SKFREE

SKFREE Pokec - ako na AS
Chalan - 16.07.2010 - 11:45
Post subject: ako na AS
akym sposobom riesite nasledovne... mam dva konekty jeden od hlavneho providera od ktoreho mam public C... druhy je ako backup... pri vypadku konektu od prveho providera potrebujem aby sa mi prepol konekt na backup s tym ze public C ostane nezmeneny... da sa to riesit aj nejak inak ako vybavit si v ripe AS? ak len cez AS ako na to? ma to niekto uz niekto takto vyriesene?
ste-ve - 16.07.2010 - 18:36
Post subject:
Neda sa to... Teda dalo by sa to ale iba keby si mal od nas konekt primarny.. Very Happy Inak to provideri nerobia ani pri malom ani pri objemnom trafficu. Je to totizto obtiazne a taky zaznam sa musi posielat do ripu a aj keby to tvoji nadradeny provideri spravili tak taketo riesenie zase neakceptuju ostatny provideri ci uz na sk alebo ostatne koli tomu ze aky divny zaznam to bude vykazovat.
Proste by si to mal menej chodive ako keby ti pocas vypadku mal celu siet pod jednou cudzou verejnou IP.
hanaks - 16.07.2010 - 22:05
Post subject: ako na AS
Chalan wrote: ›akym sposobom riesite nasledovne... mam dva konekty jeden od hlavneho providera od ktoreho mam public C... druhy je ako backup... pri vypadku konektu od prveho providera potrebujem aby sa mi prepol konekt na backup s tym ze public C ostane nezmeneny... da sa to riesit aj nejak inak ako vybavit si v ripe AS? ak len cez AS ako na to? ma to niekto uz niekto takto vyriesene?

Riesenim tvojho problemu je stat sa "ozajstnym" ISP... t.j. vybavit si v RIPE vlastny rozsah IP adries, najlepsie typu PI a vlastne ASN. No a potom uz staci len nakonfigurovat spravne BGP a tvoj problem je aspon s casti vyrieseny. (mozno sa objavia ine, ale aj tie sa daju urcite vyriesit Smile )
kotol - 16.07.2010 - 22:34
Post subject:
myslim je ze mozne poziadat zalozneho providera aby nastavil ze aj on ma cestu na tvoje verejne IP pridelene inym providerom ale AS-path bude nastaveny na horsi ako propaguje tvoj primarny ISP cim bude pri vypadku primarneho konektu smerovane cez zalozneho...

opravte ma ak sa mylim
ste-ve - 16.07.2010 - 23:22
Post subject:
kotol mas pravdu ale on nema vlastne AS a moze mat akurat privatne AS co mu je na 2 veci pretoze problem tym nevyriesi. Totizto ziaden provider nespravi aby sa jeho vlastne C-cko smerovalo aj na ineho AS. Nestretol som sa s tym este a ked bola o tom diskusia aj s velkymi hracmi tak sa povedalo ze ee ze preco by to vobec mali robit a potom ze keby aj robili tak potom su vyssie spominane problemy.
Co sa tyka AS riesenia tak ako bolo spomenute by bolo riesenie dat tam origos AS a k tomu jeho vlastne IPky ale to nie je takze problem sa nevyriesil.. Sad
Chalan - 17.07.2010 - 19:42
Post subject:
ak by som sa rozhodol stat sa "ozajstnym" providerom ako mam postupovat a co vsetko mi treba?
hanaks - 17.07.2010 - 22:07
Post subject:
Chalan wrote: ›ak by som sa rozhodol stat sa "ozajstnym" providerom ako mam postupovat a co vsetko mi treba?

