Connettività di backup

[sasa]

Buongiorno a tutti, avrei bisogno del vostro aiuto (ho idee un pò confuse sulla problematica !) in merito alla scelta di un router dual wan che mi consenta di avere due connettivià che fanno riferimento a due carrier differenti, attualmente ho un collegamento in fibra al quale vorrei affiancare una hdsl che funga come linea di backup in presenza di un down della linea principale.
Credo che dispositivo di Cisco che possano fare al caso mio siano 2600, rv042 o rv082, è così ? o devo far riferimento a qualche altra fascia di prodotto ?
Aggiungo che ho server che erogano servizi che devono essere raggiungibili dall'esterno (server web, mail server, voip etc), come potrei gestire la ridondanza delle linee considerando che avrei IP pubblici appartenenti a classi di IP differenti ? questa gestione deve essere demandata ai name server ?
Grazie.

-
Salvatore.

[valerio1976]

ciao metti 2 router in HSRP e fail over, per quanto rigurda gli ISP differenti, non è un problema

[sasa]

Ciao e grazie per l'aiuto,
ma per la gestione del dns come potrei fare ? i dispositivi cisco che usano HSRP mi permettono anche di aggiornare in modo automatico i dns in presenza di un down della linea principale ?
Grazie.

-
Salvatore.

[valerio1976]

Ciao e grazie per l'aiuto,
ma per la gestione del dns come potrei fare ? i dispositivi cisco che usano HSRP mi permettono anche di aggiornare in modo automatico i dns in presenza di un down della linea principale ?
Grazie.

-
Salvatore.

i dns usi i tuoi o quelli dei 2 ISP ?

[sasa]

uso nostri dns, sia per il primario che per il secondario.
grazie.

-
Salvatore.

[valerio1976]

uso nostri dns, sia per il primario che per il secondario.
grazie.

-
Salvatore.

allora vai tranquillo

[sasa]

dovrei mettere il dns primario dietro la connettività principale, il dns secondario dietro la connettività di backup e gestire per ogni zona due record A denominati www che fanno riferimento a due IP diversi,ad esempio:

record di tipo A --> www --> 1.2.3.4 (ip pubblico primo ISP)
record di tipo A --> www --> 5.6.7.8 (ip pubblico secondo ISP)

è così ? ma non posso gestire con apparati cisco l'aggiornamento dei dns in presenza di un down della linea principale ?
ancora grazie !

-
Salvatore.

[valerio1976]

dovrei mettere il dns primario dietro la connettività principale, il dns secondario dietro la connettività di backup e gestire per ogni zona due record A denominati www che fanno riferimento a due IP diversi,ad esempio:

record di tipo A --> www --> 1.2.3.4 (ip pubblico primo ISP)
record di tipo A --> www --> 5.6.7.8 (ip pubblico secondo ISP)

è così ? ma non posso gestire con apparati cisco l'aggiornamento dei dns in presenza di un down della linea principale ?
ancora grazie !

-
Salvatore.

quanti ip pubblici hai a disposizione ?

[sasa]

16 ip pubblici

[valerio1976]

16 ip pubblici

bene in sostanza devi fare quest cosa qui


1° isp ip 1.2.3.4 ----router-lan--192.168.1.1
|----default gateway per la lan 192.168.1.3
2° isp ip 5.6.7.8 ----router-lan--192.1681.2

questo è per la parte inside
puoi fare la stessa cosa per la outside con il 2° ip pubblico della linea primaria.

ti metterei pure un disegnetto ma...chissà perchè non lo riesco ad inserire

[sasa]

Ciao, il mio problema però è un altro e riguarda la risoluzione dei nomi nel momento in cui la prima linea è down, l'aggiornamento dei dns dovrebbe avvenire in modo automatico !? anche configurando due record A per il www comunque non avrei la certezza che nel momento in cui il primo IP pubblico non è raggiungibile (linea down) l'indirizzo www.miosito.it viene risolto con l'IP pubblico della seconda linea dati, o sbaglio ?
Buona giornata.

-
Salvatore.

[valerio1976]

Ciao, il mio problema però è un altro e riguarda la risoluzione dei nomi nel momento in cui la prima linea è down, l'aggiornamento dei dns dovrebbe avvenire in modo automatico !? anche configurando due record A per il www comunque non avrei la certezza che nel momento in cui il primo IP pubblico non è raggiungibile (linea down) l'indirizzo www.miosito.it viene risolto con l'IP pubblico della seconda linea dati, o sbaglio ?
Buona giornata.

-
Salvatore.

ciao, io non capisco di che ti preoccupi i tuoi server dns sono sulla lan su una dmz giusto ? quindi se li metti in hsrp fa tutto da solo quando un link è down....,scusa la domanda ma sai come funzionano i router in hsrp ?

io dove lavoro ho fatto cosi ho 2 server dns, con 2 connessioni fastweb se cade una connessione outside viene girato tutto sulla linea di backup in modo automatico.


ciao

[sasa]

Ciao, si scusa ma non ho conoscenze dettagliate del protocollo HSRP e quindi credevo, a questo punto erroneamente, che la divulgazione del nuovo indirizzo IP (in presenza di down) riferito alla connessione di backup doveva essere 'compito mio' ma invece mi sembra di capire che così non è !
Ti confermo che i name server principale e secondario sono nella mia dmz, quindi mi basta soltanto configurare ogni zona in modo che il record host www faccia riferimento ai due indirizzi IP pubblici di entrambe le connettività (primaria e di backup), è così ?
Ancora grazie per l'aiuto e la pazienza !

-
Salvatore.

