Configuración del árbol de expansión

10

Entiendo los conceptos básicos de spanning tree, pero eso es todo. Espero que alguien pueda decirme si esto funcionará como yo quiero.

Tengo dos equilibradores de carga Cisco ACE configurados para redundancia. Cada ACE está conectado a su propio conmutador de capa 2. Actualmente, cada conmutador de capa 2 está conectado a su propio enlace de fibra de 1 Gig al CoLo. Cada enlace de fibra está configurado para una subred IP diferente y nuestro CoLo no nos ofrece el manejo del BGP. Tenemos que comprar nuestros propios enrutadores para manejar eso, que es un proyecto que está por venir.

(Tengo los conmutadores de capa 2 allí porque el CoLo proporciona fibra y las ACE solo tienen cobre, por lo que todo lo que hacen los conmutadores es cambiar la fibra a cobre para mí).

Por lo tanto, actualmente solo puedo usar un solo equilibrador de carga porque las ACE no admiten árbol de expansión. Ahora la capa 2 cambia para admitir el árbol de expansión, solo está deshabilitada de forma predeterminada. Ahora, si tuviera que habilitar el árbol de expansión y conectar de forma cruzada los conmutadores de capa 2, ¿todo funcionaría como se esperaba, o esto causaría que la red se bloquee?

Espero obtener algunos consejos de expertos antes de intentar esto, ya que es una red de producción y no tengo un par de equilibradores de carga Cisco ACE adicionales para probarlo en un laboratorio.

ACTUALIZACIÓN: según los comentarios, necesito incluir un diagrama. Esto es lo que tenemos actualmente.

El problema es que el segundo enlace de ISP no puede ser utilizado por el momento debido a la falta de BGP. Así que quiero cruzar los dos conmutadores de red juntos. Me han dicho que si conecto las dos ACE juntas, eso completará el círculo y causará problemas de red. Entonces, si puedo conectar los interruptores en la parte superior que admiten el árbol de expansión, eso debería solucionar el problema. Eventualmente habrá dos enrutadores entre los interruptores superiores y los equilibradores de carga para manejar el BGP a través de los dos enlaces de red.

¿Estoy teniendo sentido? Lo siento, esto es un desastre, estoy mucho más en casa en SQL Server que en Redes.

mrdenny
fuente
Sería útil saber cómo se enrutará el tráfico L3. ¿Cuál es la ruta predeterminada de los servidores y dónde se encuentra ese dispositivo?
chris
Chris, actualmente el ISP proporciona el L3. Eventualmente compraré enrutadores y los colocaré entre las ACE y los principales conmutadores de red.
mrdenny
Gracias a todos por el control de la cordura en esto. Me complace informar que ahora tenemos redundancia en nuestros equilibradores de carga. Espero que nunca lo necesitemos.
mrdenny

Respuestas:

2

Actualice después de proporcionar un diagrama:

Ya tienes un círculo allí en la mitad inferior del diagrama. Parece que los ACE no se unen, por lo que si no tiene un problema allí, no debería tener problemas para conectar los dos principales.

Es un poco difícil hablar sobre el diagrama si no nombra los dispositivos, pero digamos que los nombro de izquierda a derecha, de arriba a abajo. Tienes un círculo ACE1-SW3-ACE2-SW4-ACE1 ..., obviamente no hay ningún problema allí (¿verdad?). Supongo que configuró los ACE para que no puenteen ningún tráfico y, por lo tanto, no hagan bucle.

¿Por qué no conectar ACE1 a SW2 y ACE2 a SW1? Entonces tiene la misma configuración que la parte inferior.

Si tiene una VLAN diferente en las partes superior e inferior (no es el mismo segmento de capa 2), entonces no puede tener un bucle de árbol de expansión entre ellas.

Sería más claro si proporcionara (ofuscado si lo desea, pero asegúrese de que podamos distinguir la red A de la B. Como, por ejemplo, 10.123.0.0/24 y 10.123.1.0/24) redes IP en el mapa, y tal vez VLAN (si usted usalos, usalos a ellos).

Actualice después de nombrar los interruptores:

Si el ACE realiza el enrutamiento y, por lo tanto, es el siguiente salto para los servidores en 10.0.0.0/24, etc., y no realiza un puente (en los ACE), entonces la conexión de la manera que dije anteriormente es segura.

Thomas
fuente
He agregado más información arriba, que espero se muestre mejor cuando la tenga ahora. Actualmente, ACE2 es inútil para nosotros, ya que el enlace de red al que está conectado no se usa para la subred, ya que nuestro colo no manejará el BGP por nosotros. Estoy tratando de hacerlo de modo que si ACE1 necesita reiniciarse, pueda ser sin tomar una interrupción del sitio.
mrdenny
He actualizado la imagen con nombres para que sea más fácil hablar de ellos. Si conectar ACE2 a SW1 (nombres de la imagen actualizada) y ACE1 a SW2 funcionará sin causar ningún problema, iré por eso. Me dirijo a CoLo en Los Ángeles mañana, así que puedo intentarlo y asegurarme de que sea estable antes de irme. ¿Hay más información que deba agregar para que vea lo que tenemos configurado?
mrdenny
Conecté la cruz conecta hoy. Todo parece bueno, podemos acceder a las IP de administración de ambos LB desde Internet y la red no se vino abajo. (De acuerdo, estoy en el Starbucks al otro lado del árbol en este momento, por si acaso)
Mrdenny
1

Yo creo que lo que quiere es:

  1. Convierta ACE2 en un par de conmutación por error utilizando los comandos de la CLI "ft peer"
  2. Conecte ACE2 al mismo interruptor al que está conectado ACE1.

