Re: [FUG-BR] ISP Failover

2006-12-05 Por tôpico Felipe Neuwald
Olá Aristeu, bom dia.

Aristeu Gil Alves Jr escreveu:
 Felipe, vejo que quanto a saída concordamos, e o caso é relativamente
 trivial ao fazer balanceamento, ou qualquer outra coisa, com o
 route-to.

 Quanto a ser AS, é complicado ser AS, principalmente se vc não é
 provedor ou grande empresa. Caso vc não possua os criterios adotados
 pelo seu registrar, vc tem muitas possibilidades de ter o seu pedido
 de AS negado. Houve reuniões do GTER -  me foi elucidado de forma mais
 completa - que o numero minimo para obter um AS é 1000 IP's.
   
Pois é, isso é uma realidade. Na real, o mínimo necessário para ter AS é 
uma classe /20, equivalente a 4094 endereços IPs. Também acho que essa 
política pode ser alterada, para facilitar mais o funcionamento e a 
disponibilidade de redes de pequenas e médias empresas. Como faz um ISP, 
por exemplo, que está iniciando, tem uma base pequena de clientes, mas 
que quer garantir uma boa qualidade de serviço para seus clientes 
implementando BGP4 com multihoming?
 http://registro.br/info/cidr-request.txt
 ftp://ftp.registro.br/br-internet-drafts/draft-neves-ip-alloc-02.txt
 ftp://ftp.registro.br/in-notes/rfc1930.txt



 Novamente reforço, não precisamos ser obrigados a usar AS e BGP para
 ter uma resiliencia de entrada. Na maioria dos casos, vc pode ser
 auxiliado pelo DNS para ajudar na disponibilidade do seu site. O DNS é
 o  Domain Name System que faz a resolução de nomes para IP's e
 vice-versa. No link abaixo vc pode encontrar referências de como
 funciona. Realmente é muito interessante.
   
Sim, realmente dá para implementar uma solução estruturada em DNS, mas 
penso que uma solução à nível de roteamento *quando é possível* ser 
implementada é melhor.
 http://en.wikipedia.org/wiki/DNS

 Não esqueça de usar reply-to na entrada, assim vc pode manter uma rota
 simétrica para os pacotes, mesmo recebendo-os de links que não sejam
 rota padrão e estejam usando nat.
 []'s
   
É isso aí. =)

Abs,

Felipe.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] ISP Failover

2006-12-05 Por tôpico Aristeu Gil Alves Jr
Em 05/12/06, Felipe Neuwald[EMAIL PROTECTED] escreveu:
 Olá Aristeu, bom dia.

 Aristeu Gil Alves Jr escreveu:
  Felipe, vejo que quanto a saída concordamos, e o caso é relativamente
  trivial ao fazer balanceamento, ou qualquer outra coisa, com o
  route-to.
 
  Quanto a ser AS, é complicado ser AS, principalmente se vc não é
  provedor ou grande empresa. Caso vc não possua os criterios adotados
  pelo seu registrar, vc tem muitas possibilidades de ter o seu pedido
  de AS negado. Houve reuniões do GTER -  me foi elucidado de forma mais
  completa - que o numero minimo para obter um AS é 1000 IP's.
 
 Pois é, isso é uma realidade. Na real, o mínimo necessário para ter AS é
 uma classe /20, equivalente a 4094 endereços IPs. Também acho que essa
 política pode ser alterada, para facilitar mais o funcionamento e a
 disponibilidade de redes de pequenas e médias empresas. Como faz um ISP,
 por exemplo, que está iniciando, tem uma base pequena de clientes, mas
 que quer garantir uma boa qualidade de serviço para seus clientes
 implementando BGP4 com multihoming?

Uma reclamação recorrente de quem trabalha na borda que tenho visto
é receber uma extensa tabela de rotas com mascaras pequenas,
sobrecarregando o roteador. Mesmo que isso não seja uma prática muito
comum pelo que observei, se for adotada em larga escala, vai ter gente
que terá que mudar o roteador. :) Isso em minha parca observação das
palestras do GTER, que assisti via streaming. Outras pessoas poderiam
explicar melhor esse critério, haja vista que tem gente do registro.br
aqui na lista.

[]'s
-- 
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] ISP Failover

2006-12-04 Por tôpico Aristeu Gil Alves Jr
Felipe, vejo que quanto a saída concordamos, e o caso é relativamente
trivial ao fazer balanceamento, ou qualquer outra coisa, com o
route-to.

Quanto a ser AS, é complicado ser AS, principalmente se vc não é
provedor ou grande empresa. Caso vc não possua os criterios adotados
pelo seu registrar, vc tem muitas possibilidades de ter o seu pedido
de AS negado. Houve reuniões do GTER -  me foi elucidado de forma mais
completa - que o numero minimo para obter um AS é 1000 IP's.

http://registro.br/info/cidr-request.txt
ftp://ftp.registro.br/br-internet-drafts/draft-neves-ip-alloc-02.txt
ftp://ftp.registro.br/in-notes/rfc1930.txt



Novamente reforço, não precisamos ser obrigados a usar AS e BGP para
ter uma resiliencia de entrada. Na maioria dos casos, vc pode ser
auxiliado pelo DNS para ajudar na disponibilidade do seu site. O DNS é
o  Domain Name System que faz a resolução de nomes para IP's e
vice-versa. No link abaixo vc pode encontrar referências de como
funciona. Realmente é muito interessante.

http://en.wikipedia.org/wiki/DNS

Não esqueça de usar reply-to na entrada, assim vc pode manter uma rota
simétrica para os pacotes, mesmo recebendo-os de links que não sejam
rota padrão e estejam usando nat.
[]'s
-- 
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] ISP Failover

2006-12-01 Por tôpico c0re dumped
É uma ótima idéia e nos até pensamos em fazer isso com nossos dois links.

