Как лучше организовать сеть при двух интернет провайдерах?

Question

[Pavel]

Всем привет. Есть задача: три оптических линка от провайдеров. Хочу сделать подключение по следующей схеме:

линки провайдров - L3 коммутатор - с него выходы на пару роутеров и серверов - дальше идет с роутеров на свичи

Вопрос в правильности данной схемы. Я планирую на каждый из роутеров давать по два линка от разных провайдеров. Правильно ли я делаю пуская все изначально через коммутатор?

Comments

[Армянское Радио]

Цель толкания провайдерских линков в коммутатор?

[Pavel]

в том, чтобы дать возможность нескольким роутерам работать с интеренет трафиком, а также включение пары серверов напрямую к провайдеру. Почему несколько роуетров - потому что один используется для телефонии Cisco, а второй 1ГБ/с для специфических задач компании, ну и третий для офиса на 100 МБ/с.

Answer 1

[Алексей Черемисин]

Да, все правильно! Особенно, если линки гигабитные, а то и простую маршрутизацию и access control там же на L3 делайте.
Можете также на нем OSPF поднять (ну и на роутерах тоже) и будет неплохой failover между вашими маршрутизаторами, провайдерами и линками на L3.
Вот только зачем на роутеры по два линка пихать? в этой схеме и одного линка достаточно.

Comments

[Pavel]

Как я думаю - я сделаю разные VLANы для различных провайдеров, а потом просто в транке пущу одним линком к роутеру, ну или двумя в аксессе. Или я не прав?

[Алексей Черемисин]

Pavel: ну тогда вам L3 совсем не нужен! Это и любой L2 сделает. L3 нужне, если он сам будет часть маршрутизации брать на себя.

[Pavel]

Да. Я уже тоже пришел к этой мысли. Там маршрутизация и не нужна вовсе для текущей задачи. Но Вы упомянули об OSPF - вот чего мне хочеться, чтобы был минимальный простой при переключении(одновременной работе) двух провайдеров. А в этом вслучае нужен уже L3. Правда еще до конца нет четкой схемы с OSPF, есть только попроще через VLANы, но я к этому стремлюсь.

Answer 2

[Андрей Корытов]

Сложно как то все. Можно одним маршрутизатором обойтись, Mikrotik например, на нем управлять и балансировкой и сетью и т.д.

Comments

[Pavel]

Боюсь микротик с каналами в 1Гб/с не справиться. Я ничего против не имею, но когда был поток входящего трафика в 200Мб/с через месяц он умер. По поводу почему так организация задумана, я отвеил в выше стоящем комментарии.

[Сергей]

Какой микротика умер от 200 мегабит?

[Pavel]

rb951g-2hnd

[Сергей]

Pavel: батенька. Мне сейчас за вас дико стыдно. Считайте вы перднули в общественном месте. Погуглите для приличия микротика 1009

[Андрей Корытов]

Pavel: mikrotik.ru/katalog/katalog/hardware/routers/route... такой стоит больше года, 3 провайдера, локалка гигабитная, туннели с ipsec до филиалов, никаких проблем. Там у них даже есть решения с 3мя оптическими портами, только цена кусается немного

[Pavel]

Я тоже на него смотрел. Но порт может быть гигабитным, а по факту трафика быть всего-то на 60-80Мб реального. Но честно говоря, коль у меня уже стоят Cisco, то и решил огород не городить, а все-таки их ставить. Спасибо за пример. Я этот роутер учту и буду в будущем использовать где-то. Хотя у нас в филиалах (30) стоят микротики и работают себе стабильно. Нареканий нет)))) Кроме грозы конечно.

Answer 3

[Константин Степанов]

Непонятно, нужна одна сеть, или несколько. Чем меньше оборудования, тем лучше. Как шлюз в мир, возьмите что-то типа такого: www.tp-link.com/en/products/details/cat-4910_TL-ER..., за ним можно микротик воткнуть или роутер с openwrt чтобы поднять на них openvpn сервер для подключения извне. Если подсетей нужно несколько, то либо разруливаем vlan ами, либо несколько роутеров.

Comments

[Сергей]

Не рекомендую всю серию тплинка к работе вообще. У них обновления выходили последний раз в 2014 году на прошивку. Новых фич хрен допросишься. До железки стучаться по нттп или телнету .... за эти же деньги нынче легко купить микротик или юбикьюти.

