Архив форумов ЦИТФорума

[TechNoir]

Имеются две подсети с реальными IP-адресами.
Каждая подсеть подключена к провайдеру интернет по двум независимым друг от друга выделенным линиям.

Имеется компьютер-маршрутизатор с установленной на нем операционной системой UNIX.
Маршрутизатор через NAT обслуживает три приватные подсети.
Необходимо чтобы UNIX-маршрутизатор находился в обоих реальных подсетях, но по умолчанию отправлял IP-пакеты по первому выделенному каналу, в случае если падает этот самый первый канал, автоматически происходила бы отправка по второму каналу.

Идея я думаю понятна: в случае необходимости задействовать резервный канал.

Какие будут предложения?
Ранее двух выходов в инет не имел.

Спасибо!
_________________
Vive la Russie!

[crash]

помоему надо смотреть в сторону bgp. если я не ошибаюсь

[Nicola]

да да да... где-то я читал об этом. Кажется на нетворк док лежит дока описания TCP/IP так в ней написано как это фунциклирует. Там всё делается на уровне маршрутизации. Как я понял нужно соединить два нетовских канала свичём и подсоединить к твоему НАТ серверу. А после этого настраивать маршрутизацию в ЮНИКСЕ. Видимо нужно просто добавить два шлюза на НАТ серваке. Только с IPFW не перекрути. Предполагаю что могут быть проблемы при использовании динамических правил, хотя это мои лаймерские домыслы.

[kambi]

[kambi]

Идея понятна, TechNoir . Тебе надо поднять у себя динамическую маршрутизацию. Вот неплохая статейка по этому поводу:
http://www.zeiss.net.ru/docs/technol/tcpip/tcp10.htm
Только вот если у тебя IP-адреса не свои собственные,
а выданные провайдером(-ами), все равно останутся кое-какие неудобства: ну, например, есть какое-то соединение между одним из твоих компов и другим из инета. Когда пропадет рабочий канал и RIP(OSPF) переключит маршрут на резервный канал текущее соединение разорвется, т.к. твой комп будет отвечать уже с другого IP-адреса. Может этот случай для тебя и некритичный.
Вот эти неудобства как раз и можно решить, используя упомянутый сдесь BGP. При использовании BGP необходимо иметь (или получить, если нет, за немалое кличество $ конечно) свою собственную подсетку IP-адресов (т.е. IP-адреса из нее кроме тебя никому не принадлежат, даже твоему провайдеру ). Плюс ещё надо иметь/получить "номер Автономной системы" (тоже за $). Про процедуру получения IP и номера АС можно на www.nic.ru почитать.Еще с провайдером надо договариваться на пропуск твоего трафика. Так делают, обычно, провайдеры всяких инет услуг.

[kambi]

Если у тебя (при наличии нескольких независимых каналов) не используется BGP возможны и некоторые сложности при наличии входящих соединений из инета (например, VoIP трафик).

[DumanTapah]

эта тема уже неоднократно поднималась.
на мой взгляд самое простое и безкровное решение (тоем более на ux-ах) это скрипт, который пингует через определенные промежутки времени канал №1 (основной) и в случае отсутствия ответа прописывает статический маршрут на канал №2ю при этом продолжает пинговать канал номер 1 и когда пинг проходит прописывает старый маршут...
все замарочки с bgp и иже с ним имеют смысл если у тебя получен собственный as. договориться с двумя провами по поводу динамической маршрутизации _НЕРЕАЛЬНО_ (никто заморачиваться не станет, а мо быть и технически не реально...)
если _сильно_ надо, то могу попробовать озадачить этим вопросом(написанием скрипта) Unix guru с работы...=) но только если на следующей неделе... на этой у нас работы дофига...
_________________
Vivere militari est!

[TechNoir]

2Kambi:

1.Была у меня мысль что чего-то не хватает в моих подсетях - какие-то они "особенные". Оказывается они не мои - вот и вся особенность и все проблемы ).

