SKFREE

Software - Failover

sef - 27.09.2012 - 17:12
Post subject: Failover
Mate niekto rozbehane Auto Failover? Mam 1. linku garant a 2. linku pomalsiu ale lepsie ako nic. Nastavil som: ETH0 ako external ETH1 ako internal a ETH2 tiez ako external. Potrebujem urobit to ze ak padne linka c.1 aby sa to preplo na linku c.2. DNS a maily nemusia fungovat pocas vypadku linky c.1.Teraz ked to mam nastavene mi to funguje akosi cudne. Samo prehadzuje pakety na linku c1 a c2. Nastavuje sa tam este "weight". Podla manualu mam dat lepsu linku na 3-4 a tu pomalsiu na 1. ALe nepomaha stale tecie tok aj na linku c.2.

Problem c.2 - ak vypnem surovo linku c.1 tak sa to neprehodi na linku c.2.

GW je CentOS. Existuje nejaky cenovo pristupne zariadenie napr. switch ktory to zvladne aby to nerobil linux?

Dik za radu.
pixall - 28.09.2012 - 00:30
Post subject: Failover
dana vec nema (na amaterksej urovni) lahke riesenie, pretoze kazdou takouto linkou za beznych okolnosti odchadza prevadzka z tymi IPckami ktore sa k tej ko0nkretnej linke viazu (ktore prideli provider). load balancer teda musi riesit ze ktory tvoj user pojde cez ktoru linku a musi ho tam udrzat s celym spojenim, pripadne s celou session pozostavajucou z viacerych spojeni. napriklad FTP prenos alebo hoc browsovanie pokecu je striktne zavisle na tom aby user isiel z jednej IP cely cas, nie kazdu chvilu z inej. internet banking a akeholvek https by silno protestovalo keby raz islo z jednej ip a par sekund zas z druhej, atd.
logika ktoru na to cele treba vynalozit aby to fungovalo aspon ako-tak uspokojivo, je daleko za hranicou bezneho linux kernelu a aplikacii ktore by som poznal - je to vzdy spojene s roznymi pingacini srandami a inymi udelatkami, ktore su podla hesla DoDo (Dodelej DOma) a s ktorymi je viac problemov nez osohu.

volakedy som to videl velmi elegantne a uspokojivo rozbehane cez tusim ZyWall router s dual-wan portom, ktory je priamo na toto usposobeny - ze ma bud failover, alebo kombinovany s load balancingom. ja som silny linuxak ale v tomto hovormi ze je lepsie kupit krabicku za stovku alebo par stovak, v ktorej to niekto vyriesil, nez sa hrat s niecim na linuxe tyzdne a mesiace a aj tak to bude problemove.


profi riesenie je potom take, ze si zaobstaras vlastne AS a vlastne IP rozsahy a prepojis sa s peermi cez BGP (ale to ratajme s tym ze to musia byt garantovane linky, na nejakej DSLke ti nikto BGP nespusti, neverim). no a potom vychadzas do sveta so svojimi vlastnymi IPckami, ktore je jedno cez ktoru linkou vojdu do internetu (doslova kazdy paket moze ist inou linkou) alebo tiez ti je jedno ktorou linkou ti paket pride z internetu, zdrojova aj cielova IP je pri oboch linkach rovnaka. BGP priamo v sebe obsahuje mechanizmus ktorym sa overuje stav linky a ak skape tak sa proste obojsmerne prevadzka prehodi na druhu trasu. toto pouzivaju na failover a balancing vsetci poriadni ISP ktori maju viac ako jedneho peera. to prve spomenute pouzivaju enduseri.
sef - 28.09.2012 - 10:12
Post subject:
Dik za odpoved. Zatial to mam riesene na Linuxe ale vypol som multiwan pretoze ako pises raz ma hodilo na garant linku a inet isiel normalne ale potom napr. pri natukani facebooka ma hodilo na backup linku a uz to islo pomalsie. Nasiel som od Dellu NSA uz aj s funkciou Failover kde sa da vypnut Loadbalancing. Ma to aj svoj sw SonicOS. Stoji to cez 1000E. A co tak nejaky skript ktory by pingal GW a ak nepinga prepise GW a aj master interface na eth2? Co sa tyka pouzitelnosti tak zariadenie aby dokazalo preniest cca 100 Mbit s xxx paketmi takze nejaku srandu za 30E nechcem. Nejake cisco alebo ine L3 to nezvladne?Moja gw je linux server ktory robi NAT,web,mail,smtp,fprobe a pod. Dokaze to robit Cisco samozrejme bez web to by som nechal na linuxe?
krtko - 28.09.2012 - 10:47
Post subject:
to co si si naklikal resp. chces naklikat funguje iba pre NATovanu prevadzku, akonahle budes mat na sieti verejnu ip adresu backup nepojde, na to uz potrebujes nejaky dynamicky routovaci protokol. Cize 2 x wan krabickove riesenia su tak maximalne pre segment s NAT prevadzkou.
Thomas - 28.09.2012 - 11:00
Post subject:
sef , pingat branu ti mpc nepomôže čo ak to lahne niekde ďalej po ceste ?
Chalan - 28.09.2012 - 15:39
Post subject:
ak uz dosli ipv4 a mam moznost zaobstarat si len ipv6 PI s vlastnym AS? mam dva garanty, ako na to? podotykam ze siet je lokalne postavena na ipv4, ktore sa full natuju len tym ktory ich ozaj potrebuju... nemam moc chut prerabat vnutornu siet na ipv6...
krtko - 28.09.2012 - 17:32
Post subject:
Chalan wrote: ›ak uz dosli ipv4 a mam moznost zaobstarat si len ipv6 PI s vlastnym AS? mam dva garanty, ako na to? podotykam ze siet je lokalne postavena na ipv4, ktore sa full natuju len tym ktory ich ozaj potrebuju... nemam moc chut prerabat vnutornu siet na ipv6...


