Liaison multi-WAN sur différents supports

J'ai récemment repensé à un produit fourni par Viprinet, fondamentalement, ils ont une paire de routeurs, un qui vit dans un centre de données, leur hub multicanal VPN et le matériel sur site, leurs routeurs VPN multicanaux

Ils ont également un tas de cartes d'interface (comme les HWIC) pour les adaptateurs 3G, UMTS, Ethernet, ADSL et RNIS.

Leur spiel principal semble être lié à différents médias. C'est quelque chose que j'aimerais vraiment utiliser pour quelques projets, mais leur prix est vraiment assez extrême, le concentrateur est d'environ 1-2k, les routeurs sont 2-6k et les modules d'interface sont 200-600 chacun.

Donc, ce que j'aimerais savoir, est-il possible avec quelques routeurs Cisco de série, série 28xx ou 18xx, de faire quelque chose de similaire, et de connecter essentiellement un tas de ports WAN différents, mais tout est présenté comme un rediriger vers Internet, avec un basculement transparent (ou presque) en cas de défaillance de l'une des interfaces WAN.

Fondamentalement, si j'obtenais 3x 3G à des modems Ethernet, et chacun sur un réseau différent, j'aimerais pouvoir équilibrer / lier la charge sur chacun d'eux, sans avoir à payer Viprinet pour le privilège.

Est-ce que quelqu'un sait comment je procéderais pour configurer quelque chose pour moi, basé sur des protocoles standard (ou spécifiques au fournisseur), mais sans avoir à acheter le matériel Viprinet?

Avec Cisco, j'irais soit pour un partage de charge CEF ou un routage basé sur des politiques (maintenant appelé routage de performance).

Je n'ai jamais essayé le partage de charge CEF sur 3G (uniquement sur les lignes louées à relais de trames), mais en configurant trois tunnels, chacun via une carte différente, vers un point de terminaison (qui sera votre passerelle) et avec trois routes à coût égal vers ce point de terminaison pourrait fonctionner. Dans ma configuration, le routeur PE était le point final, donc aucun tunnel n'était nécessaire.

Cisco possède une documentation à ce sujet et le partage de charge peut être défini par paquet ou par destination.

Dans le guide de dépannage :

7200-1.3(config)#interface fast 0/0

7200-1.3(config-if)#ip load-sharing ? 
  per-destination  Deterministic distribution 
  per-packet       Random distribution 

7200-1.3(config-if)#ip load-sharing per-packet

Ivan Pepelnjak a également deux entrées sur son blog concernant le partage de charge CEF qui valent la peine d'être lues.

En ce qui concerne le routage basé sur les politiques, j'exploite également un réseau client de petits sites qui sont connectés à un concentrateur central via divers tubes. Chaque rayon dispose d'une ligne louée FR, d'un accès Internet DSL (avec IPSec sur Internet) et d'une liaison satellite.

Toutes les liaisons vont à l'un de nos routeurs PE (que ce soit la trame, Internet ou le satellite) puis sur les mpls (dans différents vpns) vers le concentrateur central, où chaque vpn se termine par un VRF (vrf-lite ici, pas de mpls) sur le Routeur CE. Chaque vpn est ensuite routé vers un vlan.

Les différentes applications client sont routées (par destination IP ou port L4) sur les rayons via les différentes liaisons. La voix passe par satellite, le courrier électronique et d'autres via la liaison DSL et les applications principales via la ligne louée.

En cas de défaillance de la liaison, le trafic est réacheminé sur les autres liaisons.

Cisco wiki contient un article intéressant sur PfR.

D'un autre côté, si vous allez suivre la voie 3G, faites attention aux fournisseurs que vous choisissez car les nœuds 3G ne vont pas avoir beaucoup de bande passante (seulement quelques E1 en général) et vous risquez de ne pas obtenir la bande passante attendue. Choisissez différents prestataires de services, et non celui qui revend le service d'un autre.

Je pense que je comprends ce que vous demandez. Je suis très satisfait de la gamme Elfiq d'équilibreurs de charge multi-WAN. Dans mon application actuelle, j'équilibre MPLS, fixe sans fil, T1, DSL et 3G USB à un seul endroit. Le support 3G est bon et bien documenté. Cette configuration gère l' équilibrage de charge entrant et sortant.

L'Elfiq se trouve devant un pare-feu Cisco ASA et est transparent pour mes connexions VPN L2L.

Console de gestion

Sélection de l'algorithme d'équilibrage de charge

Eh bien, c'est un type de matériel avancé, car il exécute également un VPN. Pourquoi ne pas en construire un? Déposez simplement OpenVPN sous Linux, configurez l'équilibrage de charge avec iproute, ajoutez des règles de pare-feu, peut-être des Snort IPS, SELinux pour la sécurité, un serveur approprié avec une mémoire et des processeurs redondants, deux alimentations, des Xeons basse consommation, des disques SSD et de bonnes cartes WAN. Il ferait tout, y compris la redirection de port, le suivi des connexions, le proxy, l'analyse antivirus smtp, tout ce qui est nécessaire. Vous pouvez acheter une machine serveur pour 400 £ par exemple chez IBM plus la carte WAN. J'ai fait cela pour quelques projets et j'ai très bien fonctionné, je n'avais qu'à régler la taille de la table de hachage de suivi des connexions pour être plus grande afin de gérer des dizaines de milliers de connexions. Mais ces projets nécessitaient en fait également une sorte de logiciel spécialisé pour y être exécutés, de sorte que « s pourquoi j'ai choisi la machine Centos et le noyau temps réel pour garantir la priorité de certains processus dans le transfert de paquets dans l'espace utilisateur. Un tel serveur est livré avec deux cartes réseau, et vous avez un port PCIe, RAID-1 pour les SSD, etc. Cela pourrait même exécuter une autre machine vm, avec par exemple un bureau complet, un contrôleur de domaine et un échange. Vous pouvez les faire en mode HA et faire entièrement routage et bureautique uniquement sur ces derniers. Tout ce dont vous avez besoin pour vous assurer que la carte WAN supplémentaire est stable et fonctionne bien avec, par exemple, Centos 6 et sinon, vous devez créer un script qui la vérifie et gère correctement les pannes. De cette façon, vous pouvez réussir en cas de trucs WAN douteux. contrôleur de domaine et échange. Vous pouvez les faire en mode HA et faire entièrement routage et bureautique uniquement sur ces derniers. Tout ce dont vous avez besoin pour vous assurer que la carte WAN supplémentaire est stable et fonctionne bien avec, par exemple, Centos 6 et sinon, vous devez créer un script qui la vérifie et gère correctement les pannes. De cette façon, vous pouvez réussir en cas de trucs WAN douteux. contrôleur de domaine et échange. Vous pouvez les faire en mode HA et faire entièrement routage et bureautique uniquement sur ces derniers. Tout ce dont vous avez besoin pour vous assurer que la carte WAN supplémentaire est stable et fonctionne bien avec, par exemple, Centos 6 et sinon, vous devez créer un script qui la vérifie et gère correctement les pannes. De cette façon, vous pouvez réussir en cas de trucs WAN douteux.

Un ami a collé un câble Virgin Media et des lignes ADSL (de manière transparente), apparemment ils utilisent OSPF et un kit dans Telehouse, je ne sais pas grand-chose de plus malheureusement!