Printable View
Mam 5 ISP. Chtel bych si je zprovoznit vsechny. Bohuzel na FW mam do venkovni site jen jednu sitovku. Bude nutne dokoupit 4 sitovky? Nebo staci 5 ISP pripojit na switch a ten pripojit do externi sitovky na FW a tam nastavit vice adres...? Za predpokladu, ze kazdy je v jine siti.
Jsou nejaka uskali tohot reseni?
Uskali tohoto reseni je takove, ze to nelze realizovat :)
Rozdeleni zateze je pro koncoveho uzivatele nerealizovatelny problem. Jedine k cemu by to slo vyuzit, je pokud by vypadl jeden poskytovatel, automaticky by se zasla pouzivat druha konektivita. Tohle by mel umet nejaky lepsi router (cisco, mikrotik).
Ja bych to vyuzival na rozdeleni ISP mezi jednotlive uzivatele. Dejme tomu, ze mam v siti 5PC, tak kazdemu PC bych pridelil jednoho ISP...
Stejne to uplne dobre to nechapu :)
Jinak tohle by pochopitelne slo - napriklad s Mikrotik RB493, do kazdeho portu by si pripojil jednu "konektivitu" a pak by si zvlast kazdemu uzivateli v lokalni siti provadel 1:1 NAT, a pomoci nejakych routing-marku urcoval, kterou vychozi branou by dane IP z lokalni site chodilo do internetu.
Jo to je presne to co chci. Na FW je nat a za nim dejme tomu 5PC a ja chci aby melo kazde PC sveho poskytovatele. A rozdelim to mezi ne napr. pres routovaci tabulku.
jde to v pohode... v linuxovym jadre potrebujes advanced router a pak jen pres 'ip' nastavit pravidla ...
JJ toto vim. Spis me zajima jestli neni lepsi koupit 5 sitovek misto switche.
zalezi asi hlavne na tom, kolik toho chces procpat ... ale pokud ten jeden port nevyuzijes vic jak na ... dejmetomu 50% ... tak to imo nema smysl ...Citace:
Původně odeslal chinook
A co na to řeknou ISP, kterým připojíš koncový dráty do jednoho switche?
to je dobra otazka :) asi dost zalezi na tom, co jsou zac :)Citace:
Původně odeslal Marty
edit: a taky je fakt, ze pokud nemas pevny ip ode vsech, tak taky budes mit problem ...
Prave toto me zajimalo. 3 PRIPOJENI jsou ADSL, takze tam si muzu nastavit jakou adresu chci. A mapovat porty. Ost 2 maji pevne adresy. Ted to mam spojene vse do switche a jede to bez problemu.Citace:
Původně odeslal Marty
Ale taky neni problem dokoupit sitovky. Kdyz to ted jede muzu to tak nechat nebo mam radsi koupit ty sitovky?
Prece kdyz kazda IP je z jineho rozsahu, tak by nemelo vadit, ze jsem to spojil do switche. Nebo jo?
Technicky to nicemu nevadi. Je to principielne jedno, paac vlastni komunikace na nizsich vrstvach probiha z MAC na MAC adresu => komunikaci pro jiny rozsahy ISP nevidi.
Ostatne podobnou situaci jsem resil kdyz jsme menili konektivitu a potreboval sem po prechodnou dobu udrzet funkcni obe. Je to celkem easy zasah do routovacich tabulek. Mel sem ovsem v obou pripadech pevny IP.
tam by moh bejt problem s broadcastama ... (treba dhcp prolejzajici z jiny site)
To zalezi na tom, jak to ma ISP nastaveno, za normalnich okolnosti by to mel pripadne zahodit.
Edit: Uz jen proto, ze nad klientem nema zadnou kontrolu a tudiz musi predpokladat uplne vsechno, trebas i to, ze si klient pusti dhcpserver a pusti ho i na venkovni rozhrani.
