Lucky Goblin (lugoblin) wrote in ru_root,
Lucky Goblin
lugoblin
ru_root

Category:

Дороги трудны, но хуже без дорог.

Привет.
Есть корпоративная сеть, в процессе разбики на сегменты. Собственно разбивка делается средствами VLAN и сколько-нибудь серьёзных проблем не доставляет. Есть вопрос относительно маршрутизации между сегментами.


(Пример достаточно синтентический, сегментов намечается штук 10. Адресация выбрана с учётом того чтобы не плодить 100 правил на каждый чих.)

Есть сегмент рабочих станций (172.16.1.0/24), и сегмент серверов (10.1.1.0/24). Есть 2 маршрутизатора, которые оба имеют интерфейс в каждой из сетей: маршрутизатор A (172.16.1.1, 10.1.1.1, выход в инет) и B (172.16.1.253, 10.1.1.253).
Маршрутизатор А на базе Soekris board, медленный, сеть 10/100 и т.д, доступ к серверам через него представляет собой бутылочное горлышко.
Маршрутизатор B на базе виртуалки, быстрый (2 гигабита в бонде), но через него нет доступа в инет и в случае форс-мажора он будет вырубаться первым. Хочется чтобы коммуникация вообще шла через маршрутизатор A, а связь именно между 172.16.1.0/24 и 10.1.1.0/24 через B (если тот жив).

Если прописать статичные маршруты хостам в обоих сегментах, то всё работает в соответствии с ожиданиями. Хочется настраивать эту маршрутизацию как-то централизованно, и чтобы была возможность её дёргать по ходу дела (новые подсети, профилактика маршрутизатора B и т.д.).

Делаю так:
Маршрутизатор A является default gw для всех.
На маршрутизаторе А настраиваю iproute:
ip rule add from 172.16.1.0/24 to 10.1.1.0/24 lookup ws_int pri 50
ip route add 10.1.1.0/24 via 172.16.1.253 table ws_int
ip rule add from 10.1.1.0/24 to 172.16.1.0/24 lookup srv_int pri 51
ip route add 172.16.1.0/24 via 10.1.1.253 table srv_int

Работает так:
При попытке коннеткта из одного сегмента в другой (через default gw), на маршрутизаторе A применяется специально для этого случая составленная таблица и возвращается ICMP redirect который гооврит что nexthop роутер B. Таблица хоста перенастраивается, пакеты идут как надо. С ответом, очевидно, происходит нечто подобное.

Проблемы:
- Рабочие станции и сервера все на Линуксе, как и роутеры, хотелось бы узнать насколько моё решение универсально. Виндовы рабочие станции пока не трогал, не знаю принимают ли они во внимание ICMP redirect. Кроме того, не хотелось бы менять концепцию при переходе на специализированное оборудование.
- Странно ведёт себя пинг из одного сегмента в другой. Сначала идёт один пинг, потом ждёт несколько секунд, пока не прокашливается редиректом, остальные идут нормально. Если попинговать ещё раз, то ответа ни на один пинг нет, пока не сделаешь "ip route flush cache". Остальные протоколы ходят нормально.
- Некая сетевая публикация говорит: ICMP redirect messages [...] shouldn't exist in well-maintained networks. Это настораживает.


Возможные решения:
CARP и VRRP кажутся overkill, и еще надо принимать во внимание что один из маршрутизаторов суть виртуальная машина, я боюсь что наслоения виртаульных MAC адресов сделают конструкцию слишком хрупкой.
Читал, что можно статические маршруты как-то хитро по DHCP раздавать, но малое количество информации даёт основания полагать что есть причины не использовать эту технологию.
Плюнуть планировать бюджет на Layer 4 Layer 3 свич в core для подобных конфигураций, пусть маршрутизирует.

Пожалуйста, поругайте концепцию, и подскажите как ещё можно раздавать маршруты хостам.
Subscribe

  • халявный простенький sccm под linux

    Всем пятницы. Может подскажет кто ответ, а то в гугле закопался. Задача отдаёт сферическим конём, но всё же. Допустим есть линуксовый серверок и…

  • Как стать девопсом?

    Пятница, значит можно) Тут люди более опытные, чем в соседнем чате, поэтому спрошу. Дано: Строго Windows бэкграунд, немного инфобеза. Надо: Сменить…

  • Патрег одобряет

    Будь хорошим, будь как Патрик.

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 19 comments

  • халявный простенький sccm под linux

    Всем пятницы. Может подскажет кто ответ, а то в гугле закопался. Задача отдаёт сферическим конём, но всё же. Допустим есть линуксовый серверок и…

  • Как стать девопсом?

    Пятница, значит можно) Тут люди более опытные, чем в соседнем чате, поэтому спрошу. Дано: Строго Windows бэкграунд, немного инфобеза. Надо: Сменить…

  • Патрег одобряет

    Будь хорошим, будь как Патрик.