Re: Polityka bezpieczeństwa PWR PLIX vs niezawodność i wygoda.

eGospodarka.pl › Grupy › pl.internet.polip › Polityka bezpieczeństwa PWR PLIX vs niezawodność i wygoda. › Re: Polityka bezpieczeństwa PWR PLIX vs niezawodność i wygoda.

Path: news-archive.icm.edu.pl!news.gazeta.pl!not-for-mail
From: Komuch <k...@g...com>
Newsgroups: pl.internet.polip
Subject: Re: Polityka bezpieczeństwa PWR PLIX vs niezawodność i wygoda.
Date: Wed, 19 Jan 2011 18:45:47 +0100
Organization: "Portal Gazeta.pl -> http://www.gazeta.pl"
Lines: 50
Message-ID: <ih7806$j7v$1@inews.gazeta.pl>
References: <ih4abu$25q$1@inews.gazeta.pl>
NNTP-Posting-Host: kombinat.rz.izeto.pl
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: inews.gazeta.pl 1295459143 19711 91.192.167.111 (19 Jan 2011 17:45:43 GMT)
X-Complaints-To: u...@a...pl
NNTP-Posting-Date: Wed, 19 Jan 2011 17:45:43 +0000 (UTC)
X-User: komuch.mobile
In-Reply-To: <ih4abu$25q$1@inews.gazeta.pl>
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.6; pl; rv:1.9.2.13)
Gecko/20101207 Thunderbird/3.1.7
Xref: news-archive.icm.edu.pl pl.internet.polip:93739
[ ukryj nagłówki ]
W dniu 11-01-18 16:07, Sławek Lipowski pisze:
> Witam,
>
> Na początku postaram się przedstawić ogólny zarys problemu, później
> przejdę do konkretów. No to lecimy...
>
> Dawno dawno temu klient miał ruter na Debianie z Quagga. Dowolna jego
> awaria to był pad Internetu. Jakakolwiek prace przy nim musiała być
> planowana na godziny nocne, ponieważ wiązały się z pewnym lub
> ewentualnym padem dostępu do Internetu.
>
> Problem skończył się, gdy maszyna ta została zastąpiona przez dwie
> maszyny z Quaggą. Do każdego dostawcy są przynajmniej dwie sesje z dwóch
> różnych IP stykowych, jest iBGP między maszynami, jako next hop na
> wszystkich sesjiach BGP do danego dostawcy rozgłaszany jest IP różny od
> tych, z których zestawiane są sesje, i to IP migruje między maszynami
> dzięki VRRP (keepalived). Do tego momentu wszystko jest cacy. Można
> serwisować maszynę wyłączając ją całkowicie, zestaw jest odporny na pad
> jednej z maszyn.
>
> Kilka dni temu pojawił się wątek podpięcia tego układu do PLIXa i
> spotkaliśmy się ze ścianą. Podobnie jak u wszystkich dostawców,
> poprosiliśmy o trzy IPki z klasy stykowej, możliwość spięcia sesji BGP z
> dwóch z nich i rozgłoszenia trzeciego jako next hop. W odpowiedzi
> dowiedzieliśmy się, że pojedynczy port w PLIX to ze względów
> bezpieczeństwa jedno IP i jeden adres MAC.
>
> Stały i pojedynczy adres MAC generuje problem chociażby z VRRP w
> keepalived (brak vmac). Ponadto trzeba by było migrować między maszynami
> nie tylko IP i MAC, ale także i sesje BGP. Zależy nam, żeby przełączenie
> się maszyn nie powodowało zrywania wszystkich sesji BGP z PLIXem.
>
> Z AC-Xem spięliśmy się w ten sposób bez problemu. PLIX zaproponował
> zakupienie 3 portów, żeby mieć 3 adresy IP...
>
> Macie jakieś pomysły, jak to rozwiązać bez generowania nieuzasadnionych
> kosztów? Chcielibyśmy zachować możliwość położenia jednej (dowolnej) z
> maszyn bez degradacji ruchu.
>

Może nie wniosę dużo do wątku, ale jakiś czas temu ostro testowałem
Vyatte pod BGP właśnie.
Ona pozwalała na to, żeby obie maszynki po vrrp gadały po adresach
prywatnych a virtual IP miały rzeczywisty i tak samo mac...

A Vyatta to nic innego jak linux i quagga, prawda ? :)

Pozdrawiam