Uso de subred IP en múltiples centros de datos

10

Controlamos subredes IPv4 e IPv6. Ahora nos gustaría usar una parte de una /24subred IPv4 en un centro de datos y otra parte en otro centro de datos. Sé que anunciar la subred en Internet en varios DC crearía un escenario Anycast, por lo que no es una opción. ¿Hay alguna forma de que podamos hacer esto?


Editar:

La mayoría de los pares solo aceptan /24o son más cortos, por lo que no podemos dividirlos y anunciar las partes de subred.

Matthias Merkel
fuente
¿No puedes dividir la subred en dos / 25?
Zac67
1
Necesita una conexión privada entre los dos centros de datos. Incluso puede ser una VPN, siempre que cada centro de datos tenga al menos una dirección fuera de ese / 24 para ser un punto final VPN.
David Schwartz
¿Alguna respuesta te ayudó? Acepte una respuesta si le ayudó con su problema. :-)

Respuestas:

14

Conecte los dos DC con una conexión privada. Luego anuncie el / 24 en ambos centros de datos.

Cuando el tráfico llega a un DC para el otro, sus dispositivos internos enrutan o cambian el tráfico según sea necesario a través del enlace privado.


La segunda opción depende de las opciones de conectividad disponibles, es posible que pueda adquirir un enlace Layer2 (conmutado) entre ambos DC y su proveedor ascendente. De esta manera, el ISP usa una de sus IP de su lado como IP de puerta de enlace y le proporciona conectividad de capa2 conmutada a ambos lados.

Criggie
fuente
8

Como las respuestas anteriores también señalan que las soluciones implicarán tener una conexión privada entre los dos centros de datos o tener suficientes direcciones IP para anunciar un bloque de cada centro de datos.

Sin embargo, esas dos opciones no son mutuamente excluyentes y hay algunos aspectos más a tener en cuenta al configurar esto.

Cómo anunciar si tiene suficientes direcciones

Probablemente termines decidiendo obtener un prefijo IPv6 que sea lo suficientemente corto como para anunciar la mitad de cada centro de datos, lo que significa un / 47 o más corto. Luego tiene que elegir cómo anunciar esto.

  • Puede anunciar los dos / 48 diferentes desde los diferentes centros de datos.
  • Puede anunciar un único / 47 en ambos centros de datos.
  • Puedes hacer las dos cosas.

Si anuncia los dos / 48 diferentes, el tráfico se enrutará a través de Internet al centro de datos adecuado, lo que simplifica las cosas para usted. Si, por otro lado, anuncia solo el / 47 en ambas ubicaciones, debe llevar el tráfico al centro de datos correcto. Esto puede ser deseable si tiene una conexión privada entre los centros de datos que considera más confiable que la Internet pública.

Hacer ambos de los anteriores servirá como una especie de conmutación por error. Por lo general, el tráfico irá directamente al centro de datos correcto. Pero su conexión privada estará allí como respaldo. Sin embargo, si otras redes piensan que les está enviando demasiados anuncios, pueden decidir ignorar su / 48s y usar solo el / 47, y su conexión privada verá más tráfico.

Si no tiene una conexión privada entre los centros de datos, la mejor opción será anunciar los dos / 48 y no un / 47 agregado.

Todo lo anterior también se aplica a IPv4, solo que con diferentes longitudes de prefijo.

Qué hacer si no puede obtener más direcciones IPv4

Si continúa y anuncia un / 25 desde cada centro de datos, existe un riesgo significativo de que los anuncios simplemente se ignoren. Incluso si funciona hoy, existe el riesgo de que deje de funcionar en el futuro, por lo que necesitará un plan diferente.

Si no tiene una conexión privada entre los dos centros de datos, existe la posibilidad de utilizar un túnel IPv4 sobre IPv6 entre los dos centros de datos como una conexión privada.

El inconveniente obvio del enfoque del túnel es que el túnel no será más confiable que la conexión a Internet entre los dos centros de datos. Y evitar usar el túnel solo anunciando los prefijos específicos no es una opción porque esos prefijos específicos serían demasiado largos.

