Verwenden des IP-Subnetzes in mehreren Rechenzentren

Wir steuern IPv4- und IPv6-Subnetze. Jetzt möchten wir einen Teil eines /24IPv4-Subnetzes in einem Rechenzentrum und einen anderen Teil in einem anderen Rechenzentrum verwenden. Ich weiß, dass die Ankündigung des Subnetzes im Internet bei mehreren Domänencontrollern ein Anycast-Szenario erzeugen würde, sodass dies keine Option ist. Gibt es eine Möglichkeit, dies zu tun?

Bearbeiten:

Die meisten Peers akzeptieren nur /24oder kürzer, daher können wir sie nicht teilen und die Subnetzteile ankündigen.

Verbinden Sie die beiden DCs mit einer privaten Verbindung. Dann bewerben Sie die / 24 in beiden Rechenzentren.

Wenn der Datenverkehr an einem DC für den anderen ankommt, leiten oder schalten Ihre internen Geräte den Datenverkehr nach Bedarf über die private Verbindung.

Die zweite Option hängt von den verfügbaren Konnektivitätsoptionen ab. Möglicherweise können Sie eine Layer2-Verbindung (Switched) zwischen beiden DCs und Ihrem Upstream-Anbieter herstellen. Auf diese Weise verwendet der ISP eine Ihrer IPs auf seiner Seite als Gateway-IP und bietet Ihnen eine Switched Layer2-Konnektivität zu beiden Seiten.

Wie in früheren Antworten auch darauf hingewiesen, werden die Lösungen entweder eine private Verbindung zwischen den beiden Rechenzentren oder genügend IP-Adressen beinhalten, um einen Block von jedem Rechenzentrum anzukündigen.

Diese beiden Optionen schließen sich jedoch nicht gegenseitig aus, und bei der Konfiguration sind einige weitere Aspekte zu beachten.

So werben Sie, wenn Sie genügend Adressen haben

Sie werden sich wahrscheinlich dafür entscheiden, ein IPv6-Präfix zu erhalten, das kurz genug ist, um eine Hälfte von jedem Rechenzentrum anzukündigen, was eine / 47 oder weniger bedeutet. Sie haben dann die Wahl, wie Sie dies ankündigen möchten.

• Sie können die zwei verschiedenen / 48 aus den verschiedenen Rechenzentren ankündigen.
• Sie können in beiden Rechenzentren eine Single / 47 ankündigen.
• Sie können beides tun.

Wenn Sie die beiden unterschiedlichen / 48 ankündigen, wird der Datenverkehr über das Internet zum richtigen Rechenzentrum geleitet, was die Dinge für Sie einfacher macht. Wenn Sie andererseits an beiden Standorten nur die / 47 ankündigen, müssen Sie den Datenverkehr zum richtigen Rechenzentrum leiten. Dies kann wünschenswert sein, wenn Sie eine private Verbindung zwischen den Rechenzentren haben, die für Sie zuverlässiger ist als das öffentliche Internet.

Beides führt als eine Art Failover aus. Normalerweise wird der Datenverkehr direkt zum richtigen Rechenzentrum geleitet. Ihre private Verbindung wird jedoch als Backup vorhanden sein. Wenn andere Netzwerke jedoch glauben, dass Sie ihnen zu viele Ansagen senden, ignorieren sie möglicherweise Ihre / 48s und verwenden nur die / 47, und Ihre private Verbindung wird mehr Verkehr sehen.

Wenn Sie keine private Verbindung zwischen den Rechenzentren haben, ist es höchstwahrscheinlich die beste Wahl, die zwei / 48 und keine aggregierten / 47 zu bewerben.

All dies gilt auch für IPv4, nur mit unterschiedlichen Präfixlängen.

Was tun, wenn Sie nicht mehr IPv4-Adressen erhalten können?

Wenn Sie in jedem Rechenzentrum eine / 25 bewerben, besteht ein erhebliches Risiko, dass die Werbung einfach ignoriert wird. Selbst wenn es heute funktioniert, besteht das Risiko, dass es in Zukunft nicht mehr funktioniert. Sie benötigen daher einen anderen Plan.

Wenn Sie keine private Verbindung zwischen den beiden Rechenzentren haben, besteht die Möglichkeit, einen IPv4-über-IPv6-Tunnel zwischen den beiden Rechenzentren als private Verbindung zu verwenden.

Der offensichtliche Nachteil des Tunnelansatzes besteht darin, dass der Tunnel nicht zuverlässiger sein wird als die Internetverbindung zwischen den beiden Rechenzentren. Die Vermeidung der Verwendung des Tunnels durch Werbung nur für die spezifischen Präfixe ist keine Option, da diese spezifischen Präfixe zu lang wären.

