Configurando redundância usando estática flutuante

7

Eu queria publicar meu layout de rede, mas não tenho a reputação necessária. Então, eu criei um diagrama de rede abaixo:

       ISP
       / \
      /   \
     /     \
    HQ------Branch
    |         |
  HQ-PC      B-PC

O que estou tentando fazer é usar o link WAN entre o HQ e a filial como o link de backup e ele não deve transportar nenhum dado, a menos que o link entre o HQ para o ISP ou a filial para o ISP esteja inoperante. Isso significa que ele deve ser estritamente usado apenas como um link de backup.

O que eu fiz foi usar a estática flutuante para configurar a redundância. No entanto, não está funcionando exatamente como eu esperava. O que eu fiz são:

1) uma rota padrão no QG e ramificação para o ISP (0.0.0.0 0.0.0.0 NEXT-HOP-IP)

2) rota estática no ISP para HQ e Filial (HQ / FILIAL-REDE-ENDEREÇO ​​SUBNET-MÁSCARA NEXT-HOP-IP)

3) uma rota estática (preferida) no HQ

4) uma rota estática (preferida) na Filial (HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-ISP)

5) uma rota estática flutuante (de backup) no HQ (MÁSCARA DE SUB-REDE DE ENDEREÇO ​​DE REDE DE FILIAL, PRÓXIMA-HOP-IP-PARA-HQ-ATRAVÉS DE LINK DE BACKUP)

6) uma rota estática flutuante (de backup) na Filial (HQ-NETWORK-ADDRESS SUBNET-MASK NEXT-HOP-IP-TO-FILIAL-ATRAVÉS-BACKUP-LINK)

No entanto, há um problema. Por exemplo, se o link entre o ISP e o HQ estiver desativado, quando eu desejar efetuar o ping do HQ-PC para o B-PC, o pacote será enviado com êxito do HQ-PC para o B-PC, mas o pacote retornado do B-PC será enviado ao ISP e não pelo link de backup.

Sinto muito por um post tão longo, mas há alguém que possa me ajudar? Se minha explicação não estiver clara, não hesite em perguntar. desde já, obrigado

EDIT: Desculpe pela confusão, não deve haver nenhum protocolo de roteamento em execução com o ISP

prumo
fonte
Você está fazendo BGP para o ISP? se assim for, fica mais fácil, se não, bem ... existem maneiras, mas não será tão divertido.
Olipro
11
A exigência é que eles não querem correr nenhum protocolos de roteamento com o ISP
bob
11
@bob, por favor me diga sua empresa está criptografar o tráfego inter-office que eles estão enviando através da internet
Mike Pennington
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

9

Como você mencionou, suas rotas estáticas quebram, porque não existe uma maneira existente de forçar o failover no link WAN nos dois sites quando um site perde o uplink para a Internet.

A melhor solução para esse problema é configurar alguma forma de túnel roteado (proveniente dos endereços de link do ISP em R1 e R2 no diagrama) através da Internet, executar um protocolo de roteamento dinâmico (OSPF / EIGRP) através do seu túnel e backup WAN e defina as métricas de roteamento para o link WAN muito mais altas.

Túnel HQ-Backup

Como você obtém o túnel dos links da Internet de ambos os lados, se um dos lados perde a conectividade com a Internet, o túnel quebra (e o IGP se recupera no seu link WAN). Se você fizer isso, verifique se o PMTUD funciona através do túnel para que a sobrecarga do túnel seja contabilizada. Esse tipo de VPN criptografada entre escritórios é bastante comum, por isso é uma topologia familiar para quem precisa oferecer suporte a essa rede no futuro.

O problema que você enfrenta com o design existente é que todo o tráfego de tráfego entre escritórios parece não estar criptografado (pelo menos se eu ler sua pergunta pelo valor de face). Se você ainda não o fez, recomendo fortemente que você criptografe todo o tráfego entre os sites corporativos, se estiver passando pela Internet .

Mike Pennington
fonte
@bob, que modelo de equipamento de rede você possui em cada site? se cisco eqpt, inclua o conjunto de recursos ios que você possui #
Mike Pennington
5

(A resposta original de todos os BGP foi alterada, conforme a solicitação do OP de nenhum roteamento dinâmico para o ISP)

Como o @Mike sugeriu, o túnel + o roteamento dinâmico, especialmente na face do INET, é uma solução sólida. Mas se, por algum motivo, você não desejar um túnel (sem suporte a HW, não desejar perder MTU, o roteamento dinâmico não é aceitável nem internamente), sua outra opção são as rotas rastreadas 'IP SLA'.

Vou explicar como isso ajuda no problema exato que você descreve, onde o ramo continua retornando tráfego ao INET, enquanto deve usar o link direto.

Na filial você teria:

ip route HQNet HQMask InetIF InetNH track 1 50
ip route HQNet HQMask DirectIF DirectNH 100
ip route HQStableTestIP 255.255.255.255 InetIF InetNH
!
track 1 ip sla 1
!
ip sla 1
 icmp-echo <HQStableTestIP> source-interface InetIF
ip sla schedule 1 start-time now

Agora, se o HQ não estiver acessível via INET, o rastreamento falhará e a rota mais específica do INET deverá ser invalidada e você deverá retornar à próxima melhor rota apontando para o link direto.

ytti
fonte
muito triste para o problema, que foi o meu erro para não afirmar que não deve haver quaisquer protocolos de roteamento que funcionam com o ISP :(
bob
Então, o melhor que você pode fazer é usar o 'IP SLA' para rastrear as rotas estáticas. Para ser robusto contra problemas relacionados ao rastreamento, você precisará de três rotas 1) apontando para primário, rastreado 2) apontando para secundário rastreado 3) apontando para primário e não rastreado (é necessário o terceiro), portanto, se todo o rastreamento falhar, você ainda tentará usar a conexão principal, em vez de desistir). Outras perguntas neste site têm exemplos de IP SLA.
ytti
Resposta original alterada para refletir o novo requisito
ytti
11
O OP realmente precisa criptografar seu tráfego pela Internet ... depois de revisar a pergunta várias vezes, estou cada vez mais convencido de que ele atualmente está enviando seu tráfego interno como texto não criptografado.
Mike Pennington
11
O drama obrigatório em torno da pediatria é observado. Confiar em todas as chaves dos scripts é uma solução aceitável, desde que outras pessoas façam ssh manualmente nos mesmos dispositivos com a verificação de chaves ativada ... quando você passa a vida automatizando as sessões da CLI, há certas opções que você nunca faria como humano para manter sua privacidade. trabalhe de espiralar em ratholes de soluções de baixa probabilidade. Diagrama do OP pode ou não refletir homing para o mesmo ISP ... que poderia ser simplesmente um artefato de não querer complicar um diagrama ascii-art com o que ele considera detalhes desnecessários
Mike Pennington