Usando sub-rede IP em vários datacenters

10

Controlamos as sub-redes IPv4 e IPv6. Agora, gostaríamos de usar parte de uma /24sub-rede IPv4 em um datacenter e outra parte em outro datacenter. Eu sei que anunciar a sub-rede na Internet em vários DCs criaria um cenário de Anycast, de modo que não é uma opção. Existe alguma maneira de fazer isso?


Editar:

A maioria dos colegas aceita apenas /24ou menos, portanto não podemos dividi-los e anunciar as partes da sub-rede.

Matthias Merkel
fonte
Você não pode dividir a sub-rede em dois / 25?
Zac67
11
Você precisa de uma conexão privada entre os dois datacenters. Pode até ser uma VPN, desde que cada datacenter tenha pelo menos um endereço fora desse / 24 para ser um ponto de extremidade da VPN.
David Schwartz
Alguma resposta o ajudou? Aceite uma resposta, se isso o ajudou com o seu problema. :-)

Respostas:

14

Conecte os dois controladores de domínio com uma conexão privada. Em seguida, anuncie o / 24 nos dois Data Centers.

Quando o tráfego chega a um controlador de domínio para o outro, seus dispositivos internos direcionam ou alternam o tráfego conforme necessário através do link privado.


A segunda opção depende das opções de conectividade disponíveis; talvez você consiga adquirir um link da Camada 2 (comutada) entre os controladores de domínio e o provedor de upstream. Dessa forma, o ISP usa um dos seus IPs do lado deles como um IP de gateway e fornece conectividade de camada2 comutada aos dois lados.

Criggie
fonte
8

Como as respostas anteriores também apontam, as soluções envolvem ter uma conexão privada entre os dois data centers ou ter endereços IP suficientes para anunciar um bloco de cada data center.

No entanto, essas duas opções não são mutuamente exclusivas e há mais alguns aspectos a serem lembrados ao configurar isso.

Como anunciar se você tiver endereços suficientes

É provável que você decida obter um prefixo IPv6 que seja curto o suficiente para anunciar metade de cada data center, o que significa um / 47 ou menos. Você então pode escolher como anunciar isso.

  • Você pode anunciar os dois / 48 diferentes dos diferentes data centers.
  • Você pode anunciar um único / 47 nos dois data centers.
  • Você pode fazer as duas coisas.

Se você anunciar os dois / 48 diferentes, o tráfego será roteado pela Internet para o data center certo, o que simplifica as coisas para você. Se, por outro lado, você anunciar apenas o / 47 em ambos os locais, precisará direcionar o tráfego para o datacenter certo. Isso pode ser desejável se você tiver uma conexão privada entre os datacenters que achar mais confiável do que a Internet pública.

As duas opções acima servirão como uma espécie de failover. Normalmente, o tráfego vai direto para o data center correto. Mas sua conexão privada estará lá como backup. No entanto, se outras redes acharem que você está enviando muitos anúncios, eles podem decidir ignorar seus / 48s e usar apenas os / 47, e sua conexão privada terá mais tráfego.

Se você não tiver uma conexão privada entre os data centers, a melhor opção provavelmente será anunciar os dois / 48 e não anunciar um / 47 agregado.

Todos os itens acima também se aplicam ao IPv4, apenas com diferentes comprimentos de prefixo.

O que fazer se você não conseguir mais endereços IPv4

Se você avançar e anunciar um / 25 de cada data center, haverá um risco significativo de que os anúncios sejam ignorados. Mesmo que funcione hoje, há um risco de que ele pare de funcionar no futuro, portanto, você precisará de um plano diferente.

Se você não tiver uma conexão privada entre os dois data centers, há a possibilidade de usar um túnel IPv4 sobre IPv6 entre os dois data centers como uma conexão privada.

A desvantagem óbvia da abordagem de túnel é que o túnel não será mais confiável do que a conexão à Internet entre os dois data centers. E evitar usar o túnel anunciando apenas os prefixos específicos não é uma opção, porque esses prefixos específicos seriam muito longos.