O único problema é que você vai até conseguir mandar os pacotes pra
fora da tua rede, só que devido ao segundo link do teu outro ISP ter
caído, eles não vão conseguir retornar (o link estará indisponível e
os roteadores de borda não conseguiram mandar o pacote pelo teu outro
link pq simplesmente esles não tem nenhum esquema de failover
apontando pra esse teu outro link).

Você terá que fechar algum tipo de contrato com o teu ISP solicitando
a redundância de links, desta forma os roteadores de borada saberão
que quando um link falhar, eles podem mandar por outro (quem gerencia
esse roteadores é o teu ISP, geralmente).


[]'s


2006/12/1, Aristeu Gil Alves Jr [EMAIL PROTECTED]:
 Pessoal,

 ISP Failover é utilizar dois ISP diferentes para em caso de problema
 no primeiro, o segundo assume sem problemas. Claro, é importante
 manutenir a rota padrão e algum balanceamento que estiver acontecendo
 tb (atualmente uso balanceamento no PF). Pode ser feito com um Hping
 em um servidor remoto ou algo assim...

 Gostaria de saber se alguem está implementando ISP Failover no
 FreeBSD, se usa, como está fazendo, e se há algum script já pronto
 disponível.


 Abs
 --
 Aristeu Gil Alves Jr
 -
 Histórico: http://www.fug.com.br/historico/html/freebsd/
 Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd



-- 

No stupid signatures here.
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] ISP Failover

2006-12-01 Por tôpico Aristeu Gil Alves Jr
Pois é, core, sei que existem soluções de redundância nos ISP's. Mas
se o ISP cai, e a redundancia interna dele não funciona, vc fica na
mão. Sabemos que isso acontece com qualquer ISP.

Hoje, têm uns roteadores baratinhos, como da d-link, ou outros da
cisco ou até appliance da sonicwall e outros, que fazem isso. É só
habilitar ISP Failover na interface e mandar pingar um servidor
externo que os pacotes obedecem a rota e o IP diferente para cada
interface, e o sistema do roteador/firewall faz a manutenção
necessária nas rotas.

Vai ser uma configuração mais ou menos assim:

ISP 1 - NAT - FW - Rede interna
ISP 2 - NAT /

Na real, Estou enfrentando o seguinte problema:

Usaria hping para verificar o link externo, OK. mas precisaria fazer
com que o hping usasse IP's e rotas diferentes para cada teste. Pensei
em usar policy routing no pf, mas gerando os pacotes no proprio
servidor parece que ele apenas obedece a rota padrão. Enfim, o resto
parece ser bem factível se conseguir superar este primeiro problema.


2006/12/1, c0re dumped [EMAIL PROTECTED]:
 É uma ótima idéia e nos até pensamos em fazer isso com nossos dois links.

 O único problema é que você vai até conseguir mandar os pacotes pra
 fora da tua rede, só que devido ao segundo link do teu outro ISP ter
 caído, eles não vão conseguir retornar (o link estará indisponível e
 os roteadores de borda não conseguiram mandar o pacote pelo teu outro
 link pq simplesmente esles não tem nenhum esquema de failover
 apontando pra esse teu outro link).

 Você terá que fechar algum tipo de contrato com o teu ISP solicitando
 a redundância de links, desta forma os roteadores de borada saberão
 que quando um link falhar, eles podem mandar por outro (quem gerencia
 esse roteadores é o teu ISP, geralmente).

-- 
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd


Re: [FUG-BR] ISP Failover

2006-12-01 Por tôpico Aristeu Gil Alves Jr
2006/12/1, Aristeu Gil Alves Jr [EMAIL PROTECTED]:
 Vai ser uma configuração mais ou menos assim:

 ISP 1 - NAT - FW - Rede interna
 ISP 2 - NAT /

 Na real, Estou enfrentando o seguinte problema:

 Usaria hping para verificar o link externo, OK. mas precisaria fazer
 com que o hping usasse IP's e rotas diferentes para cada teste. Pensei
 em usar policy routing no pf, mas gerando os pacotes no proprio
 servidor parece que ele apenas obedece a rota padrão. Enfim, o resto
 parece ser bem factível se conseguir superar este primeiro problema.


Bom, acabo de resolver o problema parcialmente... gostaria de poder
escolher a rota no Hping, mas farei usando a rota padrão no sistema. A
rede interna usará a rota padrão da politica de roteamento do pf
mesmo, e ficarei alternando a rota pardrão do sistema durante os
testes com hping.

Alguém tem mais idéias pra não ter que mexer na rota padrão do sistema
ou não poderei escapar disso mesmo?

-- 
Aristeu Gil Alves Jr
-
Histórico: http://www.fug.com.br/historico/html/freebsd/
Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd