multiple uplinks

Michal Rybárik michal.rybarik na ecce.sk
Pátek Červenec 11 10:04:55 CEST 2008 

zdravim,

Petr Bartel  wrote / napísal(a):
> potom asi nechapu na co ten navod na LARTC je pouzitelny. 
> moje predstava byla takova 
>
> - pokud vypadne pripojeni na jedne brane nasmerovat veskery provoz do
>   brany druhe (to minimalne http trafic), tedy outbound traffic
>   
tak to ani nie. ten navod na LARTC jak si ho pamatam nepreklapa gateway 
pri vypadku, nerobi failover. iba umoznuje staticky rozdelit traffic cez 
dve linky. mal som klienta ktory mal vo firme jeden 256kbps synchronny 
okruh az niekde do tramtarie (belgicko ci co) za hrozne velke peniaze, 
ktorym sa napajal na centralu, a povodne aj na internet, a potom ked uz 
aj v nasich koncinach zacalo byt dostupne DSL, tak si zaviedol kvoli 
internetu DSLku. presne toto sa riesilo cez ten postup na LARTC - subnet 
v materskej firme sa smeroval synchronnym okruhom a vsetko ostatne cez 
DSL. len jednoduchy routing nestacil.
> - load balancing ( chapu ze to jde jen s kazdym novym spojenim, vybrat
>   vychozi branu ), taky outbound
>   
nepamatam sa ze by sa to takto dalo.
> - na to ADSL jsem chtel namerovat backup MX a v nem to vnitrim natem
>   (port forwardingem) poslat na mailserver v DMZ, inbound
> - na stroji bezi openvpn (idealne to udelat jako multihome, tudiz v
>   pripade ze nepujde jedna brana pujde se rucne pripojit pres druhou,
>   druhym konfigurakem) - neni nutne hlavne aby to slo aspon na tom
>   jednom rozhrani, protoze ted to ma tendence posilat ty pakety pres obe
>   venkovni a tudiz to nechodi, inbound
> - nepretrzity pristup na web, bezi tam squid, tedy snad pouze vybrat
>   jednu (funkcni) z bran - to byl zakladni pozadavek, outbound
>   
nic z toho si nepamatam ze by slo tym postupom (multile uplinks) riesit. 
je to uz ale par rokov dozadu.

v kazom pripade jak uz ale kolega naznacil tak prehadzovat userov medzi 
IPckami nie je dobry napad (ba priam je velmi zly), dost WWW serverov ma 
session viazanu na IPcku klienta, ked sa v polovici prace zrazu objavi 
na inej IP, vyvola to chybu. ani nehovorim o internet bankingu a 
podobnych veciach pre ktore je psou povinnostou pri takychto veciach 
kricat na raty.

z mojich skusenosti, akekolvek spojenie dvoch nespolahlivych liniek 
dokopy, dava vo vysledku jednu linku, este menej spolahlivu (skusali sme 
to mnohymi sposobmi). na linuxe nepoznam sposob ako rozumne zabezpecit 
dynamicke rozkladanie trafficu medzi viac liniek, ale su na to rozne 
hardwarove krabicky v cene uz par tisic korun, co som pocul tak to 
funguje OK, radsej by som pouzil toto.

m.

Další informace o konferenci Linux