chod na stranku www.ripe.net/ a zacni studovat.... hlavne to, ako ziskat PI IP adresy a vlasne AS. Dalsia moznost je, ze si najdes nejakeho LIRa, napriklad u tvojho poskytovatela internetu a bud mu zaplatis, a on ti to vsetko vybavi, alebo ta aspon nakopne, ktorym smerom sa vybrat. asi najlepsi je skombinovat prvu a tretiu moznost - nebude to drahe, ale to dlhsie potrva. A pokial mas seriozneho ISP, a aj ty si voci nemu seriozny, tak by v tom nemal byt problem.... Riesenie cez vlastne AS a IP je asi jedine plnohodnotne riesenie, vsetko ostatne je vymyslanie kolesa....
Thomas - 17.07.2010 - 23:06
Post subject:
priamo ripe s tebou PI adresy pravdepodobne riesit nebude , musi si najst nejakeho LIRa ktory ti da tie IP aresy zo svojho rozsahu ktory uz ma prideleny , dalej tusim musis mat zmluvu s minimalne dvomi ISP cez ktorych budes brat konekt pre tieto IP adresy .
problemom PI adries ale je to ze niesu urcene pre ISP teda nemali by sa priradovat tretej strane , takze lahko sa moze stat ze jeden den ip adresy mas a na druhy uz nie .
a spojenie "ozajstny ISP" a PI rozsah mi nejak nejde dokopy , ak teda povazujes za "ozajstneho ISP" toho kto ma vlastny IP rozsah tak potom z PA rozsahom a pri tomto zacina by trocha problem , lebo RIPE preslo do "usporneho" modu kedy priraduje adresy len v takom mnozstve ktore budes potrebovat v obdobi jedneho roka . na a odhaduje sa ze takto o rok uz IANA nebude mat uz co pridelovat regionalnym spravcom takze ocakavajme ze do dvoch rokov uz nebude co pridelit "ozajstnym" ISP, takze ak niekto este chce vlastny IPv4 rozsah aby sa poponahlal
eXplorer - 19.07.2010 - 12:19
Post subject:
Chalan: da sa to spravit aj "jednoduchsie" ...

1.) nahod si k providerovi ktory je ako primarny ISP vlastny router/firewall a potom si nechaj natiahnut L2 segment medzi tymto boxom a routrom/firewallom u teba (na rozhrani siete). Najvhodnejsie umiestnenie je SIX alebo nejaky vysokodostupny housing u tohto providera.

2.) rozbehaj OSPF medzi firewallom u seba a firewallom co mas u providera - cez L2 to nebude problem. Od providera si budes oznamovat defaut GW a smerom k providerovi vlastne Ccko.

3.) rozbehaj IPsec VPN v tzv "interface mode" (napr na Fortinet FortiGate, Juniper SSG ...) medzi firewallom u seba a firewallom u primarneho providera cez zalozneho providera - nastav staticku routu s vysokou metrikou na IP adresu firewallu u primarneho ISP cez zalozneho ISP a dalej nastav staticku default GW s vysokou metrikou do IPsec VPN tunela. K tomu este staticku routu s vysokou metrikou pre Ccko do tunela na strane firewallu u providera.

... v pripade ze vsetko bezi OK traffic tecie primarnou linkou (transparentne), v pripade vypadku sa traffic switchne cez IPsec VPN tunel. Pri vysokovykonnych boxoch (najma firewalloch) nie je problem "odtunelovat" gigabity pricom cena vobec nie je vysoka. Navyse mas moznost vramci IPsecu nastavit sifrovaci algorimtus na NULL takze sifrovat sa nebude (myslim ze je to aj tak zbytocne), cim priepustnost este znacne navysis.
tomas128 - 19.07.2010 - 15:49
Post subject:
pokial sa jedna o mensieho operatora, vybavovat si vlastne AS a robit BGP s niekym je asi celkom bez zmyslu a cenovo uletene. Okrem vybavovaciek tu nebola zmienena jedna dolezita vec a to poplatky RIPE. Tie su naozaj dost vysoke, avsak ako tak pozeram malokto na SK z mensich ISP maju svoje rozsahy vybavene, takze to asi aj malokto vie (tusim aj najmensia kategoria extra small je okolo 2000? rocne a vstupne fee si uz nepamatam ale tiez nebolo zadarmo). Skor by som volil kvalitneho primarneho operatora a nasledne back up cez hocico co je ako tak chodive. Ak predsa hlavny iperator nema vypadky, tak obcas sa da vydrzat backup zakryty inou IP.
eXplorer - 19.07.2010 - 16:36
Post subject:
tomas128: ked vyriesis backup cez IPsec VPN tak ako som popisal vyssie, tak nic zakryvat nemusis - aj v pripade aktivacie backupu cez zalozneho operatora budes mat dostupny svoj C-ckovy segment rovnako ako v pripade "primarneho konektu"
lol - 19.07.2010 - 16:44
Post subject:
Explorer: ano mas pravdu, ale na toto pride snad kazdy kto pozna zaklady networkingu a ten kto to nevie, nech plati za AS ktore nepotrebuje Smile
ewew - 19.07.2010 - 19:37
Post subject:
eXplorer wrote: ›tomas128: ked vyriesis backup cez IPsec VPN tak ako som popisal vyssie, tak nic zakryvat nemusis - aj v pripade aktivacie backupu cez zalozneho operatora budes mat dostupny svoj C-ckovy segment rovnako ako v pripade "primarneho konektu"


