Zwei ISP BGP Topologie?

7

Wir verwenden die Palo-Alt-Firewall als Internet-Gateway. Wir haben 16 statische IP-Adressen. Eine wird für ausgehenden Verkehr verwendet (Benutzer surfen im Internet). Der Rest wird für eingehenden Datenverkehr (Mailserver, Webserver usw.) verwendet. Aus redundanten Gründen abonnieren wir den zweiten ISP. Wir kaufen 16 neue statische IP-Adressen vom neuen ISP. Und hier kommt die Hölle mit der Konfiguration. Ich habe zwei Tage lang über BGP, PI-Adressen, AS-Nummern und andere Dinge gelesen. Aber ich verstehe nichts. Theorie ohne Praxis und Gesamtverständnis ist nichts. Ich rufe diese ISPs an, und beide Anbieter sagen, dass sie keine Routen konfigurieren und keine AS-Nummern verkaufen werden. Versuchen Sie, diese selbst zu lösen. In unserem kleinen asiatischen Land gibt es kein LISP oder eine andere Cloud-Basis-Routing-Lösung. Ich weiß nicht, was ich als nächstes tun soll. Soll ich die AS-Nummer direkt bei APNIC anfordern? Mit richtlinienbasierten Regeln kann ich nur die Redundanz des ausgehenden Datenverkehrs konfigurieren. Gibt es eine zuverlässige Lösung, um unser kleines Hosting überflüssig zu machen? Kann es möglich sein, BGP ohne AS-Nummern und PI-Adressen zu konfigurieren?

Алдар
quelle
Nur ein Vorschlag (möglicherweise nicht praktikabel): Stellen Sie Ihre Infrastruktur in ein Rechenzentrum / eine Co-Location-Einrichtung. Diese haben normalerweise die Redundanz, die Sie suchen. Wenn Sie dann zu diesen Ressourcen gelangen (die jetzt nur einzelne IP-Adressen haben), können Sie separate ISPs und interne Routing-Protokolle / VPNs verwenden, um eine Redundanz zwischen Standort und Gleichstrom zu erreichen. ...nur ein Gedanke.
Ronnie Royston

Antworten:

7

Selbst wenn Sie in Asien noch PI IPv4-Adressen erhalten könnten: Wenn Ihre ISPs Ihre IP-Adressen nicht weiterleiten möchten, können Sie nichts tun. Tunnel und LISP könnten einige Ihrer Probleme lösen (ich verwende LISP hier), aber Sie haben bereits angegeben, dass dies in Ihrer Region nicht verfügbar ist.

BGP ist das Protokoll, mit dem Ihre IP-Adressen von einem AS weitergeleitet werden. Sie benötigen beide, um BGP auszuführen. Blöcke mit 16 Adressen sind ohnehin zu klein, um mit BGP geroutet zu werden. Technisch könnten Sie, aber niemand wird Ihre Routen akzeptieren.

Wenn Sie Ihre eigenen IP-Adressen haben und diese weiterleiten möchten, müssen Sie einige Investitionen tätigen. Da APNIC für die normale Verteilung keine IPv4-Adressen mehr hat, müssen Sie einige sehr strenge Regeln einhalten. Wenn ich mich richtig erinnere, lauten die aktuellen Regeln, dass Sie bereits multihomed sein müssen, 25% der Adressen (das wären 25% von 256 = 64) sofort und 50% (= 128) innerhalb eines Jahres rechtfertigen müssen. Basierend auf Ihren aktuellen Zahlen scheint dies unwahrscheinlich. Wenn Sie könnten, müssten Sie eine AS-Nummer von APNIC erhalten und ISPs finden, die mit Ihnen BGP-Sitzungen einrichten möchten. Dies ist wahrscheinlich teurer als Ihre aktuellen Verträge. Darüber hinaus müssten Sie viel lernen, um zu lernen, wie Internet-Routing und BGP funktionieren, oder Sie müssen jemanden einstellen, der es für Sie verwaltet.

Kurz gesagt: Es lohnt sich wahrscheinlich nicht für Ihren Fall.

Sander Steffann
quelle
1. Abgesehen von BGP gibt es keine redundante Lösung, um ein paar Server für den externen Gebrauch bereitzustellen. Stimmt das? 2.Was ist, wenn wir zwei ext-IP-Adressen für einen internen Server verwenden? Und zeigen Sie einfach den öffentlichen DNS-cname-Eintrag auf diese beiden IP-Adressen? 3.Was würde es ausreichen, nur die Palo-Alt-Firewall zu verwenden, wenn wir diese AS-Nummern und Routen der Anbieter erhalten? Oder sollten wir Router kaufen, um sie als Gateways zu verwenden, einen pro ISP?
20лдар
1: BGP ist das Protokoll zum Weiterleiten von Adressen im Internet. 2: Wenn Sie mehrere Adressen in DNS einfügen, sind Sie von allen abhängig, was die Zuverlässigkeit verringert . 3: Die Verwendung einer einzelnen Firewall würde dieses Gerät zu einem SPOF machen. Ein einzelner ISP ist wahrscheinlich redundanter als das, also werden Sie es nur noch schlimmer machen ...
Sander Steffann
Unter networkengineering.stackexchange.com/questions/1745/… können Sie sehen, wie ich mit einem einzelnen ISP über verschiedene Leitungen hinweg ein gewisses Maß an Redundanz bewältigt habe .
Generalnetworkerror
"2: Wenn Sie mehrere Adressen in DNS einfügen, sind Sie von allen abhängig, was die Zuverlässigkeit verringert." Bist du dir da sicher? Die meisten Anwendungen versuchen den ersten Eintrag in der bereitgestellten Liste und wechseln dann nach einer Zeitüberschreitung ohne Antwort zum zweiten Eintrag.
cpt_fink
Das wäre schön, aber diese Auszeiten sind lang
Sander Steffann
1