tato na prvy pohlad trivialna otazka je v skutocnosti celkom vazna a narocna vec, najskor si treba ujasnit topologiu, zvazit boxy, ktore chces pouzit v core (ci musia mat full bgp table, ci musia aj natovat, atd...) taketo boxy ti treba 2ks kedze mas 2 uplinky, do tychto dvoch boxov dovedies bud l2 alebo l3 uplinky z agregacii (z kazdej linka do oboch core boxov) plus prepojis ich navzajom. (tie core boxy)

nasledne nad tym zvazit routovacie protokoly (na core smer inet BGP ak mas vlastne AS) do vnutra ak chces l3 ospf s costami na port v pripade l2 spanning tree.
Chalan - 28.09.2012 - 20:52
Post subject:
a nedal by sa pouzit len jeden bgp box? mal by 2xeth pre uplinky cez bgp na kazdeho providera, 1xeth pre lokalku a tam nat na ipv4?
krtko - 28.09.2012 - 22:41
Post subject:
single point of failure
pixall - 29.09.2012 - 16:20
Post subject:
Chalan wrote: ›ak uz dosli ipv4 a mam moznost zaobstarat si len ipv6 PI s vlastnym AS? mam dva garanty, ako na to? podotykam ze siet je lokalne postavena na ipv4, ktore sa full natuju len tym ktory ich ozaj potrebuju... nemam moc chut prerabat vnutornu siet na ipv6...


chalan, ak si provider, nie enduser, tak nat je problem.
opakujem, este raz ak si ISP, nat je problem.
ak ak si nepozorumel, pre ISP je NAT - PROBLEM.
ipv4 sa v RIPE este neminulo a namiesto akychkovelk uvah ako nejakymi krabickami a natkami nejak upatlat nieco ako tak chodive, by som si na tvojom mieste okamzite ziadal IPv4 v rozumnom pocte, vratane AS.
svoje IPv4 uz mame viac ako 5 rokov, ale len pred cca rokom sme presli na vlastne AS + BGP a teraz vidim ze som bol sprosty ze som to neurobil uz velmi davno.
namiesto uvah co robit bez vlastneho IPv4+AS si ho rychlo objednaj kym este je. ak si uz nepamatas zaciatok mojho prispevku, tak pripomieniem, ze pre providera je NATko jednoducho problem a bude uz len vacsi.
aktualny graf zostavajucich IPv4 adries v RIPE
http://www.ripe.net/internet-coordinati ... pool-graph
pixall - 29.09.2012 - 16:46
Post subject:
Chalan wrote: ›a nedal by sa pouzit len jeden bgp box? mal by 2xeth pre uplinky cez bgp na kazdeho providera, 1xeth pre lokalku a tam nat na ipv4?


ako bolo povedane vyssie - single point of failure.

