请问网络高手关于配置 dual internet connection的问题

ilchocolate

我们公司现在有一条internet connection 到ISP_T,static route到ISP_T. 没有自己的public ip address block /ASN, 现在我们想另外一个ISP B再买一个internet connection, 想跑cloud backup, 两条线路互为备份
请问我因该怎么配置BGP 实现fully failover？

第一步是要买自己的ip address block和ASN,对吗？

outbound traffic 我可以用policy route 指向不同的ISP, 请问inbound traffic, 怎么控制traffic 能跑ISP B 如果 ISP T fails?

谢谢

[ 本帖最后由 ilchocolate 于 2012-7-3 20:48 编辑 ]

潜水老虎

帮顶等结果

夜游神

不需要购买pubic的ASN啦 也看情况 但我想象到的最省钱的情况下是不需要购买的
无非是 你要和你的两个ISP A & B 沟通好 你用eBGP在你的公网边界路由器上 兴许人家会分配不同的ASNs给你也说不定

关键是要用bgp控制数据的出和入 不论是思科 还是 瞻博的设备 following IEEE对于BGP 的标准
用local preference来mark default routes
ISP A 进来的default route mark 100
ISP B 进来的default route mark 90
那么你整个网路的默认出口方向就是走 ISP A的 而不是 ISP B的

对于回流的数据 这个时候 你需要用到 route-map来enforced AS path prepending
也就是人为的添加你广播出去的route的 AS PATH 的长度

ISP A的不需要做
ISP B的重复做4次
这样你回流的数据 默认也是从A回来的
===============================
或者更高端一些的 需要运用BGP community attributes来广告自己的本地routes 去ISPA & ISPB。 然后ISPA &B的对端会根据你广告出去的bgp community value来动态映射他们指向你的Local preference从而实现回流数据的路径选择 这个反而是IEEE针对daul homed daul hosted Internet connectivities时下推荐的做法。
===============================
如果两个链路都是从同一个 ISP 进来 但是你是做daul homed daul hosted的话 控制回流可以考虑用route-map  enforce med value
===============================

######################################################################################################################
做到这里为止就差不多实现双网关 通过routing实现layer3的链路互备份了

接下来你说你的备份的数据要走 备份链路的话 你就从连接备份链路的那台路由器上做一个静态的specific route指向备份链路 之后再把这个route 注射到你的内网的IGP 路由协议中去就可。 你内网的IGP可能是各种rip/ospf /eigrp 也可能是静态路由 但是你之前提到过 你要daul homed daul hosted Internet connectivities所以 如果目前是static routes你需要考虑选用一个动态的IGP ripv1/2 ospf eigrp来做。

[ 本帖最后由 夜游神 于 2012-7-3 22:27 编辑 ]

ilchocolate

多谢指点 ， 我需要慢慢琢磨一下你的配置再接着请教。我 从没配过BGP,

那首先第一步我还是要买自己的publlic ip address blocks,然后让两个ISP都advertise 这个ip address block 出去， 对吗？

[ 本帖最后由 ilchocolate 于 2012-7-3 22:31 编辑 ]

夜游神

你如果没有public facing services的话 就不需要购买什么公网地址了 读你的case背景 我完完全全只看你提的是如何出去 怎么回来 还有安全方面的 你似乎都不关心就是了
无论如何，你至少会拿到两个不同的公网地址 一个是A给的 另外一个是B给的

链路能否按你要求通起来是基本的要求 后面如果是在企业级的环境中的部署 你还需要考虑 部署defensive route filters
部署stateful ACL  filtering 部署IDP/IPS 等等 等等

你们有DMZ么？有的话 还需要做defensive NATING

楼主有神马不懂可短信我 我们可以私下商量商量 你懂的 ：）
我思科和Juniper的方案通吃

[ 本帖最后由 夜游神 于 2012-7-3 22:33 编辑 ]

未名湖

mark 学习

atm

原帖由 夜游神 于 2012-7-3 22:32 发表
你如果没有public facing services的话 就不需要购买什么公网地址了 读你的case背景 我完完全全只看你提的是如何出去 怎么回来 还有安全方面的 你似乎都不关心就是了
无论如何，你至少会拿到两个不同的公网地址 一个是 ...

