Perusahaan Multihoming yang Lebih Baik

33

Saya ingin mendapatkan beberapa pendapat mengenai cara-cara di mana saya dapat meningkatkan desain BGP dual-provider, dual-router. Setiap penyedia menyediakan / 24 subnet publik. Saya akan merujuk ke router, sirkuit, subnet, grup dan penyedia HSRP masing-masing sebagai A dan B. Bandwidth pada setiap sirkuit cukup untuk seluruh beban.

Desain saat ini

Desain saat ini berupaya mencapai simetri per-penyedia. Dalam kondisi mapan, logika perutean yang dimaksud adalah lalu lintas ke / dari subnet A hanya transit sirkuit A dan lalu lintas ke / dari subnet B hanya transit ke sirkuit B. Sirkuit akan saling mendukung dalam keadaan gagal.

Penyedia hanya mengiklankan rute default. Routing keluar memerlukan campuran PBR dan HSRP. Router tidak memiliki perutean di antaranya: Tidak ada iBGP, tidak ada OSPF, tidak ada perutean statis. Sebagai gantinya, ada dua kelompok HSRP yang melacak rute default. Router A adalah yang utama untuk grup HSRP A dan router B adalah yang utama untuk grup HSRP B. Perangkat hilir memiliki rute default yang menunjuk ke grup HSRP A dan PBR yang mengarahkan lalu lintas yang bersumber dari subnet B ke grup HSRP B. Routing inbound dipengaruhi dengan prabayar dan komunitas. Subnet A adalah prepended dan dikomunikasikan pada sirkuit B dan subnet B adalah prepended dan dikomunikasikan pada sirkuit A.

Saya melihat banyak ruang untuk perbaikan dalam desain ini. Kurangnya kesadaran topologi Internet dikombinasikan dengan afinitas sirkuit sepenuhnya menghilangkan pemilihan jalur terbaik. Ada kekhawatiran tentang penunjukan tingkat penyedia dan desain telah dirasionalisasi sebagai memberikan 'kinerja yang dapat diterima' dan lebih mudah untuk memecahkan masalah. Memang, desainnya tidak mungkin lebih sederhana. Saya telah menunjukkan bahwa transit AS tambahan menambah 6 hop dan 63ms (+ 421%) ke RTT. Saya lebih suka tidak puas diterima.

Desain yang lebih baik

Desain yang lebih baik memberikan router dengan kesadaran topologi Internet sebanyak mungkin. Algoritma jalur terbaik dibiarkan untuk menentukan logika routing masuk dan keluar. Sirkuit akan saling mendukung dalam kondisi gagal.

Penyedia mengiklankan tampilan penuh. Router menjalankan iBGP dan OSPF. HSRP dihilangkan. Perutean keluar akan sepenuhnya menjadi jalur terbaik berbasis tujuan dan jalur masuk akan diserahkan ke algoritma jalur terbaik dan keinginan penyedia transit.

Sekarang saya mengetiknya, sepertinya lebih sederhana. Paling tidak, butuh lebih sedikit kata untuk menjelaskan. Ada kekhawatiran tentang asimetri, tetapi saya telah melihat banyak asimetri dalam desain saat ini. Saya akan berpikir mereka mungkin sama-sama rentan terhadap asimetri dan itu benar-benar tidak membuat saya khawatir. Kami tidak pernah melihat masalah sebagai hasilnya. Saat ini diturunkan ke ranah seandainya, "Bagaimana 'jika' kita harus memecahkan masalah sesuatu?"

Apakah saya jauh dari markas di sini atau saya memukul paku? Bagaimana orang lain memecahkan masalah ini? Apa yang akan dilakukan Google?

bgp Dennis Olvany
sumber
Detail dan penjelasan luar biasa. Selamat datang!
Pandom
Secara tradisional, "Saya ingin mendapatkan beberapa pendapat tentang desain saya" pertanyaan tidak benar-benar pertanyaan SE yang hebat ... Tetapi ini dapat didiskusikan dengan meta
Aaron

Jawaban:

16

Ya, Anda benar-benar memukul kepala.

Anda akan mendapatkan asimetri dalam desain yang ditingkatkan, tetapi asimetri adalah fakta kehidupan di Internet, dan benar-benar tidak ada alasan yang baik untuk mengharapkan rute lalu lintas simetris ke / dari. Tembak, seluruh konsep paket routing adalah bahwa paket-paket terpisah dirutekankan secara independen satu sama lain dan dapat mengambil jalur yang berbeda, bahkan paket-paket berjalan ke arah yang sama.

Secara pribadi, saya benci PBR. Ini adalah salah satu teknologi yang ketika saya memutuskan bahwa ini adalah solusi terbaik untuk masalah tersebut, saya berhenti dan mengambil langkah mundur untuk melihat apakah saya benar-benar memahami sifat sebenarnya dari masalah tersebut, bahkan kembali untuk mencari tahu apa masalah bisnis yang harus dipecahkan. aku s. Ketika saya melakukannya, saya hampir selalu menemukan bahwa ada cara untuk menyelesaikan masalah tanpa menggunakan teknologi seperti itu.

Memiliki rute internet lengkap di router Anda akan memerlukan waktu untuk membiasakan diri, tetapi begitu Anda terbiasa, itu memang sangat mudah dipahami dan dipecahkan. Tentu saja ada lebih sedikit "bagian bergerak" dari berbagai protokol yang perlu dikhawatirkan.

Anda tidak ingin memiliki rute Internet lengkap dalam database OSPF Anda, jadi Anda ingin mengiklankan default melalui OSPF ke interior jaringan Anda (atau mungkin default statis ... secara pribadi saya lebih suka default di OSPF). Itu akan menggerakkan lalu lintas menuju router Internet yang berbicara BGP yang dapat membuat keputusan yang lebih penuh informasi tentang memiliki rute Internet penuh.

Itu akan memberi Anda dekat dengan "jalur terbaik berbasis tujuan". Masih akan ada kasus di mana lalu lintas akan melakukan hal-hal yang tidak Anda harapkan, sehingga Anda ingin membiasakan diri dengan proses pemilihan rute BGP.

Jeff McAdams
sumber
Terima kasih, Jeff. Saya setuju dengan disposisi Anda pada PBR. Saya telah melihatnya diimplementasikan dengan cara yang mengerikan. Saya telah merobek lebih banyak PBR dari jaringan daripada yang saya ingat. Saya pernah mengelola lingkungan berjenjang di mana PBR digunakan sebagai mekanisme routing virtual dengan rute-peta unik per SVI (100-an). PBR juga memuat klausul perizinan / tanpa set yang mengakibatkan proses perpindahan. Dalam hardcopy, itu seperti 60 halaman konfigurasi. Tak perlu dikatakan, saya mengambil bola perusak untuk itu; menggantinya dengan VRF.
Dennis Olvany
6

Untuk menawarkan pendekatan berbeda kepada yang lain yang sudah diberikan, yang mungkin atau mungkin tidak lebih baik dari ide-ide yang ada, tetapi terutama untuk melalui beberapa ide tambahan di luar sana;

Saya akan mengatakan dua langkah mudah yang dapat Anda ambil untuk memperbaiki situasi Anda saat ini adalah sebagai berikut;

Langkah 1 ;

Dapatkan tabel BGP lengkap dari kedua penyedia - Sekarang, Anda akan memiliki rute keluar yang lebih optimal karena Anda akan melakukan perutean melalui penyedia transit dengan jalur AS terkecil ke tujuan Anda. Seperti yang Anda katakan, Anda dapat menghapus HSRP dan sederhana mengiklankan rute default di OSPF dan menjalankan iBGP di antara dua router tepi Anda.

Langkah 2 ;

Siapkan AS prepends dan komunitas dll di dua router tepi Anda untuk mengontrol lalu lintas keluar granular sesuai kebutuhan Anda. Jadi ISP B mungkin memiliki rute yang lebih baik ke beberapa subnet tetapi Anda dapat membeli lebih banyak transit dari ISP A dan lebih baik ketika melalui mereka, dan seterusnya.

Dengan asumsi dua / 24 yang Anda sebutkan sebagai memiliki ruang alamat PI independen sehingga Anda mengumumkannya melalui kedua penyedia, atau kedua penyedia setuju untuk mengumumkan ruang alamat IP yang sama untuk Anda, Anda sekarang dapat mengumumkan kedua awalan untuk kedua ISP dari kedua router. tanpa prabayar atau komunitas dan dapatkan rute masuk yang lebih baik juga (tentu saja, kecuali jika Anda memiliki beberapa CDR yang perlu Anda patuhi atau serupa, dalam hal ini Anda dapat menyetel sesuai kebutuhan).

jwbensley
sumber
Terima kasih, javano. Saya pikir kami setuju bahwa kebijakan routing masuk dan keluar merugikan. Saya benar-benar ingin menghapus PBR, membuat dan komunitas!
Dennis Olvany
3

Mulai dari yang sederhana, kemudian tambahkan kompleksitas hanya saat dibutuhkan. Saya akan mempertanyakan apakah ada kebutuhan untuk menjalankan OSPF pada router tepi Internet Anda. Boot PBR ke trotoar dan hanya gunakan di jaringan interior Anda.

  1. Ambil rute Internet penuh jika router Anda memiliki memori, tetapi lakukan pemfilteran! Aduk apa saja gt a / 24.
  2. Ambil rute default dari A dan B.
  3. Harus menjalankan iBGP agar router Anda membuat keputusan jalur terbaik dengan mempertimbangkan semua awalan yang diterima dari A dan B.
  4. Jika Anda berencana untuk menggunakan A dan B's / 24s dengan kedua penyedia, maka Anda dapat lebih memengaruhi traffic masuk dengan menambahkan A / 24 pada jaringan B dan sebaliknya. Keduanya harus diiklankan! Periksa dengan ISP Anda untuk komunitas mereka dalam mengatur prepends untuk Anda.
  5. Gunakan dua grup HSRP yang berbeda untuk lalu lintas keluar Anda dari firewall Anda; Anda bisa mengatur ECLB untuk memuat-berbagi ke dua router Anda. Penyeimbangan Beban Biaya yang Sama .

Semua ini dapat disederhanakan jika Anda hanya menggunakan satu / 24 yang diiklankan untuk A dan B.

Kemudian, lihat lebih banyak kerumitan untuk rekayasa dan perlindungan lalu lintas yang lebih baik:

  1. Biasakan diri dengan komunitas A dan B karena Anda mungkin lebih suka menggunakan peer-maps untuk mengatur localpref untuk menentukan rute mana yang menggunakan A vs B.

  2. Tetapkan rute default statis mengambang di kedua router sebagai cadangan darurat untuk semua yang lain jika BGP Anda meledak. 

    ip route 0.0.0.0 0.0.0.0 a.b.c.d 254

  3. Lihatlah ke cara-cara pengiklanan yang lebih kompleks untuk mengontrol kebijakan masuk Anda seperti setengah ruang IP Anda melalui A dan setengah lainnya melalui B. Untuk yang diberikan / 24, Anda bisa mengiklankan / 24 ke A dan B, tetapi membaginya menjadi two / 25's dan beriklan lower / 25 ke A dan upper / 25 to B.

  4. Gunakan soft-konfigurasi ulang sehingga Anda dapat mengubah kebijakan Anda dan melakukan soft reset pada sesi BGP sehingga Anda tidak menyebabkan pengurangan awalan Anda di sisi lain jika Anda benar-benar mereset (atau menghapus) sesi. Perubahan kebijakan memerlukan pengaturan ulang.

generalnetworkerror
sumber
1

Jadi apa yang saya pahami dari penulisan adalah bahwa Anda tidak benar-benar perlu membuat keputusan berdasarkan jalur AS untuk mencapai subnet eksternal dan satu-satunya tujuan dual homing ke dua ISP adalah untuk membeli redundansi untuk mencapai internet. Jika itu masalahnya, maka Anda tidak benar-benar perlu menjalankan BGP. Anda hanya dapat menerima rute default yang sama yang sudah Anda terima dari kedua penyedia layanan Anda. Sekarang untuk sisi lokal jaringan, jalankan satu area ospf pada router yang terhubung ke ISP pada antarmuka yang menghadap ke LAN Anda (Jangan sertakan antarmuka ISP dalam proses) dan tergantung pada seberapa sederhana desain harus dilakukan. Anda dapat menambahkan router di area yang berbeda dan meringkas subnet pada batas jaringan, tetapi untuk dua subnet saya pikir ukuran basis data OSPF atau jumlah banjir LSA bukan masalah besar,

Pada setiap router OSPF yang menghubungkan ke ISP, mendistribusikan kembali rute default yang dipelajari ke dalam OSPF dengan menggunakan pernyataan "informasi default berasal".

Beberapa keuntungan:

  1. Dengan desain ini, ketika Anda menumbuhkan jaringan Anda dapat mengaktifkan BGP dengan penyedia layanan dan hanya menerima rute default tanpa menyentuh apa pun perangkat hilir. Sampai Anda memverifikasi bahwa Anda menerima rute default dari BGP, Anda baik.

  2. Kapan pun Anda perlu merutekan traffic dari ISP untuk pemeliharaan, cukup hapus "informasi-baku berasal" dari bawah proses OSPF pada router itu dan lanjutkan dengan perawatan. Tidak ada lagi yang dibutuhkan.

Dan saya setuju dengan jawaban sebelumnya bahwa routing simetris dinilai terlalu tinggi, saya lebih memilih skalabilitas dan kemudahan perawatan.

Vinny
sumber
Jika saya mengerti rencana @ user161, tujuannya adalah pemilihan jalur keluar yang lebih cerdas. Bagaimana Anda mencapainya dalam solusi berbasis OSPF Anda?
Paul Gear
Terima kasih, Vinny. Kegagalan lalu lintas outobund bukan masalah, tetapi apakah saya tidak perlu BGP untuk failover inbound? Jika ini hanya pengguna yang mendapatkan PAT'd ke internet, mungkin layak, tetapi ini adalah lingkungan web hosting.
Dennis Olvany
@ user161: Tentu saja, jika kami membutuhkan failover masuk untuk subnet asli Anda, maka Anda harus menjalankan BGP. Periksa dengan ISP Anda untuk melihat apakah mereka mendukung kemampuan ORF untuk peering BGP jika Anda dapat mengiklankan subnet yang berasal dari lokal melalui BGP dengan filter masuk pada router perbatasan hanya untuk menerima rute default dan / atau beberapa subnet tertentu dari router ISP. Jika ISP tidak mendukung ORF, maka benar-benar tidak ada pilihan yang lebih baik daripada membeli router dengan jus lebih banyak ..
Vinny
1

Jika tabel BGP lengkap terlalu banyak untuk Anda, saya pikir Anda bisa mempertimbangkan hanya menerima sebagian. Mungkin penyedia A dan B masing-masing mengiklankan rute default dan rute AS lokal mereka. Anda perlu menjalankan iBGP secara internal. Dengan begitu Anda akan memiliki rute terpendek untuk apa pun yang terhubung langsung ke penyedia dan akan mengambil salah satu untuk rute hilir AS.

Kelly McDowell
sumber
Terima kasih, Kelly. Desain yang lebih baik akan menjalankan iBGP. Refresh perangkat keras mendorong tinjauan arsitektur, jadi saya tidak terlalu khawatir tentang router yang bisa menanganinya. Tim penjualan mengatakan transisi dari iOS ke JUNOS adalah cakewalk. Saya tidak begitu yakin saya setuju, sejauh ini.
Dennis Olvany
Saya tidak tahu bahwa saya akan mengatakan itu cakewalk ... itu menakutkan untuk dipelajari, bukan hanya sintaks baru, tetapi konsep sintaksis baru. Namun, apa yang akan saya katakan adalah saya yakin itu sepadan. JunOS akan membuat Anda menggaruk kepala untuk sementara waktu, tetapi pada titik tertentu, itu akan mengklik dan semuanya akan masuk akal. Anda masih harus mencari tahu semuanya, tentu saja (mengetahui sintaksis suatu bahasa tidak sama dengan mengetahui kosakata), tetapi pada umumnya itu akan masuk akal.
Jeff McAdams