Subnets.ru

[favar]

спасибо!
получается bgp будет жить на openbsd?
если смысл перед openbsd ставить роутер, для того чтобы обрабатывать bgp и являться дефолтом для openbsd?

[favar]

переосмыслил некоторые вещи.
в итоге, отбросил желание объединять локалки, это по хорошему не нужно.

следующая мысль, поставить на границу в каждом дц по роутеру. (видимо существующим линком между цод их соединить)
роутеры получали бы фул-вью или дефолт (в моем случае это не сильно важно) от своих провайдеров, и анонсили
на openbsd только дефолты. если все хорошо, у каждой openbsd (которые в разных цод) свой дефолт, если один из каналов
падает, меняется дефолт на openbsd с чьей стороны упал канал.

вопрос, правильна ли такая схема?
какое оборудование выбрать в качестве пограничных маршрутизаторов?

[root]

получается bgp будет жить на openbsd?

да, хотя ессно лучше иметь нормальные "железные" роутеры

если смысл перед openbsd ставить роутер, для того чтобы обрабатывать bgp и являться дефолтом для openbsd?

и что тогда будет делать bsd ? я не вижу в этом никакого смысла.

вопрос, правильна ли такая схема?

опять же, если планируются роутеры, то что делает bsd ?
правильная та схема, которая решает твою задачу. если задача забекапить внешние каналы, приходящие в разные места, то другого способа у тя и нет

какое оборудование выбрать в качестве пограничных маршрутизаторов?

а какой бюджет ? сколько трафика ?
я бы поставил Juniper`ы.

[favar]

тут уже даже не в бюджете дело, а в правильной организации.
сейчас бсд фильтрует трафик (pf), держит ipsec/ssl тоннели и роутит внутренние подсетки,
форвардид с кучи внешний адресов на серверы в локалке.
трафик небольшой, до 100мбпс.


другого выхода всмысле ставить перед бсд роутер или поднимать бгп на бсд?
задача сделать резервный канал в текущем цод - первая и приоритетная
в далекой перспективе иметь резервирование всей площадки во втором цод.

[root]

другого выхода всмысле ставить перед бсд роутер или поднимать бгп на бсд?

нет ничего лучше для роутинга, чем железный роутер сделанный специально под эту задачу.

тут уже даже не в бюджете дело, а в правильной организации.

значит закупка железных роутеров и вынесение маршрутизации, в частности BGP, на них
но поверь мне, дело все равно упрется в бюджет, т.к. на мой взгляд правильнее делать трех уровневую модель: CORE уровень, DISTRIBUTION уровень и ACCESS уровень
а далее распределять нагрузку между уровнями. если это сделать, то такая сеть сможет выдерживать нагрузки которые могут возникнуть в будущем
и для всего этого нужно железо, а железо = деньги, а тратить их начальство ох как не любит, т.к. оно никак не может взять в толк одну истину:
лучше потратиться и сразу сделать на совесть, чем по сто раз переделывать - дешевле выйдет

задача сделать резервный канал в текущем цод - первая и приоритетная
в далекой перспективе иметь резервирование всей площадки во втором цод.

пока я не вижу ни одной причины почему ты сейчас бы не мог это сделать
приведи второй канал - будет резервирование. откуда он придет не важно. придет новый Инет канал, то значит резервирование у тя будет тока в одном ЦОД. Сможешь пригнать "провод" из другого ЦОДа, то сможешь сделать резервирование и второго ЦОДа через первый и соответственно наоборот.
если кроме каналов хочется резервировать и BSD с BGP, то нужно поставить ещё по железке (именно железке, а не серверу, например каталист 3750) в каждом ЦОД и соединив их каблом запустить OSPF между ними, в котором анонсить default.

пойми, что вариантов может быть много, а правильный это к сожалению всегда тот который ты можешь себе позволить.

[favar]

спасибо за ответы, начинаю понимать.

в итоге схема такая получится?




про бюджеты, согласен.
тут конечно все зависит от руководства, если правильно предоставить инфу и деньги найдутся

[root]

в итоге схема такая получится?

ага, примерно такая

тока зачем тебе carp ? сделай что бы 3750 была def gw для всего оборудования за ней
далее можно например сделать OSPF между 3750-ми и BGP роутерами и гонять между ними маршрут 0.0.0.0, который будут с двух сторон анонсировать BGP роутеры

[favar]

у меня 2 сервера с openbsd с натом и ipsec и роутингом между несколькими подсетями внутри, IP карпа - дефолт для внутренней подсетки.
сделано, для того чтобы если один упадет, все жило тк это самый важный участок инфраструктуры.
ах, на openbsd еще dns/ы висят.

тут на днях выводили новые сервересы на место старых, на позицию где сейчас openbsd.
за 8 часов, отказали оба, железки супермикро.

задался вопросом, на что их можно сменить.
из задач нат, ipsec, ssl тоннели. роутинг между нескольими внутренними подсетями.
днсы вынесу куда-нибудь.
что выбрать? трафик тот же 100

[root]

лично я был и остаюсь всегда верен одной мысли: распределение нагрузки и сервисов на узле на разные железки это единственный правильный метод построения отказоустойчивого узла
когда все на одной железке, то это чревато тем что при её падении падает все сразу что приводит к печальным последствиям, а когда все распределено, то при падении страдает только один или несколько сервисов, когда основная часть продолжает работать.
под разные задачи есть разное железо
ipsec и туннелями хорошо дружит Juniper серия SRX (точно знаю что именно эту серию юзают в одном из банков для этой задачи и говорят что заменили ею циски, типа они хуже для подобной задачи), так же она же дружит с NAT`ом, например SRX650 честно прокачивает 1гбит/с NAT трафика.
туннели можно конечно и на компе оставить, но тогда вынести их с пограничного маршрутизатора и поставить отдельно, ЗА ним.
в кач-ве пограничного роутера Juniper MX серия или послабже M7i или M10i
на серверах располагать тока сервисы аля DNS, WWW, MAIL и т.п., все остальное выносить на специализированные железки
лучше железки роутить может только железка сильнее по конфигурации, но никак не сервер.
держать внешний/внутренний роутинг и NAT на одной железке, тем более серванте жестоко, т.к. NAT всегда был и всегда останется прожорливой к ресурсам штукой. Лично для меня важно чтобы BGP роутер всегда выполнял свою функцию пограничного маршрутизатора и чтобы ему ничто не мешало и он занимался только этой задачей, т.к. она очень важна для работоспособности сети. Допускать чтобы из-за NAT`а прекращались BGP анонсы твоей сети в мир НЕЛЬЗЯ, а раз так то с пограничного роутера все лишнее нужно выносить "к черту".

что выбрать? трафик тот же 100

ты сначала все же определись со схемой и с тем что ты хочешь получить на выходе:

- прокачку 100 мбит/с
- отказоустойчивую сеть

если первое то 2 компа и 2 свича Dlink решают твою проблему, если второе, то выбирай схему, считай бюджет, подбирай железо исходя из бюджета, закупайся, распределяй сервисы, настраивай.

На мой взгяд я бы делал примерно так:

Схема

оба ЦОДа должны уметь быть автономными, но при этом как минимум резервировать доступ в Инет.
ну а дальше, если хочется сдлеать больше резервирования всего и вся, то в эту схему нужно и добавлять железа и резервных каналов между ЦОДами.