переход на PI адреса и обновление DNS

Все остальное

переход на PI адреса и обновление DNS

Сообщение annawhite » 02 дек 2010, 13:59

Добрый день, Уважаемый Алл
прошу совета ибо не могу придумать как решить проблему лучшим способом.
Было: подсеть класса С реальных адресов от прова. на этих адресах есть несколько серверов, в том числе и веб серваки. ДНС прописано соответствующе.
Сейчас: Переходим на BGP с другими реальными IP шниками - получили AS и PI.
Настроили необходимое подключение со вторым провом
Хотим: Перевести наши серваки на второго прова с уже настроенными PI адресами и подключить первого прова по бгп
Но проблема в ДНС. она меняется в течении 4-6 часов.
Возможности собрать подобные серваки для резерва нету.
Вопрос. как можно обойти проблему ДНС? (чтобы сервисы не останавливались на некое количество часов)
есть джунипер J2320 с одним свободным портом и каталист 2950

Спасибо за внимание и за любую мудрую мысль!
annawhite
новичок
 
Сообщения: 39
Зарегистрирован: 02 дек 2010, 13:08
Откуда: москва

Re: переход на PI адреса и обновление DNS

Сообщение lehisnoe » 02 дек 2010, 15:01

Варианты на вскидку:

1. Настроить сервисы на текущих сервантах на прием входящих подключений как по старым адресам, так и по новым.
Если п.1. неосуществим в силу специфичности сервисов, способных работать только на одном адресе, тогда можно поломать голову над п.2:
2. Серванты поместить за J2320 (чтобы она была дефолт-роутером для сервантов), на котором натить входящие запросы только к старым адресам так, чтобы они преобразовывались в запросы к новым адресам. Но тут возникнет засада с "разNATчиванием" трафика, т.к. ответы будут уходить по дефолт-роуту. Мы, правда, такого рода "засаду" решали, но на FreeBSD.

После чего менять записи в ДНС со старых на новые адреса. Таким образом сервант в обоих случаях будет одновременно обслуживать входящие подключения и на новые и на старые адреса, что и нужно на время обновления зон. Более того, я бы такую схему оставил бы на недельку для того, чтобы в сторонних кэширующих ДНСах старая зона экспайрнулась и заменилась новой.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: переход на PI адреса и обновление DNS

Сообщение lehisnoe » 02 дек 2010, 16:49

Единственное замечание по п.1: не забывай PBR'ом отправлять ответы с новых адресов в сторону их gw - BGP-машины.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: переход на PI адреса и обновление DNS

Сообщение annawhite » 02 дек 2010, 17:50

Спасибо большое за советы. думаю на счет первого пункта.
Можно ли ещё один вопрос?
сейчас канал прова первого приходит в один общий свич Л2 (назовём его ZZZ) но не настроенного (честно говоря мне как-то не по себе от такого подхода)
уже настроила транковую связь джунипера и каталиста и планирую через вланы делить сеть.
будет ли работать такая схема?
первый пров подключен к общему свичу, к нему же подключены все серваки, к нему же подключу и порт джунипера, планируемый как бгп аплинк к первому прову.
второй пров (на котором поднят бгп) смотрит в джунипер, далее по транку идет на каталист. и порт из каталиста (на котором уже прописана нужная подсеть для серверов) подключаю к этому же ZZZ
в сервера на сетевые карты (которые смотрят в этот свич) прописываю по 2 ип-шника.

И на сколько я понимаю все должно работать, ведь свичу ZZZ без разницы какие сети обслуживать.
меняю ДНС
далее поверх этого всего безобразия поднимаю бгп с первым провом и делаю нормальную схему.

Или я что-то не бум-бум? :)
Спасибо
ЗЫ. прошу прощения за много буковок....


upd. предварительные тесты на линухах прошли успешно. только непонятно как будет себя вести винды и иса сервер...
Последний раз редактировалось annawhite 02 дек 2010, 20:00, всего редактировалось 1 раз.
annawhite
новичок
 
Сообщения: 39
Зарегистрирован: 02 дек 2010, 13:08
Откуда: москва

Re: переход на PI адреса и обновление DNS

Сообщение lehisnoe » 02 дек 2010, 19:06

annawhite писал(а):И на сколько я понимаю все должно работать, ведь свичу ZZZ без разницы какие сети обслуживать.

