[Tutorial] - Load-Balance 2 LINKS + Fail-Over Completo

[EvertonLuigi]

Olá pessoal,
Vou colocar aqui um tutorial de load-balance + fail-over para 2 LINK de internet e saída para clientes.
OBS: Já deve ter algum tutorial por ai no fórum, mas é sempre bom ter mais conteúdo.
Vamos lá.


Cenário a ser configurado.

Código :

Interfaces
 
Ether1 – LINK 1
Ether2 – LINK 2
Ether3 – CLIENTES

Adicionando IP as interfaces.

Código :

ip address add address=192.168.10.2/30 interface=Ether1 comment="********* LINK 1 *********"
ip address add address=192.168.20.2/30 interface=Ether2 comment="********* LINK 2 *********"
ip address add address=10.0.0.1/24 interface=Ether3 comment="********* CLIENTES *********"

Agora vamos as regras para configurar o balance.

Mangle

Essa regra é conhecida como policy router, onde estamos criando uma regra que a entrada dos clientes vai sair pela rede 192.168.10.0 ou pela rede 192.168.20.0.

Código :

/ ip firewall mangle
add chain=prerouting dst-address=192.168.10.0/30  action=accept in-interface=Ether3
add chain=prerouting dst-address=192.168.20.0/30  action=accept in-interface=Ether3

Aqui estamos marcando as conexões para sair e voltar pela mesma rota, evitando perda de conexões com alguns sites e ocasionando erros.

Código :

add chain=prerouting in-interface=ether1 connection-mark=no-mark action=mark-connection new-connection-mark=ether1_conn
add chain=prerouting in-interface=ether2 connection-mark=no-mark action=mark-connection new-connection-mark=ether2_conn

Aqui vamos fazer o mark-routing, onde é capturado todo o tráfego que está indo para o próprio router, e dividir todo o tráfego entre os links.

Código :

add chain=prerouting  in-interface=Ether3 connection-mark=no-mark dst-address-type=!local per-connection-classifier=both-addresses:2/0 action=mark-connection new-connection-mark=Ether1_conn
add chain=prerouting  in-interface=Ether3 connection-mark=no-mark dst-address-type=!local per-connection-classifier=both-addresses:2/1 action=mark-connection new-connection-mark=Ether2_conn

É preciso marcar os pacotes com uma própria marcação, para ele sairem e retornarem no mesmo link, também para politica de roteamento.

Código :

add chain=prerouting connection-mark=Ether1_conn in-interface=Ether3 action=mark-routing new-routing-mark=to_Ether1
add chain=prerouting connection-mark=Ether2_conn in-interface=Ether3 action=mark-routing new-routing-mark=to_Ether2
add chain=output connection-mark=Ether1_conn action=mark-routing new-routing-mark=to_Ether1
add chain=output connection-mark=Ether2_conn action=mark-routing new-routing-mark=to_Ether2

Vamos criar roteamento agora.

Antes na regras de mangle nós criamos marcação para usar no roteamento, e logo abaixo vamos criar rota já usando marcação de roteamento criado acima.

Código :

/ ip route
add dst-address=0.0.0.0/0 gateway=192.168.10.1 routing-mark=to_Ether1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 routing-mark=to_Ether2 check-gateway=ping

Aqui vamos habilitar o fail-over, caso uma rota caia, partir para segunda rota que é calculado na distance, isso acontece pois logo na regra anterior habilitamos o check gateway

Código :

add dst-address=0.0.0.0/0 gateway=192.168.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=192.168.20.1 distance=2 check-gateway=ping

Agora crie o mascaramento dos links.

Código :

/ ip firewall nat 
add chain=srcnat out-interface=Ether1 action=masquerade
add chain=srcnat out-interface=Ether2 action=masquerade

Obs: Espero ter ajudado alguém, alguma dúvida pergunte que vamos respondendo na medida do possível para todos ter conhecimento dessa configuração e implantar em seu provedor ou empresa.

Att.

Everton Luigi



OBS: Essa configuração de balance está sendo utilizado em meu cenário real, com as configurações parecidas.

[Acronimo]

Caso de modens em modo bridge nao precisa de failover



e neste outro pcc com servidor pppoe na mesma rb (o que recomendamos)

[JOSEVAL1]

Caso de modens em modo bridge nao precisa de failover


e neste outro pcc com servidor pppoe na mesma rb (o que recomendamos)

Bela OBS, fui acrescentar o failover em meu pcc modem em bridge, e as navegações caíram imediatamente.

[Acronimo]

Modens Bridges nao precisa de Fail Over basca colocar check ping @JOSEVAL1

[hostjunior]

Só uma dúvida como já tenho um Rb 2011uias-rm para utenticar os clientes vou usasr uma 750gl para reber o meu link atual mas um outro link então essa é a dúvida;

tenho Link de 4M e vou colocar mas outro link de 5M os meus 20 clientes que tenho vão poder usar todos os 9M ou vão usar quando um cair o outro entrar? essa é a duvida.

[AndrioPJ]

a opcao check gateway quando se usa o mk para autenticar, não é um failover 100% funcional.
pois ele só irá ver que está sem internet se o PPoE cair.
mas, 90% dos casos, o PPoE continua ativo, mas existe problema na internet (operadora em manutenção, fibra rompida antes de chegar na cidade, etc e tal)

recomendo usar os modens roteados e aplicar failover por teste de ping em 2 ou mais sites.
senão conseguir pingar o site, ai sim derruba o link.

[Acronimo]

Melhor é usar o modem em modo bridge aumentando as requisiçoes isto terá um fluxo maior de pacotes, o check ping chega o pppoe como ele é sensivel ele desconecta quando ha alguma anomalia dificilmente acontecer algo que o pppoe fique ativo mas sem trafego, este é a melhor pratica recomendada por todos os analistas e engenheiros de rede,

[JOSEVAL1]

Nunca me aconteceu do ADSL ficar conectado mas sem tráfego, uso modens em bridge e está 101% funcional.

Andrio, esse failover que tu descreveu em outro tópico deu tudo "unrechable" aqui.

Abençoado, desculpe a falta de conhecimento, mas poder me esclarecer o significado desta palavra ai?

[JOSEVAL1]

Traduzindo: inacessível

Obrigado.

[AndrioPJ]

Melhor é usar o modem em modo bridge aumentando as requisiçoes isto terá um fluxo maior de pacotes, o check ping chega o pppoe como ele é sensivel ele desconecta quando ha alguma anomalia dificilmente acontecer algo que o pppoe fique ativo mas sem trafego, este é a melhor pratica recomendada por todos os analistas e engenheiros de rede,

"anomalia" entre você e a operadora.
Mas não quando existe "anomalia" dentro da rede da Operadora.

Um exemplo pratico é sua propria rede.
Temos dois lados.
O link que chega para o provedor - Rede provedor - Cliente

Se o cliente tivesse um check gateway, esse só iria detectar se existe alguma "anomalia" entre o Cliente e a Rede provedor.
Mas nunca conseguiria detectar uma "anomalia" no link que chega ao provedor.
Ou seja, o ppoe continuaria conectado, mas sem trafego, sem internet (Já vi muito isso acontecer)...

Por isso eu prefiro o teste de ping para sites distintos, senão conseguir testar ambos, ai derruba o link.

PS: essa de aumentar o pacotes em modens em bridge é baseado em testes antigos.
Hoje os modens possui mais processamento capazes de aguentar mais pacotes e trafego.
Nos meus testes, a diferença não passou de 5% entre um e outro.
preferi manter roteados, pois assim podemos criar um failover/redudancia melhor e mais funcional.

[AndrioPJ]

Nunca me aconteceu do ADSL ficar conectado mas sem tráfego, uso modens em bridge e está 101% funcional.

Andrio, esse failover que tu descreveu em outro tópico deu tudo "unrechable" aqui.

com modens em bridge dá isso mesmo.
aquele lá é para modens roteados.

[EvertonLuigi]

Eu também tenho a preferência por roteado.... passa mais confiança no teste de ping e verificação de queda de link....

[EvertonLuigi]

Modem roteado trava e você nem sabe porque, só uso modem em bridge e nunca tive problema.

Cara, eu tava fazendo teste com modem em bridge Humax da Net Virtua, é uma bosta, todos os dias travando, tinha que reiniciar pra ele voltar funcionar normal., mudei para router novamente já faz 4 dias e não teve nenhuma travada...
Então agora estou usando roteado pra fazer testes até chegar no melhor funcionamento hehehe...

[AndrioPJ]

Cara, eu tava fazendo teste com modem em bridge Humax da Net Virtua, é uma bosta, todos os dias travando, tinha que reiniciar pra ele voltar funcionar normal., mudei para router novamente já faz 4 dias e não teve nenhuma travada...
Então agora estou usando roteado pra fazer testes até chegar no melhor funcionamento hehehe...

já li relatos do tipo, de moden em bridge travando, eis um exemplo: http://adrenaline.uol.com.br/forum/i...u-roteado.html

o fato é que moden porcaria é melhor deixar em bridge mesmo.
ou se você precisa fazer redirecionamento de portas, ai em bridge é melhor com toda certeza.
no mais, a diferença de performasse é irrisória, logo eu prefiro roteador por permitir que configuremos o /ip route para testar 2 ou mais sites diferentes, failover/redundancia melhor..

[EvertonLuigi]

já li relatos do tipo, de moden em bridge travando, eis um exemplo: http://adrenaline.uol.com.br/forum/i...u-roteado.html

o fato é que moden porcaria é melhor deixar em bridge mesmo.
ou se você precisa fazer redirecionamento de portas, ai em bridge é melhor com toda certeza.
no mais, a diferença de performasse é irrisória, logo eu prefiro roteador por permitir que configuremos o /ip route para testar 2 ou mais sites diferentes, failover/redundancia melhor..

Sim,eu também tenho preferência por roteado, até porque da pra fazer uma DMZ para a RB e pronto, é como se tivesse em bridge...

[delegato]

Aqui eu uso em bridge para evitar travamentos, porém o fail-over não funciona, quando o adsl cai as vezes o pppoe fica conectado e não trafega nada

[EvertonLuigi]

Aqui eu uso em bridge para evitar travamentos, porém o fail-over não funciona, quando o adsl cai as vezes o pppoe fica conectado e não trafega nada

Ai voce tem que fazer o fail-over somente via check-gateway que vai funcionar...

[AndrioPJ]

Ai voce tem que fazer o fail-over somente via check-gateway que vai funcionar...

Não. não vai funcionar via check gateway.
Veja que ele disse que o ppoe fica conectado, mas não trafega nada.
Nesse caso, o check gateway continuará alcançando o gateway, mas nada além disso.
ou seja, não vai funcionar esse check gateway.

[Acronimo]

Este balance com modens em bridge veja o uptime dele, e este print é de alguns dias, cada um faz o que desejar, eu opto por modem em bridge, que entente de rede sabe que melhor que tem a fazer é evitar o nat

[Acronimo]

Bom sem sombra de duvidas modem em bridge é melhor que roteado, evita nat, evita saltos etc mas quem ainda quer um fail over funcional, siga a sequecnia de prints

lembrando que tem versão acho que a a 6.20 que tem que tirar o script de log pra rodar 100%

>>>>>> >>>>>>>>>