A ake riesenie by bolo ked by primarnemu ISP zlyhalo pripojenie do Internetu. Myslim spojenie s nadriadenyn ISP alebo SIXom ?
eXplorer - 20.07.2010 - 00:11
Post subject:
ewew: tento scenar moje riesenie nepokryva ... inac povedane ked primarny ISP komplet "rachne" (vratane SIXu, centraly v BA atd) tak si offline, resp mozes surfovat cez backup ale verejne IP od primarneho ISP ti nepojdu. Vyskyt problemov s primarnym ISP (take ze by bol komplet off) sa da velmi eliminovat vyberom vhodneho ISP, ziadny z velkych operatorov si nemoze dovolit byt "komplet offline" - stat sa to moze a aj sa to stava, ale taky vypadok trva velmi kratko a nestava sa casto teda z mojho pohladu nie je nutne sa tymto pripadom zaoberat. V skratke 99,999% pripadov vypadkov je na lastmile alebo na transporte od teba do BA. Veki ISP nemaju ziadneho "nadradeneho" ISP, priamo vlastnia aj medzianrodne okruhy pripadne ich maju prenajate. No ak to chces riesit uplne tak jedine vlatne AS, vlastne Ccko (alebo viac) a BGP ...

lol: mas uplnu pravdu, ale divil by si sa ake velke medzery v oblasti networkingu niektori ISP maju, vratane tych velkych Very Happy

Inac ked uz zaplatite vlastne ASko tak pri konfiguracii BGPcka dajte pozor aby ste nezhodili cely youtube ako sa to podarilo v Cechach pomocou jedneho Mikrotik routra vlani http://www.etron.cz/index.php?option=co ... ;Itemid=75
peterho - 20.07.2010 - 08:04
Post subject:
chalani - podla mna chce chalan vyriesit nieco co nemaju vyriesene ani velky operatori - co sa stane so zakaznikmi GTS, ked GTS skolabuje siet ? chvilu nepojdu .. schvalne pisem chvilu, nakolko si neviem predstavit operatora ktory je LIR - to uz zrejme ako ste pisali uz nie je maly lokalny isp, takze si sam nemoze dovolit vypadok (samozrejme u kazdeho sa moze stat vypadok je to len o eliminacii rizik a vysky investicii do rieseni). Aj ten najmensi isp so statusom LIR moze mat vypadok ked restartuje nejake backbone Cisco - ale to je opat na par sekund (200?) , ale to samorejme nerobi kazdy tyzden - isiel by sam proti sebe, lebo verim ze okrem zakaznika v podobe lokalneho isp ma urcite x inych (mozno dolezitejsich) zakaznikov .. a nepredpokladam ze Chalan ma zakaznika typu Tatra Banka alebo nieco podobne .. takze cim viac sa snazi spravit siet fail-proof tym rastu geometrickym radom naklady .. a to nie je sranda - som si isty ze sa v sieti lokalneho isp nachadza x slabsich miest ako v sieti takeho vacsieho ISP co je LIR. neviem koho mas za isp ze sa tak obavas, ale zrejme to musi byt dost zle ked sa vydavas na cestu takychto narocnych riesieni .. podla mna je vhodnejsie (aj lacnejsie) skusit zmenit ISP Smile .. chalani opravte ma pokial sa mylim.
eXplorer - 20.07.2010 - 10:46
Post subject:
peterho: do istej miery sa mylis, nejde o to ze ISP ma vo svojej sieti slabe miesta ale o to ze byt pripojeny jednym linkom znamena mat SINGLE POINT OF FAILURE a to je problem. GTS, SWAN, ORANGE, TCOM a dalsi urcite nepadnu tak ze by boli komplet offline na viac ako par minut to mas pravdu, ALE ak si mimo BA tak sa ti moze lahko stat ze transport ktory vyuziva tvoj ISP je dole pretoze niekto nieco prekopol, niekde nieco zlyhalo (nezafungoval backup) a tu uz sa opravy pohybuju radovo aj v hodinach !

