Балансировка трафика на межсетевые экраны с помощью брокеров сетевых пакетов

[temabeloglinskiy]

Добрый день. Задам вопрос по поводу использования хэшэй для балансировки трафика. Представим ситуацию, когда есть оператор связи, который имеет стык с другим оператором связи. На обоих концах стыка два фаера. Применяем балансировку по хэшам, который описан в статье (Source IP, Destination IP, Protocol, Source Port, Destination Port). Тип трафика в стыке разный - голос, сигналка, дата трафик, и... B2B/B2O трафик в размере 80% от общего трафика в стыке. Этот B2B/B2O трафик идет транзитом через сеть второго оператора и имеет стык со вторым оператором, но при этом имеет точку терминации у первого оператора - т.е. второй оператор это попросту арендованный ресурс, который предоставляет L2 сервис через свою сеть (QinQ или просто выделенный влан - не важно). Вопрос - я правильно понимаю, что брокер, который балансит по хэшам, по описанному вами механизму, никак этот трафик не разбалансит и положит его в один фаер?

[select26]

Что то вы смешали все в кучу.
И FW , и balancer работают на L3-4 модели OSI.
Если у вас L2, при чем тут FW и что вы собираетесь балансировать? VLAN?
В этом случае вам нужно использовать решения для L2 - LACP и т.д.
Если у вас не L2, уточните пожалуйста задачу

[temabeloglinskiy]

Добрый день. Для примера нарисовал схему классического шаринга транспортного ресурса двух операторов. На схеме представлен стык между двумя операторами, который настроен в гибридном режиме - работает и в L2 и в L3 одновременно - разделены по саб-интерфейсам. Оба оператора не доверяют друг другу и установили фаерволы. БС внутри оператора 2 работают по L2, но сети БС в сторону оператора 1 анонсят через BGP, в DL оператор 1 анонсит сети своего EPC (не нарисован на схеме). В то же время есть стык L2 внутри оператора 2 для проброски трафика B2B клиента оператора 1, но сам трафик все так же L3, и затерминирован на Ре роутере для B2B клиентов на стороне оператора 1, вторая точка L3 - это интерфейс самого клиента, который подключен к сети оператора 2. Самое главное - B2B клиент выбирает 80% емкости - пусть это будет 8Gb/s, а LTE БС (их не много), выбирают только 10% - 1Gb/s. При такой схеме включения и при использовании приведенного вами метода хэширования, я правильно понимаю, что балансировщик весь трафик B2B распределит на один файервол и к тому же, накидает половину трафика LTE также на этот фаервол?

[DSol]

Брокер DS Integrity NG умеет разбирать MPLS L2-VPN, QinQ и балансировать трафик на основе распакованных IP-адресов, портов. Ваша задача выглядит решаемой, нужно пробовать.

[olegtsss]

"Межсетевой экран (МЭ, FW) представляет собой ... обеспечивающее контроль и фильтрацию проходящего через него трафика" - вы здесь имеете ввиду функции, отличные от accept и drop ?

Я почему спрашиваю, так как с указанными функциями сетевое устройство должно справляться, если так не нагорожен огород.

[DSol]

Да, в качестве МЭ мы подразумеваем устройство с функционалом, превосходящим базовые accept и drop, включая контроль пользовательских сессий на L7 уровне и прочий функционал, характерный для устройств класса NGFW зарубежных и отечественных производителей.

[olegtsss]

Так это вроде называется DPI?, а не МЭ ?

[shvlad1]

Почему на основной картинке статьи устройство к стойке не прикручено?

[DSol]

Вы очень наблюдательны!
Отсутствие винтов (установка оборудования на полку) на скорость обработки пакетов не влияет :)

[shvlad1]

как и горящий индикатор "Ошибка" на лицевой панели.

Понятно.

[ifdef_truefalsevich]

Индикатор горит зелёным, если я правильно увидел. Что, скорее всего, означает штатный режим работы (т.е. нет ошибки). Сарказм выглядит излишним.