DOMANDA Suggerimenti: Backup per componenti network (Load Balancer / Switch)

[r3dl4nce]

Premessa: tutto ciò che vuoi fare, in ambito domestico o piccola/media impresa, lo reputo sicuramente sovradimensionato. Dai faiolver di questo tipo li andrei a considerare solo in data center o per ambiti mision critical.

Detto ciò, la richiesta si articola in due macro aree:
- ridondanza accesso internet
- ridondanza apparati di rete


La ridondanza dall'accesso a internet sempre più spesso viene richiesta, dato che non esiste sistema di connessione che garantisca uptime del 100% (cavo fibra danneggiato, problemi apparati isp, ecc). Per la prima parte della ridondanza accesso internet sei già coperto, ovvero avere due connessione con trasporto diverso, e te hai FTTH + 4G da quel che capisco. Bene. Generalmente i router che forniscono gli operatori non hanno funzionalità di multi-wan, quindi hai giustamente dovuto mettere un apparato che gestisca il multi-wan, quello che te chiami erroneamente "load balancer" dato che la tua configurazione dovrebbe essere puramente active/backup ovvero solo una delle due connessioni viene utilizzata, la FTTH come primaria, e in caso di guasto passa in automatico sulla SIM 4G. Se questo apparato si guasta, però, l'accesso ad internet si ferma. Come fare quindi? Servono due apparati che gestiscano il multi-wan e che siano in grado di "parlarsi" tra di sè per stabilire chi è attivo e chi invece è in standby. Dato che non sappiano nulla di questo apparato che te chiami "load balancer" marca, modelli, funzioni, ecc parto dal presupposto che non supporti funzionalità avanzate, per cui hai due possibilità che ti vado a specificare.
Requisito FONDAMENTALE: i due router devono avere due interfacce di rete entrambi.
Possibilità 1: pfSense / OpnSense. sono due distro basate su *nix pensate per fare firewall L3, con tante funzionalità aggiuntive e molto intuitive, possono gestire più router WAN sia in configurazione load balancing (ovvero pacchetti smistati simultaneamente su entrambe le connessioni) sia in modalità active/backup ovvero una o più connessioni primarie e una o più connessioni di backup, attive solo se la primaria non fa traffico dati (down). Possono essere acquistate già delle hardware appliance oppure possono essere installate su hardware generico. Le consiglio perché molto facili e intuitive da configurare, chiaramente a te ne servirebbero due, ognuna con 4 schede di rete: WAN1, WAN2, CARP, LAN. Il sistema CARP è quello che gestisce la ridondanza, preoccupandosi di tenere sincronizzato non solo l'ip virtuale (l'ip che i tuoi dispositivi in rete vedranno come ip di gateway) ma anche tenere sincronizzate le configurazioni e le tabelle di stato del NAT, così che se uno dei due va in down, l'altro è già pronto e attivo e non perdi neppure un pacchetto
Possibilità 2: due apparati router/firewal con possibilità di gestione protocollo VRRP, questo è un protocollo standard che consente di gestire un IP virtuale tra più apparati, tramite il protocollo VRRP solo uno sarà stabilito come apparato attivo e sarà quello che in un dato momento avrà attivo l'IP che gli apparati in rete vedranno come gateway. Esempio si possono usare due Mikrotik RB4011 o le nuove RB5009 per gestire il multi-WAN e il VRRP. In questo caso però le configurazioni non sono sincronizzate quindi devi manualmente replicare le configurazioni (esempio port forwarding, ecc) tra uno e l'altro


La ridondanza degli apparati di rete è molto più complessa e molto meno banale. Intanto non tutti gli apparati che collegherai in rete necessitano di ridondanza, inoltre solo apparati con più interfacce di rete posso avere questa funzionalità dato che devono essere collegati a più switch. Esistono varie possibilità, esempio Linux consente il bonding di più schede di rete in modalità active/backup per cui solo una sarà attiva in un dato momento. Con switch di classe enterprise puoi gestire il path cost delle varie interfacce, per cui si può risolvere un loop esempio più percorsi di rete tramite switch replicati, facendo arrivare i pacchetti solo sulle interfacce con patch cost minore, ecc ecc
Ma qua si va su funzionalità abbastanza particolari da gestire con particolare conoscenza L2 / L3 delle infrastrutture di rete


In generale quindi spero di averti chiarito la situazione.

