multiple uplinks
Michal Rybárik
michal.rybarik na ecce.sk
Pátek Červenec 11 10:04:55 CEST 2008
zdravim,
Petr Bartel wrote / napísal(a):
> potom asi nechapu na co ten navod na LARTC je pouzitelny.
> moje predstava byla takova
>
> - pokud vypadne pripojeni na jedne brane nasmerovat veskery provoz do
> brany druhe (to minimalne http trafic), tedy outbound traffic
>
tak to ani nie. ten navod na LARTC jak si ho pamatam nepreklapa gateway
pri vypadku, nerobi failover. iba umoznuje staticky rozdelit traffic cez
dve linky. mal som klienta ktory mal vo firme jeden 256kbps synchronny
okruh az niekde do tramtarie (belgicko ci co) za hrozne velke peniaze,
ktorym sa napajal na centralu, a povodne aj na internet, a potom ked uz
aj v nasich koncinach zacalo byt dostupne DSL, tak si zaviedol kvoli
internetu DSLku. presne toto sa riesilo cez ten postup na LARTC - subnet
v materskej firme sa smeroval synchronnym okruhom a vsetko ostatne cez
DSL. len jednoduchy routing nestacil.
> - load balancing ( chapu ze to jde jen s kazdym novym spojenim, vybrat
> vychozi branu ), taky outbound
>
nepamatam sa ze by sa to takto dalo.
> - na to ADSL jsem chtel namerovat backup MX a v nem to vnitrim natem
> (port forwardingem) poslat na mailserver v DMZ, inbound
> - na stroji bezi openvpn (idealne to udelat jako multihome, tudiz v
> pripade ze nepujde jedna brana pujde se rucne pripojit pres druhou,
> druhym konfigurakem) - neni nutne hlavne aby to slo aspon na tom
> jednom rozhrani, protoze ted to ma tendence posilat ty pakety pres obe
> venkovni a tudiz to nechodi, inbound
> - nepretrzity pristup na web, bezi tam squid, tedy snad pouze vybrat
> jednu (funkcni) z bran - to byl zakladni pozadavek, outbound
>
nic z toho si nepamatam ze by slo tym postupom (multile uplinks) riesit.
je to uz ale par rokov dozadu.
v kazom pripade jak uz ale kolega naznacil tak prehadzovat userov medzi
IPckami nie je dobry napad (ba priam je velmi zly), dost WWW serverov ma
session viazanu na IPcku klienta, ked sa v polovici prace zrazu objavi
na inej IP, vyvola to chybu. ani nehovorim o internet bankingu a
podobnych veciach pre ktore je psou povinnostou pri takychto veciach
kricat na raty.
z mojich skusenosti, akekolvek spojenie dvoch nespolahlivych liniek
dokopy, dava vo vysledku jednu linku, este menej spolahlivu (skusali sme
to mnohymi sposobmi). na linuxe nepoznam sposob ako rozumne zabezpecit
dynamicke rozkladanie trafficu medzi viac liniek, ale su na to rozne
hardwarove krabicky v cene uz par tisic korun, co som pocul tak to
funguje OK, radsej by som pouzil toto.
m.
Další informace o konferenci Linux