Prave resim dost podobny problem. Mame 6 DSL pripojeni a v LAN cca 60 PC - "crawleru" na win a linuxu, ktere harvestruji data z inetu a dale cca 15 desktopu. Mym ukolem je zaridit automaticky load ballancing bez single point of failure. Pocitam s pouzitim dvou mikrotik routeru. Protoze crawleri pouzivaji pomerne hodne spojeni (kazdy radove stovky), jedina moznost je provadet NAT v mikotiku a modemy mit v rezimu bridge, tedy PPP bude vytacet mikrotik.
moje reseni:
Do kazdeho mikrotiku pripojit 3 DSLka a nechat PPP clienty nastavit 3 ruzne default GW a DNSka. Mikrotik by mel automaticky provadet load-ballancing mezi jednotlive GW. Do DHCP serveru, ktere pobezi na obou routerech (jeden authoritative a druhy ne) nastavim dve vychozi brany, tedy vnitri IP adresy obou mikrotiku. Windows XP i Linux by pak meli opet provadet automaticky load ballancing. Teoreticky by toto melo fungovat, wokna dokonce umi detekovat nefungujici branu a pouzivat jen tu funkcni, linux by to take mohl umet.
Otazka zni: nebude to problem pro aplikace vyuzivajici vice spojeni zaroven, jako napr. temer kazdy www prohlizec a pod? Obavam ze se kazde spojeni pak muze jit pres jinou branu, takze cilovy server jej uvidi jako dve ruzna spojeni z dvou ruznych IP adres a muze nastat problem, protoze nektere servery (paypal, banky..) kontroluji zdrojovou IP adresu jako ochranu uzivatelskych kont a podobne. Ma s tim nekdo nejake zkusenosti? Predem dekuji za jakekoli reakce.
Nedavno jsem resil neco podobneho. Jsou dve moznosti:
1) Jedna sitovka a pomoci dot1q propojit se switchem.
2) Mit skutecne nekolik sitovek.
Pri 5ti pripojkach by se dalo jiz uvazovat o reseni jedna sitovka a switch. Kdyz uvazim, ze sitovka vyjde na cca 1k a nejlevnejsi switch sezenu za cca 5k, tak cennove ta reseni vyjdou podobne.
Sitovka a switch ma vyhodu v uvolneni pozic v routeru a zaroven poskytuje vetsi flexibilitu, ale na druhou stranu vyzaduje lehce slozitejsi konfiguraci.
Ono se to může zdát, že switch je nejjednoduší řešení, ale dávejte si na to pozor. Žádný ISP vám toto řešení nikdy nedoporučí, protože si mezi sebou navzájem pronajímají trasy a tak se lehce může stát, že po propojení do switche nejen, že nepojede internet vám, ale i řadě dalších a nejspíše vás ISP natvrdo odstřihne za neoprávněný zásah do infrastruktury (což si pak určitě i zaplatíte).
Mám tuto zkušenost prakticky ověřenou (že jsou s tím problémy).
Čili nezbývá než použít více síťových karet v routeru nebo víceportový router (například zmiňovaný Mikrotik je imho velmi luxusní řešení za málo peněz).
Ad load balancing - to je těžké zařídit, protože můžeš jen ovlivňovat odchozí směr a z toho vesměs nepoznáš, jak brutální bude incoming směr. Load balancing lze provést pouze ve spolupráci s ISP, od kterého máš např. 4 ADSL linky (ale to ti v ČR stejně nikdo neudělá - zkoušel jsem to u tří velkých poskytovatelů).
Já toto řeším u jednoho zákazníka, kde mají pomalejší ale vyhrazenou linku a pak druhou rychlou (ale sdílenou s pomalým uploadem), že služby http,https a další jedou přes rychlou a ty "důležité" jedou pak přes vyhrazenou, která není zbytečně bržděna sosáčema. Při výpadku jednoho nebo druhého se pak přenastaví pravidla routingu (vše pak jede jen tou živou linkou). Po obnovení spojení se nastaví původní (rozdělená) pravidla. Zpoždění od výpadku po přepojení je do 60 sekund (skript spouští cron každou minutu).
