Hai cấu trúc liên kết bgp ISP?

Chúng tôi sử dụng tường lửa palo-alto như một cổng internet. Chúng tôi có 16 địa chỉ IP tĩnh. Một được sử dụng cho lưu lượng truy cập đi (người dùng duyệt internet). Phần còn lại được sử dụng cho lưu lượng truy cập trong nước (máy chủ thư, máy chủ web, v.v.). Đối với các mục đích dư thừa, chúng tôi đăng ký ISP thứ hai. Chúng tôi mua 16 địa chỉ IP tĩnh mới từ ISP mới. Và đây là địa ngục với cấu hình. Tôi đã đọc hai ngày về BGP, địa chỉ PI, số AS và những thứ khác. Nhưng tôi không hiểu gì cả. Lý thuyết mà không thực hành và hiểu biết tổng thể là không có gì. Tôi gọi cho các ISP này và cả hai nhà cung cấp đều nói rằng họ sẽ không định cấu hình bất kỳ tuyến nào và sẽ không bán số AS, hãy thử giải quyết nó bằng chính bản thân bạn. Ở quốc gia châu Á nhỏ bé của chúng tôi không có LISP hoặc bất kỳ giải pháp định tuyến cơ sở đám mây nào khác. Tôi không biết phải làm gì tiếp theo. Tôi có nên yêu cầu số AS trực tiếp từ APNIC không? Với các quy tắc dựa trên chính sách, tôi chỉ có thể định cấu hình dự phòng lưu lượng truy cập đi. Có bất kỳ giải pháp đáng tin cậy để làm dư thừa lưu trữ nhỏ của chúng tôi? Có thể cấu hình BGP mà không cần số AS và địa chỉ PI không?

Ngay cả khi bạn vẫn có thể nhận địa chỉ PI IPv4 ở Châu Á: nếu ISP của bạn không muốn định tuyến địa chỉ IP của bạn thì bạn không thể làm gì được. Đường hầm và LISP có thể giải quyết một số vấn đề của bạn (tôi sử dụng LISP ở đây), nhưng bạn đã tuyên bố rằng điều này không có sẵn trong khu vực của bạn.

BGP là giao thức được sử dụng để định tuyến các địa chỉ IP của bạn từ AS. Bạn cần cả hai để chạy BGP. Các khối gồm 16 địa chỉ quá nhỏ để có thể định tuyến bằng BGP. Về mặt kỹ thuật bạn có thể, nhưng không ai sẽ chấp nhận các tuyến đường của bạn.

Nếu bạn muốn có địa chỉ IP của riêng mình và định tuyến chúng, v.v. bạn sẽ phải thực hiện một số khoản đầu tư. Vì APNIC đã hết địa chỉ IPv4 để phân phối bình thường, bạn sẽ phải tuân thủ một số quy tắc rất nghiêm ngặt. Nếu tôi nhớ lại chính xác các quy tắc hiện tại là bạn phải được đa dạng hóa, phải có thể biện minh 25% địa chỉ (sẽ là 25% của 256 = 64) ngay lập tức và 50% (= 128) trong vòng một năm. Dựa trên những con số hiện tại của bạn dường như không thể. Nếu sau đó bạn có thể cần lấy số AS từ APNIC và bạn sẽ phải tìm các ISP muốn thiết lập các phiên BGP với bạn. Điều này có thể sẽ đắt hơn các hợp đồng hiện tại của bạn. Và trên hết, bạn phải nghiên cứu rất nhiều để tìm hiểu cách thức định tuyến internet và BGP hoạt động hoặc bạn sẽ phải thuê người khác quản lý nó cho bạn.

Nói tóm lại: có lẽ nó không xứng đáng với trường hợp của bạn.

Bạn có thể định cấu hình tường lửa Palo Alto Networks để chuyển sang ISP khác. Bạn cần thiết lập hai bộ NAT - một cho một ISP và một cho hai - hoặc đặt hai DMZ, một cho một ISP và một cho hai (một lớp phủ hai mạng con trên một giao diện). Nó sẽ sử dụng cả cho trong nước và sẽ thất bại đến lần thứ hai cho bên ngoài khi một lần thất bại.

Bạn có thể bắt đầu đọc ở đây .

Có một số cách để tải cân bằng mà không cần AS và PI.

Đối với bên ngoài nó đạt được bằng định tuyến chính sách

Đối với lưu lượng truy cập vào dự phòng, tốt nhất là sử dụng DNS động. Khi ISP chính thay đổi, tên DNS (với đủ ngắn) của trang web đã thay đổi thành IP mới và khách hàng tiếp tục truy cập vào trang web.

Đặt DNS thành hai IP đồng thời có thể thực hiện lựa chọn IP luân phiên trên máy khách.

Việc thay đổi định kỳ (với khoảng thời gian gần với bản ghi DNS TTL) giữa hai IP cũng có thể giúp cân bằng. Hiệu ứng tương tự là sử dụng máy chủ DNS hỗ trợ cung cấp IP khác nhau cho các máy khách khác nhau.