Допустим я договорился c NIC и получил подсеть на 64 адреса. Теперь мне необходимо найти контору которая как-нибудь бы обозначила меня в инете, то есть доставила траффик от меня до остальных и от остальных до меня. То бишь правильно настроила маршрутизацию!

Конторе (провайдеру) абсолютно по барабану какая именно у меня подсеть, какими цифрами начинается и какими заканчивается, ее дело маршрутизировать подсеть. Однако и "компетенция" провайдера должна где-то заканчиваться, то есть сам провайдер тоже каким-то боком смотрит в инет и в этом остальном инете тоже кем-то должна быть настроена маршрутизация на мою сеть через моего провайдера.
То есть существует какой-то "центральный" маршрутизатор, который видимо принадлежит этому самому NIC'у. NIC выдает для меня личную подсеть интересуюсь при этом услугами какого владельца каналов я хочу воспользоваться и в зависимости от ответов маршрутизирует сеть в нужную сторону.

Мыслю местами правильно?

2. Я так понимаю что с IP-телефонией тоже имел дело?
Ты говоришь о входящих соединениях для шлюза IP-телефонии. Значит ли это что шлюз обязательно должен иметь реальный IP-адрес и что через NAT эта штука работать не будет?

3. Ты сам админишь "настоящую" сетку? Со своим номеров Автономной системы?
_________________
Vive la Russie!

[and3008]

Ищи скрипт на Перле.
Он делает нужное.

А именно:
1. Периодически пингует шлюз провайдера по основному маршруту.
Если нет ответа - запускает скрипт для поднятия ppp или правки таблицы маршрутизации.

2. Продолжает попытки пингования главного маршрута. В случае ответ - запускает скрипт, который кладет ppp или опять же правит таблицу маршрутизации.

При некоторых навыках программирования можно написать такое на Си. Прога плёвая.

Недостатки:
Медленное время реакции на падение канала (до трех минут в случае с ppp).
Не годится для отказоустойчивых систем с требованием высокой доступности. Тут уж только BGP или OSPF или вообще топологию менять или переходить на другие протоколы.

Достоинства:
Не надо заморачиваться с динамической маршрутизацией. Она тут совсем ни к чему.
Скриптик можно дополнить, изменить под свои личные нужны (оповещение на e-mail, SMS, сирена, залп установки Град...)

Скриптики такие видел. Сам бы рыть начал с opennet.ru

[Mike]

А разве после смены таблицы маршрутизации пинги не будут уходить по новому маршруту ?

[and3008]

А кто-то утверждает обратное?

Покажите не его. Я ему в морду плюну.


Вопрос в том что кто-то должен поправить эту таблицу мершрутизации.
Поскольку компы пошли умные, то имеется страстное желание обучить их этому искуству.

[kambi]

2TechNoir:

1. а)Сети в основном, принадлежат не нам .
б) Минимально ты можешь получить пдсеть класса С (256 адресов) и стоит это несколько сот долларов.
в) Тебе надо договориваться с каждым твоим провайдером. И только.
Сам протокол BGP все сделает, надо только прописать где надо номера АС , чтоб твой провайдер "анонсировал" (так было написано в одной статье про BGP) твою сеть в интернет и т.д... (это надо более детально изучить BGP).
г)Твои рассуждения похожи на старый вопрос о том "кому принадлежит инет" (а когда узнаешь кому принадлежит интернет скажи и нам тоже, мы долго искали и не нашли )

2. а)С ней мы имели дело.
б) NAT - не уверен, что пройдет. Есть всякие заморочки с софтсвичами; проблема с тем, что TCP и UDP пакеты часто "работают" с разными IP-адресами(шлюзами), т.е. TCP-соединение(управляющий канал) с одним IP-адресом, а UDP-пакеты(голосовой поток) идут совсем на(с) другой IP и так что портмаппинг в этом случае вряд ли поможет. Возможны и другие заморочки...
3. Пока нет, но мы тоже уже с этой проблемы столкнулись, и честно говроя достала. Возможно скоро тоже придется переходить на BGP.
---------------------------------------------------------------------------
2and3008:
Скрипт, конечно можно написать (действительно хорошо если скрипт сообщает тебе по SMS, e-mail, или просто кричит тебе из колонок "ЭЭэ, пропал канал" ну или в этом роде ), но если в UNIX есть свой демон, умеющий динамически править маршруты (без участия твоих золотых ручек), зачем писать скрипт. Эти демоны как раз и упоминаются в данной мной статейке.