Nevím, jakou s tím máš ty zkušenost, ale já s tím mám zkušenost špatnou - Windows XP se tvrdošíjně snaží data posílat stále jednou gatewayí, ikdyž je mimo provoz (čekal jsem 5 minut). V routingu mají obě stejnou prioritu.Citace:
Původně odeslal Petrik
Souhlasim, navic moje zkusenost je takova, ze ty ADSL modemy, co umi i NAT, jde pro vetsi site/zatez rozumne pouzivat jen jako bridge, protoze jinak tuhnou ci zahazuji spojeni co se jim nevesly do pameti. A pokud se nepletu, PPP pro nahozeni netu nejde provozovat pres switch (nemuze tam byt vice modemu, zato klientu ano), resp. napr. v mikrotiku jde nastavit jen iface na kterem to ma pustit a fidli.Citace:
Původně odeslal Paolo
V mem pripade by fakt, ze mohu ovlivnovat jen odhozi spojeni, vadit nemel, protoze tech spojeni bude tolik (radove tisice), ze se to statisticky vyvazi, za predpokladu ze router skutecne dela round-robin se stejnym pomerem, coz by mikrotik mel. Vetsi problem bude obavam se s temi woknama, bojim se presne toho, co pises, protoze vim jaky shunt je TCP/IP ve widlich. V linuxu by to nemel byt zadny problem. V pondeli to testnu a podam hlaseni. Jenom nevim, co udelam, kdyz to fungovat nebude :(Citace:
Původně odeslal Paolo
Mimochodem, UPC blokuje porty u domacich tarifu pokud na nich nameri hodne spojeni / packetu, takze je bohuzel i jen jako zaloha pro vetsi site nepouzitelna, jedine reseni je tunel nekam do netu.
UPDATE: ted jsem objevil ze v mikrotiku je nova feature PCC, ktera napr. umoznuje provadet load ballancing per source IP, takze jednotliva PC budou mit stale jednu a tutez verejnou IP adresu. Ted jen zbyva doresit jak zabranit vypadku v pripade umrti jednoho routeru. Slo by na to pouzit VRRP, ale pak zase nastava problem s PPPoE.
Pokud to se dvěma GW nepojede, tak místo dvou 5port mikrotiků kup jeden 9port (RB493) a napoj to všechno do jednoho.
Je to držák, tak bych se výpadků moc nebál, ale jestli potřebuješ "100%" zálohu, tak stačí koupit dva a po nastavení jednoho jen konfiguraci přehrát do druhého. ;)
To me taky napadlo, ale preci jenom to bude muset nekdo prepojit. dalsi reseni, co me ted napadlo, je pouzit 4 mikrotiky:
2 pro DSL modemy (kazdy 3x DSL) a dalsi dva ve VRRP HA clusteru, kter by slouzil jako hlavni GW pro vsechny PC v siti. Propojeny by byli kazdy s kazdym, takze by tam nemel byt zadny sigle point of failure. Ale to mi zase pripada priliz slozite, pri pouziti RB450G by to ale zas tak moc nestalo. Anebo nejak udelat VRRP HA cluster jen z tech dvou, do kterych jsou napojene DSL modemy, ale to vazne netusim, zda to jde. Pokud by to slo, tak je to zjevne nejlepsi reseni.
UPDATE: tak podle co jsem si o VRRP (Virtual Router Redundancy Protocol) precetl, tak by to skutecne melo jit takto udelat, totiz mit dva mikrotiky, do kazdeho pripojeno nekolik DSL linek a sitovky na vnitrni siti provozovat v High Availability rezimu. PC ve vnistrni siti budou mit jako default GW adresu vritualniho routeru. Routery musi byt jeste propojene vzajemne pro routovani mezi nimi. V normalnim rezimu bude master router prijimat packety od klientu a rozdelovat je rovnomerne mezi sve DSL GW a mezi druhy router na dedikovane sitovce. To se zaridi tak, ze ze se IP adresa druheho routeru prida jako default GW tolikrat, kolik ma druhy router DSL pripojeni. Mozna i pujde pouzit zmineny PCC. V pripade vypadku jednoho z routeru se pomoci funkce "check gateway" automaticky nefuncni router vyradi z routovacich tabulek a zaroven slave router prevezme IP adresu od vypadleho mastera. Myslim ze by to teoreticky skutecne mohlo fungovat, ale jesli se mi to podari nakonfigurovat, tak si mohu gratulovat.
