Usamos o firewall palo-alto como um gateway da Internet. Temos 16 endereços IP estáticos. Um é usado para o tráfego de saída (os usuários navegam na Internet). O restante é usado para tráfego de entrada (servidor de email, servidores da web etc.). Para fins redundantes, assinamos o segundo ISP. Compramos 16 novos endereços IP estáticos do novo ISP. E aqui vem o inferno com a configuração. Eu leio há dois dias sobre BGP, endereços PI, números AS e outras coisas. Mas eu não entendo nada. Teoria sem prática e entendimento geral não é nada. Eu chamo esses ISPs e os dois provedores dizem que não configuram nenhuma rota e não vendem números AS, tente resolvê-los por si mesmos. Em nosso pequeno país asiático, não há LISP ou qualquer outra solução de roteamento base em nuvem. Não sei o que fazer a seguir. Devo solicitar o número AS diretamente do APNIC? Com regras baseadas em políticas, só posso configurar a redundância de tráfego de saída. Existe alguma solução confiável para tornar redundante nossa pequena hospedagem? É possível configurar o BGP sem números AS e endereços PI?
7
Respostas:
Mesmo se você ainda puder obter os endereços IP IPv4 na Ásia: se seus ISPs não quiserem rotear seus endereços IP, não há nada que você possa fazer. Túneis e LISP podem resolver alguns dos seus problemas (eu uso o LISP aqui), mas você já declarou que isso não está disponível na sua região.
BGP é o protocolo usado para rotear seus endereços IP de um AS. Você precisa dos dois para executar o BGP. Blocos de 16 endereços são muito pequenos para serem roteados com o BGP de qualquer maneira. Tecnicamente, você poderia, mas ninguém aceitará suas rotas.
Se você quiser ter seus próprios endereços IP e encaminhá-los, etc., precisará fazer alguns investimentos. Como o APNIC ficou sem endereços IPv4 para distribuição normal, você terá que cumprir algumas regras muito estritas. Se bem me lembro, as regras atuais são que você já deve ter hospedagem múltipla, deve ser capaz de justificar 25% dos endereços (que seriam 25% de 256 = 64) imediatamente e 50% (= 128) dentro de um ano. Com base nos seus números atuais, isso parece improvável. Se você pudesse, seria necessário obter um número AS da APNIC e precisará encontrar ISPs que desejam configurar sessões de BGP com você. Provavelmente será mais caro que seus contratos atuais. Além disso, você precisaria estudar muito para aprender como o roteamento da Internet e o BGP funcionam ou terá que contratar outra pessoa para gerenciá-lo.
Em resumo: provavelmente não vale a pena para o seu caso.
fonte
Você pode configurar um firewall da Palo Alto Networks para efetuar failover no outro ISP. Você precisa configurar dois conjuntos de NATs - um para um ISP e outro para o outro - ou definir duas DMZs, uma para um ISP e outra para o outro (ou sobrepor duas sub-redes em uma interface). Ele usará tanto para entrada quanto fará failover para o segundo para saída quando uma falhar.
Você pode começar a ler aqui .
fonte
Existe uma maneira de equilibrar a carga sem o AS e o PI.
Para saída, é alcançado pelo roteamento de políticas
Para tráfego de entrada de failover, é bom usar DNS dinâmico. Quando o ISP primário foi alterado, o nome DNS (com TTL curto o suficiente) do site foi alterado para novo IP e os clientes mantêm o acesso ao site.
Definir o DNS para dois IP simultâneos pode fazer a seleção de IP round robin nos clientes.
A alteração periódica (com um período próximo ao TTL do registro DNS) entre dois IP também pode fazer o balanceamento. O mesmo efeito está usando o servidor DNS que oferece suporte a IP diferente para clientes diferentes.
fonte