Sie können eine Firewall von Palo Alto Networks so konfigurieren, dass ein Failover auf den anderen ISP durchgeführt wird. Sie müssen zwei Sätze von NATs einrichten - einen für einen ISP und einen für den anderen - oder zwei DMZs, einen für einen ISP und einen für den anderen (oder zwei Subnetze auf einer Schnittstelle überlagern). Es wird sowohl für eingehende Nachrichten verwendet als auch für ausgehende Daten auf die zweite umgeschaltet, wenn eine fehlschlägt.

Hier können Sie mit dem Lesen beginnen .

GeorgeB
quelle
Dies funktioniert nicht für eingehenden Datenverkehr für die Server. Wenn eine Verbindung ausfällt, woher wissen externe Clients, wie sie die Server erreichen können, wenn sich ihre externen IP-Adressen ändern? DNS-Einträge mit einer niedrigen TTL können bei längeren Ausfällen hilfreich sein, dies ist jedoch äußerst unzuverlässig und alles andere als effizient.
Stevieb
Es funktioniert absolut. Sie geben für jeden Dienst eine Adresse von beiden ISPs an. Sie haben zwei DNS-Server, DNS01, DNS02. Jeder hat Service-IPs für den Adressraum eines ISP für Services. Beide werden als DNS-Server für Ihre Domain aufgeführt. Wenn alles in Ordnung ist, kommen DNS-Abfragen an beide und beide Adressen können verwendet werden. Wenn man bricht, wird die Arbeit benutzt.
GeorgeB
Beispiel: DNS01.foo.com verfügt über eine Zonendatei, in der ISP1-IP-Adressen für Dienste aufgelistet sind. DNS02.foo.com verfügt über eine Zonendatei, in der ISP2-IP-Adressen für Dienste aufgelistet sind. Beide DNS-Server werden für die Domäne aufgelistet. Wenn ISP1 ausfällt, kann DNS01 nicht mehr erreicht werden. DNS02 stellt ISP2-Adressen für Abfragen bereit. Ja, es ist "ruckelig", aber das Failover für statisch geroutete Netze ist ruckelig.
GeorgeB
Ich verstehe, was du sagst. Da der Rest der Welt bereits Datensätze zwischengespeichert hat, die auf die alten IP-Adressen verweisen, werden sie den Namen erst nach Ablauf ihres Caches erneut nachschlagen. Zu diesem Zeitpunkt verwenden sie den Namen des Up-Name-Servers. Bis dahin enthält der lokale PC-Cache einen ungültigen Eintrag, ebenso wie die Upstream-DNS-Server. Sie müssten eine sehr niedrige TTL verwenden, und nicht jeder ehrt diese. Also ja, "janky", aber ich nehme an, es ist besser als nichts :)
stevieb
Es gibt eine andere Möglichkeit, dies herstellerspezifisch zu tun. Aktivieren Sie in der PAN-Firewall den DNS-Proxy. Im Regelsatz für die Schnittstelle zu ISP1 haben Sie statische Einträge für ISP1-Adressen für Dienste. Im Regelsatz für die Schnittstelle zu ISP2 Einträge für ISP2-Adressen. Clients erhalten die Adresse, über welche Schnittstelle die DNS-Abfrage eingegangen ist.
GeorgeB
0

Es gibt eine Möglichkeit, den Lastausgleich ohne AS und PI durchzuführen.

Für Outbound wird dies durch Richtlinienrouting erreicht

Für den eingehenden Failover-Verkehr empfiehlt es sich, dynamisches DNS zu verwenden. Wenn der primäre ISP geändert wird, wird der DNS-Name (mit einer ausreichend kurzen TTL) der Site in eine neue IP geändert, und die Clients behalten den Zugriff auf die Site.

Wenn Sie DNS gleichzeitig auf zwei IP-Adressen einstellen, können Sie auf Clients eine Round-Robin-IP-Auswahl treffen.

Ein periodischer Wechsel (mit einem Zeitraum nahe der TTL des DNS-Eintrags) zwischen zwei IP-Adressen kann ebenfalls einen Ausgleich bewirken. Der gleiche Effekt ist die Verwendung eines DNS-Servers, der die Vergabe unterschiedlicher IP-Adressen an verschiedene Clients unterstützt.

mmv-ru
quelle