Routing mit separater WAN-Verbindung für Backups

10

Wir haben zwei geografisch getrennte Rechenzentren. Wir bereiten die Implementierung einer neuen WAN-Verbindung (Dark Cloud) vor, die nur für den Backup-Verkehr verwendet wird. Die Server verfügen über zwei NIC-Karten (Produktion und Sicherung). Wie kann jedoch am besten sichergestellt werden, dass sich der Produktions- und Sicherungsverkehr nicht vermischt? Im Moment verwenden wir nur statische Routen, um zum WAN zu gelangen, aber wir versuchen, BGP zwischen unserem SP und uns selbst zu implementieren. Internes RP ist eine Mischung aus EIGRP und OSPF. Kerne sind Cisco 6500 und WAN-Router werden in Kürze auf ASRs aktualisiert.

Lösungsvorschläge? Richtlinienbasiertes Routing (PBR)? VRFs?

Netzwerkdiagramm

cisco routing backups

— Peter
quelle

Ohne weitere Details zu kennen, sehe ich nicht, wie das Mischen des Sicherungsverkehrs über die Hauptverbindung zwischen DCs und umgekehrt ein Problem ist. Angenommen, das LAN des Hauptservers und das LAN des Sicherungsverkehrs sind unterschiedliche Subnetze, dann können sie über Ihre beiden Inter-DC-Verbindungen mit unterschiedlichen Routenmetriken angekündigt werden. Ich verstehe nicht, wie Sie sie versehentlich verwechseln können? Sie können VRFs und VLANs verwenden, dies scheint jedoch zu komplex zu sein, wenn Sie nur die Routenmetrik ändern können. Vermisse ich etwas

— Jwbensley

Im Moment ist es eine geschäftliche Anforderung, dass sie getrennt bleiben. Wir müssen auch sicherstellen, dass Backups kein Failover durchführen oder versuchen, die Last auf die Produktionsverbindungen zu verteilen.

— Peter

Ah OK, das ist immer noch nicht allzu schwierig, wenn Sie unterschiedliche Routenmetriken verwenden und nur einen Pfad für jedes Subnetz ankündigen, um das unerwünschte Failover-Szenario zu verhindern. VRFs werden hier jedoch zu einer einfachen und geradlinigen Lösung, wie ioshints erwähnt.

— Jwbensley

9

Angenommen, die beiden Netzwerkkarten auf den Servern werden zum Trennen des Produktions- und Sicherungsverkehrs verwendet, verwenden Sie VRFs. Das ist die beste Verkehrstrennungstechnik, die es gibt. Für mehr Skalierbarkeit (nicht sicher, ob Sie es basierend auf dem Diagramm benötigen), werfen Sie vollwertiges MPLS / VPN in den Mix, es läuft sowohl auf Cat 6500 als auch auf ASRs.

— ioshints
quelle

Die Verwendung von zwei Netzwerkkarten erfordert die Erstellung und Pflege von Routing-Tabellen auf den Servern. Es sei denn, jemand kennt einige Tricks, die ich nicht kenne?

— Peter

Ja. Sie müssten Routen auf den Servern einrichten, um die Sicherungssubnetze aus der Sicherungsschnittstelle heraus zu verweisen. Wenn dies eine zu entmutigende Aufgabe ist, können Sie mit Metriken immer einige interessante Dinge tun. Angenommen, Ihre Sicherungsserver befinden sich in einem eigenen Subnetz ... aber auch die MPLS-Lösung geht davon aus. Wenn sie sich nicht in ihrem eigenen Subnetz befinden und Sie keine / 32 für die Sicherungsserver haben, ist richtlinienbasiertes Routing möglicherweise Ihre einzige Option.

— Bigmstone

Wo es Willen gibt, gibt es einen Trick;) Verwenden Sie / 16s auf den Servern und / 24s in Routern. Proxy ARP wird das Routing für Sie

— erledigen

1

Können Sie für die IGPs nicht einfach die reguläre Metrikabstimmung verwenden? EIGRP - manipulieren Sie einfach die Verzögerung und für OSPF die Kosten. Sobald es den BGP-Kern erreicht, können Sie keine BGP-Medikamente mehr verwenden. Für mein Unternehmen (finanzielle Intuition) weiß ich, dass wir das tun. Wir haben einen A-Feed und einen B-Feed. Ein Feed hat bessere interne Metriken als B. Sobald er unseren BGP-Kern erreicht, ist er so ziemlich das, was ich oben aufgeführt habe.

— Michael Moore
quelle

0

Eine weitere Option, die mehr Flexibilität bieten könnte, ist die Verwendung von QoS und einfach PbR basierend auf den Warteschlangen. Wenn Sie es richtig gestalten, erhalten Sie sogar ein automatisches Failover von der primären zur Sicherung, aber nicht umgekehrt.

Auf diese Weise können Sie festlegen, ob ein Link oder Router mit einer Richtlinienänderung freigegeben oder nicht freigegeben werden soll.

— LapTop006
quelle