[valerio1976]

Ciao, si scusa ma non ho conoscenze dettagliate del protocollo HSRP e quindi credevo, a questo punto erroneamente, che la divulgazione del nuovo indirizzo IP (in presenza di down) riferito alla connessione di backup doveva essere 'compito mio' ma invece mi sembra di capire che così non è !
Ti confermo che i name server principale e secondario sono nella mia dmz, quindi mi basta soltanto configurare ogni zona in modo che il record host www faccia riferimento ai due indirizzi IP pubblici di entrambe le connettività (primaria e di backup), è così ?
Ancora grazie per l'aiuto e la pazienza !

-
Salvatore.

scusa ma sono un po stressato dagli incompetenti che ci lavoro insieme

ma cavolo non ci posso neppure mettere un disegno. grrr

allora metti in hsrp la lan inside, i tuoi server dns uguali abbiano come gateway l'ip virtuale, cosi che se ti va giu uno dei due saranno sempre raggiungibili.

Il problema grosso e che usi due ISP diversi quindi hai bisogno che gli ISP ti facciano usare il BGP ma se non hai esperienza con il BGP sicuramente ti incasini...

allora fai senza l'utilizzo del BGP e potresti fare una cosa del genere:

hostname Router
!

ip cef

!####monitors tracking objects####!

ip sla monitor 1
type echo protocol ipIcmpEcho 12.34.45.1
threshold 3
frequency 5

ip sla monitor schedule 1 life forever start-time now

ip sla monitor 2
type echo protocol ipIcmpEcho 23.34.56.1
threshold 3
frequency 5

ip sla monitor schedule 2 life forever start-time now

!

!####Configure Tracking objects (referencing IP SLA monitor’s above)####!

track 101 rtr 1 reachability
!
track 102 rtr 2 reachability
!
!
!
!
!####Configure Interfaces with NAT####!

interface FastEthernet0
ip address 192.168.1.254 255.255.255.0
ip nat inside
!
interface s0/0
ip address 12.34.45.2 255.255.255.0
ip nat outside
!
interface s0/1
ip address 23.45.67.2 255.255.255.0
ip nat outside
!
ip classless

!####Configure gateway of last resort with tracking objects####!
ip route 0.0.0.0 0.0.0.0 12.34.45.1 track 101
ip route 0.0.0.0 0.0.0.0 23.45.67.1 track 102

!####Configure NAT statements for most outbound traffic####!
ip nat inside source route-map ISP1 interface s0/0 overload
ip nat inside source route-map ISP2 interface s0/1 overload

!####Configure NAT statements for your mail server####!
!(remember to setup dns for mail on both public IP addresses)!

ip nat inside source static tcp 192.168.1.10 25 12.34.45.2 25 route-map ISP1 extendable
ip nat inside source static tcp 192.168.1.10 25 23.45.67.2 25 route-map ISP2 extendable
!
!
access-list 10 permit 192.168.1.0 0.0.0.255
!
!####Configure route maps for reference in NAT statements####!

route-map ISP2 permit 10
match ip address 10
match interface s0/1

!
route-map ISP1 permit 10
match ip address 10
match interface s0/0

quindi se hai un sito internet che si chiama www.cheneso.it
smtp.cheneso.it pop.cheneso.it il dns se hai la gestione te cioè gli ISP ti fanno gestire il dns gli dai sempre come puntamento i tuoi IP

che punta all'ip 12.34.45.1 ---isp primario---
gli dici che deve puntare anche a 23.45.67.1 ---isp secondario---

cosi se ti cade una linea lui proverà sulla seconda, trovandola attiva dirotterà tutti i servizi sulla linea di back ---questo per outside---

per quanto rigurda la parte interna non ti cambia nulla perchè sarà il router a reitradare i pacchetti dalla outside all'inside sul ip virtuale dell hsrp.

Spero che sia chiaro

P.S
Ma sta roba che vuoi fare deve essere raggiungibile dalla tua socità ? cioè dagli IP pubblici oppure useranno i dns oltre che per internet quindi quello del tuoi ISP devono usare tipo che so un DB http://oracle.miasocita.it:8000
e quindi useranno l'ip interno del server dns ? e magari con una vpn ?

ciao

[sasa]

Ciao e grazie ancora per la disponibilità !
Partendo dal basso tutto questo mi serve per aumentare la disponibilità dei servizi pubblici offerti, quindi fare in modo che gli utenti esterni (che debbano visualizzare un sito web posto su i nostri server, piuttosto che accedere alla loro mailbox, accesso in vpn etc) anche in presenza di un down della connettività principale possano (anche se più lentamente) usare comunque i servizi a loro offerti.

Per quanto riguarda la parte tecnica, concettualmente ora mi è chiaro che usando due router cisco e configurandoli per usare il protocollo HSRP non devo preoccuparmi della propagazione (a livello di name server) di un IP diverso per un determinato nome host, tutto questo in quanto la redirezione della richiesta esterna verso un IP diverso viene gestita in automatico dal protocollo HSRP.

Due ultime domanda, i due router devono avere necessariamente la stessa base di indirizzamento locale, è così ?
Potendo usare BGP avrei una efficienza maggiore rispetto al non usarlo ?
Aggiungo una terza domanda, facendo NAT sulle macchine pubbliche ci possono essere problemi con l'utilizzo del protocollo HSRP ?

Perdonami però ora mi sorge un dubbio, tu all'inizio mi dicevi di usare due dispositivi in HSRP, ma quindi un solo dispositivo dual-wan (all'interno del quale gestire HSRP) non serve ?..scusa se la domanda è proprio banale !
Buon lavoro.

-
Salvatore.