¿La mejor práctica para un sitio de doble referencia con dos ISP?

Estoy suscrito a dos ISP, uno rápido y caro y uno barato pero más lento. Utilizan diferentes tecnologías, cable y ADSL, por lo que no hay mucho de un solo punto de falla, y todos mis equipos de comunicaciones funcionan con un UPS.

Los ISP en el Reino Unido caen en un patrón bastante aleatorio. Durante muchos años aún no he encontrado un momento en que mis dos ISP hayan caído simultáneamente, por lo que claramente la estrategia de dos ISP es útil si desea un acceso a la red ininterrumpido aquí.

Sin embargo, el problema es cómo organizar las redes de su sitio para aprovechar esta disponibilidad mejorada. Muchos ISP no le permiten ejecutar sus propios protocolos AS y de enrutamiento, por lo que la mayoría de las veces está atrapado en dividir su enrutamiento estático en sus dos tuberías de salida por destino. Esto es menos que brillante, y requiere intervención manual cuando un ISP cae de la faz del planeta. Con la ayuda de numerosos scripts, manejo las interrupciones del ISP con un éxito razonable y sin mucho esfuerzo, y se ha convertido en un negocio como siempre. Aunque no es genial. Parece que falta algo de tecnología.

1. ¿Hay una mejor manera, en general?
2. ¿Existe una mejor manera solo para IPv6 (tengo doble pila en un ISP y podría hacer un túnel en el otro)? Eso sería una bendición clara para IPv6.

¿Qué tipo de equipo tiene conectado a los proveedores? Si se trata de un dispositivo Cisco, podría usar IP SLA para hacer ping a un destino como 8.8.8.8 sobre el ISP primario. Tan pronto como no reciba una respuesta de conmutación por error a la otra ruta estática. Ejemplo de configuración:

! ISP1
ip route 0.0.0.0 0.0.0.0 x.x.x.x track 1
! ISP2
ip route 0.0.0.0 0.0.0.0 y.y.y.y 250
ip sla 1
icmp-echo 8.8.8.8 source-interface <ISP1_interface>
frequency 3
timeout 1000
ip sla schedule 1 life forever start-time now

Puede que tenga que poner una ruta estática para 8.8.8.8 sobre ISP1 para que siempre salga de esa ruta. Obviamente, si realmente usa 8.8.8.8, elija otra IP porque de lo contrario no tendrá acceso a ella si ISP1 falla.

!x.x.x.x is next-hop to ISP1
ip route 8.8.8.8 255.255.255.255 x.x.x.x

Es posible que desee investigar si hay un proveedor de LISP disponible. LISP es un protocolo que puede hacer que un sitio sea independiente de los ISP ascendentes a los que se conecta. Obtiene una o más direcciones IP del LISP ISP y las enrutan a donde quiera que esté conectado. Es una técnica de túnel, pero con muchas características interesantes. Puede controlar el equilibrio de carga entrante y saliente a través de los enlaces, puede hacer múltiples funciones IPv6 sin tener que recurrir a hacks como NPT66 (traducción de prefijo). Incluso podría mudarse al otro lado del planeta sin cambiar las direcciones IP ;-)

Yo mismo uso LISP y la red de mi oficina tiene un bloque de / 26 IPv4 y un bloque / 48 de direcciones IPv6 que son independientes de los ascendentes (una conexión de cable UPC con una dirección IPv4 dinámica y una conexión Solcon DSL con una dirección IPv4 estática). y un bloque estático de direcciones IPv6). Un Cisco 1841 ejecuta LISP en la oficina y utiliza cualquier enlace disponible para conectarse al resto de Internet. Mientras un enlace funcione, mi oficina está conectada usando sus propias direcciones.

Divulgación completa : ejecuto mi propio ISP basado en LISP en los Países Bajos, por lo que soy parcial. LISP sigue siendo un protocolo genial :-)

En IPv6 multi-homing con direcciones agregadas de proveedores, cada host en la red obtendrá un prefijo de dirección de cada uno de los proveedores. La selección de dirección de origen de la pila de host / aplicación (RFC6724) y la elección del par SA / DA (RFC6555) determina qué salida se utiliza.

Es decir, la elección del host / aplicación de la dirección de origen elige qué enlace de salida se utiliza. Varias implementaciones hacen esto de varias maneras, y ninguna lo hace muy bien en este momento.

La red utiliza el enrutamiento dependiente de la dirección de origen para reenviar el tráfico a la salida correcta. (De lo contrario, BCP38 (filtrado de ingreso) habría descartado un paquete enviado con la dirección de origen del ISP B al ISP A). Consulte http://tools.ietf.org/html/draft-troan-homenet-sadr-01. Tenemos una implementación en OpenWRT. Pero también se puede implementar razonablemente bien en cualquier enrutador que admita enrutamiento basado en políticas.

Una aplicación debe ser lo suficientemente inteligente como para cambiar la conexión (elija otro par SA / DA) cuando falla la conexión actual. No lo es Mientras tanto, nuestra recomendación es establecer la duración del prefijo de dirección del enlace que falla en 0, lo que significa que las nuevas conexiones no utilizarán esa dirección.

Q1. Puede instalar un enrutador / firewall que admita multihoming. En términos de software libre, pfSense cumple los requisitos. http://www.pfsense.org/ . Los documentos de pfSense se refieren a esto como Multi-WAN. http://doc.pfsense.org/index.php/Multi-WAN_2.0

Como ayuda, pfSense tiene conmutación por error automática y equilibrio de carga.

Lo que he encontrado es que una pequeña cantidad de aplicaciones web no funcionan cuando tienes varias casas. Las aplicaciones web suelen ser sitios financieros, como bancos. Por alguna razón, los programadores de aplicaciones web a veces piensan que está bien probar la seguridad en función de la dirección IP. Para los usuarios que necesitan este acceso, puede reservar una dirección IP para su computadora y crear una "regla de LAN" en pfSense para usar siempre una determinada puerta de enlace y no la otra para esa dirección IP.

Creo que esto funciona bastante bien para la combinación de módem por cable y módem ADSL.

Q2 No hay ninguna razón por la cual el multihoming no funcionaría tanto en IPv6 como en IPv4. Dicho esto, pfSense no tiene una versión totalmente compatible que maneje adecuadamente IPv6. La versión actual de pfSense es 2.0x. Una vez que se lance 2.1, pfSense tendrá un buen soporte de IPv6 e incluirá múltiples funciones.

Puede configurar un servidor remoto / VPS en un centro de datos confiable y luego puede configurar túneles VPN desde su enrutador al servidor remoto a través de cada ISP. Ahora su enrutador en casa podría enrutar paquetes a través de estos túneles en función de una relación de ancho de banda, y luego el servidor remoto puede enrutar el tráfico entre el resto de Internet.

La desventaja es que incurrirá en costos adicionales de CPU, almacenamiento y ancho de banda para el servidor remoto.

La ventaja es que puede usar todo el ancho de banda proporcionado por los dos proveedores y al mismo tiempo tener una opción de conmutación por error para mayor confiabilidad.

He usado OpenWRT con Multiwan ( http://wiki.openwrt.org/doc/uci/multiwan ) durante algún tiempo en casa para hacer una casa múltiple entre mi DSL y el ISP de cable. Funcionó bastante bien. No lo recomendaría como una solución corporativa, pero está bien para SOHO y configuraciones domésticas.