Как правильно организовать резервный канал от провайдера в ДЦ?
Доброго времени суток, уважаемый All.
Не пинайте сильно ногами, если вопрос тупой. Не сталкивался ранее с подобным.
Есть стойка в ДЦ, набитая серверами. Скоммутировано это всё на 2 свитча, подключения организованы так, что выход из строя любого свитча не прерывает сервиса, но... за исключением линка от провайдера. Если сдохнет тот свитч, куда воткнут провайдер, то опаньки.
Провайдеров по факту два, воткнуты в разные свитчи и по уму я понимаю, что надо бы заморочиться с организацией собственной AS (арендована сеть /24) и поднятием BGP, но по факту клиент ещё не настолько большой и толстый.
Соответственно, вопрос: как правильно сделать резервирование канала именно в аспекте защиты от смерти свитча? Корректно ли будет попросить провайдера затянуть на стойку ещё один кабель, воткнуть его во второй свитч и договориться о поднятии STP, например?
Или эта задача решается другими способами? Или вообще так никто не делает и надо сразу копать в сторону BGP?
По уму у вас должен быть стек из 2 роутеров, в который подключены и аплинки от провайдеров, и свитчи, на котором наруливаются правила для балансировки и пробросов хозяйства в мир.
З.Ы. PI-адреса в IPv4 RIPE больше не даёт.
Отказоустойчивость роутера реализована средствами HA VMware.
А касательно стека - всё-таки вопрос: есть конкретная железка, в которую приходит провод от провайдера A. Если эта железка сдохла - связь с провайдером A утеряна. И мне хочется как раз не терять связности.
Что не выдаются PI-адреса - это я знаю. Но всегда есть возможность арендовать PA-блок и договориться со всеми провайдерами о том, что этот блок может быть через них проанонсирован. В этом случае, пока действует договор аренды адресов, отказоустойчивость вполне будет обеспечена.
scarab: Чтобы избежать проблем со смертью одного из свитчей - получаете второй аплинк от провайдеров, разделяете их по свитчам и выводите в мир через 2 роутера в VMware в режиме active-passive
Если эти договоры можно оформить на бумаге - то рад за существование таких добрых провайдеров :)
К слову, HA -- это не отказоустойчивость, это высокая доступность. Отказоустойчивость -- это FT.
Если у вас сервис снаружи доступен, то только своя AS вам поможет. Либо полу-костыльный вариант, который реализует какой-нибудь Dyn -- при недоступности определённого IP меняет A-записи на резервный IP от другого вашего провайдера. А на роутере порт-маппингом или DNAT уже разруливаете, кого куды.
Если же вам нужно зарезервировать выход ваших серверов наружу, то вообще не вижу никаких проблем -- у всех серверов шлюзом по умолчанию проставлен роутер, роутер мониторит доступность каналов, и при отвале одного из них переключается на резерв.
Вот ваша схема. Реализовать можно через один L3 сегмент + PBR & HSRP, так и если будет своя AS используя BGP и анонсирую то, что вам нужно и через что выходить.
Внезапно, левый роутер (в который воткнут ISP1) сдыхает. Питальник сгорел, из розетки случайно выдернули, просто дым пошёл из него. Линк на ISP1 в этом случае оказывается недоступен.
Да, если есть своя AS, то проблем нет - отправляются анонсы через ISP2 и через минуту все ресурсы снова доступны. С выходом наружу, понятное дело, ещё проще.
Вопрос был о том, как задублировать подключение от ISP1 на разные устройства.
Наподобие вот такого:
Вы неверно схему читаете. В этом схеме у вас 2 провайдера/внеш.канала : первый 123,123,123,7, второй 62,62,62,7. Два физ.фаервола у вас на схема это кластер или failover stack. С точки зрения L1 это тоже самое что предложил вам я.
Так что ответ на вашу задачу это остается тем же.
Сложный