Una opción que vale la pena seguir si está utilizando el mismo proveedor de tránsito en ambos lugares es anunciar tanto los / 24 agregados como los / 25 más específicos. Lo que necesitaría del proveedor de tránsito para anunciarse en el mundo es el / 24. Los dos / 25s solo necesitaría que el proveedor de tránsito acepte y use dentro de su propia red para que el tráfico se enrute al correcto de sus dos centros de datos.

Obviamente, antes de hacer algo así, debería discutirlo con su proveedor de tránsito para asegurarse de que es una configuración que están dispuestos a admitir.

Otras advertencias con un túnel

Otra advertencia en caso de cualquier túnel son los problemas de MTU. Debe asegurarse de que no está haciendo algo tonto en su túnel, lo que provocaría que los paquetes grandes se caigan en silencio. Además, será mejor que configure sus servidores con un MSS lo suficientemente bajo como para que funcione, incluso si las personas con las que se está comunicando caen silenciosamente errores demasiado grandes. Para una configuración como la que describo, configurar el MSS a 1200 debería ser seguro.

Si su configuración implicará algún tipo de equilibrio de carga DSR, vale la pena tener en cuenta que el equilibrio de carga también puede necesitar un túnel. En ese caso, asegúrese de que su equilibrador de carga DSR esté configurado de manera tal que la tunelización que esté realizando sea en lugar de la tunelización para conectar sus centros de datos, no otra capa de túnel encima.

Conclusión

La solución más simple es obtener suficientes direcciones IP. Pero existen alternativas si las necesita absolutamente.

kasperd
fuente
5

Cuando subredes una red, no anuncias la red completa desde ambos lugares. Suponiendo que tiene la 10.0.0.0/24red y quiere usar la mitad en cada centro de datos, entonces anuncia 10.0.0.0/25desde un centro de datos y 10.0.0.128/25desde el otro centro de datos. No anuncia 10.0.0.0/24desde ambos centros de datos, solo anuncia lo que se está utilizando.


Editar:

Como está intentando anunciar públicamente en Internet, no puede anunciar ningún prefijo más grande que /24con IPv4 o /48con IPv6. Deberá adquirir otro bloque de dirección pública IPv4 para su otro centro de datos, o deberá conectar los dos centros de datos para que el tráfico en ese bloque recibido en un centro de datos pueda enviarse internamente al otro centro de datos. Esto es posible si va al mercado de direcciones IPv4, pero puede ser costoso. Es muy fácil con IPv6.

Ron Maupin
fuente
No, esto no es posible ya que la mayoría de los compañeros solo aceptan anuncios con una máscara de 24 o menos para IPv4
Matthias Merkel
Es cierto que los ISP no anunciarán nada más grande /24, pero puede hacer lo que quiera en su propia red. No nos ha proporcionado ninguna información sobre cómo se conecta algo. Si está tratando de anunciarse públicamente en Internet, entonces tiene un problema en el que no puede subred, pero si esto es para su propio uso, puede hacerlo.
Ron Maupin
Sí, estamos publicitando en internet. Lo editaré.
Matthias Merkel
5

Usted tiene el punto básico: su / 24 no puede dividirse y anunciarse de manera realista entre múltiples proveedores. Si ambos sitios se conectan al mismo operador y optan por aceptar su par de / 25, entonces podría tener la ruta agregada en un / 24 para publicitar a los que están arriba y al mismo tiempo que aún permite que el tráfico fluya a la instalación adecuada.

De lo contrario, deberá anunciar el / 24 desde ambos sitios y establecer algún tipo de conectividad lógica que no esté vinculada a ese / 24. Como otros han mencionado, el aprovisionamiento de un enlace privado entre los sitios lograría esto. Otra opción sería construir algún tipo de túnel (IPSEC, GRE, etc.) vinculado a su dirección externa asignada por el operador (supongo que ambos son estáticos). En este caso, potencialmente recibiría tráfico para el otro sitio que luego tendría que encapsularse y enviarse a través del túnel (o enlace privado) que, según su configuración, podría representar un grado inaceptable de ineficiencia.

rnxrx
fuente