ISP가 두 개인 듀얼 홈 사이트에 대한 모범 사례?

나는 두 개의 ISP (빠른 고가의 하나, 저렴하지만 느린 것)를 구독하고있다 그들은 서로 다른 기술, 케이블 및 ADSL을 사용하므로 단일 장애 지점이 많지 않으며 모든 통신 장비는 UPS에서 전원을 공급받습니다.

영국의 ISP는 상당히 임의의 패턴으로 다운됩니다. 몇 년 동안 두 ISP가 동시에 다운 된 순간이 아직 발생하지 않았으므로 여기에서 중단없는 인터넷 액세스를 원할 경우 2ISP 전략이 도움이됩니다.

그러나 문제는 이러한 향상된 가용성을 활용하기 위해 사이트의 네트워킹을 구성하는 방법입니다. 많은 ISP는 사용자가 자신의 AS 및 라우팅 프로토콜을 실행할 수 없으므로 정적 라우팅을 목적지별로 두 개의 송신 파이프에 분할하는 문제가 있습니다. 이것은 훌륭하지 않으며, 한 ISP가 행성의 얼굴을 떨어 뜨릴 때 수동 개입이 필요합니다. 수많은 스크립트의 도움으로 합리적인 중단없이 많은 노력을 기울이지 않고도 ISP 중단을 처리 할 수있게되었습니다. 그래도 좋지 않습니다. 일부 기술이 빠진 것 같습니다.

1. 일반적으로 더 좋은 방법이 있습니까?
2. IPv6 전용으로 더 나은 방법이 있습니까 (하나의 ISP에 이중 스택이 있고 다른 ISP에 터널링 할 수 있음)? 이는 IPv6의 확실한 혜택입니다.

공급자에게 어떤 종류의 장비를 연결하고 있습니까? Cisco 장치 인 경우 IP SLA를 사용하여 기본 ISP를 통해 8.8.8.8과 같은 대상을 ping 할 수 있습니다. 다른 정적 경로에 대한 응답 장애 조치를받지 않는 즉시. 구성 예 :

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

ISP1을 통해 8.8.8.8의 고정 경로를 설정하여 항상 해당 경로를 종료해야 할 수 있습니다. 실제로 8.8.8.8을 실제로 사용하는 경우 다른 IP를 선택하십시오. 그렇지 않으면 ISP1이 다운되면 연결할 수 없기 때문입니다.

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

사용 가능한 LISP 제공자 가 있는지 조사 할 수 있습니다. LISP는 연결된 업스트림 ISP와 독립적 인 사이트를 만들 수있는 프로토콜입니다. LISP ISP에서 하나 이상의 IP 주소를 가져 와서 연결된 모든 위치로 라우팅합니다. 터널링 기술이지만 많은 멋진 기능이 있습니다. 링크를 통한 인바운드 및 아웃 바운드로드 밸런싱을 모두 제어 할 수 있으며 NPT66 (접두사 변환)과 같은 해킹에 의존하지 않고도 IPv6 멀티 호밍을 수행 할 수 있습니다. IP 주소를 변경하지 않고도 지구 반대편으로 이동할 수도 있습니다. ;-)

LISP를 직접 사용하고 사무실 네트워크에는 업스트림과 독립적 인 / 26 IPv4 블록과 IPv6 주소 블록 / 48 블록이 있습니다 (동적 IPv4 주소가 하나 인 UPC 케이블 연결 및 정적 IPv4 주소가 모두있는 Solcon DSL 연결) 및 IPv6 주소의 정적 블록). Cisco 1841은 사무실에서 LISP를 실행하고 나머지 인터넷에 연결할 수있는 링크를 사용합니다. 하나의 링크가 작동하는 한 내 사무실은 자체 주소를 사용하여 연결됩니다.

전체 공개 : 네덜란드에서 LISP 기반 ISP를 운영하고 있기 때문에 편견이 있습니다. LISP는 여전히 멋진 프로토콜입니다 :-)

공급자 집계 주소를 사용한 IPv6 멀티 호밍에서 네트워크의 각 호스트는 각 공급자로부터 하나의 주소 접두사를 얻습니다. 호스트 스택 / 애플리케이션의 소스 주소 선택 (RFC6724) 및 SA / DA 쌍 선택 (RFC6555)에 따라 사용되는 종료가 결정됩니다.