[Сергей]

Для примера вам одна из историй из моей с ними переписки. "Дайте возможность на корпоративные точки доступа (сре210) заливать самоподписанные сертификаты. Тогда при заходе в вебморду не придётся ваш сертификат добавлять в исключение." И ответ: "идите нах... со своим запросом. Это никому не нужно! "

[Константин Степанов]

Сергей: Понятно. Года полтора назад было еще ок. Тогда либо Microtik, либо openwrt с multivan, как самые доступные в наших краях.

[Pavel]

У меня уже есть часть оборудования Cisco: L2, L3 коммутаторы и роутеры, кроме гигабитного. TP-Link - уж очень они не стабильны и бывают как удачные модели, так и не очень((( Хотя ничего против бренда не имею, но факт остается фактом. Mikrotik - да я думал о нем, но что-то смущает меня. Видимо то, что бывает он может ни с того ни с сего просто перестать работать, а у меня задержка в 5 минут может привести к очень серъезным последствиям ( и штрафам). Спасибо за советы по оборудованию. Вы можете подсказать за/против моей будущей схемы сети? Если что, схему могу выложить.

Answer 4

[Pavel]

Comments

[Сергей]

На чем рисовал?)

[Pavel]

вообще в MS Visio Pro 2016, но только с целью чисто понимать сколько портов будет занято на оборудовании. Так обычно я использую Dia. Хотя вот именно в 2016 все так гибко рисуется, что аж ну очень приятно. А по поводу схемы есть какие-то комментарии?

[Сергей]

Чисто математически ... твоя схема это полная охинея). Вот скажи мне ... внедрил ты ospf ... а в стойке пожар!!!! Вероятность такого инцидента ... один на миллион. Или скажем умерло электричество в твоём квартале. А у тебя от провайдеров энергозависимые линки идут. Вероятность повыше .... И ещё много много всяких вероятностей!!!! Нельзя с денежными вложениями (3750 и 2960) получить защиту от метеоритов. И от ангела смерти тоже. Нужно минимизировать потери. А не доводить до абсурда поиск истины. Два Линка и на каждый по микротику ... плюс динамическая маршрутизация ... решают все твои проблемы в этом мире. Поставь коммутатор перед микротиком на каждый линк ... и ты повысишь вероятность выхода из строя чего-то.

[Сергей]

можно поднять хоть сотню соплей до разных провайдеров. Каждого провайдера садить на коммутатор и соплями разводить по маршрутизаторам. Те в свою очередь могут быть виртуализированы и крутиться в кластере. Дальше реализовать чем угодно ... хоть ospf. За чей счёт то банкет будет?)))

[Pavel]

спасибо. понятно, что от всего не застрахуешся и никто не будет этого делать. Просто хочеться какой-то маломальски резервации, а также автоматизации, чтобы в 3 часа ночи не ехать в офис и вручную все переключать. Ну и схему конечно я уже переделал, прислушиваясь к товарищу ниже. Схему могу показать, если интересно)

Answer 5

[krush2000]

Павел, грош цена этой красоте при отказе 3750. Мрет 2960 ваши провы и роутеры будут стоять без дела, да и вообще весь офис встанет

Лучше ставьте два маршрутизатора в каждый по прову, за ними два коммутатора - по линку в каждый маршрутизатор. Делайте "роутер на палке". Бейте на vlan и по два линка в каждый сервак.
Поднимайте на маршрутизаторах резервирование.
Заработает схема. Подоткнете 3 прова куда нить. Раскидаете нагрузку маршрутами.
Вообще 3 прова реализовать отдельно. Умрет или нужно будет основную схему переколбасить переключитесь на 3-го. Хотя бы почта и телефония в офисе будут. Удачи.

Comments

[Pavel]

Согласен в том, что минусы в данной схеме - это 2960 и 3750. В самом крайнем случае даже если умрет 3750, то линк можно будет перетыкнуть прямо в маршрутизатор. На маршрутизаторах и так будет резервирование по два разных линка. При полном резервировании нужно было бы два одинаковых коммутатора в стек поставить, но увы. В вашей схеме есть один минус - мне нужно несколько серверов (ипшников), которые смотрят прямо в инет.

[Pavel]

После вдумчивой медитации - согласен с Вами на 90%. Но один нюанс останется - это пару серваков, которые будут смотреть наружу (так нужно, пробросом портов не обойтись, так как хочу чтобы они работали если выйдет из строя 2960). Буду поднимать сеть с Вашими замечаниями. Спасибо.

Answer 6

[Владимир Кузнецов]

Если коммутатор 3750 будет связывать роутеры - то он так же будет единой точкой отказа.

Так что без разницы.