отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

Планирование отказоустойчивой сети

Доброго времени суток.

Имеется две Cisco 2951 с модулями SM-D-ES3G-48-P (как я понял аналог 3560Е) в каждой. Два провайдера, по одному на рутер. На рутерах настроен NAT и аннонсируется собстенная AS обоим провам.

Никак не могу сообразить как правильно настроить безотказность сети. Внутренний трафик лучше маршрутизировать (inter-vlan routing) на модулях (трафик достаточно большой) или на 2951? Ежели на модулях, то как настроить маршрутизацию через два рутера в режиме Active/Standby? Точнее я не понимаю как модулям сообщять что отвалилась сессия по BGP и нужно маршрутизировать через резервный роутер.

На ум приходит только редистрибьюция default route из BGP в OSPF, но вроде как этого делать не рекомендуется. А  то и вовсе посещают идеи отключить резервный роутер, унести его на склад и сделать все на одном.

Просветите, пожалуйста, заблудшего.

1 УТВЕРЖДЕННОЕ РЕШЕНИЕ

Утвержденные решения

Планирование отказоустойчивой сет

Главная проблема как раз с файрволом/NAT. Если пакет вышел наружу через один роутер, а вернулся обратно через другой, то он будет потерян. Очень сложно гарантировать, что один из роутеров не будет принимать трафик снаружи, даже препендами.

В целом, есть решение под ISRы: закопайтесь в http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-2mt/sec-data-asym-zbf.html . Насколько я понимаю, это будет работать и с точки зрения файрвола, и с точки зрения NAT. Но мне не доводилось всерьез работать с ZBF, так что по опыту ничего посоветовать не смогу. Перед имплементацией надо будет обкатать конфигурацию на тестовой среде...

По BGP я спрашивал в смысле поддерживаемых лицензий. Исходя из нарисованной топологии и озвученных задач, я не вижу смысла в OSPF. Да и вообще, можно было бы обойтись на свитчах статикой на HSRP адрес роутеров. Или задействовать свитчи строго под L2, а серверам выдавать основным шлюзом HSRP адреса роутеров. Но исходящим трафиком в любом случае рулить легко, сложности со входящим трафиком.

Красиво было бы засунуть между роутерами и свитчами пару ASA'шек в A/S кластере... С таким подходом никаких проблем с асимметрией не будет, а полное резервирование останется.

4 ОТВЕТ.

Планирование отказоустойчивой сет

Три вопроса.

1) Требуется ли на роутерах функционал стейтфульного файрвола?

2) Возможно ли назначить сразу серверам глобально маршрутизируемые адреса, чтобы отказаться от NATа? Это сразу снимет определенные проблемы, если один и тот же префикс уходит обоим провайдерам, и можно будет спокойно задействовать их как active/active.

3) На свитчах BGP поддерживается?

New Member

Планирование отказоустойчивой сет

1. В будущем будет настраиваться. Я вероятно не понимаю всех подводных камней, если не сложно поясните, пожалуйста.

2. На текйщий момент такой возможности нет. Грубо говоря есть куча (около 60 000 шт.) удаленных устройств обращающихся к адресам из нашей AS транслирующимся во внутренние. Бывает так, что один внешний адрес используется для трансляции в несколько внутренних. Из AS (она кстати /24) выделена небольшая подсеть, из нее адреса используются на серверах, это как раз таки для перевода удаленных блоков на новые адреса без НАТа.

3. Если верить Feature Navigotor'у то поддерживается (c3560e-universalk9-mz.150-2.SE4.bin).

Я так понимаю есть смысл настроить iBGP между рутерами и свичами, и таким образом рулить исходящим трафиком с SM-D-ES3G-48-P?

Планирование отказоустойчивой сет

Главная проблема как раз с файрволом/NAT. Если пакет вышел наружу через один роутер, а вернулся обратно через другой, то он будет потерян. Очень сложно гарантировать, что один из роутеров не будет принимать трафик снаружи, даже препендами.

В целом, есть решение под ISRы: закопайтесь в http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-2mt/sec-data-asym-zbf.html . Насколько я понимаю, это будет работать и с точки зрения файрвола, и с точки зрения NAT. Но мне не доводилось всерьез работать с ZBF, так что по опыту ничего посоветовать не смогу. Перед имплементацией надо будет обкатать конфигурацию на тестовой среде...

По BGP я спрашивал в смысле поддерживаемых лицензий. Исходя из нарисованной топологии и озвученных задач, я не вижу смысла в OSPF. Да и вообще, можно было бы обойтись на свитчах статикой на HSRP адрес роутеров. Или задействовать свитчи строго под L2, а серверам выдавать основным шлюзом HSRP адреса роутеров. Но исходящим трафиком в любом случае рулить легко, сложности со входящим трафиком.

Красиво было бы засунуть между роутерами и свитчами пару ASA'шек в A/S кластере... С таким подходом никаких проблем с асимметрией не будет, а полное резервирование останется.

New Member

Планирование отказоустойчивой сет

Спасибо.

Статью почитаю. Про файрволинг понял, попробую протестировать.

385
Просмотры
0
Полезный материал
4
Ответы
СоздатьДля создания публикации, пожалуйста в систему