Dette indlæg er alene udtryk for skribentens egen holdning.

Hvordan finder en backbone mand hjem ?

Af Poul-Henning Kamp16. oktober 2007 kl. 15:4712
Artiklen er ældre end 30 dage

"Hvordan finde en backbone mand hjem hvis han er faret vild ?"

"Han tager et lille stykke lysleder op af lommen, graver det nogle få centimeter ned i jordoverfladen og spørger, kort tid efter, føreren af den rendegraver der graver fiberen over, om vej"

Det er en gammel vittighed fra NANOG, men der er folk der har fiberen i baglommen, bare for at kunne prøve en dag om det passer.

Mens jeg skriver dette er min og stort set alle andre sjællænderes StofaNet forbindelse nede og TDC mangler et fiberkabel i sønderjylland, fordi det er grave og pløjetid.

Artiklen fortsætter efter annoncen

Imidlertid skriver jeg alligevel dette, for jeg har to internet forbindelser, en TDC adsl og min stofanet.

For nogle år tilbage kodede jeg en "multi-instance" facilitet i FreeBSD's natd(8), således at min firewall kan finde ud af at have to forskellige forbindelser ud i verden, automatisk fordele trafikken over dem og håndtere at en af dem går ned ind imellem. (Hint: keywords "instance" og "globalport")

Hvorfor mon kommercielle firewalls ikke kan det ?

Nogen gode konspirationsteorier ?

phk

12 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
12
18. oktober 2007 kl. 08:54

En del (også billige) dual-WAN routere kan lave load-sharing og fall-over. Jeg var engang formand i en Internetforening, som havde to ADSL linier, delt via en dual-WAN router. Faktisk skete der nogle gange det, at den ene ADSL linie var nede og den anden kørte, selv om de var fra samme udbyder. Typisk i forbindelse med ændring af hastigheden eller den slags.

Samme router ville kunne køre med 2 vilkårligt valgte udbydere, dog kan man løbe ind i problemer med f.eks. udgående SMTP server:

Klienterne (PC'erne) kan ikke mærke hvilken linie, deres trafik får tildelt, så det kan give lidt "knas". Jeg har selv løst det ved at bruge ASMTP til den samme SMTP server uanset hvor jeg har min maskine tilsluttet.

11
18. oktober 2007 kl. 00:45

Måske markedet ikke har opdaget det endnu, men efterhånden er der mange hjem hvor han og hun har en internet forbindelse til hjemme arbejde. Så situationen med en hjemmenetværk med to forbindelser til omverdenen er ikke usædvanlig.

10
18. oktober 2007 kl. 00:10

Jeg har I lighed med Poul-Henning også en backup forbindelse via Stofanet. Det kan læses af min blog for knap et par uger siden siden:http://www.bachaaen.dk/blog/?p=43

Det interessante er, at det ikke var let at finde en fiks og færdig løsning i WRT54G-hacking miljøet. Et miljø hvori billige standard routere modificeret til at kunne gøre det ekstra som producenterne ikke har fundet et marked for - eller har ønsket at prissætte anderledes. Jeg fandt langt flere, der brugte to linjer til en form for load-balancing frem for backup.

9
17. oktober 2007 kl. 00:59

Hvis du selv betaler for din telefon forbindelse kan det faktisk betale sig at skifte til ip telefoni og købe en ekstra internet forbindelse. Jeg har en adsl forbindelse fra cybercity og cabel fra webspeedyousee.Telefon får jeg fra tellio og som firewall med failover bruger jeg pfSense.

Netgear router med dual wan findes der også.

8
16. oktober 2007 kl. 20:55

enten arbejde med linjerne som load-balancing, eller blot fail-over.

7
16. oktober 2007 kl. 20:34

Jo, flere af mine kunder efterspørger det, og de får det også. Men nu er netop mine kunder typisk at typen, der vælger at købe den store, forkromede løsning.

Jeg siger ikke, at der ikke findes et mellemmarked, men de store leverandører (=producenter) har en fantastisk evne til at overse dette marked, og derfor gør det heller ikke så meget i produkter, der bare lige kan gøre dette. Igen: Leverandørerne ser enten de store firmaer (som vælger den store løsnning) eller de helt små, som i leverandørernes optik ikke har brug for den slags.

Man kan sagtens lave en løsning med en eller to Cisco-enheder, der kan opdage, hvis den ene netforbindelse ryger, hvorefter de begynder at bruge den anden. Det er ikke raketvidenskab, men det er af en eller anden grund heller ikke så udbredt.

Hvis du har dine egne IP-adresser, er du nødt til at benytte en eller anden form for dynamisk routing, hvis du vil bevare dine IP-adresser, når du laver failover. Og dynamisk routing mellem en service provider og en slutkunde er næsten altid BGP, for det er nu en gang den protokol, der er bedst egnet til formålet, og som passer bedst ind i de fleste SP-netværk.

Hvis du kun har 16 IP-adresser, kommer det dog aldrig til at foregå på den måde, for så har du ikke dine egne adresser men blot en del af en providers (såkaldte PA-adresser). Dem vil du normalt ikke kunne få routet via en anden provider.

Det kan til gengæld give mening med en fallback, hvor dit net skifter over til at bruge den sekundære linje, hvis den primære ryger. Så kører du godt nok ud på nogle andre adresser over den sekundære linje, men i det mindste er dine brugere ikke afskåret fra at komme på nettet, og hvis jeres mail er eksternt placeret, vil I f.eks. også kunne tilgå denne.

6
16. oktober 2007 kl. 19:54

Jeg kan forstå, at funktionen ikke findes i mindre firewalls, fordi det er et usandsynligt setup i forhold til markedet.

Men det er da underligt, at der ikke findes firewalls med automatisk failover til forskellige udbydere til virksomheder. Måske er det noget, jeg skal grave mere i?

(Det kan selvfølgelig hænge sammen med noget med at placere ansvaret for eventuelle ekstra udgifter i forbindelse med datalinjer, der afregnes efter forbrug, hvor et utilsigtet skifte til en dyrere udbyder kan give problemer)

5
16. oktober 2007 kl. 19:50

At billigt få en eller anden form for redundans på sin linje ud. Man kan relativt billigt købe enten sådan noget mobilt bredbånd - eller en clearwirebox.

Jeg tror at det snart bliver mere efterspurgt netop når man ikke skal have nogen ud og grave en ekstra gang for at få en backup-linje.

4
16. oktober 2007 kl. 19:29

Jeg kender ikke en eneste erhvervskunde som ikke ville købe sig en backup-linie, hvis ellers deres firewall kunne håndtere det. Man rystes endda over at en redundant løsning fra f.eks. Cisco med HSRP som kan lave failover på alverdens tænkelige måder, ikke har en automatisk måde at opdage på om en isp-connection er faldet væk. Og ligefrem at få gang i BGP for at lave stuntet for 2x16 ip-numre virker som overkill.

Men fair nok, idag fik jeg da beskrevet den manuelle ændring der skulle til for at udføre et "failover".

3
16. oktober 2007 kl. 17:54

Muligheden for at have to uafhænginge ISP'er er en af de ting jeg oftest hører folk sukke over, typisk med fortsættelsen "... men det siger både vores ISP og vores hardware leverandør er umuligt"

Har du overvejet at spørge dine kunder om det er noget de kunne tænke sig ?

Poul-Henning

2
16. oktober 2007 kl. 17:33

Der findes faktisk kommercielle produkter, som kan det samme, men der er godt nok langt imellem dem. Og sjovt nok er disse produkter alle dyrere end andre produkter fra samme leverandører uden denne mulighed.

En forklaring er formodentlig, at leverandørerne typisk har delt markedet op i to dele: De store erhvervskunder, der gerne betaler for en avanceret løsning med egne IP-adresser, BGP osv. – og de små erhvervskunder samt privatkunder, der jo alligevel ikke kunne drømme om at have mere end én linje.

Lad os se det i øjnene: Antallet af potentielle kunder til en lavprisløsning, der kan udnytte to linjer fornuftigt, er ikke særlig stort …

1
16. oktober 2007 kl. 16:53

Det er fordi udviklerne af kommercielle firewalls ikke selv skal betale deres linier, så de går aldrig ned:)