ReBlock Dec 11 2009 at 22:28

Интересная задачка с PIX, ASA и 2-мя интернетами

1 min

1.2K

Comments 10

1x1 Dec 12 2009 at 00:56

1. Пробросить порт и со 2 бордера, присвойте домену два IP. Это будет лучше чем ничего. Вообще, для таких вещей придумали BGP и автономные системы, правда масштаб у Вас похоже не тот.
2. Балансировать на 2811 или на каждом из линуксовых гейтвеев (+ в случае линукса скрипты на случай падения), в поиске cisco/linux load balancing вернут кучу примеров.

viperet Dec 12 2009 at 02:58

У меня к одному линукс-серверу прикручено два интернет-канала, между ними сделано распределение трафика и простая отказоустойчивость. Незнаю, подойдет ли такое решение для вас, но возможно стоит почитать habrahabr.ru/blogs/linux/54748/

posix Dec 12 2009 at 08:03

>Неплохо было бы сделать не просто резервирование каналов инет, а так называемый Load balancing чтобы использовать их >равномерно, и в случае падения одного из них, весь трафик автоматом заруливался на доступный?

FreeBSD+pf+CARP

an0n1m0us Dec 12 2009 at 18:28

Начну с того, что схема ваша лично мне не нравится впринципе, ибо катализатор в качестве бутылочного горлышка. =) В подобной ситуации можно было бы поднять ещё один инстанц процесса веб-сервера и при помощи статического nat по dot1q прокинуть на него порт на отдельный виртуальный интерфейс. восходящий роутинг вам обеспечит сама система.

вариант 2: использовать обратную сетевую трансляцию на одном из бордеров, так, чтобы он транслировал внешние адреса в некий чёткий пул приватных (SNAT) на вашем веб-сервере прописываете соответственно роут в 0.0.0.0, эту некую подсеть и ваши приватные 192.168.х.х/х

ReBlock Dec 14 2009 at 11:46

Во втором варианте как я понимаю от второго бордера теряются реальные внешние IP — а этого не хотелось бы

an0n1m0us Dec 16 2009 at 16:20

так и есть. можно, конечно, прикрутить к вашей системе ещё и netflow листенер\syslog+aclmatch, но это обкладывание костылями далеко не самой удачной системы. Советую получить AS-ку и договориться с обеими аплинками о транзите.

Merlyel Dec 17 2009 at 07:42

>Проблему я вижу такой: например, запрос к WEB серверу извне инициируется на адрес 213.x.x.x, сервер получив запрос готовит ответ, и тут самое главное! на какой шлюз он отправит ответ?
Конкретно данный вопрос решается с помощью Source Based Routing.

ReBlock Dec 21 2009 at 19:57

Проблему решил так: пиксу и асу завел на подинтерфейсы 2811, настроил ip sla + ip cef. В итоге получил балансировку нагрузки и разрулил проблему доступности WEB сервера извне

Merlyel Dec 22 2009 at 18:26

А мой по моему коменту пробовал действовать?

ReBlock Dec 26 2009 at 09:27

Нет, изначально сильное желание было разруливать только на кисках

Show the best of all time