Hai cấu trúc liên kết bgp ISP?


7

Chúng tôi sử dụng tường lửa palo-alto như một cổng internet. Chúng tôi có 16 địa chỉ IP tĩnh. Một được sử dụng cho lưu lượng truy cập đi (người dùng duyệt internet). Phần còn lại được sử dụng cho lưu lượng truy cập trong nước (máy chủ thư, máy chủ web, v.v.). Đối với các mục đích dư thừa, chúng tôi đăng ký ISP thứ hai. Chúng tôi mua 16 địa chỉ IP tĩnh mới từ ISP mới. Và đây là địa ngục với cấu hình. Tôi đã đọc hai ngày về BGP, địa chỉ PI, số AS và những thứ khác. Nhưng tôi không hiểu gì cả. Lý thuyết mà không thực hành và hiểu biết tổng thể là không có gì. Tôi gọi cho các ISP này và cả hai nhà cung cấp đều nói rằng họ sẽ không định cấu hình bất kỳ tuyến nào và sẽ không bán số AS, hãy thử giải quyết nó bằng chính bản thân bạn. Ở quốc gia châu Á nhỏ bé của chúng tôi không có LISP hoặc bất kỳ giải pháp định tuyến cơ sở đám mây nào khác. Tôi không biết phải làm gì tiếp theo. Tôi có nên yêu cầu số AS trực tiếp từ APNIC không? Với các quy tắc dựa trên chính sách, tôi chỉ có thể định cấu hình dự phòng lưu lượng truy cập đi. Có bất kỳ giải pháp đáng tin cậy để làm dư thừa lưu trữ nhỏ của chúng tôi? Có thể cấu hình BGP mà không cần số AS và địa chỉ PI không?


Chỉ là một gợi ý (có thể không thực tế): đặt cơ sở hạ tầng của bạn vào một trung tâm dữ liệu / cơ sở đồng vị trí. Chúng thường có sự dư thừa mà bạn đang tìm kiếm. Sau đó, đến các tài nguyên đó (hiện có địa chỉ IP duy nhất), bạn có thể sử dụng các ISP và giao thức định tuyến nội bộ / VPN riêng biệt để đạt được dự phòng từ trang web đến dc. ... Chỉ là một ý nghĩ.
Ronnie Royston

Câu trả lời:


7

Ngay cả khi bạn vẫn có thể nhận địa chỉ PI IPv4 ở Châu Á: nếu ISP của bạn không muốn định tuyến địa chỉ IP của bạn thì bạn không thể làm gì được. Đường hầm và LISP có thể giải quyết một số vấn đề của bạn (tôi sử dụng LISP ở đây), nhưng bạn đã tuyên bố rằng điều này không có sẵn trong khu vực của bạn.

BGP là giao thức được sử dụng để định tuyến các địa chỉ IP của bạn từ AS. Bạn cần cả hai để chạy BGP. Các khối gồm 16 địa chỉ quá nhỏ để có thể định tuyến bằng BGP. Về mặt kỹ thuật bạn có thể, nhưng không ai sẽ chấp nhận các tuyến đường của bạn.

Nếu bạn muốn có địa chỉ IP của riêng mình và định tuyến chúng, v.v. bạn sẽ phải thực hiện một số khoản đầu tư. Vì APNIC đã hết địa chỉ IPv4 để phân phối bình thường, bạn sẽ phải tuân thủ một số quy tắc rất nghiêm ngặt. Nếu tôi nhớ lại chính xác các quy tắc hiện tại là bạn phải được đa dạng hóa, phải có thể biện minh 25% địa chỉ (sẽ là 25% của 256 = 64) ngay lập tức và 50% (= 128) trong vòng một năm. Dựa trên những con số hiện tại của bạn dường như không thể. Nếu sau đó bạn có thể cần lấy số AS từ APNIC và bạn sẽ phải tìm các ISP muốn thiết lập các phiên BGP với bạn. Điều này có thể sẽ đắt hơn các hợp đồng hiện tại của bạn. Và trên hết, bạn phải nghiên cứu rất nhiều để tìm hiểu cách thức định tuyến internet và BGP hoạt động hoặc bạn sẽ phải thuê người khác quản lý nó cho bạn.

Nói tóm lại: có lẽ nó không xứng đáng với trường hợp của bạn.


1. Bên cạnh BGP không có giải pháp dự phòng để đặt một vài máy chủ cho việc sử dụng bên ngoài, phải không? 2. Điều gì sẽ xảy ra nếu chúng ta sử dụng hai địa chỉ ip mở rộng cho một máy chủ nội bộ. Và chỉ trỏ bản ghi cname DNS công khai vào hai địa chỉ IP đó? 3. Điều gì sẽ xảy ra nếu chúng ta có được các số AS và tuyến đường của nhà cung cấp đó, liệu có đủ để sử dụng chỉ tường lửa không? Hoặc chúng ta nên mua bộ định tuyến để sử dụng chúng như một cổng, một cho mỗi ISP?
Tiếng Pháp

1: BGP là các giao thức đến các địa chỉ đường trên internet. 2: đặt nhiều địa chỉ vào DNS sẽ khiến bạn phụ thuộc vào tất cả chúng, làm giảm độ tin cậy. 3: sử dụng một tường lửa duy nhất sẽ biến thiết bị đó thành SPOF. Một ISP duy nhất có lẽ còn dư thừa hơn thế, vì vậy bạn sẽ chỉ làm cho nó tồi tệ hơn ...
Sander Steffann