ja bych rozhodne loadbalance neresil na klientech, ale na routeru. rozhodne to bude ovladatelnejsi, nez spolehat na XP. pokud bys mel mezi modemama a routerama switch s vlanama, tak muzes na VRRP navazat shozeni/nahozeni PPPoE a pokud mas na tom PPPoE pevny ip, tak replikaci stavu mezi routerama.
pak bys ciste teoreticky mohl dosahnout toho, ze pokud aktivni router spadne, nahradi ho backup, ktery vytoci ty PPPoE a veskerej provoz pokracuje s minimalnim vypadkem a v pripade TCP i bez preruseni.
ale jestli tohle jde udelat na mikrotiku, nemam tuseni. umim si to predstavit na *BSD s pf ...
Diky za tip, co jsem ale cetl tak VLANy s VRRP uplne nejlip nechodi (pokud chapu dobre jak jsi to myslel), navic ten switch by byl single point of failure, coz bych mit nechtel. Ale mozna by sly pouzit dva switche, to si ted ale uplne moc predstavit nedokazu. Pevny IP asi nebudou, ikdyz otazka je zda to s dynamickyma pujde vubec provozovat, musim si to jeste cele poradne rozmyslet. Dalsi zadrhel je, ze jedno ADSL ma vyssi upload a pres nej se musi routovat jeden DB server na vnitrni siti, cimz se to cele jeste vice komplikuje, ale v principu by to melo jit udelat.
jo, vidis, ze je switch SPOF jsem ponekud nedomyslel ale se dvema a etherchannelem by to taky slo :).
na strane s DSL by zadny VRRP nebylo ...
2Petrik: Jen tak pro info, ty mas v ramci infrastruktury zapojeny vsechny ty stroje kazdej do 2switchu ? Pokud ne, tak resit nejaky brutalni metody jak zabranit vypadku routeru je trochu zbytecny.
Jinak vypadek by se mohl resit pomoci RIP. To by mely umet i XP a muzes jim tim aktivne sdelit zmenu routy. Pocitam ze pro mikrotika by to nemel bejt zavaznejsi problem. Pro tucnaky je samo lepsi reseni pouzit OSPF, pri rozumnym nastaveni reaguje bleskurychle.
Problem ovsem budes mit s verejnyma IP adresama. Zalezi teda jak moc potrebujes udrzet aktivni TCP konexe a taky na protokolech, ale sekundarni router rozhodne nebude vedet nic o NATovaci tabulce => muze se stat, ze prideli jinou verejnou IP a konexe se rozpadne (v kazdym pripade pokud bude kazdy router obsluhovat jen cast IP adres).
Obecne resit jakykoli zabezpeceni proti vypadku bez vlastniho rozsahu/spoluprace s ISP je vicemene hazeni penez do kanalu. Stejne dycky narazis na situaci, ktera nebude resitelna.
tohle prave resi pfsync(4) ... proto jsem tu zminoval pf na *BSD (vubec by ho nekdo mohl portnout pro linux)Citace:
Původně odeslal Jezevec
Ono se to da udelat i na tucnakovi, ovsem script by sis na to musel napsat sam a rozhodne by to nebylo online.
jak tak koukam, ono staci se podivat do gugelu ... :) http://conntrack-tools.netfilter.org/manual.html takze to jde i s tucnakem a asi i online ...Citace:
Původně odeslal Jezevec
Pokud mozno to chci resit bez jakekoli nutnosti konfigurace na stanicich, protoze jednak jich je cca 70-80, jednak se do site pripojuji i nejake NTB, iphony a podobne, takze reseni pomoci VRRP pokud bude fungovat je asi idelani.Citace:
Původně odeslal Jezevec
Jasne ze switche jsou SPoF, ale vymenit switch je precijenom jednoduzsi nez prehodit modemy ci router, protoze tam se daji poplest kabely, kdezto switch dokaze vymenit teoreticky i cvicena opice / uklizecka. A samozrejme pro kriticke stroje tu je stale moznost pouziti dvou switchu.
