High available network
September 18th, 2009 | рубрики allied telesis, построение сетей
Тут была статья о строительстве отказоустойчивого узла организации с использованием двух маршрутизаторов AR770S и двух коммутаторов x600. Также был описан метод построения full-mesh VPN сети из большого кол-ва таких узлов. По неаккуратности я выдал чуть больше информации, чем мне было позволено Заказчиком этой сети. Глубоко сожалею о досадной оплошности и приношу извинения уважаемому мной Заказчику.
В читателям обещаю в дальнейшем написать новую статью, в которой опишу иные примеры того, как можно построить высоконадежный узел коммутации и маршрутизации на базе оборудования Allied Telesis.
Самых нетерпеливых приглашаю в личку.
теги: allied telesis, allied telesyn, ar750, ar770, resilient, router, x600, x900, x908, офисная сеть
7 Комментариев
September 18th, 2009
Лови:
1. Как будет работать НАТ на площадках при переключении?
2. Пиши FullMesh, а не просто MESH. ИМХО так понятнее
3. Почему не используется DMVPN? Или я туплю?
4. Как организуется выбор ближайшей точки (узла) для клиента?
5. Если этот узел не доступен, как обеспечивается поиск следующего?
6. Выдержит ли рутер 2 гбит Stateful Failover (с одной l в слове stateful) + VPN?
7. Балансировки трафика не будет?
8. КОнец читается очень скомкано.
9. Не хватает схематичной общей картинки а-ля визио, где будет клиент, схема узла и каналы. Картинки кабелирования имхо не читаются
Это сходу. ВОобще, как то…не внушает. Если хотел добиться понятности – пиши подробнее. Щёки раздуть – побольше натолкай умных терминов, не опускаясь до растолковывания etherchannel и типов подключений. Впрочем, придираюсь наверно. Один фиг, не за этот документ ты заказ поимеешь… (поимел)
Федька
September 18th, 2009
1. НАТ не используется
2. Масляное масло. Мой отчим надо мной ржал, когда я говорил, что, если едешь ко мне в гости, надо выходить из САМОГО первого вагона. Не просто из первого, а из САМОГО первого. Но, учитыва то, что MESH сети бывают разные, ок, понял, подчеркну, что оно Full Mesh.
3. Это кошачья тема, нам чуждая
Динамики нет, все статическое, да еще OSPF поверх. В реальности, на сайтах сетей около десятка разных.
4. Внешняя логика, клиентским софтом. Вне задачи.
5. Сеть работоспособна, если живо 3 узла из 12, при условии, что этьи три знают, что остальные девять погибли. По сути, учитывая географическую распределенность, сеть живет в условиях практически ядерной войны.
6. НАТа не предусмотренно. В т.ч. чтоб роутерчег моск себе не засирал.
Вообще, к слову, такой узел стоит около 10 к$ в терминах GPL.
Теоретическая нагрузка на крипто модуль (аппаратный) – 500 мбит/сек в AES256. Файрволл делается на другой части железки. В боевой эксплуатации всякую погань еще и x600 отсечет, ибо примитивные ACL 2-4 уровня там тоже есть. А два гига от железки стоимостью менее трех требовать… Совесть то поимей
7. Балансировки трафика не будет, но возможна. По условию задачи серверы сверхнадежны.
8. Конец скомкан, согласен. Но в пятницу вечером ниасилил.
9. Ниасилил придумать общую картинко, заказчег обещал поделиться. А кабелирование – да. Но зато все нарисовано :о)
Я еще не решил, что делать с этим кейсом. Наерное, в портфолио. Типа, я не просто барыга, а еще как-то мыслить могу. Над превращением в статью буду подумать
Пасип, дядь Федь.
September 21st, 2009
Доработал.
October 21st, 2009
В исходной постановке задачи неясны требования к производительности и сервисам, которые должны в этой сети жить. Как решение масштабируется ? Как осуществляется мониторинг и контроль SLA, если он конечно предусмотрен ?
October 21st, 2009
Заказчик не выдвигал требований к производительности, удовлетворившись заявленной. Предположительно, если сработает их бизнес-идея, сеть будет дорабатываться по факту загрузки. Теоретически, роутер AR770S выдерживает до полугигабита шифрованного трафика, и при этом натит и роутит @wire speed. Но я не знаю тех, кто это пробовал.
Как масштабируется? Ну, в плане, ноды должны обрастать субнодами, производитель не заявляет о максимально допустимом кол-ве шифрованных тунелей. Вообще, мне было бы проще сказать, что можно сделать, а что нельзя
Это клиентское оборудование в данном случае, термин SLA к нему не вполне применим. Мониторинг SLA, соответственно, не предусматривался. Вообще, маршрутизаторы и коммутаторы, использующиеся здесь, поддерживают приоритезацию трафика на основе информации 2 или 3 уровня, если вопрос был об этом. Причем x600 может применять политики QoS @wire speed, про AR770 не знаю, информации нет.
January 27th, 2010
Самое интересное – выбор на основе гео-положения..
Жаль что его тут нет
На ум из решений реализуемых аппаратно приходит только BGP. ито это с тем допущением что внутри одной гео-локации BGP-путь будет корочем…
January 28th, 2010
Вне задачи
Добавить комментарий