутера. Можно поставить между апстримом и сервером доп. свитч. / -- Сервер---\ Апстрим ---свитч свитч---- роутер \ ------------/ На роутере какой-нибудь механизм мониторинга и переключения каналов. Изменено 27 ноября, 2014 пользователем EDA_SPB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 28 ноября, 2014 · Жалоба Используем в DPI карту PEG6BPi6 - Six Port Copper Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based на случай работ на DPI. Довольны. Если нужна оптика рекомендую PE210G2BPi9 - Dual Port Fiber 10 Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based - только ценник там ух если новая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColorFx Опубликовано 28 ноября, 2014 (изменено) · Жалоба http://shop.nag.ru/catalog/00006.Servery/02273.Setevye-karty/14973.PE2G6BPi35-SD + настройка watchdog к ней на 50% решает задачу, но если, например, софт просто тормозит и жутко дропает - она не поможет поэтому, надо найти внешний байпас который еще и качество канала замеряет Это фантастика! Да еще и за 50 тыс рублей. Для этих целей есть система мониторинга, которая должна это анализировать и предупреждать администаторов, либо запускать нужные скрипты. P.S. А зачем нужна железка, которая тормозит и жутко дропает? Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. 1. Неоправданно дорогой вариант Вам же нужно только устранить точку отказа, не обязательно доп. аплинк тянуть до роутера. Можно поставить между апстримом и сервером доп. свитч. / -- Сервер---\ Апстрим ---свитч свитч---- роутер \ ------------/ На роутере какой-нибудь механизм мониторинга и переключения каналов. как вы себе представляете, свич, который мониторит лежит канал или нет, и в случае чего переключает? ))) я уж молчу, про кол-во вланов, которое на нем будит поднятно, для включения в него сервера (анти-ддос) плюс всего остального ))) Используем в DPI карту PEG6BPi6 - Six Port Copper Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based на случай работ на DPI. Довольны. Если нужна оптика рекомендую PE210G2BPi9 - Dual Port Fiber 10 Gigabit Ethernet PCI Express Bypass Server Adapter Intel® based - только ценник там ух если новая. Писал ранее , что это отлько на 50% решает задачу, нужен внешний байпас.. ( Изменено 28 ноября, 2014 пользователем ColorFx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 28 ноября, 2014 · Жалоба Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ColorFx Опубликовано 28 ноября, 2014 (изменено) · Жалоба Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. У нас же не в питании дело, а в ИНЕТсети! вот , что, что, а питание на сервере ниразу не падало, только сеть бывает отваливается или зависает по различным причинам.. Изменено 28 ноября, 2014 пользователем ColorFx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 28 ноября, 2014 · Жалоба Затем, что нужно ее отладить, так что бы она не дропала, но по факту - любое железо или софт может дать сбой... Да нет, не фантастика, есть такие приблуды, отдельными девайсами, просто никак не найду в наличии, все на заказ предлагают 2-3 месяца. мы даже на основании такого дефецита, сами такую разрабатывать будим, просто это опять же время.. В любом случае нужен какой-то сторожевой пес который анализируют это все и принимает решение. Пусть это будет отдельное устройство или централизированная система мониторинга. Сетевая имеет аппаратный байпас, при пропадание питания - в него и переходит (помимо программного управления) - если уж хотите совсем железно - поставьте управляемую розетку на питание, мониторинг определил, что железка глючит - подал команду - питание пропало-включился байпас. У нас же не в питании дело, а в ИНЕТсети! вот , что, что, а питание на сервере ниразу не падало, только сеть бывает отваливается или зависает по различным причинам.. Ну так вы хотите байпас с мониторингом состояние канала, как я понимаю что-то типа шейпещчего бриджа либо DPI. Я вам и посоветовал - пусть система (у меня zabbix) мониторинг состояние канала, и ежели что не так - тушит сервак по питанию, байпас сработает с сетевой, что я вам кидал выше. Что тут сложного? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mcdemon Опубликовано 28 ноября, 2014 · Жалоба я может немного нубоват в этом... но на линуксах (сервер наверное на линуксе?) нельзя прикрутить STP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 28 ноября, 2014 · Жалоба я может немного нубоват в этом... но на линуксах (сервер наверное на линуксе?) нельзя прикрутить STP? Если в режиме моста то и прикручивать то не надо - коммутаторы с stp разрулят. Но если как бы работает но тормозит - хз какие критерии для переключения на байпас тогда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EDA_SPB Опубликовано 28 ноября, 2014 · Жалоба как вы себе представляете, свич, который мониторит лежит канал или нет, и в случае чего переключает? ))) я уж молчу, про кол-во вланов, которое на нем будит поднятно, для включения в него сервера (анти-ддос) плюс всего остального ))) А зачем мониторить на свиче? Про вланы вообще не понял... Нашел тут в одной нашей сети вот такую схему (кеш сервер подключен) server | | | | internet --- cisco 6500 --- local На 6500 настроен pbr для перенаправления трафика на сервер (можно было бы приземлить один из линков сервера в vrf и избавится от pbr. На 6500 настроен ip sla и в случае чего pbr убирается и трафик идет напрямую. Посмотрел статистику, за 3 года было 5 таких случаев. Вроде бы ip sla умеет и сервисы мониторить, не нужно сбоку прикручивать сервер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 28 ноября, 2014 · Жалоба Писал ранее , что это отлько на 50% решает задачу, нужен внешний байпас.. купите оптический байпас от cisco 8000 он внешний и все дела, и стоит 4000$ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vlad11 Опубликовано 29 ноября, 2014 · Жалоба Ставьте на участок перед апстримами два коммутатора L2/L2+/L3 с зеркалированием. Для детектирования падений/непропуска трафика, пускайте вовнутрь STP, что проходил через Анти-ДДОС сервер. И как правильно заметили выше, лучше на зеркале анализировать траффик, и уже потом посылать на коммутатор-маршрутизатор правила блокировки или фильтрации траффика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...