Rozpadnuti otevrenych spojeni pri vypadku jednoho routeru neni velky problem, protoze to jednak nebude casto (doufam), jednak nase crawleri si je bez problemu obnovi. Stejne tak verejnou adresu asi nepotrebujeme, respektive bude stacit kdyz budou dve, na kazdem routeru jedna.
S poslednim odstavcem nesouhlasim, protoze pokud toto mnou navhrhovane reseni bude fungovat tak jak zamyslim, je to porad lepsi, nez mit pri vypadku jednoho oruteru (umrela CF, umrely FS, umrely zdroj....) polovinu stroju bez netu. Navic hlavni funkce bude load ballancing, ktery by snad mel fungovat dobre. Samozrejme pocitam s tim, ze to nebude dokonale a nektere veci proste vyresit uspokojive treba nepujde, ale takovy je zivot :)
Samo, zavisi co od toho chces, posledni odstavec se tykal predevsimcoz pomoci tohoto neudelas.Citace:
bez single point of failure
Pokud ti staci ze se nejak sama prepne konektivita, tak je to celkem snadny. Pokud to chces tedy nejak nahrubo balancovat, tak bych dal kazdymu routeru jednu vnitrni IP a default routu rozdelil mezi ty stroje co chces +- balancovat. Pri vypadku jedno z nich by si pak ten druhy pridal IP mrtvoly jako sekundarni. Nevim jak rychle swiste zareagujou, ale moc dlouho to trvat nebude.
Spojeni se samo rozpadnou, ale pokud ti to neva, tak neni co resit.
BTW: Co FUP ? Nebylo by vhodnejsi poridit nejakou profi konektivitu na jiny technologii/umistit zelezo nekam kde konektivita je ?
Jinak prepichat router zvladne uklizecka taky, otestovano :D, jen musi byt stejny. To ze ma ty kably napichat do stejnych der pochopila.
Nyni to tu je tak, ze mame 4 routery a jejich vnistrni IP se nejak prideluji vnistrnim strojum. Problem je ze to moc nefunguje, casto jsou dve lajny zcela vytizeny, kdezto dalsi 3 se flakaj, protoze zatez tech stroju je v case ruzna a hlavne to pseudo-nahodne pridelovani IP lidmy v realu moc nefunguje. Navic ty routery stale tuhnou a pod, takze takhle to tu vazne nejde. Jedna se o firmu v mensim nemeckem mestecku a jine pripojeni nez ADSL tu proste neni, nebo neni financne dostupne. A platit umisteni 60ti stroju nekde na pateri, ke kterym navic casto fyzicky potrebujeme, je rovnez nevyhodne. Pravda je, ze to s tema switchema a hlavne s ARP zaznamama me nedoslo, kouknu zda VRRP neumi prehazovat i MAC adresy, to by se vyrazne zrychlylo.
Barevné kabely (žlutý, zelený, modrý, červený, černý, šedý) a na obou routrech (funkčním i záložním) barevné polepky u konektorů a výměnu pak zvládne i uklízečka... ;)
Potiz u DSL budes stejne mit v tom, ze parametry linky se ti menej v case => to co normalne linka da vpohode muze jindy znamenat jeji pretizeni. Zalezi taky na tom, co chces balancovat, jestli traffic nebo konexe. Ale tak jako tak, pokud se ti to meni v case nejak vic nez malo ;), tak se nevyhnes aktivnim zmenam konfigurace na tech serverech. Druha alternativa je pak jedina, mit vsechny linky privedeny do jednoho routeru a druhy mit jen jako pasivni backup.
