Enlace multi-WAN a través de diferentes medios

Recientemente he estado pensando nuevamente en un producto que proporciona Viprinet, básicamente tienen un par de enrutadores, uno que vive en un centro de datos, su VPN Multichannel Hub y el hardware en el sitio, sus enrutadores VPN multicanal

También tienen un montón de tarjetas de interfaz (como HWIC) para adaptadores 3G, UMTS, Ethernet, ADSL e ISDN.

Su papel principal parece estar vinculado a través de diferentes medios. Es algo que realmente me gustaría usar para un par de proyectos, pero su precio es realmente extremo, el concentrador es de aproximadamente 1-2k, los enrutadores son de 2-6k y los módulos de interfaz son de 200-600 cada uno.

Entonces, lo que me gustaría saber es, ¿es posible con un par de enrutadores Cisco de serie 28xx o 18xx hacer algo similar y, básicamente, conectar un montón de puertos WAN diferentes, pero tener todo bien presentado como uno? canalizar de nuevo a Internet, con conmutación por error sin interrupciones (o casi) si una de las interfaces WAN fallara.

Básicamente, si obtuve 3x 3G a módems ethernet, y cada uno en una red diferente, me gustaría poder equilibrar la carga / enlace en todos ellos, sin tener que pagarle a Viprinet por el privilegio.

¿Alguien sabe cómo haría para configurar algo por mí mismo, basado en protocolos estándar (o específicos del proveedor), pero sin tener que comprar el hardware Viprinet?

Con Cisco, optaría por compartir la carga de CEF o por el enrutamiento basado en políticas (ahora denominado enrutamiento de rendimiento).

Nunca probé el uso compartido de carga CEF en 3G (solo en líneas alquiladas de frame relay), pero configuré tres túneles, cada uno a través de una tarjeta diferente, a un punto final (que será su puerta de enlace) y con tres rutas de igual costo a ese punto final podría funcionar. En mi configuración, el enrutador PE era el punto final, por lo que no se necesitaba ningún túnel.

Cisco tiene cierta documentación al respecto, y el reparto de carga se puede configurar por paquete o por destino.

De la guía de solución de problemas :

7200-1.3(config)#interface fast 0/0

7200-1.3(config-if)#ip load-sharing ? 
  per-destination  Deterministic distribution 
  per-packet       Random distribution 

7200-1.3(config-if)#ip load-sharing per-packet

Ivan Pepelnjak también tiene dos entradas en su blog sobre el uso compartido de carga CEF que vale la pena leer.

Con respecto al enrutamiento basado en políticas, también opero una red de clientes de sitios pequeños que están conectados a un concentrador central a través de varios tubos. Cada radio tiene una línea FR alquilada, un acceso a Internet DSL (con IPSec a través de Internet) y un enlace satelital.

Todos los enlaces van a uno de nuestros enrutadores PE (ya sea frame, internet o satélite) y luego a través de mpls (en diferentes vpns) al hub central, donde cada vpn termina en un VRF (vrf-lite aquí, no mpls) en el Enrutador CE. Cada vpn se enruta a un vlan.

Las diversas aplicaciones del cliente se enrutan (por IP de destino o puerto L4) en los radios a través de los diferentes enlaces. La voz pasa por satélite, correo y otros por el enlace dsl, y las aplicaciones principales a través de la línea arrendada.

En caso de falla del enlace, el tráfico se redirige a través de los otros enlaces.

Cisco wiki tiene un artículo interesante sobre PfR.

En una nota al margen, si va a seguir el camino 3G, preste atención a los proveedores que elija, ya que los Nodo-B 3G no tendrán mucho ancho de banda (solo unos pocos E1 por lo general) y es posible que no obtenga El ancho de banda esperado. Elija diferentes proveedores de servicios y no uno que revenda el servicio de otro.

Creo que entiendo lo que estás pidiendo. He estado muy contento con la línea de equilibradores de carga multi-WAN Elfiq. En mi aplicación actual, estoy equilibrando MPLS, inalámbrico fijo, T1, DSL y USB 3G en una ubicación. El soporte 3G es bueno y está bien documentado. Esta configuración maneja el equilibrio de carga entrante y saliente.

El Elfiq se encuentra frente a un firewall Cisco ASA y es transparente para mis conexiones VPN L2L.

Consola de gestión

Selección de algoritmo de equilibrio de carga

Bueno, este es un tipo avanzado de hardware, ya que también ejecuta VPN. ¿Por qué no construir uno mismo? Simplemente coloque OpenVPN en Linux, configure el equilibrio de carga con iproute, agregue reglas de firewall, tal vez algunos Snort IPS, SELinux para seguridad, servidor adecuado con memoria redundante y CPU, fuentes de alimentación duales, Xeons de baja potencia, unidades SSD y algunas buenas tarjetas WAN. Haría todo, incluido el reenvío de puertos, el seguimiento de la conexión, el proxy, el escaneo de virus smtp, lo que sea necesario. Puede comprar una máquina servidor por £ 400 en, por ejemplo, IBM más la tarjeta WAN. Hice esto para algunos proyectos y funcionó muy bien, solo tuve que ajustar el tamaño de la tabla hash de seguimiento de conexiones para que sea más grande para manejar docenas de miles de conexiones. Pero estos proyectos en realidad también requerían algún tipo de software especializado para ejecutarse en él, de modo que ' Por eso elegí la máquina Centos y el kernel en tiempo real para garantizar la prioridad de algunos procesos en el reenvío de paquetes en el espacio del usuario. Dicho servidor viene con dos NIC, y tiene un puerto PCIe, RAID-1 para SSD, etc. Esto incluso ejecutaría otra máquina vm, por ejemplo, con oficina completa, controlador de dominio e intercambio. Puede hacerlos en modo HA y hacer que el enrutamiento y la automatización de la oficina se realicen completamente solo con estos. Todo lo que necesita para asegurarse de que la tarjeta WAN adicional sea estable y funcione bien con, por ejemplo, Centos 6 y, si no, debe crear un script que lo compruebe y maneje la falla con gracia. De esta manera, puede lograr el éxito en caso de algunas cosas WAN poco fiables. controlador de dominio e intercambio. Puede hacerlos en modo HA y hacer que el enrutamiento y la automatización de la oficina se realicen completamente solo con estos. Todo lo que necesita para asegurarse de que la tarjeta WAN adicional sea estable y funcione bien con, por ejemplo, Centos 6 y, si no, debe crear un script que lo compruebe y maneje la falla con gracia. De esta manera, puede lograr el éxito en caso de algunas cosas WAN poco fiables. controlador de dominio e intercambio. Puede hacerlos en modo HA y hacer que el enrutamiento y la automatización de la oficina se realicen completamente solo con estos. Todo lo que necesita para asegurarse de que la tarjeta WAN adicional sea estable y funcione bien con, por ejemplo, Centos 6 y, si no, debe crear un script que lo compruebe y maneje la falla con gracia. De esta manera, puede lograr el éxito en caso de algunas cosas WAN poco fiables.

Un amigo ha conectado un cable Virgin Media y líneas ADSL (sin problemas), aparentemente usan OSPF y algún kit en Telehouse, ¡desafortunadamente no sé mucho más que eso!