Comments 12
Есть кернел nat, который более проще в настройке и более производительный.
На закуску: есть еще множественные таблицы маршрутизации через fib и демон zebra.
А где скрипт перещелкивания дефолт-роутов? :)
На закуску: есть еще множественные таблицы маршрутизации через fib и демон zebra.
А где скрипт перещелкивания дефолт-роутов? :)
+2
Налаживать BGP взаимодействие с провайдерами, как мне посоветовали на одном форуме — эторедкостный маразм стрельбаиз пушки по воробьям
BGP предоставляет маршрутизацию независимой AS, поэтому Ваши сервисы будут доступны ВСЕГДА, не зависимо от одного из упавших провайдеров.
А в текущем случае если провайдер на 222.222.222.1 упадет, то клиенты, вполне возможно, не достучатся до сервиса из-за DNS кеширования (на их стороне). А введенение нескольких алиасов типа service1.domain.com и service2.domain.com не всегда удобно.
+1
Небольшой простой простой из-за DNS кеша в моем случае некритичен. Все это затевалось из-за того что необходимо было обеспечить работу OpenVPN клиентов из сети резервного провайдера, т.к. они подключены к резервному провайдеру (выходит более быстрое соединение, т.к. нет ограничений по скорости внутри сети провайдера).
0
Интересный подход к написанию правил. Разделяй и властвуй. Можно добавить в скрипт автоматическую смену ip в bind чтобы к ожиданию обновления кэша не добавлялось ожидание реакции администратора.
Ну и на практике придется закрыть интерфейсы по умолчанию и открыть только то что нужно, т.к. безопасность лишней не бывает.
Спасибо за статью.
Ну и на практике придется закрыть интерфейсы по умолчанию и открыть только то что нужно, т.к. безопасность лишней не бывает.
Спасибо за статью.
0
BGP — тяжеловесно, согласен, т.к. требует наличия автономной системы (AS).
На будущее и в перспективе роста потребностей (например SLA доступности ресурсов спрятанных за роутером «из вне») можно посмотреть в строну iBGP ну и как вариант OSPF, на стыке с апстримами.
На будущее и в перспективе роста потребностей (например SLA доступности ресурсов спрятанных за роутером «из вне») можно посмотреть в строну iBGP ну и как вариант OSPF, на стыке с апстримами.
0
Чего тяжеловесного в BGP на stub AS? Ничего :)
Разумеется, наличие AS требуется, BGP ничем иным не оперирует. Только private AS никто не отменял, а public AS получить от RIPE при наличии /25..30 практически нереально (и правильно, считаю).
Проблем технических нет вообще никаких (пройдено), проблема обычно одна единственная — договориться с провайдерами. А они нынче в огромном количестве такие, что вообще ничего не знают (например, как отрезать private AS).
OSPF на стыке с апстримами? Назови хотя бы одного, который согласится :)
Разумеется, наличие AS требуется, BGP ничем иным не оперирует. Только private AS никто не отменял, а public AS получить от RIPE при наличии /25..30 практически нереально (и правильно, считаю).
Проблем технических нет вообще никаких (пройдено), проблема обычно одна единственная — договориться с провайдерами. А они нынче в огромном количестве такие, что вообще ничего не знают (например, как отрезать private AS).
OSPF на стыке с апстримами? Назови хотя бы одного, который согласится :)
0
На самом деле, для решения данной задачи в продакшне имеет смысл только настройка BGP-взаимодействия.
Во-первых, такая связка ipfw + natd не даст какой-либо серьезной производительности, во-вторых, переключение дефолта таким способом ненадежное и слишком долгое. В статье не раскрыта тема обновления DNS-записей при переключении каналов.
Во-первых, такая связка ipfw + natd не даст какой-либо серьезной производительности, во-вторых, переключение дефолта таким способом ненадежное и слишком долгое. В статье не раскрыта тема обновления DNS-записей при переключении каналов.
0
О, я такое делал, только с помощью iptables + iproute2. У меня определенные компы в локалке ходят через разные шлюзы; сервисы, доступные извне тоже видны через оба шлюза. Еще можно делать так: весь инет юзера ходит через один шлюз, а определенные порты ходят через другой.
Плюс, сделал простенькую веб-морду для управления этим хозяйством на случай, если я в отпуске.
Если есть вопросы — могу ответить. :)
Плюс, сделал простенькую веб-морду для управления этим хозяйством на случай, если я в отпуске.
Если есть вопросы — могу ответить. :)
0
Тоже было дело както… Делал чтото подобное через iproute2 nexthop, минимум настройки, работает довольно стабильно, хотя есть некоторые проблемы.
0
Sign up to leave a comment.
Организация доступности сервисов по двум внешним интерфейсам средствами natd и ipfw