Load balanced routing sur reseau derriere NAT a travers multiples VPNs

Load balanced routing sur reseau derriere NAT a travers multiples VPNs - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 12-12-2006 à 22:53:36    

Je suis en train d'essayer de mettre en place une solutions de "bonding virtuel" de connexions ADSL avec gestion efficace du QoS.
 
En un mot, cette solution permet d'utiliser plusieurs liens ADSL pour qu'ils apparaissent comme une seule connexion a internet.
 
Je vous explique en gros :
- Utilisation de 2 ou + lignes ADSL grand public distinctes ( 2 ou + lignes chez le meme fournisseur ou different pour des raisons de failover).
- Utilisation d'un serveur dedie peu cher dans un data-center (Dedibox/Kimsufi - 100Mb/sec)
- Liason VPN
- Definition des routes par defaut : Serveur dedie avec 2 routes ( Private IP / VPN ) dispo pour une destination.
 
 
Hosted server : 1 public IP + 1 dummy private network behind NAT + VPN server with at least two different ( private & routed ) networks
 
Local System : 2 public IPs ( not directly used / may be used as failover ) + 2 links to the VPN Server : 2 different routes with equal cost to the hosted server private network ( which also hosts the default gateway )
 
Normalement, une fois qu'un tel systeme est en place et que les machines du systeme local utilisent la passerelle distante ( serveur dedie ) a travers le VPN, le systeme de routage peut faire du load balancing a travers les 2 VPNs => la bande passante est doublee dans les deux sens ( upload/download ) et ce a tous les niveaux ( meme un simple download http ou envoi d'email profite de l'augmentation de ligne, contrairement a du load balancing classique ))
 
De plus, si l'on considere la BP de 100Mb cote serveur dedie comme largement au dessus de la bande passante de la BP des 2 liens ADSL,  on peut avoir une QoS tres precise et tres efficace en upload mais aussi en download ( le download sera gere de l'autre cote du lien comme... un upload :P)
 
Je suis etonne de ne pas voir souvent ce genre d'installation qui permet d'avoir :
- Une augmentation de la bande passante reele, a tous les niveaux, pour toutes les applications
- Une fiabilisation de la connexion internet ( si une des 2 ou + lignes tombent en panne, la connexion fonctionne toujours )
- Un "fine-grain" QoS ( controle des deux cotes ).
- Un prix tres bas pour un tres bon service ( disont 50 EUR H.T. pour 2 lignes ADSL + 20 EUR H.T. pour 1 serveur dedie, soit 70 EUR H.T. pour une connexion jusqu'a 50 Mb/2Mb avec QoS efficace et redondance ).
 
Si l'on met de cote les soit-disant problemes de fiabilite ( liason grand public, serveur dedie cheap etc. ) qui du fait de la redondance ne sont pas si genant ( si l'on peut se contenter temporairement d'une seule ligne ), il ne manque a ce systeme compare a une liaison pro, qu'une seule chose : le debit garanti.
 
Sachant que depuis que j'ai une connexion haut debit ( plus de 10 ans! ), je n'ai quasiment jamais eut de problemes de debit ( en France, le reseau etant bien dimensionne et de bonne qualite ) et en voyant le prix des lignes dedies SDSL ( plusieurs centaines d'euros /mois ), je pense que ce genre de systeme peut etre tres interessant...
 
De plus, si l'on possede un bloc d'IPs, cela permet d'alouer une IP public au systeme en local ( a travers les VPNs ).
 
En fait son plus grand defaut est probablement la complexite de mise en oeuvre... ( compare a une installation "normale" ).
 
Est ce que quelqu'un ici a deja vu ce genre de systeme en fonctionnement?

Message cité 1 fois
Message édité par jinkazama le 12-12-2006 à 23:13:15
Reply

Marsh Posté le 12-12-2006 à 22:53:36   

Reply

Marsh Posté le 12-12-2006 à 23:32:17    

jinkazama a écrit :

Je suis en train d'essayer de mettre en place une solutions de "bonding virtuel" de connexions ADSL avec gestion efficace du QoS.
Je suis etonne de ne pas voir souvent ce genre d'installation  
Est ce que quelqu'un ici a deja vu ce genre de systeme en fonctionnement?


ben toi non ?

