Soru Çoklu bağlantılı OpenBSD sistemi: Politika tabanlı yönlendirme ve mpath varsayılan rotalar


TL, DR Çok kanallı bir sunucu / ağ geçidi durumuyla OpenBSD ilke tabanlı yönlendirme yardımı mı yapacak? Eğer öyleyse, nasıl yapılandırabilirim?

Uzun Form

Uzak yönlendirme düğümlerine iki ISP bağlantısı ve VPN tüneli ile bir OpenBSD yönetiyorum.

Başlangıçta çeşitli metrikleri olan birden çok varsayılan rota kullandık - statik IP adresinden tercih edilen rota, bir NAT yönlendiricisi ve buna karşılık dinamik olarak ayrılmış adresler (temelde bir kablo modemi).

Pratikte bu ideal değildi, ama yeterince iyi çalışıyor. Ağ geçidinden kurulan yeni bağlantılar (bundan böyle basitçe 'gw' olarak anılacaktır), eğer daha yüksek hız, daha düşük gecikme rotasını seçmişse; ve bağlantı kesildiyse kablo modemden dışarı çıkın. Gelen bağlantı sadece diğer IP adresleri NAT'ın (dışarıdan yönlendirilemez) arkasında olduğundan daha iyi rotadan gelebilir.

Artık statik IP adreslerimizde DDoS risklerini azaltmak için trafiği "bulutta" ek bir proxy / VPN yönlendirici düğümleri üzerinden yönlendirmemiz gerekiyor.

Bunlar tünelden ağ geçidine bağlanıyor.

ilk. Daha sonra yönetici erişimimizin aralıklı olarak düşeceğini gördük.

Konuları daha da karmaşıklaştırmak için bu ağ geçidinin belirli VLAN'lara ek aktif arayüzleri vardır. Bu sorunla alakasızlar ama rahatsız edilemezler.

Olası çözüm

Politika tabanlı yönlendirme kullanmamız gerektiği izlenimim, rdomains. Sanırım bu, her üç ilgili arayüzüm için yönlendirme tabloları ve bunlardan herhangi biri ile ilgili herhangi bir bağlantı ( tun0 tünel arayüzü) bu alan için tablodan yönlendirilmelidir (ve böylece her birinin kendi varsayılan rotası olabilir).

Doğru yolda mıyım?

Arayüz ayarlarında bir şema ve bir sanitasyon listesi:

 ________
| tünel | _______
 ~~~ + ~~~~ | GW | ====== ++
    | ~ + ~ ~ ~ ~ ~ ||
    | _________ | | | ||
    + ----- | prefISP | ------------- + | | __ || ____ .........
           ~~~~~~~ w ~ | + ----- | Anahtar | ----- (Küme)
                                    | ~~~~~^^^^
           _________ ..... | ...... ||
          | fallISP | --------- (LAN / WiFi) === ++
           ~~~~~~~^^^^^^^^^^^^

    Diyagram: GW'ye tünelden, tercih edilen ISP'den ve GW veya kümeye (GW veya LAN'dan) erişirken asimetrik yönlendirmeden kaçınmak istiyorum.


 Sanitized arayüz bilgisi:

    em3: inet 123.45.67.118 netmask 0xfffffff8 yayını 123.45.67.119 tanım: prefISP
    em0: inet 10.1.1.100 netmask 0xffffff00 yayını 10.1.1.255 açıklaması: fallISP
    tun0: inet 192.168.2.2 -> 192.168.2.1 netmask 0xffffff00 açıklaması: tünel
    em1: VLAN_TRUNK
          vlan1000: inet 172.29.1.1 netmask 0xffffff00 yayını

Belirtildiği üzere: cm3 civarındadır tercih edilen (daha hızlı) ISP'ye olan bağlantımızdır; tun0 içinden geçer; em0 ofis LAN / Wifi ile aynı segmentte ve geri dönüş ISP olarak hizmet vermektedir; ve GW'nin kümeye ve anahtara ek bağlantıları vardır.


7
2018-01-26 18:47


Menşei




Cevaplar:


Yük dengeleme hayaline hoş geldiniz.

Bu mümkün, ancak en iyi rotanız ve ağrısız modunuz BGP yönlendirme protokolünü kullanmak ve politikaları kullanarak Aşağı Akım ve Yukarı Akım trafiğini yönetmek.

Bunun başarılı olabilmesi için, hem İSS'lerle hem de size dahili bir iBGP düğümü olarak dahil etmeleri için görüşmelisiniz, böylece rota yollarınızı internete aktarabilirsiniz.

Kendi Özerk Sistem Numaranızı istemeniz için doğru yol olacaktır. ve sahip olduğunuz tüm IP’lerinizi yönetin. Bu, gereksinimler nedeniyle başarmak için biraz karmaşıktır.

http://teamarin.net/2014/01/31/how-to-request-an-asn-from-arin/

Çok evli bir politika altında kalifiye olmanız gerekiyorsa,   Kullanılacak dış ağ geçidi protokolünü, IP adreslerini sağlar.   Şu anda ağınızda kullanımda olan AS numarası ve her birinin adı   sözleşmeli ile birlikte yukarı tedarikçileriniz ve / veya akranlarınız   Hizmetin en az iki tanesiyle doğrulanması.

Benzersiz yönlendirme politikası kapsamında hak kazanıyorsanız,   AS’nin yönlendirme politikasının yönlendirmeden farklı olacağını göster   sınırdaşlarının politikaları.

Hangi politikanın altında olursanız olun, bu sizin ilkiniz değilse   ASN talep eden zaman, bize ağın nasıl olduğunu da göstermeniz gerekecek.   ASN için talepte bulunmak, mevcut tüm AS'lerden otonomdur   ağınız da.

İşte BGP kullanarak Multihoming üzerinde güzel bir kağıt: http://aspath.net/BGP-MHing-HOWTO-whitepaper.pdf

Eğer istekli değilseniz, ISP'leriniz ile BGP oturumları oluşturamazsanız, o zaman diğer çözüm donanım tabanlı bir yük dengeleyiciyi yok etmektir. (teknik olarak, çoğu donanım, ürün özelliklerine ulaşmak için modifiye edilmiş BSD'yi çalıştırır. Bu yüzden, eğer bilgiye sahipseniz, bunu BSD çalıştıran bir sunucuda kurabilirsiniz, ancak hiçbir zaman ağ donanımları için özel donanımlara sahip bir donanım cihazının trhoguput'unu elde edemezsiniz. Ancak yükünüz büyük değilse (50 Mbps'den fazla) bunu yapabilirsiniz)


0
2018-03-21 17:22