Une meilleure multihébergement d'entreprise

33

Je souhaite obtenir des opinions sur les moyens d'améliorer un concept de routeur à double fournisseur BGP. Chaque fournisseur fournit un sous-réseau public / 24. Je ferai référence aux routeurs, circuits, sous-réseaux, groupes HSRP et fournisseurs en tant que A et B, respectivement. La bande passante sur chaque circuit est adéquate pour toute la charge.

Conception actuelle

La conception actuelle tente d’atteindre une symétrie par fournisseur. En régime stationnaire, la logique de routage prévue est que le trafic en provenance / à destination du sous-réseau A transite uniquement par le circuit A et le trafic en provenance / à destination du sous-réseau B en transitant uniquement par le circuit B. Les circuits se sauvegardent en cas de défaillance.

Les fournisseurs annoncent uniquement l'itinéraire par défaut. Le routage sortant implique un mélange de PBR et de HSRP. Les routeurs n'ont pas de routage entre eux: pas d'iBGP, pas de OSPF, pas de routage statique. Au lieu de cela, deux groupes HSRP suivent l'itinéraire par défaut. Le routeur A est principal pour le groupe HSRP A et le routeur B est principal pour le groupe HSRP B. Les périphériques en aval ont un itinéraire par défaut pointant vers le groupe HSRP A et le PBR qui dirige le trafic issu du sous-réseau B vers le groupe B. Le routage entrant est influencé par les opérateurs communautés. Le sous-réseau A est préfixé et mis en réseau sur le circuit B et le sous-réseau B est prédéfini et mis en communication sur le circuit A.

Je vois beaucoup de choses à améliorer dans cette conception. Le manque de connaissance de la topologie Internet, associé à une affinité de circuit, élimine complètement le meilleur choix de chemin. La désignation par niveau des fournisseurs suscite des inquiétudes et la conception a été rationalisée pour offrir une "performance acceptable" et une plus grande facilité de dépannage. En effet, la conception ne pourrait pas être plus simple. J'ai démontré que le transit d'un AS supplémentaire ajoute 6 sauts et 63 ms (+ 421%) au RTT. Je préférerais ne pas me contenter d'acceptable.

Un meilleur design

La meilleure conception fournit aux routeurs autant de conscience de la topologie Internet que possible. Il reste le meilleur algorithme de chemin pour déterminer la logique de routage entrante et sortante. Les circuits se sauvegarderaient en cas d'échec.

Les fournisseurs annoncent la vue complète. Les routeurs exécutent iBGP et OSPF. HSRP est éliminé. Le routage sortant serait purement le meilleur chemin basé sur la destination et le routage entrant serait laissé au meilleur algorithme de chemin et aux caprices du fournisseur de transit.

Maintenant que je le tape, cela semble plus simple. À tout le moins, il fallait moins de mots pour expliquer. L'asymétrie est un sujet de préoccupation, mais j'ai constaté qu'il y avait beaucoup d'asymétrie dans la conception actuelle. Je pense qu'ils sont probablement également sujets à l'asymétrie et cela ne m'inquiète vraiment pas. Nous n'avons jamais vu de problèmes en conséquence. Actuellement, il est relégué au domaine des ifs, "Et si nous devions résoudre un problème?"

Est-ce que je me trouve loin de la base ou ai-je mis le doigt sur la tête? Comment les autres ont-ils résolu ce problème? Que ferait Google?

Dennis Olvany
la source
Beaucoup de détails et d'explications. Bienvenue!
Pandom
Traditionnellement, les questions "J'aimerais avoir mon opinion sur mon design" ne sont pas vraiment des questions SE intéressantes ... Mais cela peut être discuté sur meta
Aaron

Réponses:

16

Oui, vous avez frappé le clou sur la tête.

La conception améliorée donnera une asymétrie, mais l'asymétrie est une réalité de la vie sur Internet, et il n'y a vraiment aucune bonne raison de s'attendre à un routage symétrique du trafic depuis / vers. Shoot, le concept entier de routage de paquets est que des paquets séparés sont acheminés indépendamment les uns des autres et peuvent emprunter des chemins différents, même des paquets allant dans la même direction.

Personnellement, je déteste PBR. C'est l'une de ces technologies que lorsque je décide que c'est la meilleure solution au problème, je m'arrête et prend du recul pour voir si je comprends vraiment la nature réelle du problème, voire même pour déterminer le problème commercial à résoudre. est. Quand je le fais, je trouve presque toujours qu'il existe un moyen de résoudre le problème sans utiliser une technologie comme celle-là.

Il vous faudra un certain temps pour vous habituer à disposer de routes Internet complètes dans vos routeurs, mais une fois que vous vous y êtes habitué, il est très facile à comprendre et à résoudre. Certes, il y a moins de "parties mobiles" de protocoles différents à prendre en compte.

Vous ne voulez pas avoir des routes Internet complètes dans votre base de données OSPF, vous devez donc publier une valeur par défaut via OSPF à l'intérieur de votre réseau (ou peut-être une valeur statique par défaut ... personnellement, je préfère les valeurs par défaut dans OSPF). Cela acheminera le trafic vers les routeurs Internet parlant BGP, ce qui peut permettre de prendre la décision la plus éclairée de disposer des routes Internet complètes.