Uma opção que vale a pena buscar se você estiver usando o mesmo provedor de transporte público nos dois locais é anunciar os / 24 agregados e os / 25s mais específicos. O que você precisaria do provedor de transporte público para anunciar ao mundo é o / 24. Os dois / 25s seriam necessários apenas para o provedor de transporte aceitar e usar dentro de sua própria rede para que o tráfego seja roteado para a correção de seus dois data centers.

Obviamente, antes de fazer qualquer coisa assim, você teria que discuti-lo com seu provedor de transporte público para garantir que é uma configuração que eles desejam apoiar.

Outras advertências com um túnel

Outra ressalva no caso de qualquer túnel é a questão da MTU. Você precisa garantir que não esteja fazendo algo bobo no seu túnel, o que faria com que pacotes grandes fossem descartados silenciosamente. Além disso, é melhor configurar seus servidores com um MSS baixo o suficiente para que funcione mesmo que as pessoas com quem você está se comunicando estejam silenciosamente soltando erros muito grandes. Para uma instalação como a descrita, a configuração do MSS para 1200 deve ser segura.

Se a sua configuração envolver algum tipo de balanceamento de carga DSR, vale lembrar que o balanceamento de carga também pode precisar de um túnel. Nesse caso, verifique se o seu balanceador de carga DSR está configurado de modo que o encapsulamento que ele está fazendo seja em vez do encapsulamento para conectar seus datacenters - e não outra camada de encapsulamento sobre ele.

Conclusão

A solução mais simples é obter apenas endereços IP suficientes. Mas existem alternativas se você absolutamente precisar delas.

Kasperd
fonte
5

Ao sub-rede de uma rede, você não anuncia a rede completa dos dois lugares. Supondo que você tenha a 10.0.0.0/24rede e deseje usar metade em cada data center, faça uma publicidade 10.0.0.0/25em um data center e 10.0.0.128/25no outro data center. Você não anuncia 10.0.0.0/24nos dois data centers, apenas anuncia o que está sendo usado.


Editar:

Como você está tentando anunciar publicamente na Internet, não é possível anunciar nenhum prefixo maior que o /24IPv4 ou /48IPv6. Você precisará adquirir outro bloco de endereço público IPv4 para o seu outro datacenter, ou precisará conectar os dois datacenters para que o tráfego nesse bloco recebido em um datacenter possa ser enviado internamente para o outro datacenter. Isso é possível se você for ao mercado de endereços IPv4, mas pode ser caro. É muito fácil com o IPv6.

Ron Maupin
fonte
Não, isso não é possível, pois a maioria dos colegas só aceitam anúncios com uma máscara de 24 ou menor para IPv4
Matthias Merkel
É verdade que os ISPs não anunciarão nada maior que /24, mas você pode fazer o que quiser em sua própria rede. Você não nos forneceu nenhuma informação sobre como tudo está conectado. Se você está tentando anunciar publicamente na Internet, há um problema em que não pode sub-rede, mas se for para seu próprio uso, poderá fazê-lo.
Ron Maupin
Sim, estamos anunciando na internet. Vou editar isso em.
Matthias Merkel
5

Você tem o ponto básico: seu / 24 não pode ser realisticamente dividido e anunciado em vários provedores. Se os dois sites estiverem conectados à mesma operadora e optarem por aceitar seu par de / 25s, você poderá agregar a rota em um / 24 para publicidade a fluxos ascendentes e pares, enquanto ainda permite que o tráfego flua para a instalação apropriada.

Caso contrário, você precisará anunciar o / 24 de ambos os sites e estabelecer algum tipo de conectividade lógica que não esteja vinculada a esse / 24. Como outros já mencionaram, o provisionamento de um link privado entre os sites faria isso. Outra opção seria construir algum tipo de túnel (IPSEC, GRE etc.) vinculado ao endereço externo atribuído pela sua operadora (presumo que ambos sejam estáticos). Nesse caso, você estaria recebendo tráfego para o outro site que teria que ser encapsulado e enviado através do túnel (ou link privado) que, dependendo da configuração, pode representar um grau inaceitável de ineficiência.

rnxrx
fonte