Reply

Marsh Posté le 12-12-2006 à 23:39:12    

nemo13 a écrit :

ben toi non ?


 
 :o - tu as du louper le "Je suis en train d'essayer"
 
En theorie, cela fonctionne, ce n'est que du load balanced routing ( que j'ai deja vu fonctionner ) a travers des liens VPNs... Le systeme de routage doit voir les liens VPNs comme une liason reseau classique, il ne devrait pas avoir de problemes...
 
En pratique, il est difficile d'avoir acces a plusieurs lignes ADSL en meme temps et au meme endroit sans deranger personne :) - Resultat : je doit attendre le soir :)
 
Sinon, j'ai mis en place la pluspart du systeme ( serveur dedies, VPN etc ) et une 2eme ligne ADSL devrait arriver tres rapidement :)
 


Message édité par jinkazama le 12-12-2006 à 23:40:35
Reply

Marsh Posté le 13-12-2006 à 00:43:55    

si tu veux faire du failover via des VPN qui partent depuis deux lignes différentes; je parle d'un vrai failover automatique+load balancing au niveau routage, il faut faire du routage dynamique (OSPF par exemple); ben oui, parce que coder deux routes statiques avec des poids égaux, quand un lien tombe, ta route est toujours vivante; et pour faire passer du routage dynamique, faut faire passer du multicast. Donc solutions :
 
1 - faire du GRE/IPSEC
2 - faire passer le multicast dans l'IPSEC directement, et tu as gagné le droit d'acheter des routeurs cisco avec au minimum un IOS 12.4.


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-04-2008 à 17:00:09    

bonjour,
sa à l'air tres intéréssant tous cela...  
 
je suis moi meme dans une entreprise qui aimerai réaliser cela à savoir réaliser du load ballancing et du failover en meme temps. Ils onts commander un routeur netgear FVS124G mais celui de ne réaliser pas ces deux modes de fonctionnement en meme temps..
 
Etant charger de la recherche d'une solution alternative je voudrais avoir d'avantage de précision sur la méthode proposer par dreamer18.
 
En effet je ne comprend pas tres bien la justification de faire du GRE/IPSEC qui serve si je ne me trompe pas a réaliser des tunnel lan à lan ou host à host...
 
merci de vos réponsses

Reply

Marsh Posté le 23-04-2008 à 17:04:59    

GRE over IPsec c'est pour pouvoir faire du multicast sur IPsec.


Message édité par O'Gure le 23-04-2008 à 17:05:15

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-04-2008 à 17:22:34    

d'accords mais le multicast perment d'envoyer un paquet en une seule fois à tout un groupe de diffusion non?
Moi je veux recevoir de l'internet sur deux interfaces différente du meme routeur en quoi cela m'aiderai de faire du multicast?
Je m'escuse d'avance si j'ai mal compris...


Message édité par ekinox971 le 23-04-2008 à 17:28:03
Reply

Marsh Posté le 23-04-2008 à 17:29:20    

ca ne veut rien dire "recevoir de l'internet"...

 

Dans le cadre de ce topic, il y a avait des routeurs avec des liaisons IPsec entre eux. Pour un certain failover, dreamer18 proposait de l'OSPF dans le VPN. Or OSPF utilise du multicast pour détecter ses voisins. D'où l'utilité d'un vecteur pour diffuser ce multicast sur IPsec : GRE.

 

Toi tu posais une question sur l'utilité de GRE/IPsec, je te répond. Rien de plus ; je ne pense pas que du multicast t'aiderait.

 

A priori toi tu veux :
- deux accès à internet, sans VPN aucun.
- faire du loadbalancing sur ces deux accès.

 

Si c'est bien ça, dans la cat "Réseau grand public & SOHO" et "Réseau Pro" ces sujets sont traités.


Message édité par O'Gure le 23-04-2008 à 17:30:29

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-04-2008 à 18:25:44    

Escuse moi g me suis tres mal exprimé, je texplique ma situation :
 
mon entreprise désire conecter un VPN client a un réseau nommé equant utilisant du MPLS.  
 
