Super router/routery
Ahoj vsem, rad bych se s vami poradil na tema - failover + load balancing routing. Vychozi situace je nasledujici: Sit s cca 70-ti servery pripojena ( prozatim ) 100 Mbit linkou do Internetu, 80% provozu je smerem ven. V soucasne dobe teto siti dela vychozi branu firewall od Juniperu. Tento Juniper je ale jiz po dlouhou dobu overloaded a hlavne, pri vypadku vznika velky problem - casova prodleva pri vymene za novy, oprava ... . Potrebuji nasadit takove routingove reseni, ktere bude splnovat dve zakladni kriteria: a) failover management ... pri vypadku jednoho routeru okamzite prebira odpovednost druhy. b) load balancing ... zatez se bude dynamicky rozkladat, balancing. c) moznost firewallingu ( zde si uvedomuji uskali STATEFULL zalezitosti v pripade uziti dvou serveru coby routeru ) Ma graficka predstava: router1 LAN >--switch < > switch ---> Internet router2 Existuje moznost nasadit "hardwarove" reseni typu Cisco nebo jiz zmineny Juniper - tomuto bych se rad vyhnul, zejmena kvuli cene - anebo dva servery ( mam zde k dispozici 2 x SunFire X2100 a Dual-Core Opteronem ) s unixem ( preferuji samozrejme FreeBSD ;-) ). Kdybych se vydal cestou tech dvou stroju, dokazali byste mi prosim alespon nastrelit, jakou cestou se ubirat ? Mam nekolik napadu, ale nejsem si uplne jist, zda jsou uplne optimalni. Myslenku lze verbalizovat takto: oba stroje budou mit jak ve smeru dovnitr tak ve smeru ven stejne IP adresy a ten, kdo na APR-REQUEST odpovi rychleji, pres toho se ramec posle. P.S. Zahledl jsem projekt BalanceNG, mate s tim nejake zkusenosti ? Diky moc za postrehy a napady. Vladimir -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
On Sat, 14 Oct 2006, Vladimir Dvorak wrote: >a) failover management > >... pri vypadku jednoho routeru okamzite prebira odpovednost druhy. carp(4) >b) load balancing > >... zatez se bude dynamicky rozkladat, balancing. proc? 100Mbit ti v pohode zvladne kazdy dnesni PC. Takze staci kdyz to pojede vzdy jen pres jeden. h. -- Jan Pechanec http://www.devnull.cz -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
On Sat, 14 Oct 2006, Jan Pechanec wrote: >>b) load balancing >> >>... zatez se bude dynamicky rozkladat, balancing. > > proc? 100Mbit ti v pohode zvladne kazdy dnesni PC. Takze staci kdyz >to pojede vzdy jen pres jeden. plus jsem zapomnel, ze na tech dvou strojich samozrejme musis mit nejaky dynamicky routing, aby ten co je za nima vedel kam to ma posilat. Ale jediny co (jestli to dobre chapu) budou ty dva stroje inzerovat je ten segment ke kterymu jsou pichnuty. ten slave to muze inzerovat s vetsi metrikou a pokud bys pouzil nestavovy ipfw(4), tak i to ti muze byt jedno. h. -- Jan Pechanec http://www.devnull.cz -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
Cau, Jan Pechanec wrote: > On Sat, 14 Oct 2006, Jan Pechanec wrote: > > >>> b) load balancing >>> >>> ... zatez se bude dynamicky rozkladat, balancing. >>> >> proc? 100Mbit ti v pohode zvladne kazdy dnesni PC. Takze staci kdyz >> to pojede vzdy jen pres jeden. >> > > plus jsem zapomnel, ze na tech dvou strojich samozrejme musis mit > nejaky dynamicky routing, aby ten co je za nima vedel kam to ma posilat. Ale > jediny co (jestli to dobre chapu) budou ty dva stroje inzerovat je ten > segment ke kterymu jsou pichnuty. > > A ja zas myslel, ze CARP je zalozen na podobnem principu jako VRRP (coz je teda navic standard) a tudiz nepotrebuje dynamicky routing, protoze je pouzita virtualni MAC adresa a stejna IP adresa. Synchronizace se deje pres dedikovany ethernet segment (HeartBeat). Jinak v komercni praxi bezne doporucuji HSRP, coz je teda proprietarni protocol CISCA, ale z business pohledu na to jsou firmy (CISCO partneri), ktere to umi nainstalovat, spravovat a servisovat. Jo a docela hezky popis CARP reseni je na http://www.countersiege.com/doc/pfsync-carp/ Osobne s CARPem nemam zkusenost, je tu nekdo kdo to ma rozchozeny? > ten slave to muze inzerovat s vetsi metrikou a pokud bys pouzil > nestavovy ipfw(4), tak i to ti muze byt jedno. > > h. > > Jinak s Pechym naprosto souhlasim, ze 100Mbps neni problem uroutovat beznym intelovym serverem. Pro priblizeni: trafic 80Mbps routuju a firewalluju (800 ipfw rules) na beznem intelu P3 s vytizenim procesoru na max 5%. Takze loadbalanceru bych se dalo v pohode vyhnout a HA resit pomoci CARPu, VRRP (**/usr/ports/net/freevrrpd)**, HSRP, ... K redundancy pomoci VRRP ve FreeBSD se da neco nacist na http://redundancy.org/fbsd_lb.html David. -- David Pasek [EMAIL PROTECTED] Mobile: +420 602 525 736 -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
David Pasek wrote: > K redundancy pomoci VRRP ve FreeBSD se da neco nacist na > http://redundancy.org/fbsd_lb.html Medzi nami: Myslis si, ze tento freevrrpd funguje? Posledny funkcny stav som zaregistroval niekedy v obdobi FreeBSD 4.6. otis -- Juraj Lutter| /\ ASCII Ribbon Campaign otis (at) wilbury.sk| \/ - NO HTML/RTF in e-mail http://www.wilbury.sk/ | /\ - NO Word docs in e-mail -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
Vladimir Dvorak napsal/wrote, On 10/14/06 19:23: > a) failover management > > ... pri vypadku jednoho routeru okamzite prebira odpovednost druhy. > > b) load balancing > > ... zatez se bude dynamicky rozkladat, balancing. > > c) moznost firewallingu ( zde si uvedomuji uskali STATEFULL zalezitosti > v pripade uziti dvou serveru coby routeru ) > > > Ma graficka predstava: > > > router1 > LAN >--switch < > switch ---> Internet > router2 > Kdybych se vydal cestou tech dvou stroju, dokazali byste mi prosim > alespon nastrelit, jakou cestou se ubirat ? Hoza tu zminil CARP s nutnosti dynamickeho routingu "vevnitr". Doba "prepnuti" tak bude zaviset od rychlosti CARPu a onoho dynamickeho routingu. Ledaze by se zcarpovatela i dvojice vnitrnich interfacu. Je mozna nestastne kazdou stranu routeroveho clusteru resit jinak. Kdyz uz CARP, pak asi na obou stranach. Ja bych se ovsem priklanel k dynamickemu routingu (na obou stranach). Nepredpokladam, ze nekdo, kdo ma 100Mbps pripojeni si nema moznost dohodnout vic adres a dynamicky routing. Ja osobne mam ale k CARPu ponekud neduveru, takze kdyz bych nemohl pouzit dynamicky routing, zrejme bych oba stroje vybavil jeste jednou sitovou kartou, propojil je krizenym kabelem a prepojovani bych si spis resil sam na zaklade diagnostiky druheho strje pres tento kabel. V zavislosti na konkretnim typu provozu existuji i dalsi moznosti a) dualne adresovana vnitrni sit (kazdy router na vlastni blok vnitrnich adres) a1) prepinani se dela zmenou zaznamu v DNS (nevyhoda je, ze zaznamy, aby to melo smysl, musi mit daleko kratsi TTL nez je nejkratsi doporucovane) a2) spolecny vnejsi stroj, ktery provadi redirekt podle stavu vnitrni site (to ale lze jen u protokolu, ktere to umoznuji) > Myslenku lze verbalizovat takto: oba stroje budou mit jak ve smeru > dovnitr tak ve smeru ven stejne IP adresy a ten, kdo na APR-REQUEST > odpovi rychleji, pres toho se ramec posle. Nejsem si moc jist, ze to je dobry napad. Pritomnost dvou stroju se shodnou IP v jedne siti je oficialne nepripustna a nelze odhadnout, jak se s neustalymi zmenami MAC adresy vyrovnaji jednotlive sitove stacky OS pripojenych stroju. Navic, ARP dotazy se cacheuji a prepojeni konkretni stanice by tak mohlo trvat i pomerne dlouho. V balancovani zadny rozumny smysl nevidim. Myslenka stavoveho filteru je pri teto konfiguraci ponekud nestastna. Po zavade by doslo k rozpadu vsech spojeni - nicmene - mozna to, s ohledem na provoz, ktery tam prochazi, nevadi. Co je take potreba videt, ze z jednoho SPF (single point of failure), kterym byl dosud juniper router vznikly dva - oba switche na kazde strane routeroveho clusteru. Plus o dost slozitejsi sitova konfigrace, at uz se pouzije CARP nebo dynamicky routing nebo jine reseni - a slozitejsi konfigurace sama o sobe zvysuje pravdepodobnost celkoveho vypadku. Vysledna spolehlivost tak bude ve skutecnosti podstatne horsi, nez "naivni odhad" (1-P)^2 - i kdyz pri trose opatrnosti bude patrne lepsi nez spolehlivost puvodni ... Vse zalezi od podminek, znalosti i investovanych penez. Dan +2P-PP -- Dan Lukes SISAL MFF UK AKA: [EMAIL PROTECTED], [EMAIL PROTECTED],[EMAIL PROTECTED] -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
Zdravim v krouzku prosazovatelu "Hi-tech" reseni, David Pasek wrote: > A ja zas myslel, ze CARP je zalozen na podobnem principu jako VRRP (coz > je teda navic standard) a tudiz nepotrebuje dynamicky routing, protoze > je pouzita virtualni MAC adresa a stejna IP adresa. Synchronizace se > deje pres dedikovany ethernet segment (HeartBeat). > > Jinak v komercni praxi bezne doporucuji HSRP, coz je teda proprietarni > protocol CISCA, ale z business pohledu na to jsou firmy (CISCO > partneri), ktere to umi nainstalovat, spravovat a servisovat. Obzvlaste to posledni slovo je pekne. Ja jsem stara konzerva, vi se to o me a tak kdyz mi to chteli na pripojce nasadit, tak jsem rikal, ze je mi to vlastne jedno a ze si rad pockam. Jen jsem povzdechl, ze to je cca 3 mesice, co jeden nejmenovany celorepublikovy datovy operator (a ISP samosebou) prisel diky kouzlum HSRP o velkou cast site a trvalo to nekolik dlouhych hodin, nez zacala vetsina republiky zase fungovat. Po nekolika mesicich jsem se dozvedel, ze chteji spat a tech par vterin vypadku, nez to OSPF preklopi (ktery leta slape ke spokojenosti) za tu vymozenost nestoji. A ted k puvodnimu dotazu. Pokud mas v tuto chvili jen neden router a je vubec pripoustne, aby mohl nastat vypadek, tak zmena k vypadku v radu vterin bude znacnym zlepsenim. A pokud to neni primo v zadani, tak bych si nekomplikoval zivot. Ono je stejne otazkou, jak to ma zarizene tvuj ISP, abys nedelal opicarny a pak to cele stejne umre, kdyz uklizecka u tveho IPS vypne UPS... Prilis malo se pise o tom, co je to za servery (OS, moznost ovladani a t.d). To vse musis posoudit a podle toho se rozhodnout. Reseni je opravdu mnoho. Jirka -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
Ahoj, nejdriv bych jeste zareagoval na Vladimirovo pozadovane schema router1 LAN >--switch < > switch ---> Internet router2 Myslim si, ze i kdyz nasadis 2x router, tak tam mas Single Point of Failures na switchich, ktere tam mas vzdy 1x. Jestli chces odstranit vsechny SPOF, tak potrebujes dosahnout 2x ethernet kabel od ISP a vse redundantne --- switch --- router1 --- switch --- switch ISP LAN >-- x x x x ---> Internet --- switch --- router2 --- switch --- switch ISP na routerech HSRP/VRRP/CARP na switchich STP/RSTP no a pak vsechny dulezite servery v clusteru, a ... pak jsme na milionovych resenich, kdy zakaznik zacne resit, ze se vlastne s nejakym SPOFem holt smiri :) Juraj Lutter wrote: > David Pasek wrote: > >> K redundancy pomoci VRRP ve FreeBSD se da neco nacist na >> http://redundancy.org/fbsd_lb.html >> > > Medzi nami: Myslis si, ze tento freevrrpd funguje? Posledny funkcny stav > som zaregistroval niekedy v obdobi FreeBSD 4.6. > Prave ze nevim v jakem je to stavu na FreeBSD. Kdyz uz to tady Vladimir nadhodil, tak je dobre si rict, co je obecne k dispozici a jestli s tim ma nekdo nejakou praktickou zkusenost na FreeBSD. CARP vypada na prvni precteni zajimave, VRRP je standard a je implementovan i na L3 switchich nekterych dodavatelu. Mel by to byt podle vseho obecne podporovany standard