Configurando uma segunda conexão MPLS para nosso datacenter de backup (BGP Closed User Group)

7

Sou um pouco novo no BGP e preciso de um pouco de ajuda com uma alteração na configuração. Atualmente, estamos usando nossa conexão MPLS para todo o tráfego em todos os sites. Avançando Queremos separar o link de backup do Datacenter dos outros sites spoke e adicionaremos uma etapa MPLS adicional em nosso datacenter principal para acomodar. Veja a imagem da configuração atual e das configurações do roteador. Diagrama antes do novo serviço Configurações de roteador

Encomendei uma nova perna MPLS com um grupo de usuários fechados (CUG) do ISP. Este novo serviço destina-se apenas ao tráfego de datacenter para datacenter. O trecho MPLS existente será usado exclusivamente para nossos sites remotos. (Hub-Spoke)insira a descrição da imagem aqui insira a descrição da imagem aqui

Minha pergunta é como programar o roteador principal com este novo CUG que possui o mesmo número de AS do ISP (AS207). Acabei de adicionar a nova rede e o vizinho ao AS 65001 existente? Acredito que só preciso alterar o roteador principal porque o DC MPLS de backup será integrado ao novo CUG.

Esta é uma rede de produção e é por isso que estou um pouco apreensivo ao fazer esse programa mudar.

mseanmiller
fonte
11
Os outros sites não devem conseguir acessar o controlador de domínio de backup? Se você adicionar a rede no BGP, ela será anunciada a todos os pares, a menos que você faça a filtragem. Isso pode ou não ser um problema, dependendo do que você está tentando alcançar.
precisa
11
Seria bom que os sites spoke tivessem as rotas para o DC de backup. Eu só preciso de tráfego entre os datacenters para usar o link CUG exclusivamente. Por outro lado, preciso dos sites Core DC - Spoke para usar exclusivamente o link MPLS original. O motivo da seleção de caminho rígido é que estamos usando os excellerators da WAN da Riverbed Steelhead para aprimorar os links. Um par da Riverbed entre os DCs e outro Riverbed no núcleo dos locais de fala. Eu poderia ter ativado o roteamento baseado em políticas com um único link MPLS, mas isso estava indo por um caminho que eu não queria viajar ou oferecer suporte a longo prazo.
mseanmiller
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

3

Existem algumas inconsistências no seu diagrama / configurações. No diagrama é AS 207, na configuração é AS 209 e na configuração final é AS 207.

Se o provedor AS for o mesmo nas duas redes MPLS, então:

  • Vou ligar para sua rede original CUG-1 e sua nova rede CUG-2.

  • Não haverá problemas em anunciar as rotas para o CUG-2, pois haverá uma VPN diferente do CUG-1. Se você não fizer nenhuma filtragem, as rotas serão anunciadas automaticamente para o CUG-1 através do núcleo (desde que você não as esteja separando com VRFs nesse dispositivo). Você precisará reescrever o número AS antes de divulgá-lo para os raios do seu núcleo e vice-versa.

Se você não fizer isso, então:

  • As rotas DC de backup serão eliminadas pelo roteador CUG-1 PE devido ao mecanismo de prevenção de loop BGP, ou seja, os roteadores no AS207 verão seu próprio AS no caminho AS (por exemplo, AS 65002 -> AS 207 -> AS 65001 -> AS 207 GOTA ).

  • As rotas de raios serão eliminadas pelo roteador CUG-2 PE pelo mesmo motivo (AS 65004 -> AS 207 -> AS 65001 -> AS 207 DROP ).

Se você usar a substituição do BGP AS, o AS-Path será parecido com isto no, por exemplo, Backup DC to Spoke Site: AS 65001 -> AS 65001 -> AS 65001 -> AS 65001 -> AS 207 -> AS 65004.

Como você contornará o mecanismo de prevenção de loop do BGP, verifique se o DC principal é o único local que está emparelhado com os dois CUGs.

Escrevi isso no celular, então deixe-me saber se está um pouco desconectado e eu o limparei mais tarde.

mbud
fonte
Sim, notei a numeração AS depois de postar a pergunta. O número do provedor AS é o mesmo em todos os dispositivos. Boa pegada. O núcleo é o único local que estará espiando com todos os locais. Está correto.
mseanmiller