 

[Bellumomnium]

Consideravo "dispositivo di gestione" anche lo switch gestito (managed) su cui impostare il failover con l'altro switch, se vogliamo avere due reti parallele. Che è una soluzione sulla carta forse eccessiva per una casa media, ma, come detto, dipende da quanta importanza dai alla continuità di servizio verso i tuoi dispositivi e quanto la connessione alla rete deve risultare autonoma dalla tua presenza.
Se vuoi qualcosa di molto più freestyle, che non richieda due switch e due load balancer, potresti impostare un sistema powerline, con access point disseminati nelle stanze più rilevanti, che viene gestito dal "router y", che si attiva in wake-on-lan solo quando un dispositivo "trap" (con due schede di rete) rileva che un sito (o il solito DNS di Google) non è più raggiungibile tramite la rete cablata del "router x". Dubito risulti più economico e più affidabile del sistema in parallelo, ma in brainstorming mi è venuto in mente questo e lascio a te valutarne l'eventuale sensatezza.

Ciao SysLack,
grazie per la risposta.

Cosa richiederebbe impostare un failover sull'altro switch (oltre che la competenza necessaria, ovviamente)?

Ti chiedo questo perché ho già predisposto sia i modem (già configurati), sia load balancer aggiuntivi (già configurati), che switch.

Questo perché, nel caso si danneggiasse una componente, potrei chiedere a qualcuno (supponendo non sia in casa) semplicemente di sostituire l'apparato 'con le lucine spente'; e dunque non ci sarebbe necessità di altri acquisti (posto che non si richiedano caratteristiche specifiche i cui il dispositivo è sprovvisto).

Prima di arrivare alla configurazione attuale feci vari tentativi (sia con extender WiFi, sia con Power Line) e, seppur ne ho un bel pò conservati in caso di necessità, ho potuto verificare una resa non proprio delle migliori; ad ogni modo, sono tutte componenti che, se viene in mente qualche idea 'creativa'/'originale' posso utilizzare senza problemi.

Attualmente stavo vedendo dei video su etherchannel e roba simile con gli switch: no, non dispongo di queste competenze ma sto vagliando/sondando nuove strade; con questo sistema (EtherChannel) o con Spanning Tree Protocol (STP) teoricamente potrei collegare tra loro più switch ed avere una certa ridondanza.

Non penso però che gli switch in mio possesso (ad eccezione di uno Cisco), possano supportarli.
--- i due messaggi sono stati uniti ---

Premessa: tutto ciò che vuoi fare, in ambito domestico o piccola/media impresa, lo reputo sicuramente sovradimensionato. Dai faiolver di questo tipo li andrei a considerare solo in data center o per ambiti mision critical.

Detto ciò, la richiesta si articola in due macro aree:
- ridondanza accesso internet
- ridondanza apparati di rete


La ridondanza dall'accesso a internet sempre più spesso viene richiesta, dato che non esiste sistema di connessione che garantisca uptime del 100% (cavo fibra danneggiato, problemi apparati isp, ecc). Per la prima parte della ridondanza accesso internet sei già coperto, ovvero avere due connessione con trasporto diverso, e te hai FTTH + 4G da quel che capisco. Bene. Generalmente i router che forniscono gli operatori non hanno funzionalità di multi-wan, quindi hai giustamente dovuto mettere un apparato che gestisca il multi-wan, quello che te chiami erroneamente "load balancer" dato che la tua configurazione dovrebbe essere puramente active/backup ovvero solo una delle due connessioni viene utilizzata, la FTTH come primaria, e in caso di guasto passa in automatico sulla SIM 4G. Se questo apparato si guasta, però, l'accesso ad internet si ferma. Come fare quindi? Servono due apparati che gestiscano il multi-wan e che siano in grado di "parlarsi" tra di sè per stabilire chi è attivo e chi invece è in standby. Dato che non sappiano nulla di questo apparato che te chiami "load balancer" marca, modelli, funzioni, ecc parto dal presupposto che non supporti funzionalità avanzate, per cui hai due possibilità che ti vado a specificare.
Requisito FONDAMENTALE: i due router devono avere due interfacce di rete entrambi.
Possibilità 1: pfSense / OpnSense. sono due distro basate su *nix pensate per fare firewall L3, con tante funzionalità aggiuntive e molto intuitive, possono gestire più router WAN sia in configurazione load balancing (ovvero pacchetti smistati simultaneamente su entrambe le connessioni) sia in modalità active/backup ovvero una o più connessioni primarie e una o più connessioni di backup, attive solo se la primaria non fa traffico dati (down). Possono essere acquistate già delle hardware appliance oppure possono essere installate su hardware generico. Le consiglio perché molto facili e intuitive da configurare, chiaramente a te ne servirebbero due, ognuna con 4 schede di rete: WAN1, WAN2, CARP, LAN. Il sistema CARP è quello che gestisce la ridondanza, preoccupandosi di tenere sincronizzato non solo l'ip virtuale (l'ip che i tuoi dispositivi in rete vedranno come ip di gateway) ma anche tenere sincronizzate le configurazioni e le tabelle di stato del NAT, così che se uno dei due va in down, l'altro è già pronto e attivo e non perdi neppure un pacchetto
Possibilità 2: due apparati router/firewal con possibilità di gestione protocollo VRRP, questo è un protocollo standard che consente di gestire un IP virtuale tra più apparati, tramite il protocollo VRRP solo uno sarà stabilito come apparato attivo e sarà quello che in un dato momento avrà attivo l'IP che gli apparati in rete vedranno come gateway. Esempio si possono usare due Mikrotik RB4011 o le nuove RB5009 per gestire il multi-WAN e il VRRP. In questo caso però le configurazioni non sono sincronizzate quindi devi manualmente replicare le configurazioni (esempio port forwarding, ecc) tra uno e l'altro


