VPN - 2 канала

Модераторы: Trinity admin`s, Free-lance moderator`s

AndreyS
Junior member
Сообщения: 6
Зарегистрирован: 19 окт 2007, 11:13
Откуда: Москва

VPN - 2 канала

Сообщение AndreyS » 23 окт 2007, 12:03

Всем доброго времени суток. Возникла идейка, но как реализовать ее (и вообще возможно ли) я не знаю  :oops: . Есть 2 сети, каждая выходит в инет через ZyWall 70 по 2-м WAN-ам. Соединил эти сети через VPN. Хочу создать 2-ой VPN канал между этими сетями используя оставшиеся WAN на каждом роутере. Подскажите пожалуйста, как можно это сделать.
P.S. тем самым хочу увеличить скорость обмена данными между этими сетями.  :)

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 23 окт 2007, 16:09

Вам нужен маршрутизатор, который умеет выполнять балансировку трафика. Например Cisco.  :)

AndreyS
Junior member
Сообщения: 6
Зарегистрирован: 19 окт 2007, 11:13
Откуда: Москва

Сообщение AndreyS » 23 окт 2007, 16:31

Спасибо за доступный ответ. Будем довольствоваться тем, что есть.  :D

kf_goldfish
Advanced member
Сообщения: 99
Зарегистрирован: 27 июл 2004, 14:22
Откуда: Minsk By
Контактная информация:

Сообщение kf_goldfish » 25 янв 2008, 16:06

and3008 писал(а):Вам нужен маршрутизатор, который умеет выполнять балансировку трафика. Например Cisco.  :)
Не обязательно. Балансировку трафика можно выполнять программно. Например ISA.

S3o
Junior member
Сообщения: 17
Зарегистрирован: 13 ноя 2007, 23:10
Откуда: Москва

Сообщение S3o » 28 янв 2008, 01:18

2WAN маршрутизаторы ProSafe серии NETGEAR тоже умеют балансировать нагрузку

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 28 янв 2008, 19:45

Хотелось бы уточнить у уважаемой публики каким таким образом указанные вами уст-ва выполняют балансировки нагрузки на WAN-каналах?

В Cisco это делается протоколами динамической маршрутизации.

Какими такими средствами указанные вами девайсы и софт умеют запихнуть один IP-пакет в один канал, другой IP-пакет в другой канал, проверять доступность каналов и не отправять трафик туда, где канал не работает и начинать отправлять, когда канал восстановится? Так же хочется заслушать чем можно выставить приоритетность того или иного канала или большую долю трафика запихнуть туда или сюда.

Как в Cisco это делается я прекрасно знаю и пользую. А в ISA и Netgear как с этим?

S3o
Junior member
Сообщения: 17
Зарегистрирован: 13 ноя 2007, 23:10
Откуда: Москва

Сообщение S3o » 28 янв 2008, 21:10

and3008 писал(а):Хотелось бы уточнить у уважаемой публики каким таким образом указанные вами уст-ва выполняют балансировки нагрузки на WAN-каналах?

В Cisco это делается протоколами динамической маршрутизации.

Какими такими средствами указанные вами девайсы и софт умеют запихнуть один IP-пакет в один канал, другой IP-пакет в другой канал, проверять доступность каналов и не отправять трафик туда, где канал не работает и начинать отправлять, когда канал восстановится? Так же хочется заслушать чем можно выставить приоритетность того или иного канала или большую долю трафика запихнуть туда или сюда.

Как в Cisco это делается я прекрасно знаю и пользую. А в ISA и Netgear как с этим?
Не думаю что принципы кардинально отличаются.
Последний раз редактировалось S3o 29 янв 2008, 00:44, всего редактировалось 1 раз.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 28 янв 2008, 23:11

А можно услышать что-то более конкретное?

Bormoto
Advanced member
Сообщения: 253
Зарегистрирован: 06 июл 2007, 22:20
Откуда: спб

Сообщение Bormoto » 29 янв 2008, 00:46

and3008 писал(а):А можно услышать что-то более конкретное?
Конкретно по MS ISA Server:
С использованием этого ПО невозможно реализовать балансировку vpn-подключений по независимым WAN-каналам в количестве n (n>1) к внешним узлам с произвольными ip-адресами. Когда-то было дополнительное ПО - Rainconnect for MS ISA от Rainfinity, которое позволяло осуществлять балансировку трафика через ISA сервер по нескольким внешним каналам. После поглощения могучим EMC, этот продукт больше не продается. Сам этот продукт не использовал, не успели купить, ничего про него сказать не могу.
Применительно к MS ISA часто путают балансировку трафика по нескольким WAN-каналам и возможность распределения vpn-соединений между несколькими ISA-серверами (версия 2004 и выше) Enterprise-версии, работающими в NLB-массиве с общим "вирутальным" ip-адресом. Да, там соединения могут распределяться, неоптимально, а в случае отказа одного из членов массива, соединения создаются заново с участием одного из работоспособных серверов массива.
При наличии нескольких WAN-каналов и использовании ISA серверов, обычно еще используют периодически исполняемый скрипт, проверяющий доступность каналов и управляющий значением адреса DG на внешнем сетевом интерфейсе, чтобы переключать  трафик на оставшийся в строю канал. Для случая с vpn-соединениями потребуется дополнительная логика действий - для установления тех же site-to-site соединений на новый "главный" ip-адрес.
Думаю, если, конечно, интересует результат, надо использовать изделие Cisco.

