2つのISPを持つデュアルホーミングサイトのベストプラクティスですか？

私は2つのISPに加入しています。1つは高速で高価なもので、もう1つは安価ですが遅いものです。ケーブルとADSLの異なるテクノロジーを使用しているため、単一障害点はほとんどなく、すべての通信機器はUPSから給電されます。

英国のISPは、かなりランダムなパターンで低下します。長年にわたって、両方のISPが同時にダウンした瞬間に遭遇したことはないため、ここでネットアクセスを中断したくない場合は、2つのISP戦略が役立つことは明らかです。

ただし、問題は、この改善された可用性を活用するためにサイトのネットワークをどのように編成するかです。多くのISPでは、独自のASおよびルーティングプロトコルの実行が許可されていないため、ほとんどの場合、静的ルーティングを2つの出力パイプ間で宛先ごとに分割する必要があります。これは素晴らしいものではなく、あるISPが惑星の表面から落ちたときに手動で介入する必要があります。多数のスクリプトの助けを借りて、私はISPの停止を合理的な成功で多くの労力をかけずに処理し、通常どおりビジネスになりました。それは素晴らしいことではありません。一部のテクノロジーが欠落しているように感じます。

1. 一般的に、より良い方法はありますか？
2. IPv6のみに適した方法はありますか（一方のISPにデュアルスタックがあり、もう一方のISPにトンネリングできます）。それはIPv6にとって明らかな恩恵です。

プロバイダーにはどのような機器を接続していますか？シスコデバイスの場合、IP SLAを使用して、8.8.8.8などの宛先をプライマリISP経由でpingできます。他の静的ルートへの応答フェイルオーバーが取得されない場合。設定例：

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

8.8.8.8の静的ルートをISP1経由で配置して、常にそのパスを終了する必要がある場合があります。明らかに8.8.8.8を使用する場合は別のIPを選択してください。そうしないと、ISP1がダウンした場合に到達できなくなるためです。

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

利用可能なLISPプロバイダーがあるかどうかを調査することができます。LISPは、接続先のアップストリームISPからサイトを独立させることができるプロトコルです。LISP ISPから1つまたは複数のIPアドレスを取得し、接続されている場所にルーティングします。これはトンネリング手法ですが、多くのクールな機能を備えています。リンク上でインバウンドとアウトバウンドの両方のロードバランシングを制御でき、NPT66（プレフィックス変換）のようなハッキングに頼ることなくIPv6マルチホーミングを実行できます。IPアドレスを変更せずに地球の反対側に移動することさえできます;-)

自分でLISPを使用しており、オフィスネットワークにはアップストリームから独立した/ 26 IPv4ブロックと/ 48ブロックのIPv6アドレスがあります（1つの動的IPv4アドレスを持つUPCケーブル接続と静的IPv4アドレスの両方を持つSolcon DSL接続およびIPv6アドレスの静的ブロック）。Cisco 1841はオフィスでLISPを実行し、利用可能なリンクを使用してインターネットの残りの部分に接続します。1つのリンクが機能する限り、私のオフィスは独自のアドレスを使用して接続されます。

完全な開示：私はオランダで独自のLISPベースのISPを運営しているため、偏見があります。LISPはまだクールなプロトコルです:-)

プロバイダーの集約アドレスを使用したIPv6マルチホーミングでは、ネットワーク内の各ホストは、各プロバイダーから1つのアドレスプレフィックスを取得します。ホストスタック/アプリケーションのソースアドレス選択（RFC6724）およびSA / DAペアの選択（RFC6555）により、使用する出口が決まります。

つまり、ホスト/アプリケーションのソースアドレスの選択により、使用される終了リンクが選択されます。さまざまな実装がこれをさまざまな方法で行いますが、現時点ではどれもうまくいきません。

ネットワークはソースアドレス依存ルーティングを使用して、トラフィックを正しい出口に転送します。（それ以外の場合、BCP38（入力フィルタリング）は、ISP Bの送信元アドレスで送信されたパケットをISP Aにドロップします）。http://tools.ietf.org/html/draft-troan-homenet-sadr-01 を参照してくださいOpenWRTに実装があります。ただし、ポリシーベースのルーティングをサポートするルーターに適切に実装することもできます。

アプリケーションは、現在の接続が失敗したときに接続を変更する（別のSA / DAペアを選択する）のに十分なスマートでなければなりません。そうではありません。それまでの間、障害リンクのアドレスプレフィックスのライフタイムを0に設定することをお勧めします。つまり、新しい接続はそのアドレスを使用しません。

Q1。マルチホーミングをサポートするルーター/ファイアウォールをインストールできます。フリーソフトウェアに関しては、pfSenseがその法案に適合します。http://www.pfsense.org/。pfSenseのドキュメントでは、これをマルチWANと呼んでいます。http://doc.pfsense.org/index.php/Multi-WAN_2.0

pfSenseには自動フェールオーバーとロードバランシングがあります。

私が見つけたのは、マルチホームのときに少数のWebアプリが機能しないことです。Webアプリは通常、銀行のような金融サイトです。何らかの理由で、Webアプリのプログラマーは、IPアドレスに基づいてセキュリティをテストしてもよいと考えることがあります。このアクセスが必要なユーザーの場合、コンピューターのIPアドレスを予約し、pfSenseで "LANルール"を作成して、そのIPアドレスに他のゲートウェイではなく常に特定のゲートウェイを使用できます。

これは、ケーブルモデムとADSLモデムの組み合わせで非常にうまく機能することがわかりました。

Q2。IPv4と同様にIPv6でもマルチホーミングが機能しない理由はありません。ただし、pfSenseにはIPv6を適切に処理する完全にサポートされたリリースはありません。pfSenseの現在のバージョンは2.0xです。2.1がリリースされると、pfSenseは優れたIPv6サポートを持ち、マルチホーミングを含みます。

信頼できるデータセンターにリモートサーバー/ VPSをセットアップし、ルーターから各ISP経由でリモートサーバーへのVPNトンネルをセットアップできます。これで、自宅のルーターが帯域幅比に基づいてこれらのトンネルを介してパケットをルーティングでき、リモートサーバーはインターネットの残りの部分の間でトラフィックをルーティングできます。

欠点は、リモートサーバーに追加のCPU、ストレージ、および帯域幅のコストが発生することです。

利点は、両方のプロバイダーが提供する帯域幅全体を使用しながら、信頼性のフェールオーバーオプションを使用できることです。

私はOpenWRTをMultiwan（http://wiki.openwrt.org/doc/uci/multiwan）で使用しており、DSLとCable ISP間のマルチホームを自宅で行ってきました。とてもうまくいきました。企業ソリューションとしてアドバイスするつもりはありませんが、SOHOやホームセットアップには問題ありません。