Wir verwenden die Palo-Alt-Firewall als Internet-Gateway. Wir haben 16 statische IP-Adressen. Eine wird für ausgehenden Verkehr verwendet (Benutzer surfen im Internet). Der Rest wird für eingehenden Datenverkehr (Mailserver, Webserver usw.) verwendet. Aus redundanten Gründen abonnieren wir den zweiten ISP. Wir kaufen 16 neue statische IP-Adressen vom neuen ISP. Und hier kommt die Hölle mit der Konfiguration. Ich habe zwei Tage lang über BGP, PI-Adressen, AS-Nummern und andere Dinge gelesen. Aber ich verstehe nichts. Theorie ohne Praxis und Gesamtverständnis ist nichts. Ich rufe diese ISPs an, und beide Anbieter sagen, dass sie keine Routen konfigurieren und keine AS-Nummern verkaufen werden. Versuchen Sie, diese selbst zu lösen. In unserem kleinen asiatischen Land gibt es kein LISP oder eine andere Cloud-Basis-Routing-Lösung. Ich weiß nicht, was ich als nächstes tun soll. Soll ich die AS-Nummer direkt bei APNIC anfordern? Mit richtlinienbasierten Regeln kann ich nur die Redundanz des ausgehenden Datenverkehrs konfigurieren. Gibt es eine zuverlässige Lösung, um unser kleines Hosting überflüssig zu machen? Kann es möglich sein, BGP ohne AS-Nummern und PI-Adressen zu konfigurieren?
7
Antworten:
Selbst wenn Sie in Asien noch PI IPv4-Adressen erhalten könnten: Wenn Ihre ISPs Ihre IP-Adressen nicht weiterleiten möchten, können Sie nichts tun. Tunnel und LISP könnten einige Ihrer Probleme lösen (ich verwende LISP hier), aber Sie haben bereits angegeben, dass dies in Ihrer Region nicht verfügbar ist.
BGP ist das Protokoll, mit dem Ihre IP-Adressen von einem AS weitergeleitet werden. Sie benötigen beide, um BGP auszuführen. Blöcke mit 16 Adressen sind ohnehin zu klein, um mit BGP geroutet zu werden. Technisch könnten Sie, aber niemand wird Ihre Routen akzeptieren.
Wenn Sie Ihre eigenen IP-Adressen haben und diese weiterleiten möchten, müssen Sie einige Investitionen tätigen. Da APNIC für die normale Verteilung keine IPv4-Adressen mehr hat, müssen Sie einige sehr strenge Regeln einhalten. Wenn ich mich richtig erinnere, lauten die aktuellen Regeln, dass Sie bereits multihomed sein müssen, 25% der Adressen (das wären 25% von 256 = 64) sofort und 50% (= 128) innerhalb eines Jahres rechtfertigen müssen. Basierend auf Ihren aktuellen Zahlen scheint dies unwahrscheinlich. Wenn Sie könnten, müssten Sie eine AS-Nummer von APNIC erhalten und ISPs finden, die mit Ihnen BGP-Sitzungen einrichten möchten. Dies ist wahrscheinlich teurer als Ihre aktuellen Verträge. Darüber hinaus müssten Sie viel lernen, um zu lernen, wie Internet-Routing und BGP funktionieren, oder Sie müssen jemanden einstellen, der es für Sie verwaltet.
Kurz gesagt: Es lohnt sich wahrscheinlich nicht für Ihren Fall.
quelle
Sie können eine Firewall von Palo Alto Networks so konfigurieren, dass ein Failover auf den anderen ISP durchgeführt wird. Sie müssen zwei Sätze von NATs einrichten - einen für einen ISP und einen für den anderen - oder zwei DMZs, einen für einen ISP und einen für den anderen (oder zwei Subnetze auf einer Schnittstelle überlagern). Es wird sowohl für eingehende Nachrichten verwendet als auch für ausgehende Daten auf die zweite umgeschaltet, wenn eine fehlschlägt.
Hier können Sie mit dem Lesen beginnen .
quelle
Es gibt eine Möglichkeit, den Lastausgleich ohne AS und PI durchzuführen.
Für Outbound wird dies durch Richtlinienrouting erreicht
Für den eingehenden Failover-Verkehr empfiehlt es sich, dynamisches DNS zu verwenden. Wenn der primäre ISP geändert wird, wird der DNS-Name (mit einer ausreichend kurzen TTL) der Site in eine neue IP geändert, und die Clients behalten den Zugriff auf die Site.
Wenn Sie DNS gleichzeitig auf zwei IP-Adressen einstellen, können Sie auf Clients eine Round-Robin-IP-Auswahl treffen.
Ein periodischer Wechsel (mit einem Zeitraum nahe der TTL des DNS-Eintrags) zwischen zwei IP-Adressen kann ebenfalls einen Ausgleich bewirken. Der gleiche Effekt ist die Verwendung eines DNS-Servers, der die Vergabe unterschiedlicher IP-Adressen an verschiedene Clients unterstützt.
quelle