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 29 янв 2008, 01:56

Ну то есть на поверку выходит, что за банальным ping-ом кроется та самая фичастость. Ндя...

Я не поленился, полез на Netgear. Единственная модель, поддерживающая "балансировку" на WAN-каналах - это fvs336g и работает так:
1. Отказоустойчивость обеспечивается ping-ом или опросом DNS-сервера
2. Балансировка возможна, но она так же крайне примитивная.

Зарулить BGP, OSPF, EIGRP пока так никому и не удалось. Такие дела...

Bormoto
Advanced member
Сообщения: 253
Зарегистрирован: 06 июл 2007, 22:20
Откуда: спб

Сообщение Bormoto » 29 янв 2008, 23:50

and3008 писал(а):Ну то есть на поверку выходит, что за банальным ping-ом кроется та самая фичастость. Ндя...
Зарулить BGP, OSPF, EIGRP пока так никому и не удалось. Такие дела...
Думаю, в MS такой задачи никто и не ставил. ISA - хороший, устойчивый к неквалифицированному обращению и почти надежный proxy и firewall. Маршрутизация, в которой он опирается собственно на RRAS, практически ничего не добавляя, не его "конек". Да и отказоустойчивость для ISA влетает в копеечку - чуть более $6000 за сокет для enterprise-версии, тем более, что правильным считается физически разделить хост с configuration storage service (СSS), это такое хранилище настроек ISA Enterprise, и хосты с экземплярами ISA Server, подключенными к хранилищу. А с учетом, что CSS тоже желателен не один, то для "правильного" NLB-массива даже из двух узлов сумма набегает немалая. Windows, правда, можно использовать SE.
В общем, система "на любителя"...

S3o
Junior member
Сообщения: 17
Зарегистрирован: 13 ноя 2007, 23:10
Откуда: Москва

Сообщение S3o » 30 янв 2008, 00:48

and3008 писал(а):Ну то есть на поверку выходит, что за банальным ping-ом кроется та самая фичастость. Ндя...

Я не поленился, полез на Netgear. Единственная модель, поддерживающая "балансировку" на WAN-каналах - это fvs336g и работает так:
1. Отказоустойчивость обеспечивается ping-ом или опросом DNS-сервера
2. Балансировка возможна, но она так же крайне примитивная.

Зарулить BGP, OSPF, EIGRP пока так никому и не удалось. Такие дела...
Не только fvs336g, были другие модели и ещё помню что-то с wi-fi имеет 2 WAN порта с балансировкой.
А откуда вывод о примитивности?

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 30 янв 2008, 23:06

Не только fvs336g, были другие модели и ещё помню что-то с wi-fi имеет 2 WAN порта с балансировкой.
А откуда вывод о примитивности?
Давайте вы просто и без затей укажите модели устройств.

Примитивность в знании как это работает. Одно дело создать протокол и устройства, которые обеспечивают отказоустойчивость и балансировку (это я про EIGRP), другое дело тупо посылать один пакет в один интерфейс, второй пакет в другой интерфейс. Такая "сложная" задача решается студентом последнего курса технического вуза.

S3o, я ничего не имею против NetGear, однако ваша любовь к этой марке мне не понятна. У них нет никаких технологических изюминок. Обычный набор железа, который выпускает и продает любая китайско-корейская контора.

S3o
Junior member
Сообщения: 17
Зарегистрирован: 13 ноя 2007, 23:10
Откуда: Москва

Сообщение S3o » 31 янв 2008, 00:26

and3008 писал(а):
Не только fvs336g, были другие модели и ещё помню что-то с wi-fi имеет 2 WAN порта с балансировкой.
А откуда вывод о примитивности?
Давайте вы просто и без затей укажите модели устройств.

Примитивность в знании как это работает. Одно дело создать протокол и устройства, которые обеспечивают отказоустойчивость и балансировку (это я про EIGRP), другое дело тупо посылать один пакет в один интерфейс, второй пакет в другой интерфейс. Такая "сложная" задача решается студентом последнего курса технического вуза.
Так где написано что там всё так тривиально?
and3008 писал(а):S3o, я ничего не имею против NetGear, однако ваша любовь к этой марке мне не понятна. У них нет никаких технологических изюминок. Обычный набор железа, который выпускает и продает любая китайско-корейская контора.
Равно как и ваше фанатение от циски. Не понимаю людей для которых есть только (О, Боги) циска и наборы железа. Поясню что "наборы железа" различаются на хорошие и не очень. И из них надо выбирать, если нет желания или возможности платить в разы завышеную цену вашему идолу

and3008
Заслуженный сетевик
Сообщения: 1109
Зарегистрирован: 03 янв 2004, 23:30
Откуда: Н.Новгород

Сообщение and3008 » 31 янв 2008, 00:40

Так где написано что там всё так тривиально?
Написано в документации к fvs336g, которую я не поленился и прочитал.
Не понимаю людей для которых есть только (О, Боги) циска и наборы железа.
Предлагаю вам подтверждать свои слова техническими соображениями в пользу того или другого решения, а не общими рассуждениями о религии. Тогда будет взаимное понимание и уважение.

Предлагаю пустой флейм закончить.

Ответить

Вернуться в «Сети - Вопросы конфигурирования сети»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 8 гостей