valg av Cisco ruter - noen med bred erfaring?

[Egil Dybdal]

Er på utkikk etter en Cisco ruter, som dekker mine forventninger:

 

​- integrert redundant PSU (altså minst 2 strømforsyninger integrert i enheten)

​- 2 stk SFP+ 1Gb porter for WAN

​- 2 stk SFP+ 1Gb porter for LAN

​- må ha støtte for virtuell ruter på WAN siden (HA fra ISP)

- må ha kapasitet til å kunne håndtere 500-1000Mbps gjennom brannmur

- må ha mulighet for VPN oppsett

 

Noen tips og anbefalinger? Behøver ikke å være nyeste modell. Foreløpig er dette et prøveprosjekt for egen læring og erfaring, så det kan gjerne være forslag om en eldre modell som kan kjøpes brukt.

[stigfjel]

Må det være Cisco? Da regner jeg med at du ikke mener Cisco SB. For det blir ikke billig med de spesifikasjonene.

[Egil Dybdal]

Stor sannsynlighet for at det blir vanskelig å unnvike fra Cisco. Hensikten er å ha et oppsett med to gigabit-linjer fra samme IPS, hvor det er knytt opp et spekter av faste IP-adresser.

[siDDis]

SFP+ er 10G, de fleste 1Gbit tranceivere vil ikkje fungere. Eg anbefaler sterkt å sette opp ein eigen brannmur, enten på den enkle måten med PFSense eller FreeBSD med IPFW / PF.

 

Har satt opp ein FreeBSD ruter med IPFW sjølv, med OpenVPN. VPN greier 350mbit mellom meg og mine foreldre og har latency 1.2ms.

[Egil Dybdal]

Utfordringen her er jo at de offisielle IP adressene skal leveres over to ISP linker. For å kunne sette opp NAT tabell må dette linkes sammen virtuelt, i begge sider av den redundante linken mot ISP.

[stigfjel]

Jeg bruker en Fortigate 60D som brannmur hjemme, og den klarer 1.5 Gbps gjennom brannmur. Ytelsen på SSL-VPN er ca 30-40 Mbps, men hvis man bruker IPSec kan man få opptil 1 Gbps. Ikke spesielt vanskelig er det å sette opp heller, man får gode wizards som gjør det meste. SSL-VPN løsningen til Fortigate er fullstendig overlegen OpenVPN hva angår konfigurasjon, klientoppsett og tilgangskontroll. IPSec er heller ikke spesielt vanskelig. Funker bra til mitt bruk. Ikke er de spesielt dyre heller. For samme pris får man en Cisco ASA med en tiendedel av ytelsen som Fortigate'n klarer.

 

Ser at det nå har kommet en arvtaker til min, Fortigate 60E. Den har på flere punkter dobbel ytelse av hva min klarer.

[Egil Dybdal]

Cisco HSRP:

http://www.cisco.com/c/en/us/support/docs/ip/hot-standby-router-protocol-hsrp/9234-hsrpguidetoc.html

[siDDis]

Dei fleste andre har like moglegheiter for den type redundans.

http://www.openbsd.org/faq/pf/carp.html

 

Fortigate 60E har også noko tilsvarande. Så eg støtter sterkt forslaget til stigfjel.

[Egil Dybdal]

Men, kan dette kombineres med Cisco i ene enden, og noe annet i den andre enden? Jeg ser at både PFsense, Fortigate, Cisco, Zyxel, Juniper, Brocade osv støtter redundant ISP tilkobling. Men jeg finner ingen informasjon om at man kan kombinere utstyr fra flere leverandører. Så lenge ISPen kjører Cisco med HSRP, så tviler jeg på at jeg kan slenge inn en PFsense i andre enden.

[j--]

HSRP fra Cisco i ene enden, og VRRP eller noe annet i andre enden går helt fint.

 

Forslag til topologi:

 

Blå strek er HSRP kontrolltrafikk. Grønn strek er VRRP kontrolltrafikk. Om du kun ønsker en ruter/switch på din side så se bort fra VRRP. Husk at ISP sin HSRP-forbindelse trenger å være i samme broadcast-domene. Ofte går det over kundens utstyr. Om du da ikke forwarder framene mellom ISP ruter 1 og ISP ruter 2 så vil oppsettet fungere dårlig (da begge memberne i HSRP-en vil sette seg som master.

