Как реализовать сеть с помощью 2 физических шлюзов?

Question

[Сергей]

У заказчика 2 провайдера предоставляют услуги по доступу в интернет. Появилось пожелание поставить 2 физических шлюза, дабы избежать простоев при падении одной из линий или смерти одной из железок. Оба шлюза приходят в коммутатор (который нужно менять). Каким образом спроектировать данную сеть и что должно поддерживать оборудование, чтобы для клиента незаметно происходило переключение шлюза. Сам такое не реализовывал. поэтому и нужны светлые идеи )

Comments

[Ринат Гарипов]

@edinorog на cisco или Juniper нужно использовать HSRP: www.cisco.com/c/en/us/tech/ip/hot-standby-router-p...

Answer 1

[Клёвый Админ]

Два шлюзе вам совершенно не за чем. Маршрутизацию и балансировку нужно осуществлять внутри одной железки, в случае с iptables или routeOS (аналогичное есть в Cisco, juniper, но там я не знаю точной реализации - гуглите) вам необходимо следующее:
1. Есть одна железка - она шлюз поумолчанию для локальной сети.
2. На железке есть два провайдера
3. Для обоих провайдеров настраиваете NAT
4. Маркируете трафик входящий через каждого провайдера своей меткой
5. Создаёте для каждого провайдера отдельную таблицу маршрутизации со своим шлюзом провайдера для маршрута 0.0.0.0/0
6. Направляете исходящий промаркированный трафик (ответы на входящие запросы из п.4) на соответствующие таблицы маршрутизации.
7. Для исходящего трафика делаете правило балансировки между шлюзами (для режима A-A) или переключение маршрута по-умолчанию (для режима A-P) на основании, например, пинга до 8.8.8.8
8. Порты выставляете и там и там, они заработают через обоих провайдеров если юзать пп.4-6

Две железки можно использовать только если между ними есть VRRP и они делят общий IP адрес локальной сети и этот айпишник - шлюз для неё. В этом случаето можно передавать роль мастера (активной ноды) и маршрутизировать через них, но на практике сводить две железяки (если они не умеют автосинхрон) довольно проблематично.

Спросите, если что-то непонятно.

Comments

[Сергей]

клиент настаивает именно на варианте с двумя железками. поэтому и спрашиваю на что следует обратить внимание при подборе оборудования.

[Клёвый Админ]

@edinorog выбирайте оборудование с поддержкой VVRP \ CARP и синхронизацией между нодами, в принципе можно поднять на pfsense или аналогичный софтроутерах. Можно взять Mikrotik. Т.е. вам нужен как бы HA, но не совсем.

Но я ещё раз имхо вставлю. Лучше две железки и у каждой два провайдера в полноценном кластере, чем две железки и у каждой по-одному.

[Клёвый Админ]

*VRRP

[Сергей]

коммутатор получается тоже с поддержкой VRRP должен быть? я просто слабо знаком с данной технологией.

[Сергей]

почитал. вроде понял. каждая из железок сама наблюдает за жизнедеятельностью второй. коммутатор тут не при чем.

[Сергей]

ок. спс. щас тогда буду курить манул по поводу маршрутизации извне, при такой связке.

[Клёвый Админ]

@edinorog если, например, выберешь микротик (или routeos для x86) то стучи в скайп, с радостью помогу =)

[pr0l]

@edinorog так лучше уж одна железка с 2-я провайдерами, и вторую аналогично настроенную рядом положить, замена убитой будет в пределах 15 минут, по деньгам очень даже дешевле.
з.ы. Практика показывает что 80% проблемы на стороне провайдера, так что смысла в дублировании оборудования очень мало, если оно не совсем плохого качества.

[Клёвый Админ]

@pr0l я вот тоже говорю @edinorog, что лучше уж две железки в кластере и у каждой оба провайдера, тогда и выход оборудования не страшен и мороки существенно меньше.

Проброс портов или DMZ в походе с двумя железяками по одному провайдеру в каждой станет довольно серьёзным костылём =)

[pr0l]

@ifaustrue ну можно конечно попросить провайдера еще одинн порт зеркалом пробросить, но смысла в костылях

[Клёвый Админ]

@pr0l это прям хардкор хардкор. Я вот даже не знаю как себя будет вести маршрутизатор, на один из портов которго постоянно левый трафик приходит просто так, а отвечает на этот трафик другой маршрутизатор рядом, никак с первым не связанный =)

[Сергей]

хмм. от каждого провайдера приходят только по одному шнурку. получается что нужно обычные коммутаторы ставить до микротиков? а с них разводить по сопле до каждого? но как тогда реализовать проверку какой из них активен и отвечает за обработку внешки?

вообще решили заказать два Cloud Core Router 1009-8G-1S-1S+. но не совсем ясно как тогда отрабатывать ситуацию с тем что маршрутизатор в строю (мастер), а линия у него легла. получается он должен отрубаться до сети, пока основная линия не поднимется. это если с вариантом когда на один маршрутизатор приходит один шнурок.

[Сергей]

*он должен отрубаться ОТ сети

[Сергей]

@ifaustrue не против помощи .. точнее прокачки совместного скилла. =) но это позже .. как железки притопают

[Клёвый Админ]

@edinorog ок, хорошо, пиши скайп. Настроим всё =)

Да, в правильной отказоустойчивой идеологии у тебя есть свич до и после маршрутизаторов (если шнурок от провайдера один). Но в твоей ситуации лучше два полностью настроенных маршрутизатора, один боевой (в него входят оба провайдера) второй резервный (подключенный только в LAN) на него залиты актуальные - рабочие настройки - и он знает что он пассивный. Но думаю по ситуации уже нужно смотреть, нюансы бывают.