Вопрос: Лучшее решение для отказоустойчивости Multi-WAN (внутри и снаружи)? [закрыто]


Ищете способ настроить 2 интернет-провайдера в режиме переключения при отказе, как для входящего, так и исходящего трафика, для нашей небольшой (<100 устройств) сети.

На данный момент ведущим претендентом является Peplink Balance 310, Однако реселлер, с которым я говорил, сказал, что он отлично подходит для 100% исходящей связи, но, похоже, не уверен в своих способностях справляться входящий трафик, Это важно, поскольку мы размещаем собственный веб-сайт, электронную почту Exchange и виртуальные рабочие столы (RDP).

Используют ли какие-либо владельцы Peplink для восстановления входящего трафика?

Есть ли другие устройства, которые я должен рассмотреть? В настоящее время мы используем маршрутизатор серии 1800 1800 и брандмауэр ASA 5500 с линиями Comcast и T-1 (целью является замена T на DSL / FiOS {всякий раз что становится доступным}).

Диапазон цен: ~ $ 1000 - $ 2500 USD.

Благодарю.


4
2017-09-09 15:02


Источник


Получил рекомендацию по Twitter для продуктов Elfiq (elfiq.com), глядя сейчас на LB-550E. - Sean O


Ответы:


Мы используем старый настольный ПК с PFSesne и некоторые сетевые платы с двумя головками и некоторые обычные ADSL-маршрутизаторы в режиме Bridged, с виртуальными IP-адресами для подключения к нашим IP-адресам, поставляемым поставщиком услуг. И он также поддерживает отказоустойчивость устройства, что обеспечивает еще большую избыточность.

Стоимость оборудования составляла почти 0, но время, затраченное на настройку и настройку устройства, может быть высоким - но это говорит о том, что, скорее всего, это произойдет с любым устройством балансировки нагрузки / отказоустойчивости, которое вы получите.


4
2017-09-09 20:36





Vyatta - дешево, быстро и просто в конфигурации, если вы используете Cisco до ...


2
2017-09-09 17:06





Я также искал решения для этого. Мы находимся в аналогичной ситуации и в настоящее время имеем T1 и Comcast Business в качестве наших двух ссылок.

В настоящее время мы используем Fortigate, который поддерживает несколько WAN-соединений. Ошибка в том, что трафик маршрутизации работает отлично.

Как мне кажется, лучше справиться с проблемой извне - BGP (протокол пограничного шлюза), который является протоколом динамической маршрутизации, который используют интернет-маршрутизаторы. В основном это позволяет вашему маршрутизатору информировать Интернет о том, как маршрутизировать трафик в свою подсеть. Из того, что я собрал, надеюсь, кто-то меня исправит здесь, если я ошибаюсь, но ваш маршрутизатор и оба ваших интернет-провайдера должны будут поддерживать BGP. Затем вам необходимо сопоставить маршрутизатор с маршрутизаторами вашего интернет-провайдера, называемыми соседи. Большинство интернет-провайдеров бизнес-класса, включая Comcast Business, поддерживают это, но взимают дополнительную ежемесячную плату за этот вариант.


2
2017-09-09 18:41



большие пальцы вверх для вещи, называемой BGP. если сотрудничество ISP с собственным общественным номером AS или подсети PI не требуется [но все проще и более переносимо, если у вас есть оба) - pQd
BGP предоставит вам то, что называется «многосетевой» сетью, что означает, что ваши IP-адреса останутся доступными через (или более) соединения, но на самом деле не обеспечивают балансировку нагрузки - возможность контролировать выбор трафика через BGP довольно ограничена. Возможно, вы справитесь с использованием какого-либо отказа DNS или балансировки нагрузки. Для работы с BGP вам необходимо: ASN ($ 500 / год от ARIN), блок 24 IP-адресов, оба провайдера, чтобы предоставить вам фиды BGP, маршрутизатор, который будет выполнять BGP, и опыт работы с BGP. Это может быть сложно. Если вы интернет-провайдер, вы, вероятно, хотите BGP, иначе нет. - Sean Reifschneider
Хорошая информация о парнях из BGP, спасибо. Реселлер Peplink упомянул также BGP, но сказал, что это довольно сложно и дорого, что дживется тем, что сказал Шон. - Sean O


Ваш реселлер сделал конкретные заявления, чтобы поддержать озабоченность по поводу способности Peplink обрабатывать входящий трафик? Peplink имеет встроенный авторитетный DNS, который заботится о распределении входящих пользовательских запросов. Я не вижу никаких проблем с этим подходом.


