dies ist das erste Mal, dass ich hier eine Frage stelle, und ich frage mich, ob es möglich ist, zwei verschiedene öffentliche IP-Adressen von Internetdienstanbietern mit einem einzigen System zu verbinden, um eine hohe Verfügbarkeit zu erreichen.
Wenn beispielsweise unser ISP 1 offline geht, ist der 2. ISP verfügbar, genau wie Google und YouTube unterschiedliche öffentliche Adressen haben. Ich weiß nur nicht, wo ich das konfigurieren soll.
wir verwenden derzeit Fortinet 300D.
Antwort1
Ja, aber die Art und Weise der Implementierung wirkt sich auf das Benutzererlebnis aus, wenn eines der Systeme ausfällt.
Am einfachsten ist es, wenn Sie zwei A-Adresseinträge in Ihren externen DNS eingeben und die Benutzer an beide Adressen gesendet werden (bekannt als Round-Robin-DNS-Lastausgleich). Das ist nicht besonders gut, denn wenn eine der Adressen nicht verfügbar ist, schlägt ungefähr die Hälfte der Benutzerverbindungen fehl. Außerdem ist es ineffizient, da Clients eines ISPs über den anderen ISP oder über den ISP mit der weniger wünschenswerten Route gesendet werden können. Client-Anwendungs- und DNS-Caching können dazu führen, dass Clients die Adresse nicht rechtzeitig an das funktionierende System senden, sodass ausfallende Clients für ziemlich lange Zeiträume ausfallen, ohne dass Anwendungen neu gestartet und DNS-Caches geleert werden müssen. Wenn Sie die DNS-TTL kurz halten und kurze Ausfälle Ihnen nichts ausmachen, können Sie eine Adresse manuell deaktivieren, wenn der Dienst unter dieser Adresse nicht verfügbar ist. Der Benutzer hat jedoch trotzdem das Gefühl eines kurzen Ausfalls.
Um dies zu verbessern, müssen Sie ein externes System die Verfügbarkeit Ihres Dienstes prüfen lassen und die DNS-Einträge automatisch aktualisieren lassen, um Benutzer auf die funktionierenden Systeme zu verweisen. Weitere Verbesserungen sind, dass das DNS-System direkt mit der Back-End-Überwachung verbunden ist, um Benutzer auf das weniger ausgelastete System zu leiten. Obwohl dies automatisiert ist, gibt es immer noch eine Benutzererfahrung, bei der einige Benutzer immer noch einen Fehler feststellen.
Nichts davon ist spezifisch für Ihre Firewall, die einfach zwei externe Schnittstellen zu den beiden ISPs bereitstellt. Beachten Sie, dass es nicht möglich ist, den Verkehr von ISP1 über ISP2 oder umgekehrt zu leiten, da das Internet-Routing diesen Verkehr einfach abweisen würde. Sie können nicht zwei ISPs „über Kreuz verbinden“ und erwarten, dass irgendetwas funktioniert.
Große Unternehmen verlassen sich im Allgemeinen nicht allein auf DNS Round-Robin. Stattdessen wechseln sie zu ihrem eigenen Netzwerk (oder Partnernetzwerken) und lassen die ISPs in einem als Peering bezeichneten System zu ihrem Netzwerk routen. Das Unternehmensnetzwerk kann viele Peers haben, die aus mehreren ISPs bestehen, die auf regionaler bis globaler Ebene verteilt sind. Durch den Austausch von Routing-Informationen werden Clients von ihrem ISP über die aktuell aktiven ISPs in das Unternehmensnetzwerk geroutet. Dies kann immer noch zu kurzen Ausfällen führen, während Netzwerke nicht erreichbar sind, diese Systeme bieten jedoch eine hervorragende Redundanz, sodass das Unternehmensnetzwerk auch bei Verbindungsausfällen erreichbar bleibt.
Andere komplexere, anspruchsvollere Lösungen sind möglich, liegen jedoch außerhalb des Rahmens einer StackExchange-Antwort. Als Beispiele:
- Platzieren Sie einen Load Balancer auf einem hochzuverlässigen System (Azure, AWS usw.) und lassen Sie ihn den Datenverkehr an die überwachte Adresse weiterleiten, die aktiv ist.
- Verwenden Sie einen VPN-basierten Peer (manchmal auch als Tunnelbroker bezeichnet), um eine externe IP unabhängig von Ihren ISPs zu erhalten und den VPN-Tunnel über beide ISPs laufen zu lassen.
- Verschieben Sie das gesamte System an einen Standort mit hoher Verfügbarkeit
Antwort2
Kaufen Sie eine virtuelle Maschine von einem Anbieter, der Ihren Anforderungen entspricht (vielleicht auf Cloudflare-Ebene?), richten Sie dort eine virtuelle Firewall ein und erstellen Sie mehrere VPNs von der/den lokalen Site(s), die gebündelt und für das virtuelle Routing verwendet werden sollen (denken Sie an MPTCP oder Ähnliches).
Die Internetverbindung des lokalen Systems wird redundant ausgeführt, mit beliebig vielen Links (verschiedene Anbieter, mehrere Technologien) und einem VPN zur virtuellen Firewall für jeden dieser Links.
Sie veröffentlichen den gewünschten Dienst vom lokalen System über die gehostete virtuelle Firewall.
Je nach Verfügbarkeitsanforderungen können Sie eine lokale WAN-Verbindung oder Bandbreite zur virtuellen Firewall hinzufügen oder einen zuverlässigeren Anbieter für das VM-Hosting auswählen.