Jasne ze ADSL vazne neni fiber, na tom se shodneme, ale nic lepsiho tu proste nemame a mit nebudeme a zadny QoS se na tom stejne delat neda, kdyz tam neni fronta (a hlavne kdyz ty data prijimam), takze ten round-robin load ballancing je asi tak to nejlepsi, co na tom jde udelat a samozrejme se budu snazit tech ADSL mit co nejvice, aby byly vytizene treba jen na 60%...to by pak uz mohlo precijen trochu fungovat. Jen jsem zvedav, jak to bude vsechno fungovat, kdyz na tom PPPoE samozrejme musi byt DHCP klient. Doufam ze MK je inteligentni a ze kdyz nahodim 4 PPPoE, ze je bude vsechny pouzivat stejne jako kdybych mel rucne nastavene 4 default gw. Zatim diky moc za postrehy, zkusim to implementovat a pak poreferuji.Citace:
Původně odeslal Jezevec
Obavam se, ze ne :confused:Citace:
Původně odeslal Petrik
Vidim tam staticky nastavenou default routu, coz ja mit nechci a coz je mozna chyba. Mas v nastaveni PPPoE povolenu use default route? Ja nechci mit zadnou routu staticky a u vsechn PPPoE chci mit pouzit default routu, takze ocekavam ze se jich tam objevi tolik kolik je aktivnich PPPoE. Jen nevim jake DNS vylosuje ;)
UPDATE: par postrehu.
1) VRRP skutecne umi virtualni MAC adresu, kterou ma vzdy master router (doufam), takze vypadek by mel byt minimalni: http://wiki.mikrotik.com/wiki/VRRP
2) PCC firewall matcher ma jako match dokonce i cilovou IP, coz je v mem pridpad lepsi nez zdrojova IP, protoze to umozni pripojeni na ruzne servery z jednoho stroje hnat ruznymi DSL ale zaroven se nestane ze by z jednoho kompu slo vice konexi na jeden cilovy stroj ruznymi DSL. Pokud to bude fungovat, tak to nema chybu :)
Tak jsem dnes zkusebne zapojil dve DSL lajny do jednoho mikrotiku, nahodil PCC a neveril jsem ze se to fakt rozjelo :) delim je v pomeru 2:1 (11Mb a 6Mb) a funguje to naprosto bajecne, vytizeni site skutecne prumerne odpovida pomeru 2:1 a to jak download, tak upload. Je to dane tim, ze tam jsou tisice spojeni a vsechny delaj relativne o same, kdyby to pouzivali zivi lide, nebylo by to asi tak idealni. VRRP jsem zkousel uz predtim, doba prepnuti je cca 1-2s (odpojil jsem kabel z master routeru), ping nevypadl ani jeden, cemuz se mi ani nechce verit. Takze zitra zkusim rozjet VRRP nazivo a do druheho routeru take napicham dalsi dve lajny a zkusim load ballance mezy vsechny 4 lajny. Mimochodem to ze to funguje i na PPPoE clientovi s dynamickou IP je diky tomu, ze mikrotik umoznuje definovat routovaci pravidlo jen pomoci interfejsu, zadnou pevnou gw nepotrebuje. Jestli to umi i normalni linux netusim, ale rozhodne to neni otazka par kliku jako v mikrotiku. Genialni :)
Tak jsem to nakonec vazne zprovoznil :) az v prubehu se ukazalo, ze tak jednoduche, jak to vypadalo,to vazne nebude, protoze policy routing prinasi urcite problemy, ktere je potreba osetrit. Dalsi neprijemnost je podivna implementace/vlastnost VRRP v mikrotiku (mozna to je standard), kdy je vyzadovana IP adresa ze stejneho rozsahu, jako ma VRRP interfejs, rovnez na materske sitovce. To zpusobuje problemy u slave routeru, bez obrazku to ale vysvetlit asi nepujde, takze ctenarum doporucuji pockat na vecer, kdy snad dodam nejaky obrazek s porobnou dokumentaci. Pokracovani tedy jindy, kazdopadne vysledek predcil vsecha ocekavani a funguje to bajecne:
1) muze spadnout jakykoli z obou routeru a internet bude fungovat i bez nej, doba vypadku je cca 1-2s (vyzkouseno)
2) dokud bude funkcni alespon jedna DSL lajna na alespon jednom funkcnim routeru, internet rovnez jede
3) zatez je rozdelovana mezi vsechny dostupne DSL lajny (overuje se pingem na branu) s tim, ze pro kazdy par zdrojove a cilove IP adresy se brana nemeni (do restartu routeru), takze navazana spojeni nepadaji a nejsou problemy zpusobene menici se verejnou IP
4) to vse bez potreby statickych IP adres od providera ci jinych nestandardnich sluzeb
UPDATE: takze pro zajemce nabizim k nastudovani nalsedujici odkazy (to je novinkaz ze): http://wiki.mikrotik.com/wiki/PCC a k tomu toto: http://wiki.mikrotik.com/wiki/VRRP
jak to vlastne u nas vypada u "ISP" to neni mozne pouzit BGP?
