Super router/routery
Dan Lukes
dan at obluda.cz
Sat Oct 14 21:34:11 CEST 2006
Vladimir Dvorak napsal/wrote, On 10/14/06 19:23:
> a) failover management
>
> ... pri vypadku jednoho routeru okamzite prebira odpovednost druhy.
>
> b) load balancing
>
> ... zatez se bude dynamicky rozkladat, balancing.
>
> c) moznost firewallingu ( zde si uvedomuji uskali STATEFULL zalezitosti
> v pripade uziti dvou serveru coby routeru )
>
>
> Ma graficka predstava:
>
>
> router1
> LAN >------switch < > switch ---> Internet
> router2
> Kdybych se vydal cestou tech dvou stroju, dokazali byste mi prosim
> alespon nastrelit, jakou cestou se ubirat ?
Hoza tu zminil CARP s nutnosti dynamickeho routingu "vevnitr". Doba
"prepnuti" tak bude zaviset od rychlosti CARPu a onoho dynamickeho
routingu. Ledaze by se zcarpovatela i dvojice vnitrnich interfacu. Je
mozna nestastne kazdou stranu routeroveho clusteru resit jinak.
Kdyz uz CARP, pak asi na obou stranach.
Ja bych se ovsem priklanel k dynamickemu routingu (na obou stranach).
Nepredpokladam, ze nekdo, kdo ma 100Mbps pripojeni si nema moznost
dohodnout vic adres a dynamicky routing.
Ja osobne mam ale k CARPu ponekud neduveru, takze kdyz bych nemohl
pouzit dynamicky routing, zrejme bych oba stroje vybavil jeste jednou
sitovou kartou, propojil je krizenym kabelem a prepojovani bych si spis
resil sam na zaklade diagnostiky druheho strje pres tento kabel.
V zavislosti na konkretnim typu provozu existuji i dalsi moznosti
a) dualne adresovana vnitrni sit (kazdy router na vlastni blok vnitrnich
adres)
a1) prepinani se dela zmenou zaznamu v DNS (nevyhoda je, ze zaznamy, aby
to melo smysl, musi mit daleko kratsi TTL nez je nejkratsi doporucovane)
a2) spolecny vnejsi stroj, ktery provadi redirekt podle stavu vnitrni
site (to ale lze jen u protokolu, ktere to umoznuji)
> Myslenku lze verbalizovat takto: oba stroje budou mit jak ve smeru
> dovnitr tak ve smeru ven stejne IP adresy a ten, kdo na APR-REQUEST
> odpovi rychleji, pres toho se ramec posle.
Nejsem si moc jist, ze to je dobry napad. Pritomnost dvou stroju se
shodnou IP v jedne siti je oficialne nepripustna a nelze odhadnout, jak
se s neustalymi zmenami MAC adresy vyrovnaji jednotlive sitove stacky OS
pripojenych stroju. Navic, ARP dotazy se cacheuji a prepojeni konkretni
stanice by tak mohlo trvat i pomerne dlouho.
V balancovani zadny rozumny smysl nevidim.
Myslenka stavoveho filteru je pri teto konfiguraci ponekud nestastna.
Po zavade by doslo k rozpadu vsech spojeni - nicmene - mozna to, s
ohledem na provoz, ktery tam prochazi, nevadi.
Co je take potreba videt, ze z jednoho SPF (single point of failure),
kterym byl dosud juniper router vznikly dva - oba switche na kazde
strane routeroveho clusteru. Plus o dost slozitejsi sitova konfigrace,
at uz se pouzije CARP nebo dynamicky routing nebo jine reseni - a
slozitejsi konfigurace sama o sobe zvysuje pravdepodobnost celkoveho
vypadku.
Vysledna spolehlivost tak bude ve skutecnosti podstatne horsi, nez
"naivni odhad" (1-P)^2 - i kdyz pri trose opatrnosti bude patrne lepsi
nez spolehlivost puvodni ...
Vse zalezi od podminek, znalosti i investovanych penez.
Dan
+2P-PP
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list