Topologia de dois ISP bgp?

7

Usamos o firewall palo-alto como um gateway da Internet. Temos 16 endereços IP estáticos. Um é usado para o tráfego de saída (os usuários navegam na Internet). O restante é usado para tráfego de entrada (servidor de email, servidores da web etc.). Para fins redundantes, assinamos o segundo ISP. Compramos 16 novos endereços IP estáticos do novo ISP. E aqui vem o inferno com a configuração. Eu leio há dois dias sobre BGP, endereços PI, números AS e outras coisas. Mas eu não entendo nada. Teoria sem prática e entendimento geral não é nada. Eu chamo esses ISPs e os dois provedores dizem que não configuram nenhuma rota e não vendem números AS, tente resolvê-los por si mesmos. Em nosso pequeno país asiático, não há LISP ou qualquer outra solução de roteamento base em nuvem. Não sei o que fazer a seguir. Devo solicitar o número AS diretamente do APNIC? Com regras baseadas em políticas, só posso configurar a redundância de tráfego de saída. Existe alguma solução confiável para tornar redundante nossa pequena hospedagem? É possível configurar o BGP sem números AS e endereços PI?

routing bgp redundancy isp palo-alto Алдар
fonte
Apenas uma sugestão (talvez não seja prática): coloque sua infraestrutura em um data center / instalação de co-localização. Eles normalmente têm a redundância que você está procurando. Em relação a esses recursos (que agora possuem endereços IP únicos), você pode usar ISPs separados e protocolos de roteamento / VPNs internos para obter redundância de site para dc. ...apenas um pensamento.
Ronnie Royston

Respostas:

7

Mesmo se você ainda puder obter os endereços IP IPv4 na Ásia: se seus ISPs não quiserem rotear seus endereços IP, não há nada que você possa fazer. Túneis e LISP podem resolver alguns dos seus problemas (eu uso o LISP aqui), mas você já declarou que isso não está disponível na sua região.

BGP é o protocolo usado para rotear seus endereços IP de um AS. Você precisa dos dois para executar o BGP. Blocos de 16 endereços são muito pequenos para serem roteados com o BGP de qualquer maneira. Tecnicamente, você poderia, mas ninguém aceitará suas rotas.

Se você quiser ter seus próprios endereços IP e encaminhá-los, etc., precisará fazer alguns investimentos. Como o APNIC ficou sem endereços IPv4 para distribuição normal, você terá que cumprir algumas regras muito estritas. Se bem me lembro, as regras atuais são que você já deve ter hospedagem múltipla, deve ser capaz de justificar 25% dos endereços (que seriam 25% de 256 = 64) imediatamente e 50% (= 128) dentro de um ano. Com base nos seus números atuais, isso parece improvável. Se você pudesse, seria necessário obter um número AS da APNIC e precisará encontrar ISPs que desejam configurar sessões de BGP com você. Provavelmente será mais caro que seus contratos atuais. Além disso, você precisaria estudar muito para aprender como o roteamento da Internet e o BGP funcionam ou terá que contratar outra pessoa para gerenciá-lo.

Em resumo: provavelmente não vale a pena para o seu caso.

Sander Steffann
fonte
1. Além do BGP, não há solução redundante para colocar alguns servidores para uso externo, estou certo? 2.E se usarmos dois endereços IP ext para um servidor interno. E apenas aponte o registro de cname DNS público para esses dois endereços IP? 3. E se obtivermos esses números AS e as rotas dos provedores, seria suficiente usar apenas um firewall alto? Ou devemos comprar roteadores para usá-los como gateways, um por ISP?
Алдар
1: BGP é o protocolo para rotear endereços na Internet. 2: colocar vários endereços no DNS o tornará dependente de todos eles, reduzindo a confiabilidade. 3: usar um único firewall tornaria esse dispositivo um SPOF. Um único ISP é provavelmente mais redundante do que isso, então você só vai piorar as coisas ...
Sander Steffann
Você pode ver como eu lidei com algum nível de redundância com um único ISP em diversos circuitos em networkengineering.stackexchange.com/questions/1745/… .
generalnetworkerror
"2: colocar vários endereços no DNS o tornará dependente de todos eles, reduzindo a confiabilidade." Você tem certeza disso? A maioria dos aplicativos tenta a primeira entrada na lista fornecida e, após um período de tempo limite sem resposta, passa para a segunda entrada.
Ct_fink
Isso seria bom, mas esses tempos são longos
Sander Steffann
1

