Thực tiễn tốt nhất cho trang web dual-homing với hai ISP?

Tôi đăng ký hai ISP, một ISP nhanh và một rẻ nhưng chậm hơn. Họ sử dụng các công nghệ, cáp và ADSL khác nhau, do đó không có nhiều điểm thất bại duy nhất và tất cả các thiết bị thông tin liên lạc của tôi đều được cung cấp từ UPS.

Các ISP tại Anh đi xuống theo một mô hình khá ngẫu nhiên. Trong nhiều năm, tôi chưa gặp phải một khoảnh khắc nào khi cả hai ISP của tôi bị hỏng đồng thời, vì vậy rõ ràng chiến lược hai ISP là hữu ích nếu bạn muốn truy cập mạng không bị gián đoạn ở đây.

Tuy nhiên, vấn đề là làm thế nào để tổ chức kết nối mạng của trang web của bạn để tận dụng tính khả dụng được cải thiện này. Nhiều ISP không cho phép bạn chạy AS và các giao thức định tuyến của riêng bạn, do đó bạn hầu như bị mắc kẹt với việc phân chia định tuyến tĩnh của mình qua hai đường ống đi ra theo điểm đến. Điều này ít hơn so với xuất sắc và cần có sự can thiệp thủ công khi một ISP rơi khỏi bề mặt hành tinh. Với sự giúp đỡ của nhiều tập lệnh, tôi xử lý sự cố ngừng hoạt động của ISP với thành công hợp lý và không mất nhiều công sức, và nó trở thành công việc như thường lệ. Nó không tuyệt vời mặc dù. Nó cảm thấy như một số công nghệ bị thiếu.

1. Có cách nào tốt hơn, nói chung?
2. Có cách nào tốt hơn cho chỉ IPv6 (tôi có ngăn xếp kép trên một ISP và có thể tạo đường hầm trên mạng kia không)? Đó sẽ là một lợi ích rõ ràng cho IPv6.

Những loại thiết bị nào bạn có kết nối với các nhà cung cấp? Nếu đó là thiết bị của Cisco, bạn có thể sử dụng IP SLA để ping điểm đến như 8.8.8.8 qua ISP chính. Ngay sau khi bạn không nhận được chuyển đổi dự phòng sang tuyến tĩnh khác. Cấu hình ví dụ:

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

Bạn có thể phải đặt một tuyến tĩnh cho 8.8.8.8 trên ISP1 để làm cho nó luôn thoát ra khỏi đường dẫn đó. Rõ ràng nếu bạn thực sự sử dụng 8.8.8.8, hãy chọn một IP khác vì nếu không bạn sẽ không thể truy cập được nếu ISP1 bị hỏng.

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

Bạn có thể muốn điều tra nếu có nhà cung cấp LISP . LISP là một giao thức có thể làm cho một trang web độc lập với các ISP thượng nguồn mà nó kết nối. Bạn nhận được một hoặc nhiều địa chỉ IP từ LISP ISP và họ định tuyến chúng đến bất cứ nơi nào bạn được kết nối. Nó là một kỹ thuật đường hầm, nhưng với rất nhiều tính năng thú vị. Bạn có thể kiểm soát cân bằng tải trong và ngoài nước qua các liên kết, bạn có thể thực hiện nhiều giai đoạn IPv6 mà không cần phải dùng đến các bản hack như NPT66 (dịch tiền tố). Bạn thậm chí có thể di chuyển sang phía bên kia hành tinh mà không cần thay đổi địa chỉ IP ;-)

Bản thân tôi sử dụng LISP và mạng văn phòng của tôi có một khối / 26 IPv4 và / 48 khối địa chỉ IPv6 độc lập với thượng nguồn (kết nối cáp UPC với một địa chỉ IPv4 động và kết nối DSL Solcon với cả địa chỉ IPv4 tĩnh và một khối địa chỉ IPv6 tĩnh). Cisco 1841 chạy LISP trong văn phòng và sử dụng bất kỳ liên kết nào có sẵn để kết nối với phần còn lại của Internet. Miễn là một liên kết hoạt động, văn phòng của tôi được kết nối bằng địa chỉ của chính nó.

Tiết lộ đầy đủ : Tôi điều hành ISP dựa trên LISP của riêng tôi ở Hà Lan, vì vậy tôi thiên vị. LISP vẫn là một giao thức tuyệt vời :-)

Trong IPv6 đa hướng với các địa chỉ tổng hợp của nhà cung cấp, mỗi máy chủ trong mạng sẽ nhận được một tiền tố địa chỉ từ mỗi nhà cung cấp. Lựa chọn địa chỉ nguồn của ngăn xếp / ứng dụng (RFC6724) và lựa chọn cặp SA / DA (RFC6555) xác định lối thoát nào được sử dụng.

