Utilizzo della subnet IP in più datacenter

Controlliamo le subnet IPv4 e IPv6. Ora vorremmo usare una parte di una /24sottorete IPv4 in un centro dati e un'altra parte in un altro centro dati. So che l'annuncio della sottorete su Internet a più controller di dominio creerebbe uno scenario Anycast, quindi questa non è un'opzione. C'è un modo per farlo?

Modificare:

La maggior parte dei peer accetta solo /24o più brevi, quindi non possiamo dividerli e annunciare le parti della sottorete.

Collegare i due controller di dominio con una connessione privata. Quindi pubblicizzare il / 24 in entrambi i data center.

Quando il traffico arriva a un controller di dominio per l'altro, i dispositivi interni instradano o alternano il traffico come richiesto tramite il collegamento privato.

La seconda opzione dipende dalle opzioni di connettività disponibili, potresti essere in grado di acquisire un collegamento Layer2 (commutato) tra entrambi i controller di dominio e il tuo provider upstream. In questo modo, l'ISP utilizza uno dei tuoi IP sul loro lato come IP gateway e ti fornisce la connettività layer2 commutata su entrambi i lati.

Come già indicato nelle risposte precedenti, le soluzioni implicheranno una connessione privata tra i due data center o indirizzi IP sufficienti per pubblicizzare un blocco da ciascun data center.

Queste due opzioni non si escludono a vicenda e vi sono alcuni aspetti da tenere a mente durante la configurazione.

Come fare pubblicità se hai abbastanza indirizzi

Probabilmente finirai per decidere di ottenere un prefisso IPv6 che è abbastanza corto da pubblicizzare la metà da ciascun data center, il che significa un / 47 o più corto. Quindi puoi scegliere come annunciarlo.

• È possibile annunciare i due diversi / 48 dai diversi data center.
• È possibile annunciare un singolo / 47 in entrambi i data center.
• Puoi fare entrambe le cose.

Se si annunciano i due diversi / 48, il traffico verrà instradato su Internet al centro dati giusto, il che semplifica le cose. Se invece si annuncia solo il / 47 in entrambe le posizioni, è necessario indirizzare il traffico verso il centro dati corretto. Ciò può essere auspicabile se si dispone di una connessione privata tra i data center ritenuta più affidabile di Internet pubblica.

Fare entrambe le cose sopra servirà come una sorta di failover. Di solito il traffico viene indirizzato direttamente al data center corretto. Ma la tua connessione privata sarà lì come backup. Tuttavia, se altre reti pensano che stai inviando loro troppi annunci, potrebbero decidere di ignorare il tuo / 48s e utilizzare solo il / 47 e la tua connessione privata vedrà un po 'più di traffico.

Se non si dispone di una connessione privata tra i data center, la scelta migliore sarà probabilmente quella di pubblicizzare i due / 48 e non pubblicizzare un aggregato / 47.

Tutto quanto sopra si applica anche a IPv4, solo con lunghezze di prefisso diverse.

Cosa fare se non riesci a ottenere più indirizzi IPv4

Se vai avanti e pubblicizzi un / 25 da ciascun data center c'è un rischio significativo che le pubblicità verranno semplicemente ignorate. Anche se funziona oggi c'è il rischio che smetta di funzionare in futuro, quindi avrai bisogno di un piano diverso.

Se non si dispone di una connessione privata tra i due data center, è possibile utilizzare un tunnel IPv4 su IPv6 tra i due data center come connessione privata.

L'ovvio inconveniente dell'approccio del tunnel è che il tunnel non sarà più affidabile della connessione Internet tra i due data center. E evitare di usare il tunnel pubblicizzando solo i prefissi specifici non è un'opzione perché quei prefissi specifici sarebbero troppo lunghi.

Un'opzione che vale la pena perseguire se si utilizza lo stesso fornitore di transito in entrambe le località è di pubblicizzare sia gli aggregati / 24 che i più specifici / 25. Quello che ti serve dal provider di transito per fare pubblicità al mondo è il / 24. I due / 25 che avresti solo bisogno che il fornitore di transito accettasse e utilizzasse all'interno della propria rete affinché il traffico fosse instradato verso i due data center corretti.

Ovviamente prima di fare qualcosa del genere dovresti discuterne con il tuo fornitore di transito per assicurarti che sia una configurazione che sono disposti a supportare.

Altri avvertimenti con un tunnel

Un altro avvertimento in caso di tunnel è problemi MTU. Devi assicurarti di non fare qualcosa di stupido sul tuo tunnel che provocherebbe la caduta silenziosa di pacchetti di grandi dimensioni. Inoltre, è meglio configurare i server con un MSS abbastanza basso che funzionerà anche se le persone con cui si sta comunicando fanno cadere silenziosamente errori troppo grandi. Per un'installazione come quella che descrivo, l'impostazione dell'MSS su 1200 dovrebbe essere sicura.

Se la tua installazione prevede qualsiasi tipo di bilanciamento del carico DSR, tieni presente che anche il bilanciamento del carico potrebbe aver bisogno di un tunnel. In tal caso, assicurati che il bilanciamento del carico DSR sia configurato in modo tale che il tunneling che sta eseguendo sarà invece del tunneling per connettere i tuoi data center, non un altro strato di tunnel sopra di esso.

Conclusione

La soluzione più semplice è ottenere abbastanza indirizzi IP. Ma esistono alternative se ne hai assolutamente bisogno.

Quando si subnet una rete, non si pubblicizza l'intera rete da entrambi i luoghi. Supponendo che tu abbia la 10.0.0.0/24rete e desideri utilizzarne la metà in ciascun data center, quindi fai pubblicità 10.0.0.0/25da un data center e 10.0.0.128/25dall'altro data center. Non pubblicizzare 10.0.0.0/24da entrambi i data center, pubblicizzare solo ciò che viene utilizzato.

Modificare:

Dal momento che stai cercando di annunciare pubblicamente su Internet, non puoi pubblicizzare alcun prefisso più grande di /24con IPv4 o /48con IPv6. Sarà necessario acquisire un altro blocco di indirizzi pubblici IPv4 per l'altro altro data center oppure sarà necessario connettere i due data center in modo che il traffico in quel blocco ricevuto in un data center possa essere inviato internamente all'altro data center. Questo è possibile se vai sul mercato degli indirizzi IPv4, ma può essere costoso. È molto semplice con IPv6.

Hai il punto di base: il tuo / 24 non può realisticamente essere diviso e pubblicizzato su più provider. Se entrambi i siti si collegano allo stesso vettore e decidono di accettare la tua coppia di / 25, potresti potenzialmente avere l'aggregazione del percorso in un / 24 per la pubblicità a upstream e peer, pur consentendo al traffico di fluire verso la struttura appropriata.

In caso contrario , dovrai pubblicizzare il / 24 da entrambi i siti e stabilire una sorta di connettività logica che non sia legata a quel / 24. Come altri hanno già detto, realizzare un collegamento privato tra i siti compirebbe questo. Un'altra opzione sarebbe quella di costruire una sorta di tunnel (IPSEC, GRE, ecc.) Legato all'indirizzo esterno assegnato dal corriere (presumo sia statico). In questo caso potresti ricevere traffico per l'altro sito che dovrebbe quindi essere incapsulato e inviato attraverso il tunnel (o il collegamento privato) che, a seconda della configurazione, potrebbe rappresentare un inaccettabile grado di inefficienza.