URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 22644
[ Назад ]

Исходное сообщение
"Разбираюсь с AS, Хочется советов, рекомендация"

Отправлено dxnet , 19-Май-11 20:20 
Здравствуйте.
Стоит вопрос о покупки AS, нужно обеспечить отказоустойчивость на входе.
Посмотрите здесь моя схема.
http://saveimg.ru/show-image.php?id=4fe87907fd037d0bb3ec2a35...
Значит на маршрутизаторы приходит два провайдера, на внутренних интерфейсах маршрутизаторов организован отказоустойчивый шлюз по умолчанию с помощью HSRP для ASA5540, которые работают в режиме active/standby. Между ними два свитча, чтобы обеспечить отказоустойчивость. На мой взгляд правильно. Поправьте если не так. За асой организацию сети не рассматриваем.

Второе. Нужно определиться, какие маршрутизаторы брать. Так получилось, что не плохо понимаю в ASA, но вот в модельном ряду маршрутизаторов не очень.
Читал, некоторые используют 2921 модель как относительно не дорогая. Кто говорит что не очень. Здесь опять же на счет bgp. Нужно ли прнимать от провайдеров full-view или можно обойтить маршрутом по умолчанию, и тогда не нужны более мощные маршрутизаторы. Также слышал что провайдеры могут не дать анонсом маршрут по умолчанию. Или можно один купить по слабее, другой посильне. По проекту один канал будет основным, второй резервным. Какие здесь могут быть рекомендации?

Также хотелось бы обратить на безопасность. Как поведут себя эти маршрутизаторы при DDOS, просто по характеристикам, по колличеству прнинимаемы пакетов и сессий они получаются слабее ASA 5540.
Если в случае с двумя провайдерами, независимыми каналами, вслучае бомбежки одного канал, можно предоставить сервис через другой. То здесь пока не совсем понятно.

Если не хватает каких-то входных данных, спрашивайте, напишу.
Спасибо!


Содержание

Сообщения в этом обсуждении
"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено cant , 20-Май-11 15:49 
> Здравствуйте.
> Стоит вопрос о покупки AS, нужно обеспечить отказоустойчивость на входе.
> Посмотрите здесь моя схема.
> http://saveimg.ru/show-image.php?id=4fe87907fd037d0bb3ec2a35...

Можно и без роутеров типа c2921. Поставьте cat3560, ему и DDOSы не страшны, и по bgp дефолты примет.
Провайдеры дефолт по bgp дадут всегда, это им проще и дешевле чем фулл-вью.

Можно и без HSRP, отдадите дефолт на ASA ospf-ом.

А так схема вполне рабочая, но не практичная. Из соображений - цена рисков / стоимость решения и эксплуатации, имеет смысл только в образовательных и интеграторских целях.
Если так, то вписывайте в качестве фулл-вью роутеров сразу пару asr1001, под ДДОСом скорее ASA сдохнет, чем они.

bgp на два канала(и горячим бэкапом и балансировкой) - это дело техники, все роутеры и L3 каталисты по bgp так умеют.  Помимо AS ещё PI-адреса ipv4 поспешите купить пока ещё есть.


"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено dxnet , 22-Май-11 10:59 
>[оверквотинг удален]
> фулл-вью.
> Можно и без HSRP, отдадите дефолт на ASA ospf-ом.
> А так схема вполне рабочая, но не практичная. Из соображений - цена
> рисков / стоимость решения и эксплуатации, имеет смысл только в образовательных
> и интеграторских целях.
> Если так, то вписывайте в качестве фулл-вью роутеров сразу пару asr1001, под
> ДДОСом скорее ASA сдохнет, чем они.
> bgp на два канала(и горячим бэкапом и балансировкой) - это дело техники,
> все роутеры и L3 каталисты по bgp так умеют.  Помимо
> AS ещё PI-адреса ipv4 поспешите купить пока ещё есть.

Спасибо.
Если можно, можете более подробнее почему так:
>А так схема вполне рабочая, но не практичная. Из соображений - цена
> рисков / стоимость решения и эксплуатации, имеет смысл только в образовательных
> и интеграторских целях.

