Loadbalancing entre dois uplinks do isp

1

Eu tenho uma pergunta de rede que não consegui encontrar uma resposta para o google.

Atualmente temos no trabalho duas caixas ISP (roteadores), eu quero configurar um firewall para proteger uma intranet em um host local. O problema é que nem todos estão usando o mesmo roteador.

Aqui está a minha pergunta: como posso fazer para que todo o tráfego seja enviado para um local (firewall-loadbalancer), o loadbalancer alterna automaticamente entre os dois roteadores.

Eu não sou um especialista em rede apenas conhecimento básico de sub-redes ip endereçamento e firewall (iptable), mas eu sou um usuário avançado linux.

Thanx

    
por Chakib 17.05.2011 / 12:48

5 respostas

1

Publicamos um comentário para esclarecimentos adicionais, mas normalmente quando dois ISPs são usados para tráfego de saída de balanceamento de carga, um único firewall (ou par de firewall para failover) que é compatível com várias WANs (ou seja, tem pelo menos três interfaces discretas) os roteadores domésticos / consumidores geralmente têm um switch LAN e / ou LAN e 1 porta WAN).

Esse firewall é (em geral) o gateway padrão na rede e é usado para NAT e roteia o tráfego da Internet com base nas políticas de balanceamento de carga e roteamento, como round robin, round robin ponderado, src / dest IP etc.

Um excelente firewall de código-fonte aberto chamado pfSense pode fazer isso e pode ser instalado em hardware x86 convencional (ou em um ALIX dispositivo incorporado). Há também o Vyatta, que tem uma interface de linha de comando (CLI) semelhante ao IOS da Cisco.

EDITAR

Parece que você tem duas redes separadas fisicamente por trás de cada roteador / modem ISP. Você tem algumas opções:

  • mescle ambas as redes atrás de um firewall / roteador que tenha ISP1 e ISP2 conectados e com balanceamento de carga. Isso é o que eu recomendaria se você não fosse necessário para isolar as duas redes e supondo que elas são pequenas sub-redes (/ 24s), isso seria muito mais fácil de gerenciar.

  • Configure um roteamento intra-LAN: você precisaria ter pelo menos 4 interfaces em seu roteador central, duas interfaces WAN e duas interfaces LAN com roteamento / filtragem (se necessário) entre. Isso é levemente mais complicado e exigiria um roteador / firewall mais caro ou uma caixa com NICs adicionais se você fosse a rota open source / x86, mas manteria as duas redes isoladas.

  • Configurar o roteamento intra-VLAN: Você pode usar três interfaces, com duas WAN e uma como porta de tronco para LANs virtuais (VLANs) em uma configuração de "roteador fixo". O pfSense pode fazer isso, mas você precisaria de um switch gerenciado por VLAN (Camada 2) para fazer isso. Eu não recomendaria isso, pois isso pode ficar complexo / caro e de acordo com o seu nível de conhecimento de rede, isso é provavelmente um exagero.

por 17.05.2011 / 13:36
1

Certo, primeiro eu interpretei mal esta pergunta e escrevi um guia geral (não refinado) que você pode ler um pouco mais baixo, caso eu entenda mal e é isso que você está tentando alcançar. Depois de reler, escrevi:

Se esta é uma intranet interna pura e não haverá conexões de fora da rede, não há como controlar realmente o acesso no roteador, a menos que você coloque outro roteador entre a máquina de intranet e sua conexão, o que eu realmente não recomendaria.

Normalmente, os roteadores são apenas conexões de firewall que vão de uma interface para outra (Internet < Lan) e não filtram conexões internas (Lan < Lan), eu recomendaria usar um firewall de software básico (como o um construído no Windows) e definindo-o como estrito - apenas permitindo a porta 80 de conexões selecionadas, você também pode usar o Apache / IIS para permitir conexões apenas de determinados intervalos de IP.

.......

Difícil!

Isso depende da sua topologia de rede e, sem saber mais, é difícil ajudar.

Normalmente, você precisará de um roteador que suporte duas conexões, como o Draytek Vigor 2820 (Muitos outros - Google 2nd Wan / redundante wan etc.).

No entanto, a menos que você tenha algum tipo de conexão vinculada (quando do mesmo ISP), essas duas conexões terão IPs diferentes e qualquer um que se conecte à sua intranet será apenas por meio de uma das conexões. lá.

(Eu ia escrever mais antes de perceber que estava no caminho errado ... Se eu estivesse correto, me avise e continuarei).

    
por 17.05.2011 / 13:01
1

Qual é a sua configuração atual (hardware etc.?), quantos computadores se conectam a essa rede, todos precisam de acesso à Internet?

A essência básica seria: conectar os roteadores da Internet ao firewall, desabilitar a ponte nos roteadores. Loadbalance entre as duas conexões usando uma interface de ligação, em seguida, conecte o resto de sua rede a outra porta ethernet no seu firewall. Configure um servidor dhcpd no firewall, configure o iptables para rotear seu tráfego e seja seu firewall.

Se você quiser que a configuração seja perfeita, configure as informações acima em duas máquinas diferentes e faça com que elas sejam executadas no heartbeat. Dessa forma, quando uma das máquinas cai fora (por algum motivo) o outro vai assumir.

    
por 17.05.2011 / 13:06
1

Dê uma olhada no Controlador de link F5 Big-IP: link .

Pode fornecer as opções de que você precisa.

    
por 17.05.2011 / 14:57
0

Talvez você possa usar o Shorewall com o MultiISP .

    
por 17.05.2011 / 15:51