Eine Option, die es wert ist, verfolgt zu werden, wenn Sie an beiden Standorten denselben Transitanbieter verwenden, besteht darin, sowohl die aggregierten / 24 als auch die spezifischeren / 25er zu bewerben. Was Sie vom Transitanbieter benötigen würden, um für die Welt zu werben, ist die / 24. Die zwei / 25s, die der Transitanbieter nur in seinem eigenen Netzwerk akzeptieren und verwenden muss, damit der Datenverkehr an das richtige Ihrer beiden Rechenzentren weitergeleitet wird.

Bevor Sie so etwas tun, müssen Sie dies natürlich mit Ihrem Transitanbieter besprechen, um sicherzustellen, dass es sich um eine Konfiguration handelt, die er unterstützen möchte.

Andere Vorbehalte mit einem Tunnel

Eine weitere Einschränkung im Falle eines Tunnels sind MTU-Probleme. Sie müssen sicherstellen, dass Sie in Ihrem Tunnel nichts Dummes tun, was dazu führen würde, dass große Pakete stillschweigend verworfen werden. Darüber hinaus sollten Sie Ihre Server besser mit einem MSS konfigurieren, das niedrig genug ist, damit es auch dann funktioniert, wenn die Personen, mit denen Sie kommunizieren, stillschweigend zu große Fehler löschen. Für ein Setup wie das, das ich beschreibe, sollte das Einstellen des MSS auf 1200 sicher sein.

Wenn Ihr Setup einen DSR-Lastausgleich beinhalten soll, sollten Sie berücksichtigen, dass für den Lastausgleich möglicherweise auch ein Tunnel erforderlich ist. Stellen Sie in diesem Fall sicher, dass Ihr DSR-Load-Balancer so konfiguriert ist, dass das Tunneln anstelle des Tunnelns erfolgt, um Ihre Rechenzentren zu verbinden - keine weitere Tunnelebene darüber.

Fazit

Die einfachste Lösung besteht darin, nur genügend IP-Adressen zu erhalten. Es gibt jedoch Alternativen, wenn Sie sie unbedingt benötigen.

Wenn Sie ein Netzwerk subnetzieren, machen Sie nicht von beiden Orten aus Werbung für das gesamte Netzwerk. Angenommen, Sie haben das 10.0.0.0/24Netzwerk und möchten in jedem Rechenzentrum die Hälfte verwenden, dann werben Sie 10.0.0.0/25von einem Rechenzentrum und 10.0.0.128/25vom anderen Rechenzentrum aus. Sie werben nicht in 10.0.0.0/24beiden Rechenzentren, sondern nur in dem, was verwendet wird.

Bearbeiten:

Da Sie versuchen, öffentlich im Internet zu melden, können Sie kein Präfix bewerben, das größer ist als /24mit IPv4 oder /48IPv6. Sie müssen einen anderen öffentlichen IPv4-Adressblock für Ihr anderes Rechenzentrum erwerben oder die beiden Rechenzentren verbinden, damit der in einem Rechenzentrum empfangene Datenverkehr in diesem Block intern an das andere Rechenzentrum gesendet werden kann. Dies ist möglich, wenn Sie auf den IPv4-Adressmarkt gehen, kann aber teuer sein. Mit IPv6 ist das sehr einfach.

Sie haben den grundlegenden Punkt: Ihr / 24 kann nicht realistisch auf mehrere Anbieter aufgeteilt und beworben werden. Wenn beide Standorte mit demselben Netzbetreiber verbunden sind und sich dafür entscheiden, Ihr / 25-Paar zu akzeptieren, können Sie möglicherweise die Route in eine / 24 für Werbung für Upstreams und Peers zusammenfassen, während der Datenverkehr weiterhin zur entsprechenden Einrichtung fließt.

Andernfalls müssen Sie die / 24 von beiden Sites aus bewerben und eine logische Konnektivität herstellen, die nicht an diese / 24 gebunden ist. Wie bereits erwähnt, würde dies durch die Bereitstellung einer privaten Verbindung zwischen den Websites erreicht. Eine andere Möglichkeit wäre, eine Art Tunnel (IPSEC, GRE usw.) zu bauen, der an Ihre vom Netzbetreiber zugewiesene externe Adresse gebunden ist (ich gehe davon aus, dass beide statisch sind). In diesem Fall erhalten Sie möglicherweise Datenverkehr für die andere Site, der dann gekapselt und über den Tunnel (oder den privaten Link) gesendet werden muss. Dies kann je nach Einrichtung einen inakzeptablen Grad an Ineffizienz darstellen.