具有两个ISP的双宿主站点的最佳实践?


12

我订阅了两个ISP,一个快速昂贵的ISP,一个便宜但较慢的ISP。他们使用不同的技术,电缆和ADSL,因此没有太多的单点故障,而且我所有的通讯设备均由UPS供电。

英国的ISP以相当随机的方式下降。多年以来,我还没有遇到两个ISP同时掉线的情况,因此很明显,如果您希望在此不间断地访问网络,则采用双ISP策略非常有用。

但是,问题在于如何组织站点的网络以利用这种改进的可用性。许多ISP不允许您运行自己的AS和路由协议,因此您大多会按目的地在两个出口管道之间分配静态路由。这不尽人意,当一个ISP掉下地球时需要人工干预。在众多脚本的帮助下,我以合理的成功和不费吹灰之力来处理ISP中断,这已成为常态。不过不是很好。感觉缺少某种技术。

  1. 通常有没有更好的方法?
  2. 是否只有IPv6有更好的方法(我在一个ISP上有双栈,而在另一个ISP上可以隧穿)?对于IPv6来说,这无疑是一个福音。

有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以提供并接受自己的答案。
罗恩·莫平

Answers:


11

您与供应商连接的设备是什么?如果是Cisco设备,则可以使用IP SLA通过主要ISP ping诸如8.8.8.8之类的目的地。一旦您没有得到对其他静态路由的答复故障转移。配置示例:

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

您可能必须在ISP1上放置8.8.8.8的静态路由,以使其始终退出该路径。显然,如果您确实使用8.8.8.8,请选择另一个IP,因为否则,如果ISP1出现故障,您将无法访问该IP。

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

8

您可能想调查是否有可用的LISP提供程序。LISP是一种协议,可以使站点独立于与其连接的上游ISP。您从LISP ISP获得一个或多个IP地址,它们会将它们路由到您所连接的任何地方。这是一种隧道技术,但是具有很多很酷的功能。您可以控制链接上的入站和出站负载平衡,可以进行IPv6多宿主,而不必诉诸于NPT66(前缀转换)之类的黑客。您甚至可以在不更改IP地址的情况下移至地球的另一端;-)

我自己使用LISP,我的办公室网络有一个/ 26 IPv4块和一个/ 48 IPv6地址块,这些地址与上游无关(具有一个动态IPv4地址的UPC电缆连接和具有静态IPv4地址的Solcon DSL连接和IPv6地址的静态块)。Cisco 1841在办公室中运行LISP,并使用任何可用的链接连接到Internet的其余部分。只要一个链接有效,我的办公室就会使用自己的地址进行连接。

全面披露:我在荷兰运行自己的基于LISP的ISP,所以我有偏见。LISP仍然是一个很酷的协议:-)


5

在具有提供商聚合地址的IPv6多宿主中,网络中的每个主机将从每个提供商那里获得一个地址前缀。主机堆栈/应用程序的源地址选择(RFC6724)和SA / DA对选择(RFC6555)决定使用哪个出口。

即主机/应用程序选择使用哪个退出链接的源地址。各种实现都以各种方式完成此操作,目前尚无很好的方法。

网络使用依赖于源地址的路由将流量转发到正确的出口。(否则,BCP38(入口过滤)会丢弃使用ISP B的源地址发送给ISP A的数据包)。请参阅http://tools.ietf.org/html/draft-troan-homenet-sadr-01 我们在OpenWRT中有一个实现。但是它也可以在任何支持基于策略的路由的路由器上合理地实现。

当当前连接失败时,应用程序应该足够聪明以更改连接(选择另一个SA / DA对)。不是。同时,我们的建议是将失败链接的地址前缀的生存期设置为0,这意味着新连接将不使用该地址。


2

Q1。您可以安装支持多宿主的路由器/防火墙。在免费软件方面,pfSense非常合适。http://www.pfsense.org/。pfSense文档将其称为多WAN。http://doc.pfsense.org/index.php/Multi-WAN_2.0

有用的是,pfSense具有自动故障转移和负载平衡。

我发现,当您多宿主时,少数Web应用程序无法正常工作。Web应用程序通常是金融网站,例如银行。出于某种原因,Web应用程序程序员有时认为可以基于IP地址测试安全性。对于需要此访问权限的用户,您可以为其计算机保留一个IP地址,并在pfSense中创建一个“ LAN规则”以始终使用某个网关,而不使用其他网关。

我发现这对于电缆调制解调器和ADSL调制解调器的组合非常有效。

Q2。没有理由为什么多宿主在IPv6和IPv4中均不起作用。就是说,pfSense没有正确处理IPv6的完全支持的发行版。pfSense的当前版本为2.0x。一旦2.1发布,pfSense将提供良好的IPv6支持,并将包括多宿主。


1

您可以在可靠的数据中心中设置远程服务器/ VPS,然后可以在每个ISP上设置从路由器到远程服务器的VPN隧道。现在,您在家中的路由器可以根据带宽比率通过这些隧道路由数据包,然后远程服务器可以在Internet的其余部分之间路由流量。

缺点是您将为远程服务器带来额外的CPU,存储和带宽成本。

优点是您可以使用两个提供商提供的整个带宽,同时仍具有故障转移选项来提高可靠性。


By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.