تجمیع چندید اینترنت با هم و مشکل سایت های خاص
سلام
چندتا اینترنت با میکروتیک منگل های مورد نیاز ساخته شده و با هم تجمیع شدن ولی مشکلی که داریم اینه که بعضی سایت های داخلی مثل تامین اجتماعی یا بانکی یا تعویض پلاک ها توی مرحله احراض هویت درست کار نمیکنن یا باز نمیشن یا پیغام میده سرورشون در دسترس نیست حتی بعضی ای اس پی ها نمیشه وارد سی پنلشون شد
ایا باید برای این جور سایت ها تک تک نت تعریف کنم که فقط از یک لاین ای اس پی عبور کنن ؟ راه دیگه ای هست ؟
4 پاسخ
اساتید راهکاری ندارن ؟
سلام دوست عزیز
به دلیل تغییر ای پی در لحظه به مشکل میخوره باید فقط برای این سایت ها یک مسیر عبور (ای اس پی) در نظر بگیرید.این راحتترین کار هست. مثلا واحد مالی که با بانک سروکار داره برای اونا یک اینترنت درنظر بگیرید. با توجه به تنظیمات امنیتی اون سایت ها بعید میدونم راه دیگه ای داشته باشه.
خیلی ممنون
سلام دوست عزیز
مشکلی که گفتی یکی از دردسرهای رایج در سناریوهای تجمیع اینترنت با میکروتیک هست. وقتی چندتا اینترنت رو با منگل و PCC یا ECMP تجمیع می کنی، عملاً پکت های رفت و برگشت ممکنه از مسیرهای مختلف رد بشن و این دقیقاً همون چیزیه که بعضی سایت ها – مخصوصاً سایت های حساس مثل بانکی، تأمین اجتماعی، یا پنل های مدیریتی – نمی تونن باهاش کنار بیان، چون این سایت ها به شدت روی session و مسیر برگشت حساس هستن.
در واقع وقتی شما یه درخواست رو با اینترنت A می فرستی و پاسخ با اینترنت B برمی گرده، سرور مقصد این رفتار رو به عنوان یه فعالیت مشکوک یا حمله در نظر می گیره و session رو قطع می کنه یا اصلاً اجازه اتصال نمی ده.
درسته، دقیقاً راهی که خودت گفتی یکی از بهترین روش هاست: تعریف کردن policy routing یا static route برای آدرس اون سایت های خاص که از یه خط خاص رد بشن و bypass بشن از مسیر تجمیع شده. برای این کار معمولاً یه address list درست می کنی برای اون سایت ها و بعد با یه رول ساده منگل یا route rule مشخص می کنی که ترافیک این لیست فقط از طریق یک gateway خاص (مثلاً اینترنت A) خارج بشه.
اگه بخوای تمیزتر این کار رو انجام بدی، می تونی از Layer 7 یا حتی DNS name resolution هم استفاده کنی ولی همون address list ساده هم کارت رو راه می ندازه، مخصوصاً اگه آی پی های این سایت ها استاتیک باشن.
در کل راه حل جایگزین خیلی شسته رفته ای که هم تجمیع داشته باشی و هم سایت های حساس به مشکل نخورن وجود نداره، چون ماهیت این سرویس ها این جوریه. مگر اینکه از یک load balancer حرفه ای خارجی استفاده کنی یا تو شبکه ت source nat رو با دقت بیشتری بر اساس کانکشن تعریف کنی.
برای اینکه این مفاهیم و پیاده سازی شون رو عمیق تر یاد بگیری، پیشنهاد می کنم حتماً دوره «میکروتیک پیشرفته با سناریوهای واقعی شبکه» توسینسو رو دنبال کنی، دقیقاً چنین مواردی رو توش به صورت کاربردی توضیح دادیم.