:strip_exif()/u/15045/got_hamster.gif?f=community)
Al geruime tijd zit ik met een vraagstuk waar ik zelf niet uit kom. Het gaat om een aantal (Windows) webservers, waar per server meerdere webapplicaties c.q. websites op draaien. Deze services zijn voornamelijk over http te bereiken, maar voor zowel bestaande als nieuwe klanten worden steeds vaker applicaties ontwikkeld waarbij SSL vereist is. Momenteel hebben alle webservers 1 of meer publieke IP adressen. Omdat steeds vaker SSL vereist is, koppelen we momenteel steeds meer IP adressen aan de webservers.
Wij beschikken momenteel over verschillende publieke /26 subnetten. Een server wordt geplaatst en krijgt een IP adres. Naarmate meer SSL gebruikt wordt, worden er meer adressen gekoppeld. Op een gegeven moment zijn alle adressen uit het subnet 'op'. Niet handig, want stel dat we op zo'n server weer een SSL willen koppelen dan moeten we ofwel ruimte maken in het subnet, ofwel de service naar een andere server in een ander subnet plaatsen. Het wordt dan een heel gepuzzel om optimaal gebruik te maken van de beschikbare capaciteit van een server en de beschikbare adressen binnen een subnet.
Waar ik naar op zoek ben is om dit probleem enigszins op te lossen. Constant heen en weer schuiven met applicaties en adressen is arbeidsintensief en niet handig.
Qua netwerk is momenteel het volgende aanwezig:
* Cisco PIX. Deze wordt momenteel gebruikt als hardwarematige firewall
* Per subnet een VLAN. Ieder subnet wordt door de service provider naar het publieke adres van de PIX gerouteerd.
* De PIX heeft per subnet een IP adres op de interne interface
* Achter de pix hangen verschillende Dell switches
* Iedere server heeft een interface voor publiek verkeer. De server heeft 1 of meerdere publieke IP adressen uit het subnet waar deze aan gekoppeld is. Op deze interface staat als gateway adres het betreffende adres op de PIX.
Een relatief eenvoudige setup welke eigenlijk al jaren zo draait.
Waar we eigenlijk als eerste naar zijn gaan zoeken is om een server simpelweg lid te maken van meerdere subnets (bijvoorbeeld de fictieve adressen 84.20.1.0/26 en 86.20.1.0/26). Je krijgt dan problemen met verkeer wat op het tweede subnet binnen komt, deze wordt naar de gateway gestuurd van het eerste subnet. Een andere optie zou zijn om simpelweg grotere subnets aan te vragen (/24 o.i.d.) maar dit vermindert het probleem, voorkomt het niet.
Waar ik mee zit is dat ik niet goed weet in welke oplossingsrichting ik moet denken. Is dit netwerk technisch op te lossen? Of zullen er juist veranderingen in het netwerk plaats moeten vinden? Wat bijvoorbeeld termen zijn als je met Google gaat zoeken:
* IPv6 - momenteel nog geen oplossing/toepasbaar
* Static NAT - waarbij de publieke adressen vertaald worden naar een interne range
* PAT
Mja, ik kan niet echt achterhalen wat nu goede oplossingen zouden zijn en of ik eens met een bepaalde partij moet gaan praten over dit probleem, naar bepaalde hardware moet kijken of wat dan ook. Tot zover zijn er nog geen concrete oplossingen.
Wat ook meespeelt is:
* Niet alle servers zijn webservers. De overige servers bieden bijvoorbeeld streaming media, Exchange, etc. op totaal andere poorten dan HTTP/HTTPS.
* Er zijn weet-niet-hoeveel domeinen gekoppeld aan de servers. Van >95% verzorgen we ook DNS, maar dus niet van allemaal.
* Momenteel zijn we aan het kijken of het mogelijk is om naar een andere co-locatie aanbieder over te stappen.
* De gebruikte PIX zal ook niet eeuwig blijven. O.a. omdat deze geen IPv6 ondersteunt, maar 100 MBit levert en een single-point-of-failure is in de huidige netwerksituatie.