Você pode configurar um firewall da Palo Alto Networks para efetuar failover no outro ISP. Você precisa configurar dois conjuntos de NATs - um para um ISP e outro para o outro - ou definir duas DMZs, uma para um ISP e outra para o outro (ou sobrepor duas sub-redes em uma interface). Ele usará tanto para entrada quanto fará failover para o segundo para saída quando uma falhar.

Você pode começar a ler aqui .

GeorgeB
fonte
Isso não funcionará para o tráfego de entrada dos servidores. Se um link for desativado, como os clientes externos saberão acessar os servidores quando seus endereços IP externos mudarem? Os registros DNS com um TTL baixo podem ajudar a interrupções prolongadas, mas isso é extremamente confiável e longe de ser eficiente.
stevieb
Absolutamente funciona. O que você faz é colocar um endereço de ambos os ISPs em cada serviço. Você tem dois servidores DNS, DNS01, DNS02. Cada um possui IPs de serviço para o espaço de endereço de um ISP para serviços. Ambos estão listados como servidores DNS para o seu domínio. Quando tudo está pronto, as consultas DNS chegam aos dois e os dois endereços podem ser usados. Quando alguém quebra o trabalho é usado.
GeorgeB
Exemplo: DNS01.foo.com possui um arquivo de zona que lista os endereços IP do ISP1 para serviços. DNS02.foo.com possui um arquivo de zona que lista os endereços IP do ISP2 para serviços. Ambos os servidores DNS estão listados para o domínio. Quando o ISP1 cai, o DNS01 não pode mais ser alcançado. DNS02 serve endereços ISP2 para consultas. Sim, é "instável", mas o failover para redes roteadas estáticas é instável.
GeorgeB
Entendo o que você está dizendo. No entanto, como o resto do mundo já possui registros em cache apontando para os IPs antigos, eles não procurarão o nome novamente até que o cache expire; nesse momento, usarão o nome do servidor de nomes ativos. Até então, o cache local do PC contém um registro inválido, assim como os servidores DNS upstream. Você precisaria usar um TTL muito baixo, e nem todos os honram. Então, sim, "janky", mas suponho que é melhor do que nada :)
stevieb
Há outra maneira de fazer isso de uma maneira específica do fornecedor. No firewall do PAN, ative o proxy DNS. No conjunto de regras para a interface com o ISP1, você tem entradas estáticas para endereços ISP1 para serviços. No conjunto de regras para a interface com o ISP2, entradas para endereços ISP2. Os clientes obtêm o endereço de acordo com a interface na qual a consulta DNS chegou.
GeorgeB
0

Existe uma maneira de equilibrar a carga sem o AS e o PI.

Para saída, é alcançado pelo roteamento de políticas

Para tráfego de entrada de failover, é bom usar DNS dinâmico. Quando o ISP primário foi alterado, o nome DNS (com TTL curto o suficiente) do site foi alterado para novo IP e os clientes mantêm o acesso ao site.

Definir o DNS para dois IP simultâneos pode fazer a seleção de IP round robin nos clientes.

A alteração periódica (com um período próximo ao TTL do registro DNS) entre dois IP também pode fazer o balanceamento. O mesmo efeito está usando o servidor DNS que oferece suporte a IP diferente para clientes diferentes.

mmv-ru
fonte