Cela vous donnera près de "meilleur chemin basé sur la destination". Il y aura toujours des cas où le trafic effectuera des choses inattendues. Vous devrez donc vous familiariser avec le processus de sélection d'itinéraire BGP.

Jeff McAdams
la source
Merci, Jeff Je suis d'accord avec votre disposition sur PBR. Je l'ai vu mis en œuvre de manière cauchemardesque. J'ai arraché plus de PBR de réseaux que je ne m'en souviens. J'ai déjà géré un environnement hiérarchisé dans lequel PBR était déployé en tant que mécanisme de routage virtuel avec une carte de route unique par SVI (100). Le PBR contenait également des clauses permis / non défini qui entraînaient un changement de processus. En copie papier, c'était comme 60 pages de config. Inutile de dire que j’y ai emmené la boule de démolition; remplacé par VRF.
Dennis Olvany
6

Offrir une approche différente des autres données déjà donnée, qui peut ou non être meilleure que les idées existantes, mais principalement par le biais de quelques idées supplémentaires;

Je dirais que vous pouvez suivre deux étapes faciles pour améliorer votre situation actuelle:

Étape 1 ;

Obtenez des tables BGP complètes des deux fournisseurs - Vous bénéficierez désormais d'un routage sortant plus optimal, car vous effectuerez le routage via le fournisseur de transit avec le plus petit chemin d'accès AS à votre destination. Comme vous l'avez dit, vous pouvez supprimer HSRP et simplement annoncer une route par défaut dans OSPF et exécuter iBGP entre vos deux routeurs de périphérie.

Étape 2 ;

Configurez les préfixes AS, les communautés, etc. sur vos deux routeurs de périphérie afin de contrôler le trafic sortant de manière granulaire, selon vos besoins. Donc, le FAI B peut avoir un meilleur itinéraire vers un sous-réseau, mais vous pouvez acheter plus de transit auprès du FAI A et plutôt quand vous le passez via eux, etc.


En supposant que les deux / 24 que vous avez mentionnés sont un espace d'adressage indépendant de PI et que vous les annonciez via les deux fournisseurs, ou que les deux fournisseurs ont accepté d'annoncer le même espace d'adressage IP pour vous, vous pouvez désormais annoncer les deux préfixes aux deux fournisseurs de services Internet des deux routeurs. sans préfixe ni communauté et obtenez ainsi un meilleur routage entrant (bien sûr, sauf si vous avez des CDR que vous devez adhérer ou similaires, auquel cas vous pouvez régler au besoin).

Jwbensley
la source
Merci, Javano. Je pense que nous convenons que les politiques de routage entrant et sortant sont néfastes. Je veux absolument me débarrasser de PBR, des appels d'offres et des communautés!
Dennis Olvany
3

Commencez simplement, puis ajoutez de la complexité uniquement lorsque cela est nécessaire. Je me demanderais s'il est même nécessaire d'exécuter OSPF sur vos routeurs de périphérie Internet. Lancez PBR sur le trottoir et utilisez-le uniquement sur votre réseau intérieur.

  1. Prenez des routes Internet complètes si votre routeur dispose de la mémoire, mais filtrez! Mélanger n'importe quoi gt a / 24.
  2. Prendre une route par défaut de A et B.
  3. Vous devez exécuter iBGP pour permettre à vos routeurs de prendre les meilleures décisions en tenant compte de tous les préfixes reçus de A et B.
  4. Si vous envisagez d'utiliser les deux fournisseurs A et B / 24 avec les deux fournisseurs, vous pouvez alors mieux influencer le trafic entrant en ajoutant le préfixe A / 24 sur le réseau de B et inversement. Les deux / 24 doivent être annoncés! Renseignez-vous auprès de votre fournisseur de services Internet pour connaître le type de communauté à utiliser.
  5. Utilisez deux groupes HSRP différents pour votre trafic sortant depuis votre pare-feu; vous pouvez configurer ECLB pour partager la charge avec vos deux routeurs. Equal Cost Load Balancing .

Tout cela peut être simplifié si vous utilisez simplement un / 24 annoncé à la fois par A et par B.

Plus tard, examinez la complexité pour une meilleure ingénierie du trafic et une meilleure protection:

  1. Familiarisez-vous avec les communautés de A et B, car vous préférerez peut-être utiliser des cartes d'itinéraires homologues pour définir localpref afin de déterminer les itinéraires qui utilisent A par rapport à B.
  2. Définissez une route par défaut statique flottante sur les deux routeurs en tant que sauvegarde d'urgence pour tout le reste au cas où votre BGP exploserait.

    ip route 0.0.0.0 0.0.0.0 a.b.c.d 254
    
  3. Recherchez des moyens plus complexes de publicité pour contrôler votre politique entrante, par exemple la moitié de votre espace IP passant par A et l’autre par B. Pour un / 24 donné, vous pouvez annoncer le / 24 à A et B, deux / 25 et annonce le bas / 25 à A et le haut / 25 à B.