Да, свичу без разницы, только ответы от новых адресов сервантов полетят по дефолт-роуту к первому прову. Чтобы это изменить и нужен PBR (Policy Base Routing - изменение адреса next-hop в зависимости от src-адреса). Если сервантов немного, то я бы делал PBR силами самих сервантов (на FreeBSD это можно сделать при помощи ipfw fwd либо же pf-ного route-to).

Надеюсь что, суть ты уловила, а конкретная реализация - это уже дело техники :)
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: переход на PI адреса и обновление DNS

Сообщение annawhite » 02 дек 2010, 19:11

lehisnoe писал(а):Да, свичу без разницы, только ответы от новых адресов сервантов полетят по дефолт-роуту к первому прову. Чтобы это изменить и нужен PBR (Policy Base Routing - изменение адреса next-hop в зависимости от src-адреса). Если сервантов немного, то я бы делал PBR силами самих сервантов (на FreeBSD это можно сделать при помощи ipfw fwd либо же pf-ного route-to).

Спасибо большое!
только извиняюсь за глупый вопрос, зачем в виртуальном интерфейсе на порту тогда дефаул гейтвей?
annawhite
новичок
 
Сообщения: 39
Зарегистрирован: 02 дек 2010, 13:08
Откуда: москва

Re: переход на PI адреса и обновление DNS

Сообщение lehisnoe » 02 дек 2010, 19:17

annawhite писал(а):зачем в виртуальном интерфейсе на порту тогда дефаул гейтвей?

Порту чего, свича? Если да, то для того, чтобы быть доступным не только из собственной подсети, но и из других подсетей, пакеты к которым он как раз и отправит через дефолт-роут.
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: переход на PI адреса и обновление DNS

Сообщение annawhite » 02 дек 2010, 19:30

lehisnoe писал(а):
annawhite писал(а):зачем в виртуальном интерфейсе на порту тогда дефаул гейтвей?

Порту чего, свича? Если да, то для того, чтобы быть доступным не только из собственной подсети, но и из других подсетей, пакеты к которым он как раз и отправит через дефолт-роут.

Извиняюсь, просто никогда не приходилось ставить виртуальные интерфейсы и поэтому видимо что-то недопонимаю.
на сетевой карте сервера оставляю eth0 со старыми значениями
и добавляю eth0:0 с новым PI адресом. в eth0:0 ставлю gateway влана каталиста как шлюза.
почему пакет пришедший с каталиста будет отправляться через первого прова? ведь для этой сети гейтвей прописан однозначно, и разве дефаулт гейтвей не перебивается по приоритету гейтвеем которой прописан для этой сети?
annawhite
новичок
 
Сообщения: 39
Зарегистрирован: 02 дек 2010, 13:08
Откуда: москва

Re: переход на PI адреса и обновление DNS

Сообщение lehisnoe » 02 дек 2010, 19:41

annawhite писал(а):в eth0:0 ставлю gateway влана каталиста как шлюза.

Начнем с того, что 2950 - это свитч 2-го уровня и роутить он ничего не умеет.
К сожалению, с линуксами не работаю, а потому подсказать на тему прописывания там одновременно двух дефолтов не смогу :(
По логике дефолт может быть только один (метрики оставляем за кадром) - это адрес, куда посылаются все пакеты, путь до которых серверу "не известен".
А ты смотрела, что у тебя в таблице роутинга сервера получается после прописывания второго дефолта?
No users
No troubles
No money
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
lehisnoe
Site Admin
 
Сообщения: 539
Зарегистрирован: 11 июн 2008, 14:09
Откуда: Moscow

Re: переход на PI адреса и обновление DNS

Сообщение annawhite » 02 дек 2010, 19:52

тут конечно я немного солгала, простите. конечно через транк влановский гейтом выступает джунипер с его виртуальными интерфейсами на транковом порту...
второй дефолт тоже появляется, но после первого.
но если судить логически то пакет должен пересылаться в ту же подсеть с выставленным для неё гейтом...
или я совсем ничего не понимаю.
надо пробовать....

Спасибо!
annawhite
новичок
 
Сообщения: 39
Зарегистрирован: 02 дек 2010, 13:08
Откуда: москва

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 12

cron