Stale vsak nechapem preco vsetci pisu o AS, LIR, PI segmentoch atd, ved existuju riesenia ktore stoja par eur "l o l" mal vyssie uplnu pravdu ... Laughing "Ine" riesenie sice neriesi kompletny vypadok primarneho ISP (vid vyssie) ale vzhladom k takmer nulovej pravdepodobnosti ze bude offline komplet cela siet daneho providera toto riesit ani netreba.
pixall - 20.07.2010 - 13:59
Post subject:
peterho wrote: ›chalani - podla mna chce chalan vyriesit nieco co nemaju vyriesene ani velky operatori - co sa stane so zakaznikmi GTS, ked GTS skolabuje siet ? chvilu nepojdu ..


ze nepojdu zakaznici GTSke, mi je srdecne jedno. problem je ked nepojdu moji zakaznici Smile akykolvek single point of failure je zly, pretoze elektrika, povodne, poziar, vykopnute kable, hlodavce, bagristi, routing, nezaplatena faktura u dodavatela alebo administrativny omyl, upgrade iosu, bla bla bla. uz som zazil prilis vela vypadkov u narodnych a nadnarodnych operatorov na to, aby som mohol tvrdit, ze velki operatori nevypadavaju, alebo ze zakanzici si maju medzitym pockat a bodka. naposledy som zmenil dodavatela zahranicnej konektivity za dramatickych okolnosti, ze moje IPcky zrazu cez povodneho dodavatela nechceli odchadzat do sveta, bol filter niekde dalej po ceste, a ked to ani po 24 hodinach nebolo vyriesene, musel som switchnut, nedalo sa inak. co pomoze ze som beznych userov preNAToval, ked garantom nesli VPNky.
421 - 24.07.2010 - 20:53
Post subject:
tie otazky na explorera su dost mimo....to ako ked sa ma pytal chalanisko na jednej dedine, ze co ked vypnu elektrinu v dedine, ze co ten vysielac....hovorim, ze pojde na baterie. Nedal sa. Kolko pojde na baterie, dal som do kalkulacky, je tam par mikrotikov co nerobia nic iba bridge a hovorim, ze 3 dni. A on na mna a co ked tu nebude elektrina 5 dni? .... no co mu vies na to povedat.....no nepojde vysielac a doma mu nepojde ani PC ani chladnicka ani cirkular....no tak ked na slovensku nepojde SIX, tak akoze kazdeho ISP teraz chyti paranoja a ja okamzite objednavam nielen okruh do SIXu ale aj do frankfurtu aj do Prahy a skusim to zalohovat este egyptom.....no dovidenia
421 - 08.08.2010 - 06:34
Post subject:
este k pixalovmu prispevku, mam obcas aj ja problem, ze moje Ipcky neprejdu do sveta a vsetci sa veselo tvaria ze sa nic nedeje...
lukas-svk: bol tu navrh pre kosovo, kde nejde denne niekolko hodin elektrina, ze by sa zacali vyrabat nove krabicky pre mikrotik, myslim tie plechove a to take, ze by boli akoby vyssiealebo inak povedane, ze by boli 2x take velke ako su a v tom novovzniknutom priestore by bolo urobene miesto pre tuzkove nabijatelne baterie a mikrotik by sa napajal cez ne Smile finalizacia sa vsak neuskutocnila, cize ked xces v kosove net zatoc si dynamom Smile
All times are GMT
Powered by PNphpBB2 © 2003-2005 The PNphpBB Group
Credits