Почему не практичная.
Просто мне все это придется обосновывать руководству.
Да еще ценник у asr совсем не гуманный, я точные цифры не нашел на данный момент, но как понимаю он где-то к ляму за штуку.


"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено dxnet , 22-Май-11 22:09 
>[оверквотинг удален]
>> фулл-вью.
>> Можно и без HSRP, отдадите дефолт на ASA ospf-ом.
>> А так схема вполне рабочая, но не практичная. Из соображений - цена
>> рисков / стоимость решения и эксплуатации, имеет смысл только в образовательных
>> и интеграторских целях.
>> Если так, то вписывайте в качестве фулл-вью роутеров сразу пару asr1001, под
>> ДДОСом скорее ASA сдохнет, чем они.
>> bgp на два канала(и горячим бэкапом и балансировкой) - это дело техники,
>> все роутеры и L3 каталисты по bgp так умеют.  Помимо
>> AS ещё PI-адреса ipv4 поспешите купить пока ещё есть.

Да еще добавлю. 2xASA 5540 уже есть в наличии. Поэтому отталкиваемся от них.


"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено universite , 23-Май-11 01:08 
> Да еще добавлю. 2xASA 5540 уже есть в наличии. Поэтому отталкиваемся от
> них.

Зачем оно вам?
Если есть железо, это не значит, что его нужно использовать.

моя схема:

свитч с вланами впереди.
В него втыкаются аплинки каждый в свой влан.
В этот свитч втыкаются два стоечных сервера с интеловскими сетевухами (1G вам с головой хватит)
В этот свитч втыкается линк к DMZ-SW. Сколько туда вланов запихать - вам решать.

Калькуляция портов:
  2 порта от аплинков
  2 порта от роут-сервера #1
  2 порта от роут-сервера #2
  1-2и более  порта к DMZ-SW

Требуется:
    8-ми и более гиг портовый свитч (с поддержкой мин 8 VLAN с матрицей коммутации 8Gbps и выше)   2 штуки  (головной и резервный)
    стоечный роут-сервер (с двумя 1G Intel) 2 штуки
  
Резервирование блоков питания и питания сами решите.

BGP - для общения с аплинками, OSPF для внутренней сети. На основе Quagga.



"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено dxnet , 23-Май-11 09:44 
>[оверквотинг удален]
>   2 порта от роут-сервера #2
>   1-2и более  порта к DMZ-SW
> Требуется:
>     8-ми и более гиг портовый свитч (с поддержкой
> мин 8 VLAN с матрицей коммутации 8Gbps и выше)  
> 2 штуки  (головной и резервный)
>     стоечный роут-сервер (с двумя 1G Intel) 2 штуки
> Резервирование блоков питания и питания сами решите.
> BGP - для общения с аплинками, OSPF для внутренней сети. На основе
> Quagga.

Роут-сервера не рассматриваются, такие требования, хотя ничего не имею против.
А asa выполняют свои функции феервола + в них стоят aip-ssm модули, для анализа угроз.



"Разбираюсь с AS, Хочется советов, рекомендация"
Отправлено cant , 23-Май-11 11:50 
> Если можно, можете более подробнее почему так:
>>А так схема вполне рабочая, но не практичная. Из соображений - цена
>> рисков / стоимость решения и эксплуатации, имеет смысл только в образовательных
>> и интеграторских целях.

Множество разнородных железок и технологий для достижения горячей отказоустойчивости, в этой отказоустойчивости зачастую проигрывает простым решениям с холодным резервированием. В основном увеличение даунтайма при траблешутинге частичных отказов(пограничные ситуации, не первышен порог переключения на резерв).
Это формально - не затрагивая экономическую сторону.
Доля человеческого фактора и форсмажора(который кладет любое решение в равной степени) в итоговом даунтайме настолько велика, что выгадывать небольшие проценты удваивая стоимость решения не практично.

> Почему не практичная.
> Просто мне все это придется обосновывать руководству.
> Да еще ценник у asr совсем не гуманный, я точные цифры не
> нашел на данный момент, но как понимаю он где-то к ляму
> за штуку.

Да, где-то от $20k за asr1001