Esto le brinda redundancia de caja (la información de latido de paso de ACE entre ellos) y redundancia de conmutación (los catalizadores posteriores están conectados entre sí). No está, por supuesto, protegido de una falla del interruptor co-lo.

¿Estás seguro de que quieres ir a BGP? ¿Quién está proporcionando la ASN? ¿Su red aguas abajo es totalmente portátil? Debe asegurarse de tener un arquitecto de red que pueda explicarle los pros y los contras.

Si no hace BGP, y sus Catalysts son capaces de cambiar de capa 3, entonces es posible que desee:

  1. Use las VLAN para dividir los catalizadores en conmutadores virtuales: dentro y fuera
  2. Utilice una ruta estática flotante o una política de ruta para enviar paquetes al ISP deseado.

Hay algunas formas de resolver esto. Le servirían unas horas frente a una pizarra.

ironchefoklahoma
fuente
Cuando nos mudemos a BGP, lo haremos como ASN a través de nuestro CoLo de ICANN (o quien los emita, el CoLo obtiene la documentación de nosotros y se la entrega a las personas correctas). Todo este desastre comenzó porque cambiamos CoLos justo antes de mudarnos (la administración se involucró) y el viejo CoLo manejó todo el BGP, pero el nuevo no y el hardware ya había sido ordenado. Actualmente ACE2 ya está en modo de conmutación por error. ¿Puedo conectarlos al mismo conmutador y terminar? ¿Eso no creará un bucle?
mrdenny
Si el segundo ACE está en modo de conmutación por error, debe ser pasivo hasta que reciba una notificación del otro ACE. Debería . He estado leyendo la documentación de la serie 4700 y es simplemente horrible. Aunque establece que los ACE "no admiten spanning-tree", no explica si no participan (como un host) o si simplemente pasan los paquetes de spanning-tree (como un hub). Me sorprendería mucho si el ACE realmente forma un bucle. Sin embargo, sus Catalysts tienen STP activado (a menos que lo haya deshabilitado explícitamente) y romperán cualquier ciclo.
ironchefoklahoma
Por lo que debe ser bueno para conectarlo.
ironchefoklahoma
Me alegro de que la conexión cruzada haya sido exitosa.
ironchefoklahoma
0

Mientras las dos redes que están detrás de los ACE no estén conectadas, estará bien.

Suroot
fuente
He agregado más información arriba, que espero se muestre mejor cuando la tenga ahora.
mrdenny
0

Si tiene suficientes interfaces en los ASA, conecte ambos ASA a ambos conmutadores (isp enfrentados) y ejecute vrrp o hsrp en los ASA y luego realice rutas de política o lo que sea para distribuir el tráfico a través de ambos enlaces.

ejemplo de cisco

Chris
fuente
Tenemos ACE no ASA. Cuando se trata de enrutamiento, los ACE son muy limitados.
mrdenny
¿Qué dispositivo en esta imagen es su ruta predeterminada?
chris
He actualizado la imagen para responder las preguntas de todos. La ruta activa es la que está conectada a SW01. Básicamente, estoy tratando de obtener acceso ACE2 a la red ascendente a la que está conectado SW01 para que, si se reinicia ACE1, ACE2 pueda tomar el control como el equilibrador de carga activo.
mrdenny
0

Tengo una situación similar en la que tengo una NIC de cuatro puertos que canaliza el tráfico FTP desde dos conmutadores centrales y una miríada de conmutadores remotos.

Actualmente tengo los dos conmutadores principales y la NIC de cuatro puertos conectados en un triángulo, dos enlaces Gig a cada lado. Cada uno de los pares de GigE se agrega para dar un enlace 2Gig. Estoy usando el modo de agregación adaptativa Intel NIC. Eso parece funcionar bien.

Si tuviera un solo conmutador de capa 2 con 2 puertos de fibra conectados a su colo, entonces el conmutador sería similar en espíritu a mi NIC. Luego, conecte los dispositivos Cisco al conmutador y estará listo. Pero entiendo que estás perdiendo redundancia aquí.

Estás intentando crear una ruta completamente redundante desde colo a tus dispositivos Cisco, ¿correcto?

GregC
fuente
Correcto, el objetivo final es una ruta totalmente redendable desde el CoLo a los dispositivos Cisco. Esta es una parada en el camino hacia ese objetivo hasta que los enrutadores se puedan pedir y entregar. He agregado más información arriba, que espero se muestre mejor cuando la tenga ahora.
mrdenny
Gracias por agregar los detalles. Estoy contigo, mucho más cómodo con un compilador de C ++ o C #.
GregC