* Qua budget moet ik het allemaal wel kunnen verantwoorden
In welke richting zou ik moeten gaan zoeken? Ik weet zeker dat hier goede oplossingen voor zijn... toch?
Wij beschikken momenteel over verschillende publieke /26 subnetten. Een server wordt geplaatst en krijgt een IP adres. Naarmate meer SSL gebruikt wordt, worden er meer adressen gekoppeld. Op een gegeven moment zijn alle adressen uit het subnet 'op'. Niet handig, want stel dat we op zo'n server weer een SSL willen koppelen dan moeten we ofwel ruimte maken in het subnet, ofwel de service naar een andere server in een ander subnet plaatsen. Het wordt dan een heel gepuzzel om optimaal gebruik te maken van de beschikbare capaciteit van een server en de beschikbare adressen binnen een subnet.
Waar ik naar op zoek ben is om dit probleem enigszins op te lossen. Constant heen en weer schuiven met applicaties en adressen is arbeidsintensief en niet handig.
Qua netwerk is momenteel het volgende aanwezig:
* Cisco PIX. Deze wordt momenteel gebruikt als hardwarematige firewall
* Per subnet een VLAN. Ieder subnet wordt door de service provider naar het publieke adres van de PIX gerouteerd.
* De PIX heeft per subnet een IP adres op de interne interface
* Achter de pix hangen verschillende Dell switches
* Iedere server heeft een interface voor publiek verkeer. De server heeft 1 of meerdere publieke IP adressen uit het subnet waar deze aan gekoppeld is. Op deze interface staat als gateway adres het betreffende adres op de PIX.
Een relatief eenvoudige setup welke eigenlijk al jaren zo draait.
Waar we eigenlijk als eerste naar zijn gaan zoeken is om een server simpelweg lid te maken van meerdere subnets (bijvoorbeeld de fictieve adressen 84.20.1.0/26 en 86.20.1.0/26). Je krijgt dan problemen met verkeer wat op het tweede subnet binnen komt, deze wordt naar de gateway gestuurd van het eerste subnet. Een andere optie zou zijn om simpelweg grotere subnets aan te vragen (/24 o.i.d.) maar dit vermindert het probleem, voorkomt het niet.
Waar ik mee zit is dat ik niet goed weet in welke oplossingsrichting ik moet denken. Is dit netwerk technisch op te lossen? Of zullen er juist veranderingen in het netwerk plaats moeten vinden? Wat bijvoorbeeld termen zijn als je met Google gaat zoeken:
* IPv6 - momenteel nog geen oplossing/toepasbaar
* Static NAT - waarbij de publieke adressen vertaald worden naar een interne range
* PAT
Mja, ik kan niet echt achterhalen wat nu goede oplossingen zouden zijn en of ik eens met een bepaalde partij moet gaan praten over dit probleem, naar bepaalde hardware moet kijken of wat dan ook. Tot zover zijn er nog geen concrete oplossingen.
Wat ook meespeelt is:
* Niet alle servers zijn webservers. De overige servers bieden bijvoorbeeld streaming media, Exchange, etc. op totaal andere poorten dan HTTP/HTTPS.
* Er zijn weet-niet-hoeveel domeinen gekoppeld aan de servers. Van >95% verzorgen we ook DNS, maar dus niet van allemaal.
* Momenteel zijn we aan het kijken of het mogelijk is om naar een andere co-locatie aanbieder over te stappen.
* De gebruikte PIX zal ook niet eeuwig blijven. O.a. omdat deze geen IPv6 ondersteunt, maar 100 MBit levert en een single-point-of-failure is in de huidige netwerksituatie.
* Qua budget moet ik het allemaal wel kunnen verantwoorden
In welke richting zou ik moeten gaan zoeken? Ik weet zeker dat hier goede oplossingen voor zijn... toch?
Programmer's Drinking Song: 99 little bugs in the code, 99 bugs in the code, Fix one bug, compile it again, 100 little bugs in the code. (go to start if bugs>0)
/u/13471/karnemelk.png?f=community)
:strip_exif()/u/216514/sgisurf.gif?f=community)
:strip_exif()/u/16622/121823.gif?f=community)
/u/34216/rei-60-xmas.png?f=community)