Esta es la primera vez que hago una pregunta aquí y me preguntaba si es posible tener dos IP públicas de ISP diferentes conectadas a un solo sistema para lograr alta disponibilidad.
por ejemplo, si nuestro ISP 1 se desconecta, el segundo ISP estará disponible, al igual que Google y YouTube tienen direcciones públicas diferentes, no sé dónde configurar esto.
Actualmente estamos usando Fortinet 300D.
Respuesta1
Sí, pero la forma en que implemente esto afectará la experiencia del usuario cuando uno de los sistemas falle.
En su forma más simple, puede ingresar 2 registros de dirección A en su DNS externo y los usuarios serán enviados a ambas direcciones (lo que se conoce como equilibrio de carga de DNS por turnos). Esto no es particularmente bueno, ya que significa que cuando una de las direcciones no está disponible, aproximadamente la mitad de las conexiones de los usuarios fallarán. También es ineficiente ya que los clientes de un ISP pueden enviarse a través del otro ISP o a través del ISP con la ruta menos deseable. La aplicación cliente y el almacenamiento en caché de DNS pueden retrasar que los clientes obtengan la dirección del sistema en funcionamiento, por lo que los clientes que fallan tienden a fallar durante períodos bastante largos sin intervención para reiniciar las aplicaciones y vaciar las cachés de DNS. Si mantiene el TTL de DNS breve y no le importan las interrupciones breves, puede desactivar manualmente una dirección cuando el servicio no esté disponible en esa dirección; sin embargo, la experiencia del usuario sigue siendo la de una breve falla.
Para mejorar esto, necesita que un sistema externo verifique que su servicio esté disponible y actualice automáticamente los registros DNS para señalar a los usuarios los sistemas en funcionamiento. Otras mejoras tienen el sistema DNS conectado directamente al monitoreo de back-end para dirigir a los usuarios al sistema menos cargado. Aunque está automatizado, todavía existe una experiencia de usuario en la que algunos usuarios seguirán viendo una falla.
Nada de esto es específico de su firewall, que simplemente presenta dos interfaces externas a los dos ISP. Tenga en cuenta que no es posible enrutar el tráfico del ISP1 al ISP2 o viceversa, ya que el enrutamiento de Internet simplemente eliminará este tráfico. No se puede "conectar" dos ISP y esperar que todo funcione.
Las grandes empresas generalmente no dependerán únicamente de la operación por turnos del DNS. En su lugar, se trasladarán a su propia red (o redes asociadas) y harán que los ISP los enrutan a su red en un sistema conocido como peering. La red corporativa puede tener muchos pares compuestos por múltiples ISP distribuidos a escala regional o global. Al intercambiar información de enrutamiento, los clientes se enrutan desde su ISP a través de los ISP que están trabajando actualmente y hacia la red corporativa. Esto aún puede provocar interrupciones breves mientras las redes son inaccesibles; sin embargo, estos sistemas brindan una excelente redundancia para que la red corporativa sea accesible incluso durante las interrupciones del enlace.
Son posibles otras soluciones sofisticadas más complejas, pero fuera del alcance de una respuesta de StackExchange. Como ejemplos:
- Coloque un equilibrador de carga en un sistema altamente confiable (Azure, AWS, etc.) y haga que reenvíe el tráfico a la dirección monitoreada que está "activa".
- Utilice un par basado en VPN (a veces denominado intermediario de túnel) para obtener una IP externa independiente de sus ISP y permita que el túnel VPN atraviese ambos ISP.
- mover todo el sistema a una ubicación de alta disponibilidad
Respuesta2
Compre una máquina virtual de un proveedor que se adapte a sus necesidades (¿nivel de Cloudflare tal vez?), configure un firewall virtual allí y establezca múltiples VPN desde el sitio o los sitios locales para vincularlos y usarlos para el enrutamiento virtual (pensando en MPTCP o similar). .
La conexión a Internet del sistema local será redundante, con tantos enlaces como desee (diferentes proveedores, múltiples tecnologías) y una VPN para el firewall virtual para cada uno de estos enlaces.
Publicará el servicio deseado desde el sistema local a través del firewall virtual alojado.
Dependiendo de los requisitos de disponibilidad, puede agregar un enlace WAN local, ancho de banda al firewall virtual o elegir un proveedor más confiable para el alojamiento de la VM.