 

Du kan jo eventuelt leke med dynamisk ruting og redundancy basert på det. Mer elegant i dette scenarioet her.

[inside_446486]

Med "2 x gigabit og HSRP mot ISP" høres det ut som det er tenkt at de presenterer en "VIP"-gateway-adresse for deg via 2 CE-rutere med Ethernet-interface hos deg. Så håndterer ISPen selv dynamisk ruting på WAN-siden mot (2 separate?) PE-rutere (på 2 lokasjoner).

 

Da kan du bruke svært mye forskjellig på din side. Strengt tatt behøves ikke mer enn en switch og en enkelt ruter. Din boks snakker jo bare med én ISP-ruter om gangen.

 

Men i et slikt scenario med 2 fiberlinker og føringsveier (?) inn, 2 separate rutere implementert fra ISP-siden, er det ikke mer naturlig å ha 2 switcher og/eller rutere i din ende enn 1 ruter med 2 interface? Så implementere HSRP/VRRP på din side også?

Da kan du jo bruke det du ønsker av utstyr og du har full HA hele veien.

 

Hvorfor duplisere hele kjeden fra leverandør og ende opp i én enkelt boks til slutt?

 

Du kan jo evt. implementere dette som 2 VMer først hvis det kun er for egen læring?

 

Som nevnt av andre over er HSRP/VRRP på begge sider langt i fra like elegant som å benytte dynamisk ruting rett mot ISPen, men det er vel litt OT.

[Egil Dybdal]

Pr i dag har jeg 2 linjer, fra 2 forskjellige noder i fibernettet. Linjene blir ikke brukt til redundans på noen måte slik det er i dag.

 

Ønsket og målet er å redusere til et minimumsbehov for antall bokser, mest for å redusere antall enheter som kan feile og som krever vedlikehold. Hensikten med redundans ut, er for å unngå problemet med null tilgang når en av linjene faller ut, noe som i bunn og grunn skjer svært sjeldent. Erfaringsmessig viser det seg at begge nodene aldri har vært utilgjengelig samtidig. ISPen har altså tilstrekkelig redundans i sitt nett, i forhold til mitt ønske. For å benytte denne redundansen videre, ønsker jeg å få utnytte muligheten til redundans via de to linjene.

 

Jeg kjører en Cisco WS-C4506-E som backbone i mitt eget nett. Ønsket er 2 fiberkabler (LACP trunk) fra backbone til en ruter, sammen med 2 fiberkabler fra ISP. Håpet er da at ruter kan bestå av 1 enhet, som dekker alle oppgaver i grensensittet.

[inside_446486]

Pr i dag har jeg 2 linjer, fra 2 forskjellige noder i fibernettet. Linjene blir ikke brukt til redundans på noen måte slik det er i dag.

 

Ønsket og målet er å redusere til et minimumsbehov for antall bokser, mest for å redusere antall enheter som kan feile og som krever vedlikehold. 

 

Jeg kjører en Cisco WS-C4506-E som backbone i mitt eget nett. Ønsket er 2 fiberkabler (LACP trunk) fra backbone til en ruter, sammen med 2 fiberkabler fra ISP. Håpet er da at ruter kan bestå av 1 enhet, som dekker alle oppgaver i grensensittet.

 

OK. Da er jeg med.

 

Gitt HRSP hos ISP er altså kravet "støtte for virtuell ruter på WAN-siden" dekket av det meste av rutere med 2 eller flere WAN-porter, eller kan løses ved å plassere en switch foran din ruters WAN-port.

 

Din boks trenger ikke "støtte" HSRP i den andre enden - den forholder seg til MAC-adresser og en IP-adresser.

Du kan i prinsippet bruke "hva som helst" med 2 Ethernet-porter plassert i samme broadcast domain/segment/VLAN.

 

Ref. tegning for forklaring fra j-- over men med én boks i stedet for to på din side. Merk også det han skriver om at du sannsynligvis selv må sørge for å forwarde trafikk mellom de 2 WAN-linkene.

 

Litt avhengig av din kontroll på konfig og tillit til ISP kan du I prinsippet få kombinert WAN-linkene på den switchen du allerede har, ved å terminere de 2 WAN-linkene fra ISP samt eksisterende ruter/brannmur i et dedikert VLAN for "ekstern trafikk". I prinsippet trenger du altså ikke skifte utstyr for å oppnå det du ønsker.