Failover для Cisco Router`ов. Как?

Answered Question
Jan 31st, 2012

Возник вопрос, как Cisco рекомендует делать резервацию раутеров от сбоев?

Для Firewall`ов ASA все понятно, там есть спец. функционал и там все нормально работает.

Как сделать подобное на cisco раутерах?

HRSP, VRRP - можно зарезервировать дефолтный IP для раутинга из лок. сети.

А как быть с BGP? Городить дополнительные BGP cессии к провайдерам? Дополнительно усложнять схему с анонсами своей сети для доп. сессий BGP?

В общем какой Best Practise предлагает Cisco?

За пример можно взять такую сеть:

1. Локальная сеть.

2. Firewall ASA

3. 2а раутера 2951 (3845 и т.п.) на интерфейсах к провайдерам (больше 2х) поднят BGP

4. На раутер (на BGP сеть) приземляются туннели из других удаленных офисов.

I have this problem too.
0 votes
Correct Answer by nihilo666 about 2 years 1 week ago

Тогда можно сделать балансировку по пулам локальных сетей, при необходимости разделив пользователей на большее количество подсетей. Для каждой подсети выбирается один из роутеров в качестве active forwarder для группы HSRP так, чтобы примерно разделить весь траффик поровну, или в пропорции ширины WAN каналов. Для каждой группы этот роутер также будет являться активным для NAT Stateful Failover.

Correct Answer by Eugene Khabarov about 2 years 2 months ago

Cisco IOS поддерживает inter-chassis failover для NAT, IPSEC и Firewall:

В частности, NAT:

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftsnat.html

IPSEC:

http://www.cisco.com/en/US/partner/docs/ios/12_3t/12_3t11/feature/guide/gt_topht.html#wp1049370

Firewall:

http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht_sfo.html

С BGP резервирование так и осуществляется. Если у вас два standalone маршрутизатора, то используются две сессии BGP с провайдером. В какой-то степени это, конечно, усложнение.

  • 1
  • 2
  • 3
  • 4
  • 5
Average Rating: 5 (2 ratings)
Correct Answer
Eugene Khabarov Tue, 02/07/2012 - 03:59

Cisco IOS поддерживает inter-chassis failover для NAT, IPSEC и Firewall:

В частности, NAT:

http://www.cisco.com/en/US/docs/ios/12_2t/12_2t13/feature/guide/ftsnat.html

IPSEC:

http://www.cisco.com/en/US/partner/docs/ios/12_3t/12_3t11/feature/guide/gt_topht.html#wp1049370

Firewall:

http://www.cisco.com/en/US/partner/docs/ios/12_4t/12_4t11/ht_sfo.html

С BGP резервирование так и осуществляется. Если у вас два standalone маршрутизатора, то используются две сессии BGP с провайдером. В какой-то степени это, конечно, усложнение.

Eugene Khabarov Tue, 02/07/2012 - 23:52

Ну почему же нет. В старших моделях, таких как 6500/7600 и ASR1000, которые имеют два супервизора в шасси на устройствах имеются функции SSO, которые позволяют не прерывать передачу данных в момент переключение между active/standby супервизорами. Параллельно с SSO работает механизм NSF, которая позволяет сосединим NSF-aware маршрутизаторам не разрывать состояния соседства протоколов маршрутизации на период переключения супервизоров.

Здесь Вы найдете более подробную информацию:

http://www.cisco.com/en/US/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/nsfsso.html

http://www.cisco.com/en/US/docs/routers/asr1000/configuration/guide/chassis/High_Availability.html

andrew_netcracker Tue, 02/07/2012 - 23:56

понятно. на младших моделях значит зажали.

Хотя бы синхронизацию конфигов как в ASA`е сделали бы. Печально.

Спасибо вам за консультацию.

Eugene Khabarov Wed, 02/08/2012 - 00:02

Андрей, всё познается в стравнении. Вы же, например, не будете, например, покупать Ладу-калина, чтобы потом бронировать её и перевозить перых лиц государства? Вы купите для этого лимузин. Естественно, и цена другая.

andrew_netcracker Wed, 02/08/2012 - 00:11

Ну не знаю, я бы не сказал что наличие нормального failover`а должно быть только в премиум сегменте, это очень важный элемент даже в среднем ценовом диапазоне.

Да и ASA не в премиум сегменте, а там все что нужно есть.

Это просто мысли вслух, хотя вдруг меня услышат

Eugene Khabarov Wed, 02/08/2012 - 00:28

Пожалуй, тут я с Вами соглашусь. Возмьмем в пример младшие J и SRX серии Juniper, в них поддерживается полнофункциональный inter-chassis failover. Это значительное приемущество.

http://kb.juniper.net/library/CUSTOMERSERVICE/GLOBAL_JTAC/TECHNOTE-JSeries-HA/J-Series-Chassis-Cluster-setup.pdf

nihilo666 Wed, 04/11/2012 - 23:34

Нужно отметить, что inter-chassis failover не является идеальным решением для резервирования WAN каналов, поскольку в этом случае один из них будет всегда простаивать, пока второй работает. Несмотря на более сложную настройку резервирования, на роутерах можно добиться балансировки между каналами, пусть и не всегда автоматической. Тут на помощь приходят технологии NAT stateful failover, IPSec Stateful Failover, ZPF High Availability Active/Active Load Sharing, OER и другие.

Eugene Khabarov Wed, 04/11/2012 - 23:55

Александр, Вы ссылки смотрели во втором посте? Там именно про эти технологии и написано. И я не понял ваше высказывание о WAN. Как эти технологии позволят достичь балансировки? Приведите, пожалуйста, пример конфигурации.

nihilo666 Thu, 04/12/2012 - 02:20

Если используется подключение к провайдерам по BGP, то балансировка возможна заданием конкретных AS или подсетей для каждого WAN линка

http://www.cisco.com/en/US/tech/tk365/technologies_configuration_example09186a00800945bf.shtml

см. Load Sharing When Multihomed to Two ISPs Through Multiple Local Routers

Например, если есть full view, можно вручную указать, что для нечетных AS используется один канал, для четных - другой.

Если используется stateful failover NAT между двумя роутерами как в этом примере

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t7/feature/guide/gtsnatay.html#wp1054514

то балансировать пользовательский траффик можно, если разделить его на 2 HSRP группы и поменять местами для каждой из них активный/резервный NAT.

Таким образом, каждую технологию придется резервировать отдельно. Зато в итоге можем получить не 2 железки с одинаковой конфигурацией, которые логически представляют одно устройство (как в случае с ASA), а две различных, способные разделить нагрузку.

Correct Answer
nihilo666 Thu, 04/12/2012 - 02:57

Тогда можно сделать балансировку по пулам локальных сетей, при необходимости разделив пользователей на большее количество подсетей. Для каждой подсети выбирается один из роутеров в качестве active forwarder для группы HSRP так, чтобы примерно разделить весь траффик поровну, или в пропорции ширины WAN каналов. Для каждой группы этот роутер также будет являться активным для NAT Stateful Failover.

andrew_netcracker Tue, 04/24/2012 - 22:15

Балансировка трафика это конечно хорошо, позволяет улучшить утилизацию устройств, но пока нет синхронизации конфигов подобные конфигурации превращаются в постоянную головную боль и сильно увеличивют шансы, что система не сработает когда это будет нужно из-за человеческого фактора (банально не продублировал конфигурацию)

Actions

Login or Register to take actions

This Discussion

Posted January 31, 2012 at 3:00 AM
Stats:
Replies:13 Avg. Rating:5
Views:1748 Votes:0
Shares:0

Related Content