즉, 종료 링크가 사용되는 호스트 / 애플리케이션의 소스 주소 선택을 선택합니다. 다양한 구현이 다양한 방식으로이 작업을 수행하지만 현재로서는 그다지 잘 수행되지 않습니다.

네트워크는 소스 주소 종속 라우팅을 사용하여 트래픽을 올바른 엑시트로 전달합니다. (그렇지 않으면 BCP38 (ingress filtering)은 ISP B의 소스 주소를 사용하여 ISP A로 보낸 패킷을 삭제했을 것입니다). http://tools.ietf.org/html/draft-troan-homenet-sadr-01을 참조하십시오 . OpenWRT에서 구현했습니다. 그러나 정책 기반 라우팅을 지원하는 모든 라우터에서도 합리적으로 구현할 수 있습니다.

현재 연결이 실패하면 응용 프로그램은 연결을 변경하기에 충분히 똑똑해야합니다 (다른 SA / DA 쌍 선택). 그렇지 않습니다. 그 동안에는 실패한 링크의 주소 접두사 수명을 0으로 설정하는 것이 좋습니다. 즉, 새 연결에서 해당 주소를 사용하지 않습니다.

Q1. 멀티 호밍을 지원하는 라우터 / 방화벽을 설치할 수 있습니다. 자유 소프트웨어의 관점에서, pfSense는 청구서에 적합합니다. http://www.pfsense.org/ . pfSense 문서는이를 다중 WAN이라고합니다. http://doc.pfsense.org/index.php/Multi-WAN_2.0

유용하게도 pfSense에는 자동 장애 조치 및로드 밸런싱 기능이 있습니다.

내가 찾은 것은 다중 홈이있을 때 소수의 웹 응용 프로그램이 작동하지 않는다는 것입니다. 웹 앱은 일반적으로 은행과 같은 금융 사이트입니다. 어떤 이유로, 웹 앱 프로그래머는 때때로 IP 주소를 기반으로 보안을 테스트하는 것이 좋다고 생각합니다. 이 액세스 권한이 필요한 사용자의 경우 컴퓨터의 IP 주소를 예약하고 pfSense에서 "LAN 규칙"을 만들어 항상 해당 IP 주소에 대한 다른 게이트웨이가 아닌 특정 게이트웨이를 사용할 수 있습니다.

케이블 모뎀과 ADSL 모뎀의 조합에 매우 효과적이라는 것을 알았습니다.

Q2. IPv4와 IPv6에서 멀티 호밍이 작동하지 않는 이유는 없습니다. 즉, pfSense에는 IPv6을 올바르게 처리하는 완전히 지원되는 릴리스가 없습니다. pfSense의 현재 버전은 2.0x입니다. 2.1이 릴리스되면 pfSense는 우수한 IPv6 지원을 제공하며 멀티 호밍을 포함합니다.

안정적인 데이터 센터에서 원격 서버 / VPS를 설정 한 다음 각 ISP를 통해 라우터에서 원격 서버로 VPN 터널을 설정할 수 있습니다. 이제 집에있는 라우터가 대역폭 비율을 기준으로 이러한 터널을 통해 패킷을 라우팅 한 다음 원격 서버가 나머지 인터넷 사이의 트래픽을 라우팅 할 수 있습니다.

단점은 원격 서버에 추가 CPU, 스토리지 및 대역폭 비용이 발생한다는 것입니다.

장점은 안정성을위한 페일 오버 옵션을 유지하면서 두 공급자가 제공 한 전체 대역폭을 사용할 수 있다는 것입니다.

집에서 DSL과 케이블 ISP 사이의 멀티 홈에 대해 한동안 Multiwan과 함께 OpenWRT를 사용했습니다 ( http://wiki.openwrt.org/doc/uci/multiwan ). 꽤 잘 작동했습니다. 기업 솔루션으로 조언하지는 않지만 SOHO 및 홈 설정에는 적합합니다.