Como evitar o roteamento assimétrico com vários roteadores eBGP?

5

Eu tenho dois roteadores anunciando uma sub-rede / 22 para provedores diferentes (um provedor se conecta a cada um dos dois roteadores). Eu dividi o / 22 em dois / 23 para anunciar um / 23 em cada um dos roteadores mais o / 22 (os provedores terão uma rota mais específica). Isso permite que eu faça failover e mantenha o tráfego dentro do / 23 dentro e fora do mesmo provedor.

Quais são as outras maneiras pelas quais eu poderia anunciar apenas o / 22 com ambos os roteadores e ter pacotes de servidores na rede por trás dos roteadores, saindo do mesmo roteador em que eles vieram?

EDITAR:

O principal problema com o qual me deparo, o qual os usuários finais e clientes mais reclamam, é que a rota de menor salto às vezes não é a rota "ideal". No meu caso, eu sei que o Provedor B pode ter melhor latência para X nação. Mas quando os pacotes chegam do provedor B, eles podem sair do Provedor A ou do provedor B. O inverso também é verdadeiro. Se eu enviar um pacote para o X provedor fora do país, mesmo que ele tenha mais retornos, o pacote provavelmente virá do Provedor B (que pode ter maior latência, perda de pacotes, etc. para essa nação)

    
por Andy Shinn 15.06.2012 / 19:52

3 respostas

7

Estritamente falando, você perde o controle completo dos caminhos de roteamento de entrada quando você anuncia seu prefixo para vários provedores, porque há decisões de roteamento independentes tomadas a jusante para o tráfego de retorno para você. Além disso, seus anúncios podem até ser modificados por provedores posteriores depois que você os envia.

Exemplo

Este é um exemplo do que pode acontecer. Suponha que você tenha o AS 777, que possui o 2.2.0.0/22. Você tem serviços que uma empresa com o Roteador A precisa acessar ... Vamos supor também que o AS 100 não possui um bom link para você (talvez esteja corrompendo o tráfego intermitentemente devido a problemas de camada física que você não conseguiu corrigir) ). Então você pensa para si mesmo, "Eu apenas adicionarei todos os meus anúncios ao AS100 com um grande número de ASNs para que ninguém prefira o link do AS100 até que eu possa consertar isso" .

Oproblemaéquevocêsótemcontroletotalsobresuasdecisõesderoteamentodesaída.Vocênãoobtémocontrolecompletodeentrada...entãovamossuporqueoadministradordoRoteadorAnãosaibaqueseulinkparaoAS100éruim.Elessãodual-homeparaAS200eAS100,masoAS100oferecetráfegomuitomaisbarato,porMbps;portanto,oengenheirodoroteadorApegarotascompletasdoAS100eusaapenasoAS200comobackup(obtendoapenasumpadrãodelas).

ComoadministradordoAS777,vocêpodeforçarotráfegoparaoroteadorAatravésdoAS200,masotráfegodoroteadorAparao2.2.0.0/22aindalevariaoAS100(porqueamelhorrotaéatravésdoAS100,noroteadorA).

Soluçõespossíveis

Normalmente,oscaminhosassimétricossãoimportantesdevidoaumbalanceadordecargaoufirewallqueestárecebendootráfego.Algumassoluçõespossíveis:

  • ParaserviçosoferecidosemoutrosASNs,vocêpodeobterNATtodootráfegodeparaumendereçoquesejalocalparaumlinkquevaiparaumASespecífico(issonãofuncionambemparaprestadoresdeserviçosembora)
  • ParaosserviçosoferecidosemseuASN,vocêpodeobterNATtodootráfegodeentradaparaumendereçoqueélocalparaumasub-redeemseuroteadordeemparelhamentoBGPemquestão(issonãofuncionabemparaprestadoresdeserviços)
  • VocêpodeconfigurarumDMZquerecebatráfegodetodososdiferentesASNseofereçaumúnicopontodeentrada/saídaparaotráfegodeseusupstreams.Emalgumascircunstâncias,vocêpodeatésincronizaratabeladeestadosnosdispositivosDMZ.(issonãofuncionabemparaprovedoresdeserviços)
  • Seestiverdispostoausarrecursoscomoo Anúncio condicional do BGP , você pode às vezes contornar esse tipo de problema ao custo de não usar outras operadoras para o tráfego de entrada para 2.2.0.0/22.

Se você fornecer mais detalhes sobre a natureza dos serviços e do problema, poderemos oferecer conselhos mais específicos.

    
por 15.06.2012 / 22:22
1

What are other ways in which I could announce just the /22 with both routers and have packets from servers on the network behind the routers go back out the same router in which they came in from?

Por que você quer isso? Ou, mais precisamente, por que você quer forçar esse comportamento (já que normalmente é isso que acontecerá graças à mágica do roteamento)?

O ponto inteiro do BGP e a hierarquia de roteamento distribuída que compõe a internet moderna é que seus pacotes levarão a melhor rota disponível ao seu destino. Se um pacote chegou em Route A , mas Route B é a melhor opção para a resposta por algum motivo, então por que você não deseja enviar sua resposta pela rota ideal?

A única razão pela qual vejo isso é querer prejudicar o tráfego de uma operadora mais cara (nesse caso, há métodos melhores).

    
por 15.06.2012 / 21:33
0

O caminho para alcançar a simetria aqui não é tanto uma função do BGP como seria o NAT. Vamos supor que você continue com o esquema de anunciar o / 22 de ambos os roteadores, bem como um / 23 de cada um. Configure o NAT de saída de forma que o tráfego que sai de um determinado roteador de borda receba um endereço de origem no / 23 do roteador. Para efetuar a simetria do tráfego de entrada, você também precisaria do NAT de origem para converter conexões de fontes globais para separar pools alocados para cada roteador de borda.

Você perderá visibilidade no nível do servidor de onde as conexões estão realmente vindo, mas essas informações podem ser recuperadas do roteador via Netflow ou mecanismos semelhantes.

Há um grau significativo de complexidade potencial que está sendo introduzido aqui e que também será traduzido (sem trocadilhos) para onde e como- você coloca gateways padrão para os servidores. Isso pode exigir uma camada intermediária de roteadores falantes de BGP com políticas apropriadas para manter o tráfego originado localmente indo na direção certa. Em geral, não há uma maneira elegante de garantir roteamento simétrico quando você anuncia rotas idênticas com métricas idênticas de vários roteadores - e, honestamente, fora dos requisitos específicos para dispositivos com reconhecimento de estado, como certos firewalls ou balanceadores de carga, não é algo que normalmente é uma meta de design para a maioria das redes.

    
por 15.06.2012 / 22:40