Ist es sinnvoll, OSPF über Metro Ethernet bereitzustellen?

Wenn ich für einen Kunden mehrere Zweigstellen miteinander verbinden muss, empfehle ich normalerweise ein MPLS-VPN über einen vertrauenswürdigen Netzbetreiber. Das CE an jedem Standort spricht BGP mit seinem vorgeschalteten PE und jeder Standort ist mit einem eigenen privaten ASN nummeriert. Dies ist für uns sehr praktisch, da BGP unzählige verkehrstechnische Tools zur Verfügung stellt und unsere Nachbarschaften für n Standorte auf n + 1 begrenzt sind (wobei +1 unsere Farbumgebung ist).

In letzter Zeit habe ich jedoch ein zunehmendes Kundeninteresse an Metro-Ethernet-Lösungen festgestellt. Viele unserer Kunden haben Zweigstellen in einem gemeinsamen U-Bahn-Gebiet und MetroE-Angebote kosten mehrere hundert US-Dollar weniger als MPLS-Dienste für Strecken gleicher Geschwindigkeit. Obwohl dies ansprechend ist, bin ich mir nicht sicher, wie ich das Routing über ein Layer-2-Backbone am besten einrichten kann, ohne eine Maschentopologie in Hub-and-Spoke zu verwandeln.

BGP würde ein vollständiges Netz von Nachbarschaften zwischen Zweigstellen erfordern, um die Netzkonnektivität aufrechtzuerhalten, was aus Sicht der Skalierbarkeit offensichtlich unerwünscht ist. Die andere Möglichkeit besteht darin, einen IGP, nämlich OSPF, bereitzustellen und alle Standorte im gesamten WAN benachbarte Standorte bilden zu lassen. Ich möchte jede Site als eigenen Bereich ansprechen, was übertrieben erscheint, aber ich möchte die Möglichkeit bewahren, die von jeder Site beworbenen Routen zusammenzufassen, und dies kann nur an Bereichsgrenzen erfolgen.

Macht das Sinn? Sind beim Bereitstellen von OSPF auf diese Weise einige Einschränkungen zu beachten (sollte ich beispielsweise in Betracht ziehen, das LSA-Flooding zu deaktivieren)? Oder gibt es eine andere Lösung, die ich übersehen habe?

Dies ist eine komplexe Frage, da die beiden verschiedenen Produkte sehr unterschiedlich sind. Eine MPLS L3VPN-Verbindung ist von Natur aus eine vollständige Masche zwischen allen beteiligten Standorten, während eine MetroE-Verbindung im Allgemeinen eine Punkt-zu-Punkt-Verbindung zwischen zwei bestimmten Standorten ist.

Nach meiner Erfahrung handelt es sich bei einer MetroE-Verbindung um einen direkt bereitgestellten Pfad ohne Schutzdienste, es sei denn, Sie haben einen Schutzpfad vereinbart. Dies bedeutet, dass ein Ausfall einer Schnittstelle oder eines Routers entlang des spezifischen Pfads eine Unterbrechung des Datenverkehrs zwischen den beiden Standorten bedeuten würde, die direkt vom MetroE-Dienst verbunden sind. Der MPLS L3VPN heilt bei Schnittstellen- / Routingfehlern aus, damit Sie stets über ein vollständiges Netzwerk zwischen Ihren Standorten verfügen. Dies erklärt im Allgemeinen die Preisdifferenz zwischen den beiden.

Es ist nichts Falsches daran, eigene Dienste auf einer MetroE-Plattform aufzubauen. Sie müssen lediglich die Kundenanforderungen berücksichtigen, um zu bestimmen, welche Art von Routing geeignet ist. Wenn Sie mit einem kleinen Büronetzwerk arbeiten, können Sie mit OSPF / IS-IS / EIGRP auf wunderbare Weise Routing-Informationen zwischen den direkt verbundenen Standorten austauschen, die Sie eingerichtet haben. Wenn Sie eher ein NSP / ISP / * SP sind, wird die Trennung von Infrastruktur und Kundenrouten zwischen IGP und EGP bei der Skalierung viel wichtiger.

Als ISP-Ingenieur verwenden wir häufig MetroE- und EWAN-Links, um unser Backbone aufzubauen, und nutzen unser Wissen über die physischen Links, um unsere iBGP / eBGP-Umgebung zu entwerfen. In vielen Fällen verwenden wir Routenreflektoren und duale Routenreflektoren (Route-Reflector-Client auf beiden Seiten des Peerings), um die Anzahl der iBGP-Peers zu verringern. Wenn Sie sich jedoch nicht mit Routern ab 6 in einem POP beschäftigen, lässt sich iBGP recht gut skalieren.

