İki ISP'li çift ana alan için en iyi uygulama?

Hızlı ve pahalı ama daha yavaş olan iki İSS'ye abone oldum. Farklı teknolojiler, kablo ve ADSL kullanıyorlar, bu yüzden tek bir arıza noktası yok ve tüm iletişim ekipmanım bir UPS'den besleniyor.

İngiltere'deki İSS'ler oldukça rasgele bir yapıdadır. Uzun yıllar boyunca, her iki ISS'mizin eşzamanlı olarak azaldığı bir anla karşılaşmadım, bu yüzden burada kesintisiz net erişim istiyorsanız iki ISP stratejisi yararlıdır.

Ancak sorun, bu gelişmiş kullanılabilirlikten yararlanmak için sitenizin ağını nasıl düzenleyeceğinizdir. Birçok ISS, kendi AS'nizi ve yönlendirme protokollerinizi çalıştırmanıza izin vermez, bu nedenle statik yönlendirmenizi iki çıkış borunuz boyunca hedefe göre bölmekle sıkışıp kalırsınız. Bu daha az parlaktır ve bir İSS gezegenin yüzünden düştüğünde manuel müdahale gerektirir. Çok sayıda komut dosyasının yardımıyla ISS kesintilerini makul bir başarı ve fazla çaba ile ele almıyorum ve her zamanki gibi iş haline geldi. Yine de harika değil. Bazı teknolojiler eksik gibi geliyor.

1. Genel olarak daha iyi bir yol var mı?
2. Sadece IPv6 için daha iyi bir yol var mı (bir ISS'de çift yığın var ve diğer tarafta tünel olabilir)? Bu IPv6 için açık bir nimet olurdu.

Tedarikçilere ne tür bir donanımınız var? Bir Cisco cihazı ise, birincil ISS üzerinden 8.8.8.8 gibi bir hedefe ping atmak için IP SLA kullanabilirsiniz. Diğer statik yola bir yanıt yük devri almaz almaz. Örnek yapılandırma:

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

Her zaman bu yoldan çıkması için ISP1 üzerinden 8.8.8.8 için statik bir rota koymanız gerekebilir. Açıkçası 8.8.8.8 gerçekten kullanıyorsanız başka bir IP seçin çünkü aksi takdirde ISP1 düşerse ona erişemezsiniz.

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

Kullanılabilir bir LISP sağlayıcısı olup olmadığını araştırmak isteyebilirsiniz . LISP, bir siteyi bağlandığı yukarı akış İSS'lerinden bağımsız hale getirebilen bir protokoldür. LISP ISS'den bir veya daha fazla IP adresi alırsınız ve bu adresleri bağlı olduğunuz yere yönlendirir. Bir tünel açma tekniğidir, ancak birçok harika özelliğe sahiptir. Bağlantılar üzerinden hem gelen hem de giden yük dengelemesini kontrol edebilir, NPT66 (önek çevirisi) gibi saldırılara başvurmak zorunda kalmadan IPv6 çoklu ev sahipliği yapabilirsiniz. IP adreslerini değiştirmeden gezegenin diğer tarafına bile hareket edebilirsiniz ;-)

LISP'yi kendim kullanıyorum ve ofis ağımın yukarı akışlardan bağımsız bir / 26 IPv4 bloğu ve / 48 IPv6 adresi bloğu var (bir dinamik IPv4 adresiyle bir UPC kablo bağlantısı ve hem statik bir IPv4 adresiyle bir Solcon DSL bağlantısı " ve IPv6 adreslerinin statik bir bloğu). Bir Cisco 1841 ofiste LISP çalıştırır ve İnternet'in geri kalanına bağlanmak için mevcut olan her bağlantıyı kullanır. Bir bağlantı çalıştığı sürece ofisim kendi adreslerini kullanarak bağlanır.

Tam açıklama : Hollanda'da kendi LISP tabanlı ISP'mi çalıştırıyorum, bu yüzden önyargılıyım. LISP yine de harika bir protokol :-)

Sağlayıcı birleştirilmiş adresleri olan IPv6 çoklu ana konumunda, ağdaki her ana bilgisayar, sağlayıcıların her birinden bir adres öneki alır. Ana bilgisayar yığını / uygulamanın kaynak adres seçimi (RFC6724) ve SA / DA çifti (RFC6555) seçimi, hangi çıkışın kullanılacağını belirler.