ptam se protoze s temihle low-level zarizenimi nemam zkusenost, tak se divim proc to neni reseno standartni cestou pres dynamicky protokol.
dekuji
tohle ti nikdo na soho linkach provozovat nebude ... teda alespon ne za soho ceny, coz mam pocit, tady byl pozadavek ...Citace:
Původně odeslal sasha
jo a pochopil jsem dobre ze to je jen pro odchozi traffic, protoze v pripade weboveho serveru by to byl ponekud asymetricky routing a dost zbytecna divocina s DNS....
a fw tam neni? tomu by se to uz vubec nelibilo :D
Predevsim BGP (pripadne alternativy) by mozna prichazelo do uvahy pokud by slo o dve linky jedinyho ISP. Vzhledem k rozsahu IPcek ktery normalne doma mas (tedy 00 nic) ti nikdo nebute takovy pidiprefix propagovat :/.
Samo, resenim by bylo vice propojovacich bodu blize zakaznikum, pak by se daly i pidiprefixy propagovat v ramci te omezene lokality.
Priznam se ze vubec netusim, jak by slo BGP v teto situaci pouzit, ale to bude patrne tim, ze o BGP temer nic nevim :) predpokladam ale, ze s dynamickymi adresami by to bylo minimalne ponekud problematicke az nemozne ;) FW, pokud tim byl mysleny firewall, tam samozrejme je (stavovy).
Samozrejme, ze toto reseni se tyka uz z principu pouze odchozich spojeni, coz ale v nasem pripade neni na zavadu, protoze mame pomerne velky pocet spojeni a vsechny maji +- stejny download, takze jen pro predstavu realna data jsou takova, ze prichozi objem dat merenych mikrotikem na jednotlivych interfacech se lisi v radu procent, coz ja osobne povazuji za dost neuveritelne vyborny vysledek. Stejne tak pri vypadku nejake DSL lajny ( = shozeni PPPoE) se spojeni prislusejici teto brane okamzite zacnu routovat jiou dostupnou branou, po nahozeni PPPoE se vse vrati do puvodniho stavu. Navazana spojeni jsou samozrejme ukoncena, ale to nema bohuzel zadne reseni. Velka vyhoda je, ze nejsme zavisli na jednom providerovi a nejvetsi vyhoda je samozrejme cena celeho reseni. To doplnuje velmi snadna obnova konfigurace mikrotiku ze zalohy nastaveni, je to operace na 4 kliknuti kterou zvladne i naprosty diletant, coz by napriklad u nejakeho beznejsiho linuxu nehrozilo. Navic si nejsem uplne jisty, ze neco jako PCC v linuxu vubec je, obavam se ze to featura doprogramovana mikrotik teamem.
Takze, pokusim se nyni o jakysi navod pro pripad, ze by to nekoho zajimalo:
Predem upozornuji ze policy routing neni uplne trivialni vec a doporucuji si o nem nejdrive neco precist.
Prvni krok je zpovozneni HA clusteru na bazi VRRP. S pomoci tohoto navodu to je pomerne snadne: http://wiki.mikrotik.com/wiki/VRRP-examples
Jediny zadrhel je v tom, ze aby to fungovalo, to znamena aby virtualni VRRP interface (IF) nebyl faulty, musi mit matersky IF platnou nejakou IP adresu. Ted nevim jiste zda nemusi byt ze stejneho rozsahu, jaky ma VRRP IF.
VRRP tedy priradime napr. 192.168.0.1/24 na obou roterech a ti to hasne. Primarnimu budu rikat master, druhemu slave. dost zasadni je mit preemtion yes.