Ils veullet que si un accès au réseau MPLS tombe le routeur client bascule sur l'autre accès ( donc failover ) tout en faisant du partage de charge (load balancing ) si les deux accès fonctionne...
 
ils avaient commander un routeur netgear a cette effet mais celui-ci ne fonctionnant pas avec ces des deux modes simultanément je doit trouver une solution alternative.  
 
je suis stagiaire, je sort d'un DUT réseau et télécoms cela explique mes incertitudes...
 
je précise dèrriere le routeur que l'on veut atteindre les adresses sont natté.


Message édité par ekinox971 le 23-04-2008 à 18:32:49
Reply

Marsh Posté le 23-04-2008 à 19:01:33    

hello.
 
tu peux expliciter ton archi logique avec un schéma ?


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-04-2008 à 19:01:33   

Reply

Marsh Posté le 23-04-2008 à 19:17:06    

C'est pas à ton prestataire de gérer le loadbalancing ? Je ne sais pas qui est ton prestataire pour le VPN MPLS mais certains fournisseurs fournissent les routeurs et gèrent ca eux meme [:spamafote]

 

Comme dreamer18, fais un petit schéma :jap:


Message édité par O'Gure le 23-04-2008 à 19:17:34

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-04-2008 à 20:24:41    

et là c'est le drame, c'est OBS le presta :whistle:


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-04-2008 à 20:26:26    

Soit pas médisant [:whatde]


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-04-2008 à 20:32:02    

il a dit VPN equant :D


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-04-2008 à 20:46:54    

ah oui :D

 

donc c'est bien OBS qui est sensé géré le partage de charge. Lors de la construction de l'accès OBS vont fournir deux routeurs et deux accès. Les deux routeurs seront reliés par une "rocade".

 

vous de votre coté vous n'avez qu'à définir les "communauté" si vous faites du partage de charge, ou si c'est du partage de charge dynamique, le préciser.

 

Bref, c'est avec les technico commerciaux d'OBS que tu dois voir ca :o

 

Sinon fait un schéma parce que je saisi pas bien ce que vient faire l'histoire de ton netgear et du NAT dans l'histoire :o

Message cité 1 fois
Message édité par O'Gure le 23-04-2008 à 20:52:13

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 23-04-2008 à 21:04:05    

O'Gure a écrit :

les technico commerciaux

syntax error  :whistle:


---------------
"Parceque toi tu fracasses du migrant à la batte de baseball, c'est ça ?" - Backbone-
Reply

Marsh Posté le 23-04-2008 à 22:08:15    

bon voila le shéma
j'ai pas répondu avant car je ne suis pas en france métropolitaine j'ai 6 heure de décalage donc c'étais midi et c'étais la pose déjeunner...

 

bref voici le shéma:
http://images3.hiboox.com/images/1708/49lwhvzc.jpg

 

mon entreprise fait posé les routeur par OBS chez les client et a travers le réseaux equant elle permet au client d'accéder à internet en leurs offrant divers service en plus.Certain client vvoulant amélioré leurs QOS feront la demande de routeur cisco qui réaliseront le partage de charge et le failover ( ces routeurs c'est nous qui devront les installer chez le client...)

 

Au sujet du NAT c'est juste que les clients on leurs adresse privé dans leurs VPN et dès qu'il sorte de leurs VPN leurs adresse sont "naté"...

 

je me suis renseigner donc si je comprend bien c'est l'ospf qui fait lui meme le partage de charge.

 

j'ai besoin d'etre éclairé, etre sur d'avoir bien compris afin de réalisé un doc technique.

 

merci de vos réponsses


Message édité par ekinox971 le 23-04-2008 à 23:02:40
Reply

Marsh Posté le 25-04-2008 à 15:51:21    

bonjour,
escusez moi pour se double POST...
j'ai aprofondit mon projet voilà un shema plus précis avec la config que j'ai réalisé , je ne l'est pas tester je doit d'abord etre sure avant de la faire remonté a mes supérieur
 
le shéma:
http://images3.hiboox.com/images/1708/2uqt1sg5.jpg
 
la config Router 1:
 