[Mike]

Уточняю: при отправке пакета ищется подходящее правило в таблице маршрутизации, так ? Если мы выкинули из этой таблицы старый маршрут, неработающий, то как мы будем его пинговать ?

[and3008]

Mike, иди-ка ты доки по TCP/IP читать. Особенно про "шлюз по умолчанию". На фига он нужен вообще.

Уважаемый kambi, вы видели провайдеров, которые дают через BGP анонсить свои сети? Я видел. Делают это они с ОООЧЕНЬ большой неохотой.

Кроме того, для полноценного решения (для этого случая) на базе BGP нужно иметь СВОЮ AS в пределах Интернета или региона. Иначе каким макаром другие роутеры узнают, что маршрут изменился?

В своей конторе давно уже юзаю OSPF, а последние полгода переводим магистральные роутеры на BGP. Глюков много.

Повторяю про скриптик. Он будет работать сразу и без привлечения массы народа для решения локальной задачи.
В случае с BGP прийдется договариваться с двумя провайдерами, писать кучи бумаг, молиться что реализация BGP на вашем роутере совместима с реализацией BGP на роутерах провайдера, вводить доп. правила в FireWall и т.д. и т.п.

В общем решайте сами. Расклад я дал.

[kambi]

[and3008]

Авторитетно заявляю:
Линух поддерживает динамические протоколы маршрутизации.
Демон routed - реализует только RIP
Демон gated - RIP, OSPF, BGP
Демон zebra - RIP, OSPF2, BGP4, ISIS, PIM и еще всякое.

А теперь о грусном. Gated уже четыре года не поддерживается. Разработчики выпускают комерческую реализацию и отдают только за бабки.
zebra - Наиболее удачная (на мой взгляд) реализация демона динамической маршрутизации. Разработка фактически прекращена год назад. Опять комерция. Группа товарищей сделала fork кода и начали развивать свою ветку проекта под другим именем. Фактически ничего нового не добавили, только удалили известные и самые гнусные баги, присутствовавшие в zebra. Новые функции не добавили, некоторые RFC так и не реализованы.

Повторяю еще раз, что прелесть динамики получается только тогда, когда она поддерживается всеми маршрутизаторами сети. НО! Надо быть очень аккуратным в настройке, иначе все валится как карточный домик. Буквально за несколько минут.
Если везде статика, а вы подняли у себя на серваке демона динамической маршрутизации, то радости от этого никакой. Общаться-то маршрутами просто не с кем!!!

Об этом и толкую.

Не надо наивно полагать, что установив gated или zebra вы легко сможете использовать два канала в Инет. Это глубочайшее заблуждение!!!

[Гость]

[Гость]

[kambi]

Гость - это я . Извиняйте, плз, за двойное сообщение (так получилось). Больше не буду

[TechNoir]

Подведу итог:

На самом деле проблема-то в чем ? IP-станции, находящиеся в автономных системах имеют "вечные" IP-адреса и это большой плюс.

Если система не автономная, если существуют два кусочка подсетей от провайдера/провайдеров и в них ессно разные IP-адреса.
И нужно как-то умудряться в этом случае решать проблему учитывая что IP могут меняться.

В том случае если система не автономная - BGP не обсуждается, забываем про него.

Про VoIP шлюз kambi имел наверное ввиду что его IP не должен меняться, да он и не "умеет" это делать.

А если заполучить автономную систему, то на фига мне все 254 IP-адреса. Мне столько не нужно.
_________________
Vive la Russie!

[kambi]

[TechNoir]

Скриптик переключает каналы, но не меняет IP-адреса на cisce, d-linke или каком-нибудь другом VoIP-station gateway.
Это видимо придется делать вручную...
_________________
Vive la Russie!