"Multihoming" pres ISDN

Dan Lukes dan at obluda.cz
Thu Jan 31 20:09:09 CET 2002 

Pavel ČERNOTA wrote:

> S tim jinym uzlem stejneho ISP to je dobry napad. Pokud maji ovsem vse
> stazene do jedineho centra ("jediny" uzel), tak to situaci neresi.

	Nicmene, vypadky centralniho uzlu jsou pro kazdeho ISP tak zavazny
problem, ze se asi budou nejvice ze vseho snazit, aby nenastavaly, nebo,
kdyz uz nastanou, byly nejkratsi.
 
> 1) Odchozi provoz z vnitrni LAN pres zalozniho providera.
> Predpoklad jsem, ze bych pro odchozi provoz z vnitrni LAN vyuzil NAT a
> verejne IP adresy tohoto zalozniho providera. Tzn., takovyto provoz by se
> bez problemu a standardnimi prostredky vratil.

	Tim se vam ale rozpadnou vsecha existujici TCP spojeni (protoze nahle
zacnete pakety odesilat z jine adresy).
 
> Jak jste to myslel s tim propoustenim adres primarniho ISP pres zalozniho
> ISP pro tento pripad ?

	Myslel jsem, ze nadale k tomu zaloznimu ISP zasilate pakety se
zdrojovou adresou patrici hlavnimu ISP - tim nedojde k rozpadu
ustavenych spojeni, predpoklada to ale samozrejme takovou upravu
routingu, ze se k "zaloznimu" providerovy take pakety urcene teto adrese
zacnou vracet, coz je samozrejme hlavni problem.
 
> 2a) Prichozi SMTP posta.
> Pokud budu mit dva DNS servery pro nasi domenu, jeden na vnitrni siti a
> jeden mimo primarniho ISP a budu mit dva MX zazanamy pro nasi domenu a
> postovni server na nasi LAN bude pristupny pres IP adresu primarniho a IP
> adresu sekundarniho ISP (bude mit nabindovany obe). Bude v takovem pripade
> (spojeni do Internetu jen pres zalozniho ISP) fungovat prichozi SMTP posta ?

	Ano, bude, presne tak, jak si predstavujete. MX na IP zalozniho ISP by
mel mit horsi prioritu.

> 2b) Prichozi provoz iniciovany z Internetu na servery na nasi LAN
> publikovane s verejnymi adresami primarniho ISP.
> Jde v podstate o to, ze uzivatele, kteri budou chtit v dobe vypadku
> primarniho ISP  navazat z Internetu spojeni na nase servery na vnitrni LAN,
> ziskaji pres DNS jejich IP adresy z rozsahu primarniho (momentalne
> nefunkcniho) ISP, ktere neni zrejme mozno naroutovat pres jineho ISP bez
> plnohodnotneho BGP4 multihomingu.
> 
> Nedalo by se v tomto pripade nejak manipulovat s DNS ? Jak by se to chovalo,
> kdyby byly DNS jmena nasich serveru v DNS publikovana vzdy i s IP adresami
> zalozniho ISP ? Podotykam, ze aplikacne by slo o HTTP provoz.

	S DNS sice manipulovat muzete, ale musite uvazit jeho obrovskou
setrvacnost. Sice asi dokazete v pripade potreby zmenit zanamy na vsech
autoritativnich nameserverech, ale po svete stale budou klidne i
desetitisice nameserveru, ktere budou mit v cache pubovni zaznamy a
budou je klidne neautoritativne pouzivat i poskytovat az do okamziku
vyprseni jejich TTL.

	Muzete sice TTL snizit, ale snizeni pod urcitou mez je nejen v rozporu
s doporucenimi, ale i s praktickymi pozadavky na chod - pri prilis
kratkem TTL dojde k pomerne znacnemu zvyseni zateze autoritativnich
nameserveru a dojde i k zhorseni dostupnosti vasi site pro uzivatele s
aktualne horsim spojenim smerem k vasi siti (jejich ditazy by obvykle
zodpovedel jejich lokalni nameserver z cache, takto to nebude moci
obvykle udelat a je vetsi sance, ze dotaz skonci timeoutem).
 
	Nicmene, privedl jste me na jeste jeden problem - pokud poskytujete
nektere sluzby pres SSL, pak upozornuji, ze komplikace nastane s X509
certifikaty pokud stroj bude pri spojenich pres zalozniho ISP mit jine
jmeno nez pri spojeni pres hlavniho ISP.

> 3) Chapu tedy dobre, ze bych musel mit od RIPE (po splneni vsech podminek a
> zaplaceni vsech poplatku) pridelen vlastni IP supernet + verejne AS, tj.
> oboji nezavisle na ISP ?

	Procedury RIPE nemam zcela v hlave, navic o AS a IP jsem zadal pouze
pro LIR, coz je neco trochu jineho, ale myslim, ze by stacilo zazadat o
prideleni bloku PI adres (prostrednictvim nektereho z LIR), jejichz
poskytnuti je ze strany RIPE, alespon pokud vim, zdarma stejne jako u PA
adres. AS pokud vim take neni vazano na zadny prispevek (zato je to
spousta korespondence).
 
> 4) Pokud bude casem dostupne (asi zatim jen pres CTc) ADSL pripojeni, jak se
> divate na tuto moznost zalozniho pripojeni ? Nebude v tomto pripade
> administrativne omezovan prichozi provoz na WWW ?

	O tom nemohu nic rict, protoze o ADSL od SPT je toho zatim znamo prilis
malo, kazdopadne, problemy se zaloznim spojenim jsou stejne bez ohledu
na konkretni technologii linkove vrstvy.


						Dan


-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz

More information about the net mailing list