Code :
  1. hostname router 1
  2. !
  3. memory-size iomem 15
  4. ip subnet-zero
  5. !
  6. ip audit notify log
  7. ip audit po max-events 100
  8. !
  9. !
  10. interface Loopback1
  11. ip address 10.22.22.22 255.255.255.0
  12. !---------------
  13. interface Tunnel0
  14. ip address 10.1.1.2 255.255.255.0
  15. !--- Tunnel0 source.
  16. tunnel source Ethernet0/1
  17. !--- Tunnel0 destination.
  18. tunnel destination 192.168.3.2
  19. !-----------------
  20. interface Tunnel1
  21. ip address 10.2.2.2 255.255.255.0
  22. !--- Tunnel1 source.
  23. tunnel source Ethernet0/0
  24. !--- Tunnel1 destination.
  25. tunnel destination 192.168.3.3
  26. !----------------
  27. interface Ethernet0/0
  28. ip address 192.168.4.3 255.255.255.0
  29. !
  30. interface Serial0/0
  31. no ip address
  32. shutdown
  33. !
  34. interface Ethernet0/1
  35. ip address 192.168.4.2 255.255.255.0
  36. !
  37. interface Serial0/1
  38. no ip address
  39. shutdown
  40. !
  41. router ospf 22
  42. log-adjacency-changes
  43. network 10.1.1.0 0.0.0.255 area 0
  44. network 10.22.22.0 0.0.0.255 area 0
  45. network 10.2.2.0 0.0.0.255 area 1
  46. network 10.22.22.0 0.0.0.255 area 1
  47. !
  48. !--ip classless
  49. !--ip route 0.0.0.0 0.0.0.0 192.168.4.1
  50. !--- The 10.10.10.0 traffic is passed through
  51. !--- the GRE tunnel.
  52. !--ip route 10.10.10.0 255.255.255.0 Tunnel0
  53. !--no ip http server
  54. !
  55. line con 0
  56. line aux 0
  57. line vty 0 4
  58. login
  59. !
  60. end!
  61. End


 
 
la config Router 2:
 
 

Code :
  1. hostname router 2
  2. !
  3. ip subnet-zero
  4. no ip domain-lookup
  5. !
  6. !
  7. interface Loopback1
  8. ip address 10.11.11.11 255.255.255.0
  9. !-------------
  10. interface Tunnel0
  11. ip address 10.1.1.1 255.255.255.0
  12. !--- Tunnel source.
  13. tunnel source FastEthernet0/1
  14. !--- Tunnel destination.
  15. tunnel destination 192.168.4.2
  16. !----------------------
  17. !----------------------
  18. interface Tunnel0
  19. ip address 10.2.2.2 255.255.255.0
  20. !--- Tunnel source.
  21. tunnel source FastEthernet0/0
  22. !--- Tunnel destination.
  23. tunnel destination 192.168.4.3
  24. !----------------------
  25. interface Ethernet0/0
  26. ip address 192.168.3.3 255.255.255.0
  27. !
  28. interface FastEthernet0/1
  29. ip address 192.168.3.2 255.255.255.0
  30. duplex auto
  31. speed auto
  32. !
  33. interface FastEthernet4/0
  34. no ip address
  35. shutdown
  36. duplex auto
  37. speed auto
  38. !
  39. router ospf 11
  40. log-adjacency-changes
  41. network 10.1.1.0 0.0.0.255 area 0
  42. network 10.11.11.0 0.0.0.255 area 0
  43. network 10.2.2.0 0.0.0.255 area 1
  44. network 10.11.11.0 0.0.0.255 area 1
  45. !
  46. !--ip classless
  47. !--ip route 0.0.0.0 0.0.0.0 192.168.3.1
  48. !--- The 10.20.20.0 traffic is passed through
  49. !--- the GRE tunnel.
  50. !--ip route 10.20.20.0 255.255.255.0 Tunnel0
  51. ip http server
  52. !
  53. line con 0
  54. line aux 0
  55. line vty 0 4


 
 
Les commandes que j'ai mis en commentaire sont celle dont je suis pas sure de leurs importance ici ( elle étais présente dans la conf cisco de base qui méttais en oeuvre une seule tunel GRE )
 
1-j'ai plusieur soucis OSPF réalise un partage de charge que si la métrique des liens est identique , donc cela implique qu'il faut que je force une métrique?
 
2-En admettant que le partage de charge fonctionne, les paquet seront ennvoyer sur le premier tunel , pui le second, avec des aplications où la notion de session intervient ( ssh, telenet etc... ) vu qu l'adresse source changera sa ne causerai pas de soucis?
 
merci de vos réponsse.
 

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed