Une meilleure multihébergement d'entreprise

Je souhaite obtenir des opinions sur les moyens d'améliorer un concept de routeur à double fournisseur BGP. Chaque fournisseur fournit un sous-réseau public / 24. Je ferai référence aux routeurs, circuits, sous-réseaux, groupes HSRP et fournisseurs en tant que A et B, respectivement. La bande passante sur chaque circuit est adéquate pour toute la charge.

Conception actuelle

La conception actuelle tente d’atteindre une symétrie par fournisseur. En régime stationnaire, la logique de routage prévue est que le trafic en provenance / à destination du sous-réseau A transite uniquement par le circuit A et le trafic en provenance / à destination du sous-réseau B en transitant uniquement par le circuit B. Les circuits se sauvegardent en cas de défaillance.

Les fournisseurs annoncent uniquement l'itinéraire par défaut. Le routage sortant implique un mélange de PBR et de HSRP. Les routeurs n'ont pas de routage entre eux: pas d'iBGP, pas de OSPF, pas de routage statique. Au lieu de cela, deux groupes HSRP suivent l'itinéraire par défaut. Le routeur A est principal pour le groupe HSRP A et le routeur B est principal pour le groupe HSRP B. Les périphériques en aval ont un itinéraire par défaut pointant vers le groupe HSRP A et le PBR qui dirige le trafic issu du sous-réseau B vers le groupe B. Le routage entrant est influencé par les opérateurs communautés. Le sous-réseau A est préfixé et mis en réseau sur le circuit B et le sous-réseau B est prédéfini et mis en communication sur le circuit A.

Je vois beaucoup de choses à améliorer dans cette conception. Le manque de connaissance de la topologie Internet, associé à une affinité de circuit, élimine complètement le meilleur choix de chemin. La désignation par niveau des fournisseurs suscite des inquiétudes et la conception a été rationalisée pour offrir une "performance acceptable" et une plus grande facilité de dépannage. En effet, la conception ne pourrait pas être plus simple. J'ai démontré que le transit d'un AS supplémentaire ajoute 6 sauts et 63 ms (+ 421%) au RTT. Je préférerais ne pas me contenter d'acceptable.

Un meilleur design

La meilleure conception fournit aux routeurs autant de conscience de la topologie Internet que possible. Il reste le meilleur algorithme de chemin pour déterminer la logique de routage entrante et sortante. Les circuits se sauvegarderaient en cas d'échec.

Les fournisseurs annoncent la vue complète. Les routeurs exécutent iBGP et OSPF. HSRP est éliminé. Le routage sortant serait purement le meilleur chemin basé sur la destination et le routage entrant serait laissé au meilleur algorithme de chemin et aux caprices du fournisseur de transit.

Maintenant que je le tape, cela semble plus simple. À tout le moins, il fallait moins de mots pour expliquer. L'asymétrie est un sujet de préoccupation, mais j'ai constaté qu'il y avait beaucoup d'asymétrie dans la conception actuelle. Je pense qu'ils sont probablement également sujets à l'asymétrie et cela ne m'inquiète vraiment pas. Nous n'avons jamais vu de problèmes en conséquence. Actuellement, il est relégué au domaine des ifs, "Et si nous devions résoudre un problème?"

Est-ce que je me trouve loin de la base ou ai-je mis le doigt sur la tête? Comment les autres ont-ils résolu ce problème? Que ferait Google?

Oui, vous avez frappé le clou sur la tête.

La conception améliorée donnera une asymétrie, mais l'asymétrie est une réalité de la vie sur Internet, et il n'y a vraiment aucune bonne raison de s'attendre à un routage symétrique du trafic depuis / vers. Shoot, le concept entier de routage de paquets est que des paquets séparés sont acheminés indépendamment les uns des autres et peuvent emprunter des chemins différents, même des paquets allant dans la même direction.

Personnellement, je déteste PBR. C'est l'une de ces technologies que lorsque je décide que c'est la meilleure solution au problème, je m'arrête et prend du recul pour voir si je comprends vraiment la nature réelle du problème, voire même pour déterminer le problème commercial à résoudre. est. Quand je le fais, je trouve presque toujours qu'il existe un moyen de résoudre le problème sans utiliser une technologie comme celle-là.

Il vous faudra un certain temps pour vous habituer à disposer de routes Internet complètes dans vos routeurs, mais une fois que vous vous y êtes habitué, il est très facile à comprendre et à résoudre. Certes, il y a moins de "parties mobiles" de protocoles différents à prendre en compte.

Vous ne voulez pas avoir des routes Internet complètes dans votre base de données OSPF, vous devez donc publier une valeur par défaut via OSPF à l'intérieur de votre réseau (ou peut-être une valeur statique par défaut ... personnellement, je préfère les valeurs par défaut dans OSPF). Cela acheminera le trafic vers les routeurs Internet parlant BGP, ce qui peut permettre de prendre la décision la plus éclairée de disposer des routes Internet complètes.

Cela vous donnera près de "meilleur chemin basé sur la destination". Il y aura toujours des cas où le trafic effectuera des choses inattendues. Vous devrez donc vous familiariser avec le processus de sélection d'itinéraire BGP.

Offrir une approche différente des autres données déjà donnée, qui peut ou non être meilleure que les idées existantes, mais principalement par le biais de quelques idées supplémentaires;

Je dirais que vous pouvez suivre deux étapes faciles pour améliorer votre situation actuelle:

Étape 1 ;

Obtenez des tables BGP complètes des deux fournisseurs - Vous bénéficierez désormais d'un routage sortant plus optimal, car vous effectuerez le routage via le fournisseur de transit avec le plus petit chemin d'accès AS à votre destination. Comme vous l'avez dit, vous pouvez supprimer HSRP et simplement annoncer une route par défaut dans OSPF et exécuter iBGP entre vos deux routeurs de périphérie.

Étape 2 ;

Configurez les préfixes AS, les communautés, etc. sur vos deux routeurs de périphérie afin de contrôler le trafic sortant de manière granulaire, selon vos besoins. Donc, le FAI B peut avoir un meilleur itinéraire vers un sous-réseau, mais vous pouvez acheter plus de transit auprès du FAI A et plutôt quand vous le passez via eux, etc.

En supposant que les deux / 24 que vous avez mentionnés sont un espace d'adressage indépendant de PI et que vous les annonciez via les deux fournisseurs, ou que les deux fournisseurs ont accepté d'annoncer le même espace d'adressage IP pour vous, vous pouvez désormais annoncer les deux préfixes aux deux fournisseurs de services Internet des deux routeurs. sans préfixe ni communauté et obtenez ainsi un meilleur routage entrant (bien sûr, sauf si vous avez des CDR que vous devez adhérer ou similaires, auquel cas vous pouvez régler au besoin).

Commencez simplement, puis ajoutez de la complexité uniquement lorsque cela est nécessaire. Je me demanderais s'il est même nécessaire d'exécuter OSPF sur vos routeurs de périphérie Internet. Lancez PBR sur le trottoir et utilisez-le uniquement sur votre réseau intérieur.

1. Prenez des routes Internet complètes si votre routeur dispose de la mémoire, mais filtrez! Mélanger n'importe quoi gt a / 24.
2. Prendre une route par défaut de A et B.
3. Vous devez exécuter iBGP pour permettre à vos routeurs de prendre les meilleures décisions en tenant compte de tous les préfixes reçus de A et B.
4. Si vous envisagez d'utiliser les deux fournisseurs A et B / 24 avec les deux fournisseurs, vous pouvez alors mieux influencer le trafic entrant en ajoutant le préfixe A / 24 sur le réseau de B et inversement. Les deux / 24 doivent être annoncés! Renseignez-vous auprès de votre fournisseur de services Internet pour connaître le type de communauté à utiliser.
5. Utilisez deux groupes HSRP différents pour votre trafic sortant depuis votre pare-feu; vous pouvez configurer ECLB pour partager la charge avec vos deux routeurs. Equal Cost Load Balancing .

Tout cela peut être simplifié si vous utilisez simplement un / 24 annoncé à la fois par A et par B.

Plus tard, examinez la complexité pour une meilleure ingénierie du trafic et une meilleure protection:

1. Familiarisez-vous avec les communautés de A et B, car vous préférerez peut-être utiliser des cartes d'itinéraires homologues pour définir localpref afin de déterminer les itinéraires qui utilisent A par rapport à B.

2. Définissez une route par défaut statique flottante sur les deux routeurs en tant que sauvegarde d'urgence pour tout le reste au cas où votre BGP exploserait.

   ip route 0.0.0.0 0.0.0.0 a.b.c.d 254
   

3. Recherchez des moyens plus complexes de publicité pour contrôler votre politique entrante, par exemple la moitié de votre espace IP passant par A et l’autre par B. Pour un / 24 donné, vous pouvez annoncer le / 24 à A et B, deux / 25 et annonce le bas / 25 à A et le haut / 25 à B.

4. Utilisez la reconfiguration progressive pour pouvoir ajuster vos stratégies et effectuer une réinitialisation progressive sur la session BGP afin de ne pas atténuer vos préfixes de l'autre côté si vous réinitialisez complètement (ou effacez) la session. Les changements de stratégie nécessitent une réinitialisation.

Donc, ce que je comprends de l'écriture, c'est que vous n'avez pas vraiment besoin de prendre des décisions basées sur des chemins AS pour atteindre des sous-réseaux externes et que le seul objectif de la double hébergement à deux FAI est d'acheter une redondance pour atteindre Internet. Si c'est le cas, vous n'avez pas vraiment besoin de lancer BGP. Vous pouvez simplement accepter les mêmes itinéraires par défaut que vous recevez déjà de votre fournisseur de services. Pour le côté local du réseau, exécutez une seule zone ospf sur les routeurs qui se connectent au fournisseur de services Internet sur l’interface face à votre réseau local (n’incluez pas l’interface du fournisseur de services Internet dans le processus) et en fonction de la simplicité de la conception. vous pouvez ajouter des routeurs dans différentes zones et résumer les sous-réseaux aux limites du réseau, mais pour deux sous-réseaux, je pense que la taille de la base de données OSPF ou le nombre d'inondations LSA n'est pas une préoccupation majeure,

Sur chaque routeur OSPF qui se connecte au fournisseur de services Internet, redistribuez les itinéraires par défaut appris dans OSPF à l'aide d'une instruction "default-information originate".

Couple d'avantages:

1. Grâce à cette conception, lorsque vous développez le réseau, vous pouvez activer BGP avec les fournisseurs de services et accepter simplement la route par défaut sans toucher à aucun périphérique en aval. Tant que vous n'avez pas vérifié que vous recevez une route par défaut de BGP, vous êtes bon.

2. Chaque fois que vous devez acheminer le trafic d'un fournisseur de services Internet à des fins de maintenance, supprimez simplement le message "Informations par défaut d'origine" situé sous le processus OSPF sur ce routeur et poursuivez la maintenance. Rien d'autre n'est nécessaire.

Et je suis d’accord avec la réponse précédente en ce sens que le routage symétrique est surestimé, je préfère l’évolutivité et la facilité de maintenance.

Si le tableau BGP complet est trop important pour vous, je pense que vous pourriez envisager de n'en recevoir qu'une partie. Peut-être que les fournisseurs A et B annoncent chacun une route par défaut et leurs routes AS locales. Vous devrez exécuter iBGP en interne. De cette façon, vous obtiendrez le chemin le plus court pour tout ce qui est directement connecté aux fournisseurs et vous emprunteriez soit pour les routes AS en aval.