Замена роутера в продакшне, безболезненный переход с Kerio на Fortigate, как грамотно реализовать с минимальными простоями?

Question

[beltskyy]

Друзья! не пинайте начинающего сетевика)))) Уходим от виртуальной машины Kerio Control (с огромной кучей настроек) на железку Fortigate 100F. Как бы это сделать грамотно и незаметно для продуктовой среды, ну или с минимальными простоями, т.е. постепенно переключая пользователей и сервисы. Естественно все будет перенастраиваться вручную. Вопрос в том, чтобы заставить одновременно работать 2 маршрутизатора с одним подключением ISP. Адрес от провайдера получается по DHCP, привязка по MAC-адресу. Есть коммутатор Aruba 1930, есть простой свитч TP-Link. Первое, что думалось это воткнуть шнурок от провайдера в свитч и 2 шнурка в оба маршрутизатора, обоим назначить один и тот же MAC, но как тогда траффик будет понимать от какого маршрутизатора к какому и как ходить и почему)) Второе, что думалось, использовать для этой цели LACP на Aruba 1930, но вот тут я совсем не силен, и все равно непонятно, как будет что ходить и разбираться от какого роутера с какого порта в какой передавать траффик дальше на шлюз провайдера... Вобщем не пинайте, подскажите правильное направление, плиз.

Comments

[Drno]

Вы же понимаете что ваш вариант со свитчом - это бред полный... )
Никак, это единственный ответ. Не может быть 2 шлюза в сети.

Вариант 1. Перенести ручками все сервисы\настройки на новый, поменять их местами, отловить косяки
Вариант 2. Подключить новый к провайдеру как обычный шлюз, в него уже подключить Керио(получится типо двойной NAT), далее постепенно перемещать настройки с керио на новый, тогда при отключении керио никто даж не заметит что шлюз сменился, если сделать всё в правильной последовательности)

[Mystray]

Никак не будет ходить.
Берите второй айпи у провайдера, чтоб второй роутер включить паралельно первому.

[beltskyy]

Mystray, а может попробовать провайдера попросить как-то одним IP отбиться но с 2-мя MAC? с которого пакет пришел/ушел, в том роутере и траффик ходит? такой реализации не получится?

[beltskyy]

Drno, о, а это идея! т.е. перенастроить новый шлюз, с него все а-ля DMZ переадресовывать на Керио, и потихоньку перекидывать сервисы...

[Drno]

beltskyy, да
как вариант начать с DHCP и DNS

Answer 1

[AntHTML]

Провайдера в WAN фортигейт, WAN керио в DMZ фортигейт - или наоборот, главно чтоб у второго роутера был прямой минимальный доступ к WAN.
потихоньку переносим правила с одного на другой и смотрим как работает
LACP на арубе не поможет - это агрегация, не вижу поддерживает ли аруба BGP/OSPF, если да то можно было поиграться с fallower

Comments

[beltskyy]

а гляньте одним глазком, вроде как есть failover

[AntHTML]

beltskyy, это статический при пропадании линка, такой поможет только в случае если держать 2 идентично настронных маршрутизатора и при жестком вырубании активного (по питанию или обрыву кабеля (падению линка)) он отзеркалит порты на резервный и тогда вместо отвалившегося фортика вступит керио, но при зависоне или перегрузе фортика это не поможет

[Valentin Barbolin]

beltskyy, Aruba 1930 - это коммутатор уровня L2. Роутинг (BGP/OSPF/RIP) это не его задача.

[beltskyy]

Andrey Barbolin, у меня есть парочка старых 3com, там вроде было что-то из того, что вы перечисляете

[Valentin Barbolin]

beltskyy, Протоколы BGP/OSPF не самые простые для быстрой настройки, не стоит смотреть в их сторону, попробуй самый простой вариант в котором меньше всего белых пятен для твоего уровня ИТ.