Dos topología bgp ISP?

7

Utilizamos el firewall de palo-alto como una puerta de enlace a Internet. Tenemos 16 direcciones IP estáticas. Uno se usa para el tráfico saliente (los usuarios navegan por Internet). El resto se usa para el tráfico entrante (servidor de correo, servidores web, etc.). Para fines redundantes, nos suscribimos al segundo ISP. Compramos 16 nuevas direcciones IP estáticas del nuevo ISP. Y aquí viene el infierno con la configuración. He estado leyendo durante dos días sobre BGP, direcciones PI, números AS y otras cosas. Pero no entiendo nada. La teoría sin práctica y la comprensión general no es nada. Llamo a estos ISP, y ambos proveedores dicen que no configurarán ninguna ruta y que no venderán números AS, intente resolverlo usted mismo. En nuestro pequeño país asiático no hay LISP ni ninguna otra solución de enrutamiento base en la nube. No sé qué hacer a continuación. ¿Debo solicitar el número AS directamente de APNIC? Con reglas basadas en políticas, solo puedo configurar la redundancia de tráfico saliente. ¿Existe alguna solución confiable para hacer redundante nuestro pequeño hosting? ¿Es posible configurar BGP sin números AS y direcciones PI?

routing bgp redundancy isp palo-alto Алдар
fuente
Solo una sugerencia (tal vez no práctica): coloque su infraestructura en un centro de datos / instalación de uso compartido. Estos suelen tener la redundancia que está buscando. Luego, en lo que respecta a esos recursos (que ahora tienen direcciones IP únicas), puede usar ISP independientes y protocolos de enrutamiento interno / VPN para lograr la redundancia de sitio a CC. ...solo un pensamiento.
Ronnie Royston

Respuestas:

7

Incluso si aún pudiera obtener direcciones IP IPv4 en Asia: si sus ISP no desean enrutar sus direcciones IP, entonces no hay nada que pueda hacer. Los túneles y LISP podrían resolver algunos de sus problemas (uso LISP aquí), pero usted ya declaró que esto no está disponible en su región.

BGP es el protocolo que se utiliza para enrutar sus direcciones IP desde un AS. Necesita ambos para ejecutar BGP. De todos modos, los bloques de 16 direcciones son demasiado pequeños para ser enrutados con BGP. Técnicamente podría, pero nadie aceptará sus rutas.

Si desea tener sus propias direcciones IP y enrutarlas, etc., tendrá que hacer algunas inversiones. Debido a que APNIC se quedó sin direcciones IPv4 para una distribución normal, deberá cumplir con algunas reglas muy estrictas. Si recuerdo correctamente, las reglas actuales son que ya debe ser multihomed, debe poder justificar el 25% de las direcciones (lo que sería el 25% de 256 = 64) de inmediato y el 50% (= 128) dentro de un año. Según sus números actuales, eso parece poco probable. Si pudiera, entonces necesitaría obtener un número AS de APNIC y tendrá que encontrar ISP que quieran configurar sesiones BGP con usted. Esto probablemente será más costoso que sus contratos actuales. Y además de eso, tendrías que estudiar mucho para aprender cómo funciona el enrutamiento de Internet y el BGP o tendrás que contratar a otra persona para que lo administre por ti.

En resumen: probablemente no valga la pena para su caso.

Sander Steffann
fuente
1.Además de BGP, no hay una solución redundante para poner algunos servidores para uso externo, ¿estoy en lo cierto? 2. ¿Qué pasa si usamos dos direcciones IP ext para un servidor interno? ¿Y solo apunte el registro de cname DNS público a esas dos direcciones IP? 3. ¿Qué pasa si obtenemos esos números AS y las rutas de los proveedores, sería suficiente usar solo el firewall de palo alto? ¿O deberíamos comprar enrutadores para usarlos como puertas de enlace, uno por ISP?
Алдар
1: BGP es el protocolo para enrutar direcciones en Internet. 2: poner varias direcciones en DNS te hará depender de todas ellas, reduciendo la confiabilidad. 3: el uso de un solo firewall haría que ese dispositivo sea un SPOF. Un solo ISP es probablemente más redundante que eso, por lo que solo lo empeorará ...
Sander Steffann
Puede ver cómo manejé un cierto nivel de redundancia con un solo ISP en diversos circuitos en networkengineering.stackexchange.com/questions/1745/… .
generalnetworkerror
"2: poner varias direcciones en DNS te hará depender de todas ellas, reduciendo la fiabilidad". ¿Estas seguro acerca de esto? La mayoría de las aplicaciones prueban la primera entrada en la lista provista y luego, después de un período de tiempo de espera sin respuesta, pasan a la segunda entrada.
cpt_fink
Eso estaría bien, pero esos tiempos de espera son largas
Sander Steffann
1