La ridondanza degli apparati di rete è molto più complessa e molto meno banale. Intanto non tutti gli apparati che collegherai in rete necessitano di ridondanza, inoltre solo apparati con più interfacce di rete posso avere questa funzionalità dato che devono essere collegati a più switch. Esistono varie possibilità, esempio Linux consente il bonding di più schede di rete in modalità active/backup per cui solo una sarà attiva in un dato momento. Con switch di classe enterprise puoi gestire il path cost delle varie interfacce, per cui si può risolvere un loop esempio più percorsi di rete tramite switch replicati, facendo arrivare i pacchetti solo sulle interfacce con patch cost minore, ecc ecc
Ma qua si va su funzionalità abbastanza particolari da gestire con particolare conoscenza L2 / L3 delle infrastrutture di rete


In generale quindi spero di averti chiarito la situazione.

Ciao r3dl4nce,
caspita che figata di messaggio: ti ringrazio tanto, sia perché rimanendo scritto sul forum può essere di supporto a chiunque possa avere le mie stesse intenzioni, sia per mia cultura personale (considerato che, anche in futuro, potrò ri-consultarlo senza problemi).

Intanto, ti confermo che sì per quello che ho fatto fin'ora e per le mie intenzioni, 'sovradimensionato' è riduttivo; ho da tempo 'superato' in complessità la media delle connessioni domestiche: l'impianto è nuovo e le sue migliorie sono direttamente proporzionali alle competenze che acquisisco; prima di cimentarmici non sapevo distinguere le varie categorie di cavo e neppure cosa fosse un load balancer (questo il modello che possiedo: TL-R480T+ Load Balance Broadband Router).


La ridondanza dall'accesso a internet
Nonostante non sia esperto del settore, avevo già intuito la necessità di connessioni con trasporto diverso; ti confermo che, come hai compreso, parliamo di FTTH e 4G. Ho individuato anche il discorso Radio e Satellitare che (seppur predisposto) non ho implementato,
perché attualmente l'ho reputato 'troppo' in ambito costo/beneficio (in futuro se mi cadranno i soldi dalla tasca vedrò di estenderlo anche a queste tecnologie). Il balancer che utilizzo è stato settato per utilizzare entrambe le connessioni contemporaneamente (aumentando banda) in modo che, cadendone una, non si possa notare nessun disservizio (utilizzando invece l'opzione in 'failover' perdo qualche secondo per cui la connessione potrebbe cadere per poi riprendersi).
Pertando, primaria la FTTH, secondaria la 4G ma entrambe Link Up e gestite (il dispositivo è anche router e sì, gestisce il multi-wan).

se ho capito bene:

Possibilità 1:
OPNsense e pfSense sono distro open-source basate su FreeBSD (utilizzi principali: Firewall,Routing avanzato,VPN ,Proxy,IDS/IPS,Gestione servizi di rete,..); hanno ruoli analoghi e.. prendendo come riferimento OPNsense:
o la utilizzo acquistandola direttamente con HW apposito che è facilmente configurabile: come dal link che mi hai suggerito;
oppure la scarico e la inserisco in un HW compatibile (MiniPC con almeno 2 porte ethernet, Router compatibili con OPNsense, Server dedicati,..).
Quindi
- o acquisto 2 dispositivi HW con OPNsense nativo;
- o acquisto, ad esempio, due router compatibili.