恭喜大神又拉到一个私单

夜游神

兄台你看你说的 这单子怕是要黄了 我看楼主问得那么心切 我自己同情心一泛滥 就不知不觉说的太具体了
他这会估计正在疯狂google configuration examples，盘算如何把我们甩在一边呢

不如你去套套近乎 要来他的公网地址 之后 我发力入侵进去 种植好该种植的东西
哼 哼 哼 到时候再加装无限爱心关怀 加价百倍以修理之名狠狠敲他一笔

事成之后 你我兄弟一场 3 7 开 你7 我3 这也是考虑到楼主可能报警抓我 若我被抓也就损失3  之后你够义气花1 保释我出来
再分3给我 结局就完美了

atm

原帖由 夜游神 于 2012-7-3 23:10 发表
兄台你看你说的 这单子怕是要黄了 我看楼主问得那么心切 我自己同情心一泛滥 就不知不觉说的太具体了
他这会估计正在疯狂google configuration examples，盘算如何把我们甩在一边呢

不如你去套套近乎 要来他的公网地 ...

大神要拉私单，下次用多点专业术语，而且一定要简写别写全称，把困难夸大，提供5678种方案但其实只是不同的小变化，把甲方绕晕了，就成了，然后我私信lz“夜游神报价我一半就够了，送1G种子你懂的”

ilchocolate

谢谢夜大侠，我们公司现在只是初步的考虑阶段，如果确认要实施了需要请consultant, 我会第一个想到你的

richsea

双出口需要用到BGP这么麻烦？

不知道policy routing是否可以完成，话说链路状态可以通过track方式监控。

superblue

如果不是太复杂不用BGP， IP SLA + track可以实现的。

neilxiong

楼上11和12楼没有看清楼主的意思，楼主考虑的是inbound failover.

richsea

inbound failover 也不必用bgp把，DNS轮寻等高性价比的方案比BGP要省很多阿。

除非是超级有米的公司。

话说也不知道澳洲申请个BGP要多少银子

acaicai

原帖由 richsea 于 2012-7-17 00:13 发表
inbound failover 也不必用bgp把，DNS轮寻等高性价比的方案比BGP要省很多阿。

除非是超级有米的公司。

话说也不知道澳洲申请个BGP要多少银子

给解释解释DNS轮寻呗。这个负载均衡没问题，怎么fail over阿？DNS还可以检测IP是不是可达？

夜游神

又逗又酸的楼们~~
哈哈哈哈

richsea

这智商。。。
一定要检测IP么？

目的地址不可达之后重试会解析到下个IP，当然效果肯定没fail over的好娜是肯定了

原帖由 acaicai 于 2012-7-17 09:17 发表


给解释解释DNS轮寻呗。这个负载均衡没问题，怎么fail over阿？DNS还可以检测IP是不是可达？

degra

原帖由 richsea 于 2012-7-17 21:01 发表
这智商。。。
一定要检测IP么？

目的地址不可达之后重试会解析到下个IP，当然效果肯定没fail over的好娜是肯定了

比如说 www.oursteps.com.au 解析到10.0.0.1 和 10.0.0.2, 你确定10.0.0.1主机挂了后用户电脑会自动使用 10.0.0.2 ??

gogogol

原帖由 richsea 于 2012-7-17 00:13 发表
inbound failover 也不必用bgp把，DNS轮寻等高性价比的方案比BGP要省很多阿。

除非是超级有米的公司。

话说也不知道澳洲申请个BGP要多少银子

这个方法简单，实用。满足楼住需求。但是楼主的DNS主服务器必须指向楼主公司的内部的DNS。内部的DNS解析告诉客户用那个地址。

BGP花钱多，实现起来也不易。现在买一个C类地址比较难了吧。

gogogol

原帖由 gandu 于 2012-7-17 21:12 发表


比如说 www.oursteps.com.au 解析到10.0.0.1 和 10.0.0.2, 你确定10.0.0.1主机挂了后用户电脑会自动使用 10.0.0.2 ??

不会，电脑只会使用第一个地址。除非返回的第一个地址是 10.0.0.2. 所以你要告诉客户用那个地址。

richsea

挂了之后用户傻等着肯定不行了，
我认为，如果再刷新一次，应该回解析到下个地址上，不知斑竹认为呢？

原帖由 gandu 于 2012-7-17 21:12 发表


比如说 www.oursteps.com.au 解析到10.0.0.1 和 10.0.0.2, 你确定10.0.0.1主机挂了后用户电脑会自动使用 10.0.0.2 ??

degra

原帖由 richsea 于 2012-7-17 21:46 发表
挂了之后用户傻等着肯定不行了，
我认为，如果再刷新一次，应该回解析到下个地址上，不知斑竹认为呢？

我认为再刷新一次也不行， LS gogogol 说了，只会用第一个地址， dns server 需要 用 round robin 给不同的地址排第一（这也是dns round robin 的诞生的原因）， 不过最大问题还是用户端系统dns cache 了就不会那么快更新， 还有browser也会做cache。