2
2017-09-10 04:12



Да, я подумал, что это было странно, что он сказал это, особенно когда я читал о функциях DNS устройства на телефоне :) Но он упомянул, что DNS «не был лучшим способом» для обработки входящей сети / электронной почты / RDP-резервирования , который, как я думал, был честной оценкой от кого-то, пытающегося продать продукт. - Sean O
Я считаю, что «DNS» является отраслевым подходом к балансировке входящей нагрузки и отказоустойчивости. Ваше разъяснение, по-видимому, предполагает, что реселлеру на самом деле не нравится «подход DNS», а не указывать на какой-либо конкретный продукт? Интересно, есть ли какие-либо другие предложения, которые он сделал для улучшения входящих LB-подходов. Благодарю. - keithchau


Раньше я использовал Fatpipe WARP box с встроенными динамическими настройками DNS, чтобы гарантировать, что входящий материал останется в живых.

http://www.fatpipeinc.com/warp/index.html


1
2017-09-09 15:56



Выглядит отлично, но ~ $ 15k довольно круто. Ищете что-то вокруг, о, 10x дешевле :) (отредактирует исходный пост) - Sean O


Я использую Peplink Balance 310 в своей компании. Он эффективно обрабатывает входящий трафик. Я использую его для маршрутизации входящих сообщений, электронной почты и SIP-вызовов (на сервер Asterisk). Благодаря встроенному DNS-серверу я могу загрузить баланс и пропустить входящий веб-трафик через три интернет-соединения. При коротком TTL с каждой DNS-записью время переключения происходит довольно быстро.

Учитывая его прочность и простоту использования, я рекомендую Peplink.


1
2017-09-10 03:53





Мы используем Ecessa Powerlink 60 для 3-х ISP-мультивариантов для выравнивания нагрузки исходящего трафика и избыточности входящей связи на 60 Мбит / с. Это просто работает, и с тех пор прошло 0 времени. Мониторинг / ловушки SNMP позволяют нам сообщать о статусе ссылки. Presales поможет вам в создании вашей конфигурации, и поддержка будет основана на США и очень хорошо осведомлена. Нет обратных звонков; просто дайте им свой серийный номер и проверьте свою учетную запись, и вы разговариваете с сетевым инженером.

Встроенный авторитетный DNS поддерживает записи хоста с типичными TTL <30 с для относительно быстрого сбоя сценария для входящего трафика, когда записи меняются из-за сбоя связи. Легко и просто настроить. По моему опыту время конвергенции BGP обычно превышает 100 секунд, и, как уже упоминалось ранее, представляет собой сложное решение, обычно используемое поставщиками услуг.

Другим решением, на которое мы смотрели серьезно, был Peplink. Старые устройства Sonicwall, а также новые Fortigate, Astaro или отличные бесплатные PfSense все падают при рассмотрении устойчивости к входящей ссылке; только Fortigate имел авторитарный DNS, разработанный с изменениями записи хоста, зависящими от статуса ссылки.

Если вам нужен брандмауэр, Ecessa имеет модель Shieldlink с базовыми функциями брандмауэра. Ни о чем не писать домой (PfSense более функциональный и бесплатный); он добавляет 500 долларов к стоимости 1800 PL-60.


1
2017-11-19 00:57





Мы используем SonicWall TZ 170 в течение более 3 лет, по крайней мере, который поддерживает двойные соединения для отказоустойчивости. Это дешево и довольно легко настроить. Это стоило мне всего 700 долларов, даже тогда.

Да, это может быть перегрузка на 100% для исходящего трафика. Конечные пользователи даже не заметят переключения между двумя линиями. Но для входа это немного сложно. Вот что я сделал в своем офисе.

Для электронной почты установите 2 записи MX для обоих IP-адресов с разными предпочтениями 10 для основной линии и 20 для резервного копирования. Это работает очень хорошо. Никакое электронное письмо не возвращается, если работает одна строка.

Для удаленного доступа я предоставляю двум URL-адресам конечному пользователю и прошу их попробовать по одному.

Для веб-сайтов мы сами не размещаем веб-сайт. но привязка двух IP-адресов к WWW DNS, похоже, не хороша для меня, это больше похоже на балансировку нагрузки. Я бы рекомендовал просто разместить его в elswhere, если у вас нет определенного приложения, которое работает на нем.

Надеюсь, поможет.


0
2017-09-09 18:02