Redundans i Telecity Sköndal - skum HSRP
 

Hej gänget som kan allt,

Jag har en fråga angående inkoppling av redundanta internet-länkar från Telecity. Jag förstår inte alls hur de har tänkt att man ska konfa upp sin switch.

Jag ska tydligen ställa in två portar på min switch på active/passive, när den ena går ner så ska den andra växla till aktiv. Jag hittar inte vilken funktion som gör det här på min Dell enterprise switch. Är det en vanlig trunk det är i fråga om?

Jag kör 2 st Dell pizza-kartonger med OpenBSD på som router/brandvägg, som kör carp, den i sin tur är inte kompatibel med Telicitys mystiska redudnans-lösning.

Någon som orkar rikta mig på mer läsning.
Jag bifogar instruktionsdokument som jag erhållit från deras helpdesk:
https://www.dropbox.com/sh/wu3p3xnub...setup.2013.pdf

Dom kör HSRP, så du får leka med STP på din sida.

HSRP funkar även om jag inte så förtjust i det, för är inte en 100% lösning och kan skapas lite dumma problem beroende hur man sätter upp det.

Så jag ska bara ställa in båda portar som vanligt, men slå på rapid spanning tree på just de två portar? det är ju olika versioner på STP nuförtiden. Inte helt lätt.

Ja, eller om du vill köra HSRP eller CARP.
CARP kör väl bara failover av din IP? (har inte kört CARP).

Japp, CARP kör failover, den delar typ på MAC-adressen mellan två andra IP. Jag brukar kombinera den ovanpå vanlig port-trunkning dessutom. Mycket innovativt. HSRP är föråldrad och propritär IETF-teknik, som mest Cisco älskar.

HSRP, VRRP, CARP is same shit ;) I princip...

NEJ tyvärr är det inte det. HSRP är gammalt skräp som i princip enbar CISCO kör, VRRP är protokollet man ser i tcpdumpen, CARP använder samma protokoll ID men helt egen implementation som är betydligt bättre och är fristående dessutom utan patent inblandade.

Bygger på samma princip, HSRP har lite mer extra än VRRP även om Cisco stöder VRRP för vara kompatibel med icke Cisco saker.

Så föredrar köra riktiga saker i nät före köra det på en server. Men skulle även försökt undvika HSRP/VRRP/CARP helt för bygga redundans utan köra på andra sätt för garantera mindre möjliga problem.

Well, om du betalar kostnaden för "de riktiga grejer", byte av 2 st pizzakartonger med 8st Gigabitinterface OpenBSD som sköter routning och VPN åt mig, så blir jag jätteglad.

HSRP är komersiella dumheter som alla inte behöver, du måste blanda inte BGP routning för failover, helt onödigt. VRRP räcker gott och väl för sina egna servrar i datorhallen som front mot nätleverantören.

Jag får tyvärr inte samma funktionalitet med Cisco ASA (antar jag du jämför med) än vad jag får med en OpenBSD filtrerande routerbrandvägg.

Stödja Cisco är att ge upp och inte använda sin fantastiska kreativa förmåga.

Jag föredrar antingen Stackwise eller VSS, alternativt L3 lösning med OSPF i IGP.

Fast BGP är med effektiv lösning om man har eget IP space.

Sedan personligen gillar jag normalt inte ha rena FW burkar framför saker.

Åhååå, säger snubbe som inte jobbat så mycket som devops? =)

du menar iptables på resp. maskin är bättre?

vad säger du om rate-limit på ssh-anslutning -> svartlistning gentemot hela miljö som router hanterar? Fortfarande inte bra med rena FW burkar?

Det är väldigt simpla standard saker du klarar utan separat FW, standard Cisco saker med ACL och QoS klarar dom simpla standard saker.

Du kan även ha en separat analyser som får all trafik via SPAN eller Netflow som kan hantera separata svartlist eller bygga regler.

Eller ja iptables klarar även dom sakerna om man nu vill använda det istället.

Sedan låter det lita udda om du använder en FW för bara rate-limit SSH istället för använda det för blockera SSH från hela världen.

Då skulle jag nog föredrar fail2ban istället.

Bara så du är glad med din lösning, inget fel med centraliserad lösning som orkar skyffla paket, när man ändå har några CPU:er över som står och idlar. Separat låda är den ju inte, den är ju router filtrerande, så jag snarare centraliserat allt i ett. Netflow är intressant projekt, har inte lekt finns fria möjligheter köra vad som helst. Burkar är ju anpassningsbara både för att köra VPN, både klient site-to-site/hur du vill, enkelt att uppdatera och hålla vid liv när det gäller senate IPv6 implementation, OpenBSD är snabba få in nya RFC-ändringar i sitt os och har dessutom bättre styrning när det gäller prestanda/säkerhetsparametrar för IPv6-trafik.

Visst det är inte så där högpresterande hårdvara vad gäller hastigheter över 2-3 Gbit/s men det är tillräckligt vänligt, flexibelt, enkelt och snyggt för att slippa brottas med dumma FW, gamla urusla gräsnitt, IOS allt vad-som-nu-populärt-den-här-veckan.

ACL är sånt skoj är ju bra, men du ska ju kunna ha möjlighet skripta och integrera.
Bash/python/perl whatever, som sagt friheten och enkelheten, dessutom kan jag versions/konfigurationshantera hela brandväggen via ansible/git, hurra liksom, standardverktyg för all, =)