pro routerovou redundancy. Jak jsem psal - v praxi mam u jednoho zakaznika rozchozene HSRP mezi trema CISCO routerama a s nicim jinym zatim nemam praktickou zkusenost. Zase az tak moc me to netrapi, ale kdyby se nekdo pochlubil rozchozenou instalaci nejakeho High Availability router/firewall reseni, tak urcite vsichni budeme radi. Asi vsichni vime, ze papir (web page) snese hodne, ale dulezite jsou prakticke zkusenosti. Takze Otis, mas nejakou (kladnou, nebo zapornou) zkusenost s freevrrpd? > otis > > > Jeste rovnou zareaguji na Jirkovi a Danovi prispevky: Je fakt, ze je to vsechno o zadavacich podminkach, pozadavcich a nutnosti rychleho zotaveni z vypadku. U nekterych zakazniku vypadek v radech hodin stoji deseti tisice korun/dolaru a chteji byt proti tomu chraneni. Pocit bezpeci jsou si ochotni zaplatit a pak je otazkou jestli existuje rozumne techhnicke reseni, ktere se blizi jejich predstavam. HSRP, VRRP, CARP resi podle meho nazoru pouze problem hardwaroveho vypadku routeru/firewallu (stroje). Dynamicky routing je asi obecne lepsi reseni, protoze resi i vypadek spoje, ale je potreba se domluvit s ISP, coz vetsinou neni uplne trivialni. Mel jsem to takto udelane na SITELu s jednim VoIP providerem, ale to byla spis vyjimka, nez pravidlo. Proto se vetsina firem spoleha na SLA s ISP na konektivitu a resi si fail overy na svych strojich, coz vetsinou zacina na jeho hranicnich routerech. U ISP bych ocekaval naopak reseni pomoci dynamickeho routingu. David. -- David Pasek [EMAIL PROTECTED] Mobile: +420 602 525 736 -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
ibm ThinkPad r51 - nejde mys (6.2prerelease)
Ahoj, jiz par tydnu resim, ze mi nejde na IBM ThinkPad r51(6.2prerelease) mys. Tedy ani trackpoint a ani touchpad. Stalo se to prechodem na verzi 6.2PR a jiz nevim z jake (tedy drive to slo). /dev/psm* neexistuje, ale v jadri ovladace mam moused -p /dev/sysmouse nic nenahlasi a mys stejne nejde. v dmesg neni nic o zarizeni psm a ani o . Chyba se vlastne projevuje jenom tak, ze hejbu mysi, ale kurzor je porad v puvodni poloze. Zkousel jsem i v /boot/device.hint menit flagy k psm0, ale zadna zmena. diky za jakekoli rady, pripadne co mam jeste poslat za informace k uspesnemu vyreseni? Dik michal -- Hi! I'm a .signature virus! Copy me into your ~/.signature to help me spread! -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: ibm ThinkPad r51 - nejde mys (6.2prerelease)
michal_sjx napsal/wrote, On 10/15/06 00:10: > /dev/psm* neexistuje, ale v jadri ovladace mam > pripadne co mam jeste poslat za informace k uspesnemu vyreseni? Nevim jestli poslat, ale kazdopadne si prohlednout hlasky pri bootovani systemu ve verbose rezimu. To je ta doba, kdy se detekuje hardware. Dan -- Dan Lukes SISAL MFF UK AKA: [EMAIL PROTECTED], [EMAIL PROTECTED],[EMAIL PROTECTED] -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
Re: Super router/routery
David Pasek napsal/wrote, On 10/14/06 23:08: > Dynamicky routing je asi obecne lepsi reseni, protoze resi i vypadek > spoje, ale je potreba se domluvit s ISP, coz vetsinou neni uplne > trivialni. Na druhou stranu, nekdo s 100Mbps pripojenim neni tuctovym zakaznikem. Ovsem, kdyz uz jsme u reseni zajistujici vysokou dostupnost, spravne by mel mit druhou linku, treba ne tak silnou, ale od jineho ISP a, samozrejme, privedenou di sve site jinou cestou. A v takove chvili uz to s dynamickym routingem prestava byt trivialni - tedy, az na standardni reseni (jako obvykle) tj. BGP a vlastni adresy. To ale, popravde receno, urcite neni reseni pro tazatele - a to nejen kvuli nakladum. Dan -- Dan Lukes SISAL MFF UK AKA: [EMAIL PROTECTED], [EMAIL PROTECTED],[EMAIL PROTECTED] -- FreeBSD mailing list (users-l@freebsd.cz) http://www.freebsd.cz/listserv/listinfo/users-l