Puede configurar un firewall de Palo Alto Networks para conmutar por error al otro ISP. Debe configurar dos conjuntos de NAT, uno para un ISP y otro para el otro, o configurar dos DMZ, uno para un ISP y otro para el otro (o superponer dos subredes en una interfaz). Se usará tanto para la entrada y fallará al segundo para la salida cuando uno falle.

Puedes empezar a leer aquí .

GeorgeB
fuente
Esto no funcionará para el tráfico entrante de los servidores. Si un enlace se cae, ¿cómo sabrán los clientes externos cómo llegar a los servidores cuando cambien sus direcciones IP externas? Los registros DNS con un TTL bajo pueden ayudar para interrupciones prolongadas, pero eso es muy poco confiable y está lejos de ser eficiente.
stevieb
Absolutamente funciona. Lo que debe hacer es poner una dirección de ambos ISP en cada servicio. Tiene dos servidores dns, dns01, dns02. Cada uno tiene direcciones IP de servicio para el espacio de direcciones de un ISP para servicios. Ambos se enumeran como servidores DNS para su dominio. Cuando todo está listo, las consultas dns llegan a ambos y se pueden usar ambas direcciones. Cuando uno se rompe, se usa el que funciona.
GeorgeB
Ejemplo: DNS01.foo.com tiene un archivo de zona que enumera las direcciones IP de ISP1 para los servicios. DNS02.foo.com tiene un archivo de zona que enumera las direcciones IP de ISP2 para los servicios. Ambos servidores DNS están listados para el dominio. Cuando ISP1 deja de funcionar, ya no se puede acceder a DNS01. DNS02 sirve direcciones ISP2 para consultas. Sí, es "janky", pero la conmutación por error para redes enrutadas estáticas es janky.
GeorgeB
Ya veo lo que dices. Sin embargo, como el resto del mundo ya tiene registros en caché que apuntan a las IP antiguas, no volverán a buscar el nombre hasta que caduque su caché, momento en el que utilizarán el nombre del servidor de nombres. Hasta entonces, su caché de PC local contiene un registro no válido, al igual que sus servidores DNS ascendentes. Tendría que usar un TTL muy bajo, y no todos los respetan. Así que sí, "janky", pero supongo que es mejor que nada :)
stevieb
Hay otra forma de hacerlo de una manera específica del proveedor. En el firewall PAN, habilite el proxy DNS. En el conjunto de reglas para la interfaz con ISP1, tiene entradas estáticas para las direcciones de ISP1 para los servicios. En el conjunto de reglas para la interfaz con ISP2, entradas para direcciones ISP2. Los clientes obtienen la dirección según la interfaz a la que llegó la consulta DNS.
GeorgeB
0

Hay alguna forma de equilibrar la carga sin AS y PI.

Para la salida se logra mediante el enrutamiento de políticas

Para el tráfico entrante de conmutación por error, es bueno usar DNS dinámico. Cuando el ISP primario cambió, el nombre DNS (con TTL lo suficientemente corto) del sitio cambió a una nueva IP y los clientes mantienen el acceso al sitio.

Establecer DNS en dos IP simultáneas puede hacer una selección de IP round robin en los clientes.

El cambio periódico (con un período cercano al registro TTL de DNS) entre dos IP también puede hacer el equilibrio. El mismo efecto es usar un servidor DNS que admite dar diferentes IP a diferentes clientes.

mmv-ru
fuente