Bạn có thể thấy cách tôi xử lý một số mức độ dư thừa với một ISP duy nhất qua các mạch khác nhau tại networkengineering.stackexchange.com/questions/1745/ .
generalnetworkerror

"2: đặt nhiều địa chỉ vào DNS sẽ khiến bạn phụ thuộc vào tất cả chúng, làm giảm độ tin cậy." Bạn có chắc về điều này? Hầu hết các ứng dụng thử mục đầu tiên trong danh sách được cung cấp sau đó sau một khoảng thời gian chờ mà không có phản hồi chuyển sang mục thứ hai.
cpt_fink

Điều đó sẽ rất tuyệt nhưng những khoảng thời gian đó còn dài
Sander Steffann

1

Bạn có thể định cấu hình tường lửa Palo Alto Networks để chuyển sang ISP khác. Bạn cần thiết lập hai bộ NAT - một cho một ISP và một cho hai - hoặc đặt hai DMZ, một cho một ISP và một cho hai (một lớp phủ hai mạng con trên một giao diện). Nó sẽ sử dụng cả cho trong nước và sẽ thất bại đến lần thứ hai cho bên ngoài khi một lần thất bại.

Bạn có thể bắt đầu đọc ở đây .


Điều này sẽ không làm việc cho lưu lượng truy cập trong nước cho các máy chủ. Nếu một liên kết bị hỏng, làm thế nào khách hàng bên ngoài sẽ biết cách truy cập máy chủ khi địa chỉ IP bên ngoài của họ thay đổi? Các bản ghi DNS với chỉ số TTL thấp có thể giúp giảm thời gian mất điện, nhưng điều đó cực kỳ không đáng tin cậy và không hiệu quả.
stevieb

Nó hoàn toàn làm việc. Những gì bạn làm là đặt một địa chỉ từ cả hai ISP trên mỗi dịch vụ. Bạn có hai máy chủ dns, dns01, dns02. Mỗi có IP dịch vụ cho một không gian địa chỉ của ISP cho các dịch vụ. Cả hai đều được liệt kê là máy chủ dns cho tên miền của bạn. Khi mọi thứ đã kết thúc, truy vấn dns đến cả hai và cả hai địa chỉ đều có thể được sử dụng. Khi một người phá vỡ, người ta làm việc.
GeorgeB

Ví dụ: DNS01.foo.com có ​​tệp vùng liệt kê các địa chỉ IP ISP1 cho các dịch vụ. DNS02.foo.com có ​​một tệp vùng liệt kê các địa chỉ IP ISP2 cho các dịch vụ. Cả hai máy chủ DNS được liệt kê cho tên miền. Khi ISP1 ngừng hoạt động, DNS01 không thể truy cập được nữa. DNS02 phục vụ địa chỉ ISP2 cho các truy vấn. Vâng, đó là "janky" nhưng chuyển đổi dự phòng cho các mạng định tuyến tĩnh là janky.
GeorgeB

Tôi thấy những gì bạn đang nói. Tuy nhiên, vì phần còn lại của thế giới đã có các bản ghi lưu trong bộ nhớ cache trỏ đến các IP cũ, họ sẽ không tìm kiếm lại tên cho đến khi bộ nhớ cache của họ hết hạn, lúc đó họ sẽ sử dụng tên của máy chủ tên lên. Cho đến lúc đó, bộ đệm máy tính cục bộ của họ chứa một bản ghi không hợp lệ, cũng như các máy chủ DNS ngược dòng của họ. Bạn cần sử dụng chỉ số TTL rất thấp và không phải ai cũng tôn vinh những điều đó. Vì vậy, vâng, "janky", nhưng tôi cho rằng nó tốt hơn không có gì :)
stevieb

Có một cách khác để làm điều đó theo cách cụ thể của nhà cung cấp. Trong tường lửa PAN kích hoạt proxy DNS. Trong quy tắc được đặt cho giao diện thành ISP1, bạn có các mục tĩnh cho địa chỉ ISP1 cho các dịch vụ. Trong quy tắc được đặt cho giao diện thành ISP2, các mục nhập cho địa chỉ ISP2. Khách hàng nhận địa chỉ theo giao diện mà truy vấn DNS xuất hiện.
GeorgeB

0

Có một số cách để tải cân bằng mà không cần AS và PI.

Đối với bên ngoài nó đạt được bằng định tuyến chính sách

Đối với lưu lượng truy cập vào dự phòng, tốt nhất là sử dụng DNS động. Khi ISP chính thay đổi, tên DNS (với đủ ngắn) của trang web đã thay đổi thành IP mới và khách hàng tiếp tục truy cập vào trang web.

Đặt DNS thành hai IP đồng thời có thể thực hiện lựa chọn IP luân phiên trên máy khách.

Việc thay đổi định kỳ (với khoảng thời gian gần với bản ghi DNS TTL) giữa hai IP cũng có thể giúp cân bằng. Hiệu ứng tương tự là sử dụng máy chủ DNS hỗ trợ cung cấp IP khác nhau cho các máy khách khác nhau.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.