Yani ana bilgisayarın / uygulamanın çıkış bağlantısı kullanılan kaynak adres seçimlerini seçmesi. Çeşitli uygulamalar bunu çeşitli şekillerde yapar ve şu anda hiçbiri bunu çok iyi yapmamaktadır.

Ağ, trafiği doğru çıkışa iletmek için kaynak adrese bağlı yönlendirmeyi kullanır. (Aksi takdirde BCP38 (giriş filtreleme), ISP B'nin kaynak adresiyle ISP A'ya gönderilen bir paketi bırakmış olabilir). Bkz http://tools.ietf.org/html/draft-troan-homenet-sadr-01 Biz OpenWRT bir uygulama var. Ancak, ilke tabanlı yönlendirmeyi destekleyen tüm yönlendiricilere de oldukça iyi uygulanabilir.

Bir uygulama, mevcut bağlantı başarısız olduğunda bağlantıyı değiştirecek kadar akıllı olmalıdır (başka bir SA / DA çifti seçin). Öyle değil. Bu arada önerimiz, başarısız olan bağlantının adres önekinin ömrünü 0 olarak ayarlamaktır, yani yeni bağlantılar bu adresi kullanmayacaktır.

S1. Birden çok ana bilgisayarı destekleyen bir yönlendirici / güvenlik duvarı yükleyebilirsiniz. Özgür yazılım açısından pfSense faturaya uyar. http://www.pfsense.org/ . PfSense dokümanları bunu Çoklu WAN olarak adlandırır. http://doc.pfsense.org/index.php/Multi-WAN_2.0

PfSense, otomatik yük devretme ve yük dengeleme özelliğine sahiptir.

Bulduğum şey, çok evli olduğunuzda az sayıda web uygulamasının çalışmadığıdır. Web uygulamaları genellikle bankalar gibi finansal sitelerdir. Bazı nedenlerden dolayı, web uygulaması programcıları bazen IP adresi temelinde güvenliği test etmenin uygun olduğunu düşünür. Bu erişime ihtiyaç duyan kullanıcılar için, bilgisayarları için bir IP adresi ayırabilir ve bu IP adresi için diğerini değil, her zaman belirli bir ağ geçidi kullanmak için pfSense'te bir "LAN kuralı" oluşturabilirsiniz.

Bunun kablolu modem ve ADSL modem kombinasyonu için oldukça iyi çalıştığını düşünüyorum.

S2. IPv4'te olduğu gibi IPv6'da da birden çok bağlantının çalışmamasının bir nedeni yoktur. Bununla birlikte, pfSense'in IPv6'yı düzgün şekilde işleyen tam olarak desteklenen bir sürümü yoktur. Geçerli pfSense sürümü 2.0x. 2.1 yayınlandıktan sonra, pfSense iyi bir IPv6 desteğine sahip olacak ve çoklu ev sahipliği de içerecektir.

Güvenilir bir veri merkezinde bir uzak sunucu / VPS kurabilir ve ardından her ISS üzerinden yönlendiricinizden uzak sunucuya VPN tünelleri kurabilirsiniz. Artık evdeki yönlendiriciniz paketleri bir bant genişliği oranına göre bu tüneller üzerinden yönlendirebilir ve daha sonra uzak sunucu trafiği internetin geri kalanı arasında yönlendirebilir.

Dezavantajı, uzak sunucu için ek işlemci, depolama ve bant genişliği maliyetlerine maruz kalmanızdır.

Avantaj, güvenilirlik için başarısızlık seçeneğine sahipken, her iki sağlayıcı tarafından sağlanan tüm bant genişliğini kullanabilmenizdir.

OpenWRT'yi DSL ve Kablo İSS'm arasında çoklu ev için Multiwan ( http://wiki.openwrt.org/doc/uci/multiwan ) ile evde bir süre kullandım. Oldukça güzel çalıştı. Kurumsal bir çözüm olarak tavsiye etmem, ancak SOHO ve ev kurulumları için sorun değil.