  4. Utilisez la reconfiguration progressive pour pouvoir ajuster vos stratégies et effectuer une réinitialisation progressive sur la session BGP afin de ne pas atténuer vos préfixes de l'autre côté si vous réinitialisez complètement (ou effacez) la session. Les changements de stratégie nécessitent une réinitialisation.

generalnetworkerror
la source
1

Donc, ce que je comprends de l'écriture, c'est que vous n'avez pas vraiment besoin de prendre des décisions basées sur des chemins AS pour atteindre des sous-réseaux externes et que le seul objectif de la double hébergement à deux FAI est d'acheter une redondance pour atteindre Internet. Si c'est le cas, vous n'avez pas vraiment besoin de lancer BGP. Vous pouvez simplement accepter les mêmes itinéraires par défaut que vous recevez déjà de votre fournisseur de services. Pour le côté local du réseau, exécutez une seule zone ospf sur les routeurs qui se connectent au fournisseur de services Internet sur l’interface face à votre réseau local (n’incluez pas l’interface du fournisseur de services Internet dans le processus) et en fonction de la simplicité de la conception. vous pouvez ajouter des routeurs dans différentes zones et résumer les sous-réseaux aux limites du réseau, mais pour deux sous-réseaux, je pense que la taille de la base de données OSPF ou le nombre d'inondations LSA n'est pas une préoccupation majeure,

Sur chaque routeur OSPF qui se connecte au fournisseur de services Internet, redistribuez les itinéraires par défaut appris dans OSPF à l'aide d'une instruction "default-information originate".

Couple d'avantages:

  1. Grâce à cette conception, lorsque vous développez le réseau, vous pouvez activer BGP avec les fournisseurs de services et accepter simplement la route par défaut sans toucher à aucun périphérique en aval. Tant que vous n'avez pas vérifié que vous recevez une route par défaut de BGP, vous êtes bon.

  2. Chaque fois que vous devez acheminer le trafic d'un fournisseur de services Internet à des fins de maintenance, supprimez simplement le message "Informations par défaut d'origine" situé sous le processus OSPF sur ce routeur et poursuivez la maintenance. Rien d'autre n'est nécessaire.

Et je suis d’accord avec la réponse précédente en ce sens que le routage symétrique est surestimé, je préfère l’évolutivité et la facilité de maintenance.

Vinny
la source
Si je comprends les plans de @ user161, l'objectif est de sélectionner plus intelligemment le chemin sortant. Comment y parvenez-vous dans votre solution basée sur OSPF?
Paul Gear
Merci, Vinny Le basculement du trafic sortant n'est pas un problème, mais n'aurais-je pas besoin de BGP pour le basculement entrant? Si cela ne concernait que les utilisateurs obtenant un PAT'd sur Internet, cela serait peut-être faisable, mais il s'agit d'un environnement d'hébergement Web.
Dennis Olvany
@ user161: Absolument, si nous avons besoin d'un basculement entrant pour vos sous-réseaux d'origine, vous devez exécuter BGP. Contactez votre FAI pour savoir s'il prend en charge la fonctionnalité ORF pour l'appairage BGP si vous pouvez annoncer des sous-réseaux d'origine locale via BGP avec un filtre entrant sur les routeurs à la frontière pour accepter un itinéraire par défaut et / ou sélectionner quelques sous-réseaux des routeurs ISP. Si le FAI ne prend pas en charge l'ORF, il n'y a vraiment pas de meilleur choix que d'acheter un routeur avec plus de jus ..
Vinny
1

Si le tableau BGP complet est trop important pour vous, je pense que vous pourriez envisager de n'en recevoir qu'une partie. Peut-être que les fournisseurs A et B annoncent chacun une route par défaut et leurs routes AS locales. Vous devrez exécuter iBGP en interne. De cette façon, vous obtiendrez le chemin le plus court pour tout ce qui est directement connecté aux fournisseurs et vous emprunteriez soit pour les routes AS en aval.

Kelly McDowell
la source
Merci, Kelly. Le meilleur design utiliserait iBGP. Une actualisation matérielle appelle la révision de l'architecture. Par conséquent, je ne m'inquiète pas trop de la capacité des routeurs à la gérer. L’équipe des ventes a déclaré que la transition d’IOS à JUNOS était une véritable promenade. Je ne suis pas sûr d'être d'accord, jusqu'à présent.
Dennis Olvany
Je ne sais pas si je dirais que ce n'est pas une bonne affaire ... c'est difficile à apprendre, pas seulement la nouvelle syntaxe, mais le nouveau concept de syntaxe. Ce que je vais dire, cependant, c'est que je crois que cela en vaut la peine. JunOS vous laissera éreinté pendant un certain temps, mais à un moment donné, il faudra cliquer et tout commencera à avoir un sens. Bien sûr, vous devrez chercher des trucs (connaître la syntaxe d’une langue n’est pas la même chose que connaître le vocabulaire), mais dans l’ensemble, cela aura un sens.
Jeff McAdams