夜游神

唉  看你们扯来扯去 不如直接说花个50~60万上GTM好了~~~~

richsea

DNS轮寻应该包含了罗宾环了吧？

ctrl-F5 应该可以解决cache的问题吧

夜游神

楼上大叔 这个世界上的终端并不都是PC 就算是PC 也并不都是跑window OS的 就算是跑window OS~~~按ctrl-F5也不能解决寻址缓存问题（你还忽略掉local host records有无启用的问题）
DNS轮寻, 如果是配round robin。在主线路断路的情况下 即使用户禁用dns cache，也有50%的机会无法访问目标地址

我个人以为 不论生意大小 如果你的在线服务的稳定性和可靠性连50%都做不到 不如去 flemington开摊好了
Took from Cisco 642-874 Arch Self Study Book
"E-commerce applications represent the public face of an organization. Therefore, the e-commerce module has strict design requirements so that
web and application responses to users are fast and downtime is minimized. E-commerce downtime is particularly harmful because it reflects
negatively on an organization and lost business can cost millions of dollars per hour."

#######################################################################################################################
另外针对你11楼的补充 有一个很关键的遗漏
在不用动态路由的条件下实现layer3的链路互备份 的确可以使用强制策略路由 或者带条件的浮动静态路由实现

++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
但在出口网关 你必须做多对一的souce NAT（PAT）或者多对多的souce NAT 否则.......... 这个非常的重要 除非你的自治区内用的都是公网地址
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

此外 上BGP 我个人不认为昂贵或者复杂 当然针对业外人员 我扯sub-neting 人家都觉得听天书一般 你们都懂的 亲~~~

[ 本帖最后由 夜游神 于 2012-7-18 13:41 编辑 ]

richsea

大神阿，我只是说了一种解决办法，当然任何解决办法都是由性价比的，你不会指望花奇瑞的钱买个法拉利来开吧。

我没说bgp不行，但是性价比，不是人人都像你那么有米的。

夜游神

亲 你那不算方案 原因如下

11楼的“方案” 不完整
14楼的“方案” 连50%的可靠性都不到

退一万步来说 LZ开门做生意的 这类public facing的买卖面门 不存在性价比之争
空壳公司还很讲究门面包装呢 亲

[ 本帖最后由 夜游神 于 2012-7-18 21:32 编辑 ]

richsea

呵呵
看样子这个需求不用bgp都成了。

那么多public facing公司，很多都是双线路或者三线路的，有多少用bgp的？
ctrip那么多的访问量，也没见用上BGP，也没你说的50%的可靠性都没有。

说理论方案谁都会，做服务也是要适合客户的实际需求，不是你认为好的方案就一定适应客户的实际需求的

夜游神

叔 也许是我太孤陋寡闻了 我打过工的地方 还未见过有不用BGP的 人家很多IGP 都上daul routing protocols stacks 其中就有iBGP
ctrip是嘛 我真不知道 也不懂 这里讨论的是争对layer 3路径的自动互备份问题 而不是访问量问题

叔 偷换概念 没意思

就事论事的谈论你所提出的 所谓方案 我都很针对性的点出问题所在了 并无说我给的就是最好的
50%的可靠性都无 完全是我针对你所说得什么DNS轮寻提出的

既然都说了 我就继续下去 DNS轮寻这玩艺应用最刀刃的用处 其实是用layer7的机制来充分负载均衡流量对于多layer3线路的利用 又或者再进阶段到DNS策略解析机制用来负载分流物理地域大区的服务
比如同样输入的是www.肉蒲团.com 北美的用户访问到的是北美的几个服务集群的地址组中的某个地址（轮询）；欧洲的客户是访问欧洲的服务集群组中的一个地址（轮询）
然后这个地址还很有可能是layer3的VIP，还有layer3 load blancing的机制部署real ip stacks在这个VIP之后继续负载均衡流量具体到服务载体本身..........................

而不是你在14楼所提的用法

如果第三层链路本身无自动冗余容错机制 你在4 5 6 7做的再花哨亦无意义 懂么？

再继续理论你说很多公司不用bgp也无错 但multiple hosted multiple homed的方案 铁定要上某种路由协议 11楼说得策略强制路由 只能应用在multiple homed single hosted的方案上

[ 本帖最后由 夜游神 于 2012-7-19 00:19 编辑 ]

夜游神

继续补充DNS负载均衡机制
需要进一步说明的是， 这个机制的局限性在于 它只能对客户端发起的inbound流量进行负载均衡分流

对于outbound traffic session的返回流 根本无作用

这个概念大家亦需搞清楚