pred 3 dnami po vybuchu plynu v priebehu par okamihov zhorela vacsia cast jedneho z nasich uzlov
http://kosice.korzar.sme.sk/c/6546876/v ... -ludi.html
rack je rovno nad tymi vybitymi oknami na poslednej fotke v clanku, cez technologicku sachtu vsetko teplo a dym z celeho poziaru isli rovno do miestnosti s technologiou. optika, kabelaze, zdroje, vytahy, atd, v priebehu par minut uhoreli, a co neuhorelo tak je vazne poskodene. kvoli vysetrovaniu atd nebolo mozne dodnes povodnou sachtou tahat nove kabelaze a nebude to mozne niekolko tyzdnov. v tme a v dyme a horucave na zhorenisku sme imprivizovane museli sprevadzkovat aspon co-to aby sa fungovalo dalej lebo poskodenie zasiahlo nielen samotnu nemocnicu ale aj 500+ dalsich nasich klientov. cely cas sme pritom bojovali s hasicmi ktori sa nas neustale snazili evakuovat.... to ze v tej budove sa za 50 rokov od jej postavenia nic take nestalo, neznamena ze sa to stat nikdy nemoze. ked jedneho dna vypukne poziar v SIXe, budu si mnohi bit hlavu o stenu, ze sa koncentrovali do jedneho jedineho bodu a ze oba BGP routre si napchali do toho isteho racku do tej istej budovy. a ked zahori taky uzol ako SIX, tak tam bude taka trma-vrma, ze koniec sveta, pomedzi velke firmy ktore tam budu robit vazne zasahy, sa tam drobny providerik niekolko dni ani nedostane.

BGP a AS je dobre v tom, ze sa vobec nemusis koncentrovat do jedneho bodu, tak to tak kua netreba robit. spravit dvoch peerov cez jeden BGP router je velka hovadina, a spravit ich cez dva routre na tom istom mieste je sice mensia, ale furt hovadina.
Thomas - 29.09.2012 - 16:53
Post subject:
RIPE síce adresy má ale posledný subnet /8 no a z toho PI adresy nezíska . Jedine PA teda sa musí stať LIRom požiadať o IPv6 + AS a až ked bude mať IPv6 tak potom môže požiadať o IPv4 , čiže investicia pár tisícok s tým že sa možno k IPv4 dostane
Chalan - 29.09.2012 - 19:49
Post subject:
pixall pekny pribeh, nezavidim Vam, pri tom ste museli ostarnut o peknych par rokov... ja zatial nemam moznost dat dva bgp routre na rozne miesta ale len na jedno... mate pravdu jeden bgp router je hovadina... ja som na ipv4 uz zabudol, budem to musiet cez ipv6 ale da sa to vobec natovat? alebo preklopit ipv6 verejne na ipv4 privatne? a potom nat? alebo rovno nat ipv6 verejne na ipv4 privatne? momentalne neprichadza do uvahy prerabat siet na ipv6...
pixall - 30.09.2012 - 16:56
Post subject:
Chalan wrote: ›ja som na ipv4 uz zabudol, budem to musiet cez ipv6 ale da sa to vobec natovat? alebo preklopit ipv6 verejne na ipv4 privatne? a potom nat? alebo rovno nat ipv6 verejne na ipv4 privatne? momentalne neprichadza do uvahy prerabat siet na ipv6...


ipv6 pouziva cca 1% uzivatelov na sieti, je este velmi velmi dlha cesta kym sa to stane beznym. nerozumiem ti preco napises ze neriesis ipv4, ktore ta vyjde aj s ASkom tusim za zriadenie na nejakych 200-300 eur jednorazovo a asi 150 eur rocne a este sa da zariadit, a je to zarucene funkcne a bezproblemove riesenie, a namiesto toho chces riesit nieco co je dnes este pre vsetkych len v stadiu experimental a kouka z toho sama komplikacia. rad si pridavas problemy, aby si mal vzrusujucejsi zivot? Smile

btw jak keby nestacil poziar, dnes v noci sa nam vlamali v jednej bytovke do racku a ukradli upsku. co cert nechcel, bola to rovno bytovka cez ktoru isla zalozna radiova linka...... to je prva kradez zariadeni v historii firmy, a rovno na takomto mieste a v takomto case... nahoda jak fras. ale inak som celkom spokojny, ze na zhorenisku sme obnovili sluzby cca za menej nez 4 hodiny od vypadku, a pri kradezi upsky o druhej rano, to bolo tiez cele online za menej ako 2 hodiny. a ze vraj loklani provideri su nespolahlivi.. Wink
pixall - 30.09.2012 - 17:03
Post subject:
Thomas wrote: ›RIPE síce adresy má ale posledný subnet /8 no a z toho PI adresy nezíska . Jedine PA teda sa musí stať LIRom požiadať o IPv6 + AS a až ked bude mať IPv6 tak potom môže požiadať o IPv4 , čiže investicia pár tisícok s tým že sa možno k IPv4 dostane


neviem preco by odtial nemohol dostat PI. ci dostane PI alebo PA je len o tom co zaznaci RIPE pri pridelovani address space. jedine obmedzenie co viem je to ze sa moze stat ze nedostanes jeden suvisly subnet ale pridelia ti viac mensich, podla toho kde je co volne. ja som nedavno ziadal jeden PI blok a dostal som ho ako v troch castiach, dve na seba nadvazovali (176.x.x.x) a tretia bola uplne z ineho subnetu (96.x.x.x).
inac RIPE dostalo posledny /8 pre seba, ale ma toho este trochu viac, vid graf. jeden subnet /8 je 16.7mil IP, a RIPE ma k dispozicii na pridelenie 17.25mil IP.
zelmar - 30.09.2012 - 18:46
Post subject:
Pri posledom /8 su PI adresy podla pravidiel passe. Takze nedostane ani keby co robil. PA dostane presne podla postupu ktory pisal Thomas....
Chalan - 30.09.2012 - 19:00
Post subject:
pixall, napisal som ze ipv4 uz neriesim preto lebo som o ipv4 poziadal este v auguste a 17.09.2012 mi prisiel tento mail od lira "Dobry den,

s litosti Vam musime oznamit ze v patek (14.09) IPv4 adresy dosly v RIPE.

I kdyz jsme se rychle prepravili a poslali Vasi zadost 12.09 v RIPE, v patek bylo prideleno rekordnich 800 000 PI IPcek a vecer RIPE se oznamil ze IPv4 dosly.

Takze Vasi zadost v RIPU proste nestihli schvalit.

Porad je tady moznost zaregistrovan IPv6, ale vlastni PI IPv4 moznost zaregistrovat uz neni.

S pozdravem,..."

tak ak vies ako na to okamzite beriem ipv4 pi a as...
Thomas - 30.09.2012 - 19:11
Post subject:
RIPE sice ma o niečo viac ako /8 , ale su tam zaratane aj subnety ktore nemôže priradiť žiadnemu LIR. No a ked IAANA rozdelila po poslednom /8 každemu RIR tak sa dohodli na špecialnom rozdelovany subnetov. Takže každy RIR môže teraz žiadať o IPv4 len raz aj to o max /22 a musí mať už pridelené IPv6.
Tu je to popísané podrobnejšie http://www.root.cz/clanky/tak-jsme-na-suchu/
midnight_man - 30.09.2012 - 19:46
Post subject:
https://ispforum.cz/viewtopic.php?f=4&t=10207
pixall - 01.10.2012 - 03:08
Post subject:
mate lepsie info ako ja. co dodat? kto neskoro chodi...
Chalan - 01.10.2012 - 10:20
Post subject:
ja som cakal na vyjadrenie providera backup konektu ci je s nami schopny urobit bgp peer a tento meskal viac ako mesiac s odpovedou... nasledovalo to co som poslal vyssie...

takze ipv6 sa neda natovat a kebyze aj mam vlastne as a ipv6 pi nemam sancu aby to korektne fungovalo lebo na to este svet nieje pripraveny?
krtko - 01.10.2012 - 14:43
Post subject:
tvoj provider ma urcite 2 bloky /30 (ipv4) na 2 BGP prepoje, pokial aj nemas ASko, mozes fungovat pod tvojim providerom s privatnym AS a ipv4 traffic natovat. A ked budes mat vlastne AS aj ked iba s ipv6 s kludom ti to pobezi aj ked ipv4 prevadzku budes natovat. To momentalne nemas ziadne ipv4 ip adresy (verejne)?
Chalan - 11.10.2012 - 13:54
Post subject:
ipv4 public mam len tie co mi pridelili providery, cize dva rozne /24 subnety ale to niesu moje... ja potrebujem mojim klientom (niektorym) pridelit verejnu ip tak aby im ostala ci vypadne jeden alebo druhy provider... kedze ipv4 verejne uz niesu, mozem si zadovazit len ipv6 ako by sa to teda potom dalo riesit? neviem ako si to myslel...
krtko - 11.10.2012 - 20:23
Post subject:
ahoj,

ano, pokial maju verejne ip adresy fungovat pri preklapani musis mat vlastne ASko a BGP routing. Verejne ip adresy smeruju na tvoje AS a je teda jedno cez, ktoreho upstream providera to pojde vzdy sa dostanes k tvojim ip adresam.

Pri tvojom existujucom rieseni si viem predstavit jedinu schodnu cestu a to je NAT 1:1 bud z prveho alebo druheho uplinku a prideleni 2 verejnych ipciek pre zakaznika. (kazda ip je od ineho providera)
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits