2つのISP bgpトポロジ?


7

インターネットゲートウェイとしてpalo-altoファイアウォールを使用します。16個の静的IPアドレスがあります。1つは送信トラフィック(ユーザーがインターネットを閲覧する)に使用されます。残りは受信トラフィック(メールサーバー、ウェブサーバーなど)に使用されます。冗長な目的で、2番目のISPにサブスクライブします。新しいISPから16の新しい静的IPアドレスを購入します。そして、ここに構成の地獄があります。BGP、PIアドレス、AS番号などについて2日間読んでいます。しかし、私は何も理解していません。実践と全体的な理解なしの理論は何もありません。私はこれらのISPに電話をかけましたが、どちらのプロバイダーもルートを構成せず、AS番号を販売しないと言っています。自分で解決してみてください。私たちの小さなアジアの国では、LISPや他のクラウドベースルーティングソリューションはありません。次に何をしたらいいかわかりません。APNICに直接AS番号をリクエストする必要がありますか?ポリシーベースのルールでは、送信トラフィックの冗長性のみを構成できます。小規模なホスティングを冗長化するための信頼できるソリューションはありますか?AS番号とPIアドレスなしでBGPを構成することは可能ですか?


ただの提案(実用的ではないかもしれません):インフラストラクチャをデータセンター/コロケーション施設に配置します。これらには通常、探している冗長性があります。次に、それらのリソース(現在は単一のIPアドレスを持つ)に到達するまで、個別のISPと内部ルーティングプロトコル/ VPNを使用して、サイトからDCへの冗長性を実現できます。...ちょっとした考え。
Ronnie Royston、2015年

回答:


7

アジアでPI IPv4アドレスを取得できる場合でも、ISPがIPアドレスをルーティングしたくない場合は、何もできません。トンネルとLISPは問題のいくつかを解決する可能性があります(ここではLISPを使用しています)が、これはお住まいの地域では利用できないとすでに述べています。

BGPは、ASからIPアドレスをルーティングするために使用されるプロトコルです。BGPを実行するには、両方が必要です。16アドレスのブロックは小さすぎて、いずれにしてもBGPでルーティングできません。技術的には可能ですが、誰もあなたのルートを受け入れません。

独自のIPアドレスを取得してルーティングしたい場合などは、いくつかの投資を行う必要があります。APNICは通常の配布ではIPv4アドレスが不足しているため、いくつかの非常に厳しいルールに準拠する必要があります。私が正しく思い出した場合、現在のルールでは、すでにマルチホーム化されている必要があります。アドレスの25%(256の64%= 64)をすぐに、1年以内に50%(= 128)を正当化できる必要があります。ありそうにないあなたの現在の数字に基づく。可能であれば、APNICからAS番号を取得する必要があり、BGPセッションをセットアップしたいISPを見つける必要があります。これはおそらく、現在の契約よりも高価になります。その上、インターネットルーティングとBGPのしくみを学ぶには多くのことを学ぶ必要があります。そうでない場合は、他の誰かを雇って管理してもらう必要があります。

要するに、それはあなたの場合にはおそらく価値がないでしょう。


1.BGP以外に、いくつかのサーバーを外部で使用するための冗長なソリューションはありませんが、私は正しいですか?2. 1つの内部サーバーに対して2つの外部IPアドレスを使用するとどうなるでしょうか。そして、パブリックDNS cnameレコードをこれら2つのIPアドレスにポイントするだけですか?3.これらのAS番号とプロバイダーのルートを取得した場合、palo altoファイアウォールを使用するだけで十分でしょうか?または、ISPごとに1つずつ、ゲートウェイとして使用するルーターを購入する必要がありますか?
Алдар

1:BGPはインターネット上のアドレスをルーティングするプロトコルです。2:DNSに複数のアドレスを配置すると、それらすべてに依存するようになり、信頼性が低下します。3:単一のファイアウォールを使用すると、そのデバイスはSPOFになります。単一のISPはおそらくそれより冗長であるため、悪化するだけです...
Sander Steffann '20 / 04/15

networkengineering.stackexchange.com/questions/1745/…で、私がさまざまな回線を介して単一のISPである程度の冗長性を処理した方法を確認できます。
generalnetworkerror 2015

「2:DNSに複数のアドレスを配置すると、それらすべてに依存するようになり、信頼性が低下します。」あなたはこれについて確信を持っていますか?ほとんどのアプリケーションは、指定されたリストの最初のエントリを試行し、タイムアウト期間が経過した後、2番目のエントリに応答を移動しません。
cpt_fink 2015

それはいいことですが、これらのタイムアウトは長くなります
サンダー・ステファン2015

1

他のISPにフェールオーバーするようにPalo Alto Networksファイアウォールを構成できます。NATの2つのセットをセットアップする必要があります(1つはISPともう1つは1つずつ)、または1つはISPともう1つは2つのDMZを設定する必要があります(または1つのインターフェースに2つのサブネットをオーバーレイします)。インバウンドには両方を使用し、一方が失敗した場合はアウトバウンドに2番目にフェイルオーバーします。

ここから読み始めることができます


これは、サーバーの受信トラフィックに対しては機能しません。1つのリンクがダウンした場合、外部クライアントは、外部IPアドレスが変更されたときにサーバーに到達する方法をどのようにして知るのでしょうか。TTLが低いDNSレコードは、長期間にわたる停止に役立つ可能性がありますが、信頼性が非常に低く、効率的ではありません。
stevieb

それは絶対に機能します。あなたがすることは、各サービスに両方のISPからのアドレスを置くことです。2つのdnsサーバー、dns01、dns02があります。それぞれに、サービス用の1つのISPのアドレス空間用のサービスIPがあります。どちらもドメインのDNSサーバーとしてリストされています。すべてが起動すると、DNSクエリが両方に到達し、両方のアドレスを使用できます。壊れたときは、動作しているものが使用されます。
GeorgeB 2015年

例:DNS01.foo.comには、サービスのISP1 IPアドレスをリストするゾーンファイルがあります。DNS02.foo.comには、サービスのISP2 IPアドレスをリストするゾーンファイルがあります。両方のDNSサーバーがドメインにリストされています。ISP1がダウンすると、DNS01に到達できなくなります。DNS02はISP2アドレスをクエリに提供します。はい、それは「ジャンキー」ですが、静的にルーティングされたネットのフェイルオーバーはジャンキーです。
GeorgeB 2015年

あなたの言っていることがわかります。ただし、世界の他の地域では古いIPを指すレコードがすでにキャッシュされているため、キャッシュが期限切れになるまで再度名前を検索することはありません。期限切れになると、アップネームサーバーの名前が使用されます。それまでは、上流のDNSサーバーと同様に、ローカルのPCキャッシュには無効なレコードが含まれています。あなたは非常に低いTTLを使用する必要があり、誰もがそれらを尊重するわけではありません。そう、「ジャンキー」ですが、何もないよりはましだと思います:)
stevieb

ベンダー固有の方法でこれを行う別の方法があります。PANファイアウォールでDNSプロキシを有効にします。ISP1へのインターフェースのルールセットには、サービスのISP1アドレスの静的エントリがあります。ISP2へのインターフェースのルールセットで、ISP2アドレスのエントリ。クライアントは、DNSクエリが到達したインターフェイスに従ってアドレスを取得します。
GeorgeB 2015年

0

ASとPIなしでロードバランシングを行う方法がいくつかあります。

アウトバウンドの場合、ポリシールーティングによって実現

フェイルオーバーの受信トラフィックの場合は、動的DNSを使用することをお勧めします。プライマリISPが変更されると、サイトのDNS名(TTLが十分に短い)が新しいIPに変更され、クライアントはサイトへのアクセスを維持します。

DNSを2つのIPに同時に設定すると、クライアントでラウンドロビンIPを選択できます。

2つのIP間で定期的に(DNSレコードTTLに近い期間で)変更することでも、バランスをとることができます。同じ効果は、異なるクライアントに異なるIPを与えることをサポートするDNSサーバーを使用しています。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.