Tức là lựa chọn địa chỉ nguồn của máy chủ / ứng dụng chọn liên kết thoát được sử dụng. Nhiều cách thực hiện khác nhau thực hiện điều này theo nhiều cách khác nhau và hiện tại không có cách nào thực hiện tốt.

Mạng sử dụng định tuyến phụ thuộc địa chỉ nguồn để chuyển tiếp lưu lượng đến lối thoát chính xác. (Nếu không, BCP38 (lọc xâm nhập) sẽ bỏ một gói được gửi với địa chỉ nguồn của ISP B đến ISP A). Xem http://tools.ietf.org/html/draft-troan-homenet-sadr-01 Chúng tôi có một triển khai trong OpenWRT. Nhưng nó cũng có thể được thực hiện hợp lý tốt trên bất kỳ bộ định tuyến dựa trên chính sách hỗ trợ định tuyến.

Một ứng dụng phải đủ thông minh để thay đổi kết nối (chọn một cặp SA / DA khác) khi kết nối hiện tại không thành công. Không phải vậy. Trong thời gian đó, khuyến nghị của chúng tôi là đặt thời gian tồn tại của tiền tố địa chỉ của liên kết không thành 0, nghĩa là các kết nối mới sẽ không sử dụng địa chỉ đó.

Q1. Bạn có thể cài đặt bộ định tuyến / tường lửa hỗ trợ multihoming. Về phần mềm miễn phí, pfSense phù hợp với hóa đơn. http://www.pfsense.org/ . Các tài liệu pfSense gọi đây là Multi-WAN. http://doc.pfsense.org/index.php/Multi-WAN_2.0

Thật hữu ích, pfSense có chuyển đổi dự phòng tự động và cân bằng tải.

Những gì tôi đã tìm thấy là một số lượng nhỏ các ứng dụng web không hoạt động khi bạn đa năng. Các ứng dụng web thường là các trang web tài chính, như ngân hàng. Vì một số lý do, các lập trình viên ứng dụng web đôi khi nghĩ rằng việc kiểm tra bảo mật trên cơ sở địa chỉ IP là ổn. Đối với người dùng cần quyền truy cập này, bạn có thể dành địa chỉ IP cho máy tính của họ và tạo "quy tắc LAN" trong pfSense để luôn sử dụng một cổng nhất định chứ không phải địa chỉ khác cho địa chỉ IP đó.

Tôi thấy rằng điều này hoạt động khá tốt cho sự kết hợp giữa modem cáp và modem ADSL.

Quý 2 Không có lý do tại sao multihoming sẽ không hoạt động trong IPv6 cũng như IPv4. Điều đó nói rằng, pfSense không có bản phát hành được hỗ trợ đầy đủ để xử lý IPv6 đúng cách. Phiên bản hiện tại của pfSense là 2.0x. Khi 2.1 được phát hành, pfSense sẽ có hỗ trợ IPv6 tốt và sẽ bao gồm nhiều giai đoạn.

Bạn có thể thiết lập một máy chủ / VPS từ xa trong một trung tâm dữ liệu đáng tin cậy và sau đó bạn có thể thiết lập các đường hầm VPN từ bộ định tuyến của mình đến máy chủ từ xa qua mỗi ISP. Bây giờ bộ định tuyến của bạn ở nhà có thể định tuyến các gói qua các đường hầm này dựa trên tỷ lệ băng thông, và sau đó máy chủ từ xa có thể định tuyến lưu lượng giữa phần còn lại của internet.

Nhược điểm là bạn sẽ phải chịu thêm chi phí cpu, lưu trữ và băng thông cho máy chủ từ xa.

Ưu điểm là bạn có thể sử dụng toàn bộ băng thông được cung cấp bởi cả hai nhà cung cấp trong khi vẫn có tùy chọn không vượt quá độ tin cậy.

Tôi đã sử dụng OpenWRT với Multiwan ( http://wiki.openwrt.org/doc/uci/multiwan ) một thời gian ở nhà để kết nối giữa DSL và Cáp ISP của tôi. Nó hoạt động khá độc đáo. Tôi sẽ không tư vấn nó như một giải pháp của công ty, nhưng nó ổn đối với các thiết lập SOHO và tại nhà.