Kurz gesagt - wenn es sich um einen einzelnen Kunden handelt, der seinen Kunden keine Netzwerkdienste anbietet - bleiben Sie bei einem IGP. Wenn externe Konnektivität zwischen Standorten mit Failover / Redundanz / usw. gemeinsam genutzt werden muss, überprüfen Sie die vorhandenen physischen Pfade genau und entwerfen Sie Ihr eBGP / iBGP entsprechend. Es hat keinen Sinn, einen Router an einem Remotestandort mit nur einer Verbindung außerhalb des Standorts zu einem iBGP-Peer mit allen anderen Routern in der AS zu haben - verwenden Sie einen Dual-Route-Reflektor.

Der Wechsel von einem verwalteten L3VPN (wie Sie es unter "MPLS VPN" verstehen) zu einem L2VPN ist ein schöner Schritt, da Sie Nicht-IP-Protokolle ausführen und die vollständige Kontrolle über die Routing-Protokolle und Routing-Plattformen erlangen können, die Ihr Routing definieren Topologie.

Angenommen, Sie platzieren nur eine Ethernet-MAC-Adresse auf der CPE-Seite jedes Standorts, ist es für die Geräte des Anbieters viel einfacher, 1 MAC-Adresse pro Standort zu ermitteln und weiterzuleiten, als potenziell viele Subnetze pro Standort zu ermitteln und weiterzuleiten.

Was das Protokoll betrifft, ist dies eine schwierige Frage, die ohne viel mehr Informationen zu beantworten ist, da die beste Wahl von Ihren Verkehrs- und Wachstumsplänen abhängt.

Ist dies nur ein großer Kunde, der interne und Internet-Konnektivität benötigt, oder verkauft er auch Konnektivität? Angenommen, es ist alles intern, dann werden Sie nur ein IGP bereitstellen und möglicherweise ein eBGP ausführen, um Pfade herauszukündigen.

Wenn Sie nicht über sehr viele Sites oder interne Präfixe verfügen, ist ein Verbindungsstatusprotokoll wie OSPF oder IS-IS am sinnvollsten, da es schnell konvergiert und die FIB mit nur wenigen Präfixen schnell aus der RIB erstellt werden kann .

Wenn Sie viele Sites oder Präfixe haben, werden Ihre Routing-Plattformen dadurch belastet, da sie jeweils verarbeitet werden müssen. Dies ist etwas, das anfängt, n ² Mal zu dauern . Wenn Sie Websites haben, die häufig auf und ab gehen, kann diese Abwanderung im Verbindungsstatus auch dazu führen, dass Ihr Router-Pool belastet wird.

Wenn Sie viele Standorte, viele Stubby-Standorte (ein Pfad "Upstream", keine anderen Downstream-Router) oder viele Routendefizite benötigen, müssen Sie sich mit anderen Protokollen oder Topologien befassen.

In einem solchen Fall würde ich die Verwendung von BGP mit einigen Routenreflektoren empfehlen. Auf diese Weise können Sie 2+ Hochleistungs-Routenreflektoren bereitstellen, in die die Speichen ankündigen und für die die anderen Speichen eine Routingtabelle abrufen können. Auf diese Weise können Sie Lightweight-CPEs an Ihren Standorten mit vielen Spokes bereitstellen, die nur eine Verbindung herstellen, deren Speicherplatz ankündigen und eine interne Tabelle oder eine Standardroute zu einem Router abrufen, der dies tut.

Ungefähr würde ich einige Maßstäbe und Ausrüstung vorschlagen (und Unter-Gigabit-Durchsätze annehmen):

• 1 - 20 Speichen - OSPFv3 zwischen allen Standorten. Juniper SRX240 oder ähnlich für alle Standorte.
• 20 - 100 Speichen - iBGP mit Routenreflektoren. Juniper SRX240 in den Speichen, Juniper MX5 / 10/40/80 für Routenreflexion (oder Debian Linux / BIRD).
• 100 - 500 Speichen - Teilen Sie sie in verschiedene L2-Netzwerke, ASes oder Bereiche auf

Nur um der BGP-Diskussion zwei häufig übersehene Punkte hinzuzufügen:

• Wenn Sie iBGP ausführen, benötigen Sie normalerweise ein anderes Routing-Protokoll, um die Konnektivität zwischen den nächsten BGP-Hops herzustellen. Aus der Sicht des Designs ist iBGP eher ein Skalierbarkeitstool als ein Routing-Protokoll.
• Wenn Sie eBGP ausführen, benötigen Sie kein vollständiges Netz an BGP-Sitzungen, um optimale End-to-End-Verkehrsflüsse zu erzielen. Die BGP Next Hop-Verarbeitung löst diese Probleme sehr gut.

Weitere Informationen finden Sie unter http://blog.ioshints.info/2011/08/bgp-next-hop-processing.html

Sie können OSPF (oder ein anderes IGP) sehr gut auf einem Mehrpunkt-Metro-Ethernet-Dienst ausführen, und es sollte sehr gut funktionieren.