Ted je potreba zprovoznit vlastni PCC load ballancing. Predpokladam, ze oba routery jiz maji aktivni DSL lajny pomoci PPPoE, DSL modemy jsou tedy v rezimu bridge. na PPPoE muzeme zapnout obe dostupne komprese a v NAT nastavit maskaradu. routery jsou mezi sebou propojene dedikovanym spojem (DS) pro routing z mastera na slejva. Pouzil jsem tento mirne upraveny navod: http://wiki.mikrotik.com/wiki/PCC
Jeden z rozdilu je v tom, ze jsem vubec neresil prichozi spojeni, stejne jako output, ale to by nicemu uskodit nemelo. Dalsi, pomerne zasadni rozdil, je v tom, ze pri nastaveni jednotlivych zaznamu v routing table musime pouzit PPPoE IF namisto vychozi brany, protoze ta je dynamicka. Velmi doporucuji check gateway s pingem. V nastaveni PCC jsem pouzil both-addresses, coz je nastaveni, ktere zaruci, ze spojeni z jednoho pocitace na nejakou IP adresu v internetu pujde vzdy stejnou branou (pokud je up).
Nastaveni policy routingu se lisi pro master a pro slave, protoze master rozdeluje spojeni mezi DSL vlastni a DSL bezici na slejvu, kdezto slave jen mezi vlastni. Na masteru tedy budeme rozdelovat spojeni na N+1 casti, kde N je pocet DSL na masteru, ono +1 se bude routovat na slejva. V mem pripade mam na obou strojich jednu 12Mb lajnu a jednu 6Mb, rozdeluji tedy v pomeru 2:1:3 (12,6,slave) na masteru a 2:1 na slejvovi. Celkem tedy mam na masteru 6 zaznamu v mangle table markujci spojeni s pomoci PCC. (mozna by slo rovnou prirazovat routing mark???) In IF je VRRP.
Na slavu je situace jina v tom, ze v slave rezimu prichazi spojeni z dedikovaneho portu (od mastera), po vypadku hlavniho masteru se slave prepne ma docasneho mastera a spojeni zacnou prichazet z VRRP. Udelal jsem tedy dve sady shodnych PCC mangle zaznamu, jedenu s IN IF VRRP, druhou s IN IF dedikovaneho spoje (DS). A tady prichazi dalsi zadrhel a to je routa do nasi LAN, ve ktere mame nase kompy :) ve slave rezimu musi routa do LAN mirit na mastera skrz DS, po prepnuti na docasneho mastra musi mirit na VRRP. Pouzil jsem tedy moznost VRRP pri zmene stavu spustit skript, kde tuto routu nahazuju a shazuju.
Vysledek tedy je, ze master posila cast spojeni z LAN na vlastni DSL lajny a zbytek preposila na slejva, ktery tyto spojeni opet pomoci PCC rozdeluje mezi sve DSL. Na masteru je u zaznamu v routovaci tabulce pro preposilani na slejva opet pouziva funkce check gateway, takze pokud slave vypadne, master na nej prestane preposilat. Jediny problem, ktery muze nastat, je kdyz vypadnou vsechny DSL lajny na slejvovi, v takovem pripade na nej bude master stale preposilat spojeni a chudak slejv je nebude mit kam routovat (napada nekoho nejake jednoduche reseni?) Po vypadku masteru si slave nastavi na svem VRRP IF IP adresu (sy) co mel master, shodi routu na mastera a zacne vyrizovat prichozi spojeni pomoci svych DSL lajn. Vypadek cini priblizne 1-2s.
Po necelem tydnu musim prohlasit, ze to funguje bajecne a nejlepsi na tom je, ze to nema zadny single point of failure, kdyz nepocitam switch v LANce, bez ktereho to proste bohuzel nejak jednouse nejde :)
pouzity router je RB450G: http://www.roc-noc.com/images/P/rb150-complete_l-01.jpg
UPDATE: jeste dodam, ze VRRP si udela vlastni MAC a tu pak pouziva na vsech strojich, takze vypadek je skutecne pouze 2s, tedy nez si switche vymazou jeji zaznam z tabulky.
jojo, jinak jsem prehledl ze je to pro domaci reseni LOLCitace:
Původně odeslal Jezevec
kazdopadne Petrik sikula a nadsenec!