Fatto questo devo utilizzare il protocollo CARP per fornire un failover automatico in caso si bruciasse un dispositivo;
solo per 'sintetizzare' (perché la formazione mi chiederà un bel pò di tempo): scelgo l'interfaccia "master" e quella di "backup",
che collego tra loro, poi, dall'interfaccia Web di OPNsense devo solo 'abilitare CARP' e configurare gli IP virtuali (quelli che devo proteggere da failover), e qui in pratica mi conviene fare una selezione degli IP 'da proteggere' perché ci saranno un bel pò di operazioni da effettuare.

potrei potenzialmente uscirmene con:
- 2 MODEM;
- 2 HW OPNsense (o compatibili);

corretto?

Possibilità 2:
acquisto 2 Hardware compatibili con il protocollo VRRP (Router/ Firewall/ Switch con routing/Server...); e cerco di implementare il protocollo VRRP. Scelgo chi è il "router primario", mentre l'altro (o gli altri) sono "router di backup";

mo, tutti questi dispositivi hanno un unico IP (virtuale) che è il gateway di default per tutti i dispositivi della rete;
tralasciando il discorso dell'elezione del router primario/quello con l'IP più alto.. fatto questo teoricamente se uno si va a bruciare se la vede l'altro router (o gli altri router).

quindi, potrei potenzialmente uscirmene con:
- 2 MODEM;
- 2 Router (o Firewall/Switch..);

corretto?

La ridondanza degli apparati di rete
che.. tagliando la testa al toro, nel mio caso è: router e switch..
giusto?

 

[r3dl4nce]

Il balancer che utilizzo è stato settato per utilizzare entrambe le connessioni contemporaneamente (aumentando banda) in modo che, cadendone una, non si possa notare nessun disservizio (utilizzando invece l'opzione in 'failover' perdo qualche secondo per cui la connessione potrebbe cadere per poi riprendersi).

Personalmente non condivido questa impostazione, hai una FTTH che dovrebbe assicurarti velocità ben più che valide, non vedo il senso di usare un load balancing, io mettere una configurazione active/backup, i 3-4 secondi durante il failover sono sinceramente trascurabili, non ti andrebbe neppure in buffer uno streaming o una videoconferenza tanto sono pochi.

scelgo l'interfaccia "master" e quella di "backup",
che collego tra loro, poi, dall'interfaccia Web di OPNsense devo solo 'abilitare CARP' e configurare gli IP virtuali (quelli che devo proteggere da failover), e qui in pratica mi conviene fare una selezione degli IP 'da proteggere' perché ci saranno un bel pò di operazioni da effettuare.

L'IP virtuale sarà solo uno, quello che i tuoi dispositivi della rete vedono come gateway

- 2 MODEM;
- 2 HW OPNsense (o compatibili);

Te hai già router FTTH + router 4G
Ti servono due dispositivi con Opnsense con 4 schede di rete ciascuno:

• Opnsense 1:
  • eth 1 WAN-1: porta lan 1 router FTTH
  • eth 2 WAN-2: porta lan 1 router 4G
  • eth 3 LAN: una porta sullo switch
  • eth 4 CARP: connesso alla porta eth 4 del Opnsense2 per la sincronizzazione del protocollo CARP
• Opnsense 2 in modo similare:
  • eth 1 WAN-1: porta lan 2 router FTTH
  • eth 2 WAN-2: porta lan 2 router 4G
  • eth 3 LAN: una porta sullo switch
  • eth 4 CARP: connesso alla porta eth 4 del Opnsense1 per la sincronizzazione del protocollo CARP

mo, tutti questi dispositivi hanno un unico IP (virtuale) che è il gateway di default per tutti i dispositivi della rete;
tralasciando il discorso dell'elezione del router primario/quello con l'IP più alto.. fatto questo teoricamente se uno si va a bruciare se la vede l'altro router (o gli altri router).

Esatto, è proprio a questo che serve il protocollo VRRP

che.. tagliando la testa al toro, nel mio caso è: router e switch..

Tutta la parte precedente è relativa alla ridondanza della connessione internet quindi wan ridondante (ftth+4G) + firewall ridondante (opnsense+carp, oppure vrrp)

L'altro Point of Failure rimane lo switch o gli switch che collegano gli apparati di rete, si può pensare anche a ridondanza su questi, ma non è banale, servono switch multipli che tramite Spanning Tree gestiscano percorsi multipli stabilendo quale mettere attivo, oltre a più interfacce di rete in bonding sui dispositivi da collegare.
Ti serve una cosa del genere?