Es könnte jedoch Gründe dafür geben, BGP weiterhin auszuführen ... obwohl dies in etwa die gleichen Argumente sind, warum Sie BGP möglicherweise auch in Ihrem eigenen Netzwerk ausführen möchten.

Sie müssen nicht unbedingt alle BGP-Lautsprecher in einem solchen "Broadcast" -Netzwerk auf die gleiche AS stellen. Stellen Sie sich das als eine Art internes IXP vor, das von der Telekommunikation betrieben wird und in dem Ihre privaten AS über ein Layer-2-Mesh miteinander verbunden werden können. Sie müssten nicht einmal notwendigerweise ein vollständiges Netz von BGP-Peers verwalten, da BGP-Updates einen nächsten Sprung in ihre Aktualisierungsnachricht mit sich bringen können, der nicht dem entspricht, von dem die Peersitzung stammt.

Wenn Sie beispielsweise ein Layer-2-Netz mit Routern A, B und C haben und BGP-Peers zwischen A und B sowie zwischen B und C haben, werden Aktualisierungen für Routen, die von A ausgehen, von C durchgeführt Haben Sie A als nächsten Sprung, obwohl sie durch die Peeringsitzung mit B gelernt wurden. Offensichtlich möchten Sie mehr Routen-Peerings als nur einen Hub-and-Spoke, also sind Sie nicht auf den einzelnen Hub angewiesen, sondern auf Sie Ich brauche auf keinen Fall ein komplettes Netz.

Wenn Sie dies tun, erhalten Sie immer noch alle routingpolitischen Vorteile der Ausführung von BGP ... und es kann, wie ein anderer Befragter erwähnte, denselben privaten AS-Nummernraum verwenden und sogar eine Verbindung mit dem vorhandenen L3VPN herstellen, so dass Ihr Modell und Unterstützungsmechanismen müssen sich nicht ändern.

Davon abgesehen habe ich ein paar Metro-E-Links (Punkt-zu-Punkt in meinem Fall), auf denen OSPF und iBGP ausgeführt werden, und es funktioniert einwandfrei.

Wie sieht es mit einer Route-Server-Konfiguration aus, bei der "Spokes" RS-Clients der Hub- / Hauptrouter sind?

Auch wenn die BGP-Peerings einer Hub & Spoke-Topologie ähneln, sollten alle Speichen in der Lage sein, Datenverkehr direkt an alle anderen zu senden.

Sie können sogar dieselben privaten AS-Nummern wie beim MPLS-Anbieter wiederverwenden, um die Migration von einem Dienst zu einem anderen zu erleichtern.

Ich würde wärmstens empfehlen, sich über alternative OSPF-Topologien zu informieren und eine Entscheidung zu treffen, beispielsweise als NBMA statt als Standard. Sie werden bald feststellen, dass es für OSPF keine Möglichkeit gibt, zwischen zwei Pfaden zu wählen, die zum selben Router / Standort innerhalb desselben Metro-Ethernets führen, da die Kosten über die ausgehende Schnittstelle berechnet werden und sowohl die Haupt- als auch die Backup-WAN-Verbindungen gleich erscheinen Kosten in Standard-OSPF. Wenn Sie sich jedoch beispielsweise für die Verwendung von NBMA entscheiden, können Sie die Nachbarkosten manuell definieren. Jetzt müssen Sie jedoch die Maschen / Nachbarschaften manuell definieren.

Was auch immer Sie tun, STRECKE DARÜBER, WIEDERHole ICH NICHT, TRETE NICHT AUF LAYER 2 BEI, Sie fragen später nur nach Problemen, wenn Sie eine Layer-2-Verbindung benötigen, verwenden Sie OTV oder eine andere Layer-2-over-Layer-3-Funktion.

Sie werden schnell feststellen, dass Sie viel mehr über OSPF lernen (und viel mehr wissen müssen) als im Vergleich zu einem MPLS-VPN eines einfachen Anbieters, bei dem der WAN-Kern vor Ihnen verborgen ist.

OSPF über MetroE funktioniert einwandfrei, Sie müssen jedoch sicherstellen, dass es Ihren Anforderungen entspricht, und Sie müssen entsprechend architektonisch vorgehen. Eine Einschränkung, die ich nicht gesehen habe, besteht darin, sicherzustellen, dass Sie wissen, welche MTU Ihr Anbieter unterstützt. Ich habe gesehen, wie eine MTU während einer Providerwartung auf einer MetroE-Verbindung abfiel, weil der OSPF-Nachbar nicht hochgefahren ist. Wahrscheinlich nur ein Problem, weil sie Jumbo Frames nicht wirklich unterstützen, aber sie haben es nur für uns getan :) Nett zu sein, zahlt sich manchmal nicht aus.