CCR troppo carica, suddivisione carico su più macchine

[ottavianos]

Ciao a tutti,

tutto sulla mia rete è gestito da un'unica RB, una CCR 1036.
Essa ha connesse fisicamente le 3 WAN di uscita e virtualmente i circa 300 EoIP tunnel verso i vari AP dislocati sulla rete.
Al termine dei vari tunnel ci sono altrettanti server PPPoE che gestiscono circa 1500 connessioni PPPoE tramite ppp/secret. (non c'è un server radius).
Ogni secret è associata ad uno dei profile configurati e opportunamente limitata attraverso queue e burst.
I clienti sono suddivisi per aree con IP diversi e attraverso mangle e NAT vengono instradati verso l'uscita desiderata.
Attualmente siamo su un throughput medio di circa 500 Mbps.
Col crescere della rete la mole di lavoro per la CCR è aumentato troppo ed inizia a dare segni di stress.
E' giunto il momento di affiancarle un'altra CCR e suddividere il lavoro tra le due macchine.

Secondo voi, come dovrei suddividere le funzioni ?
Stavo pensando anche ad un fail-over tra le 2 macchine, così che se va giù una i servizi passano sull'altra e viceversa.

Questo è il primo step da fare, poi penserò a mettere in routing tutta la rete (ora è in bridge) e a fornirmi di un server radius.

Che ne pensate ?

Ottavianos

[steste64]

Ho capito bene? Il CCR ti fa da terminazione tunnel, pppoe server e router. Se è cosi' intanto spezzalo rispetto a queste tre funzioni.

[xanio]

la cosa che potresti fare è quella di:
1. Passare il lavoro di Router/Gateway con 3 wan ad un solo apparato;
2. mettere 2 pppoe affiancati;
3. far finire i tunnel eoip in un router concentratore e dividi i tunnel con l'horizon

Con questa configurazione hai i due pppoe in parallelo e si smistano in automatico le connessioni pppoe, e sei ridondante senza problemi.

[ottavianos]

Quindi, se non ho capito male, mi consigliate di usare 3 macchine diverse ed eventualmente una quarta per suddividere ulteriormente il lavoro del solo server pppoe, giusto ?

[steste64]

Yes. Io ho fatto cosi.

[ottavianos]

OK, dopo "concilio" dei capi, si è deciso per ora di dividere per 2 !!!
Quindi su una macchina metterò le terminazioni dei tunnel ed il server PPPoE e sull'altra tutto il firewall con le WAN collegate.
Penso di mettere una nuova subnet punto-punto per collegarle tra di loro con una rotta di default dalla "PPPoE" alla "GW".
Nei prossimi giorni inizierò le prove a banco.

[ottavianos]

Ciao a tutti.
Dopo un pò di prove ho messo in campo la soluzione a 2 CCR e tutto funziona correttamente, o meglio "quasi" tutto !
Cerco di spiegarmi, è un pò complesso.
Sulla CCR1 ci sono le 3 WAN più tutto il firewall bello pieno tra Filter, NAT e Mangle.
Alla CCR1 è collegata la CCR2 che ha la terminazione di tutti gli EoIP tunnel con i relativi Server PPPoE e tutte le secret dei clienti, non c'è server radius.
Quindi le interfacce PPPoE si creano sulla CCR2 che manda tutto il traffico alla CCR1, la quale attraverso il mangle decide come smistare le connessioni sulle diverse WAN.
In caso di connessioni "intranet", essendo tutte le terminazioni PPPoE "connected" sulla CCR2, il traffico rimane sulla CCR2 e non viene passato alla CCR1, non ci sono problemi.
Inoltre noi abbiamo un servizio un pò particolare, che fino a che c'era la CCR unica andava bene, ora con la doppia CCR non va più al 100%.
Abbiamo una serie di nostri IP pubblici che utiliziamo per assegnare ai vari clienti solo alcune porte, per esempio, dell'IP 1.1.1.1 la 8080, 8090 al cliente X, la 9090, 9091 al cliente Y e così via.
I clienti coinvolti hanno tutti IP privati ed escono sulla pubblica con l'IP pubblico condiviso tramite src-nat.
L'interrogazione da pubblica funziona correttamente, ma quella intranet no !
Se interrogo ip-privato:porta funziona, se interrogo ip-pubblico:porta non funziona.
Sulla CCR2 ci sono le rotte per gli IP pubblici condivisi verso la CCR1 che ha a bordo le NAT.
La CCR1 riceve le richieste, cambia il dst-nat da pubblico a privato, e rimanda alla CCR2, la quale manda a sua volta al cliente.
La connessione arriva, ho controllato col torch sulla pppoe del cliente.
L'intoppo sta, secondo me, nella risposta, ovvero, la cpe rimanda ad un ip che la CCR2 ha come "connected" e non lo manda alla CCR1, da dove la connessione è venuta.
Magari mi sbaglio, o mi sfugge qualcosa.

Qualcuno ha idea di come io possa risolvere ?

Ciao.

[ottavianos]

Tutti in ferie ?
Nessuna mente illuminata ha un'idea ?

[xanio]

Secondo me il problema e che se richiami dall'interno della rete il tuo ip pubblico hai problemi, visto che tu effettui un cambio di rotte in uscita per le 3 wan tramite regole di mangle!

Dall'esterno ti funziona perchè il procedimento è corretto, ma dall'interno hai problemi durante il masquarade e ritorno indietro.

[ottavianos]

Infatti, è quello che ho detto, il problema è là.
E' la soluzione che mi sfugge !!!!!

Ottavianos