Наилучшая практика для сайта с двумя доменами с двумя провайдерами?

Я подписан на двух интернет-провайдеров, быстрый и дешевый, но более медленный. Они используют разные технологии, кабель и ADSL, поэтому нет единой точки отказа, и все мое коммуникационное оборудование питается от ИБП.

Интернет-провайдеры в Великобритании снижаются довольно случайным образом. За многие годы мне еще не приходилось сталкиваться с моментом, когда оба моих интернет-провайдера отключались одновременно, поэтому ясно, что стратегия с двумя интернет-провайдерами полезна, если вы хотите, чтобы здесь был непрерывный сетевой доступ.

Проблема, однако, заключается в том, как организовать сеть вашего сайта, чтобы воспользоваться этой улучшенной доступностью. Многие интернет-провайдеры не позволяют вам запускать собственные AS и протоколы маршрутизации, поэтому вы в основном застряли с разделением статической маршрутизации по двум выходным каналам по месту назначения. Это менее чем блестяще, и требует ручного вмешательства, когда один провайдер падает с лица планеты. С помощью многочисленных скриптов я справляюсь с отключениями интернет-провайдеров с разумным успехом и без особых усилий, и это становится обычным делом. Это не здорово, хотя. Такое ощущение, что некоторые технологии отсутствуют.

1. Есть ли вообще лучший способ?
2. Есть ли лучший способ только для IPv6 (у меня есть двойной стек на одном провайдере, и я могу туннелировать на другом)? Это было бы явным благом для IPv6.

Какое оборудование у вас есть для подключения к поставщикам? Если это устройство Cisco, вы можете использовать IP SLA для проверки связи пункта назначения, например 8.8.8.8, с основным провайдером. Как только вы не получите ответное переключение на другой статический маршрут. Пример конфигурации:

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

Возможно, вам придется поставить статический маршрут для 8.8.8.8 через ISP1, чтобы он всегда выходил из этого пути. Очевидно, что если вы действительно используете 8.8.8.8, выберите другой IP-адрес, потому что иначе у вас не будет доступа к нему, если ISP1 выйдет из строя.

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

Возможно, вы захотите выяснить, есть ли доступный поставщик LISP . LISP - это протокол, который может сделать сайт независимым от вышестоящих интернет-провайдеров, к которым он подключается. Вы получаете один или несколько IP-адресов от интернет-провайдера LISP, и они направляют их туда, где вы подключены. Это техника туннелирования, но с множеством интересных функций. Вы можете управлять как входящей, так и исходящей балансировкой нагрузки по ссылкам, вы можете использовать многоадресность IPv6, не прибегая к таким хаки, как NPT66 (трансляция префиксов). Вы даже можете переместиться на другую сторону планеты, не меняя IP-адреса ;-)

Я сам использую LISP, и в моей офисной сети есть блок / 26 IPv4 и блок / 48 IPv6-адресов, которые не зависят от вышестоящих потоков (кабельное соединение UPC с одним динамическим IPv4-адресом и DSL-соединение Solcon с обоими статическими IPv4-адресами и статический блок адресов IPv6). Cisco 1841 запускает LISP в офисе и использует любую доступную ссылку для подключения к остальной части Интернета. Пока работает одна ссылка, мой офис подключен по собственным адресам.

Полное раскрытие : я управляю своим собственным провайдером на основе LISP в Нидерландах, поэтому я предвзят. LISP по-прежнему крутой протокол :-)

В многоадресной передаче IPv6 с агрегированными адресами провайдеров каждый хост в сети получает один префикс адреса от каждого провайдера. Выбор адреса источника стека хоста / приложения (RFC6724) и выбор пары SA / DA (RFC6555) определяет, какой выход используется.

Т.е. выбор хостом / приложением исходного адреса выбирает, какая ссылка выхода используется. Различные реализации делают это по-разному, и ни одна из них не делает это очень хорошо в данный момент.

Сеть использует маршрутизацию, зависящую от адреса источника, для направления трафика на правильный выход. (В противном случае BCP38 (входная фильтрация) отбросил бы пакет, отправленный с исходным адресом провайдера B на провайдера A). См. Http://tools.ietf.org/html/draft-troan-homenet-sadr-01 У нас есть реализация в OpenWRT. Но это также может быть реализовано достаточно хорошо на любом маршрутизаторе, поддерживающем маршрутизацию на основе политик.

Приложение должно быть достаточно умным, чтобы изменить соединение (выбрать другую пару SA / DA) в случае сбоя текущего соединения. Это не так. В то же время мы рекомендуем установить время жизни префикса адреса неисправной ссылки на 0, что означает, что новые соединения не будут использовать этот адрес.

Q1. Вы можете установить маршрутизатор / брандмауэр, который поддерживает множественную адресацию. С точки зрения свободного программного обеспечения, pfSense отвечает всем требованиям. http://www.pfsense.org/ . В документах pfSense это называется Multi-WAN. http://doc.pfsense.org/index.php/Multi-WAN_2.0

Полезно, что pfSense имеет автоматическое переключение при сбое и распределение нагрузки.

Что я обнаружил, так это то, что небольшое количество веб-приложений не работают, когда вы работаете с несколькими домами. Веб-приложения обычно представляют собой финансовые сайты, например банки. По какой-то причине разработчики веб-приложений иногда считают, что можно тестировать безопасность на основе IP-адреса. Для пользователей, которым необходим такой доступ, вы можете зарезервировать IP-адрес для своего компьютера и создать «правило локальной сети» в pfSense, чтобы всегда использовать определенный шлюз, а не другой для этого IP-адреса.

Я считаю, что это работает довольно хорошо для комбинации кабельного модема и модема ADSL.

Q2. Нет причин, по которым multihoming не будет работать как в IPv6, так и в IPv4. Тем не менее, pfSense не имеет полностью поддерживаемой версии, которая правильно обрабатывает IPv6. Текущая версия pfSense - 2.0x. Как только выйдет 2.1, pfSense получит хорошую поддержку IPv6 и будет включать в себя множественную адресацию.

Вы можете настроить удаленный сервер / VPS в надежном центре обработки данных, а затем настроить VPN-туннели от маршрутизатора к удаленному серверу через каждого интернет-провайдера. Теперь домашний маршрутизатор может маршрутизировать пакеты через эти туннели на основе коэффициента пропускной способности, а затем удаленный сервер может маршрутизировать трафик между остальным интернетом.

Недостатком является то, что вы будете нести дополнительные расходы на процессор, хранение и пропускную способность для удаленного сервера.

Преимущество заключается в том, что вы можете использовать всю полосу пропускания, предоставляемую обоими провайдерами, при этом сохраняя возможность аварийного переключения для обеспечения надежности.

Я использовал OpenWRT с Multiwan ( http://wiki.openwrt.org/doc/uci/multiwan ) некоторое время дома, чтобы подключиться к нескольким домам между моим DSL и кабельным провайдером. Это работало довольно хорошо. Я бы не советовал это как корпоративное решение, но это нормально для SOHO и домашних установок.