CCIE.pl

site 4 CCIE wannabies
It is currently 23 Jan 2017, 09:34

All times are UTC+01:00




Post new topic  Reply to topic  [ 1 post ] 
Author Message
Post #1 Posted: 30 Apr 2016, 20:59 
Offline
CCIE
CCIE

Joined: 17 Dec 2010, 15:23
Posts: 721
Location: Dublin
Witam,

W związku z tym, ze nadszedł czas migracji połączeń L2 pomiędzy naszymi DC's i wdrożenie nowego rozwiązania, przygotowałem sobie design, który chciałbym wdrożyć, ale mam kilka wątpliwości i pomyślałem, ze bardziej doświadczenie koledzy, będę je wstanie rozwiać albo cos doradzić.

Ale od początku, w związku z tym, ze nasze DC's to multi tenant, chce wdrożyć MP-BGP+MPLS jako core pomiędzy naszymi lokalizacjami co pozwoli nam na większą skalowalność oraz elastyczność podczas migracji czy to już istniejących klientów, czy dodawania nowych. W łatwy sposób, będzie można migrować klienta pomiędzy DC czy stworzyć dla klienta testowe środowisko w innej lokalizacji w odizolowanym środowisko i zapewnić mu vrf-leaking pomiędzy środowiskiem produkcyjnym i testowym, jeśli będzie taka potrzeba.

Założenie, jest takie, ze INTRA VRF trafik ma być przesyłany z pominięciem FW, a traffic do INTERNETU czy INTER-VRF ma być przesyłany poprzez FW. Jesli chodzi o Overlay L2 to, do wyboru mam NSX, który będzie części tego projektu oraz VXLAN czy to na N5K czy tez na ASR. OTV odpada, ze względu na to, ze nie można odpalić OTV na tym samym ASR gdzie mamy MPLS.

Jeśli chodzi o L2 Overlay to uważam, ze tutaj MPLS, tez będzie pomocny ze względu na to, ze swoja skalowalność i elastyczność. Myślałem o VXLAN+BGP EVPN, ktry jest wspierany na N5K od wersji 7.3 ale obecny release tej wersji ma tyle bugow, ze sobie to odpuściłem w tej chwili. Z drugiej strony jeśli, pojde teraz w MPLS, to w przyszłości będzie mi łatwiej odpalić VXLAN BGP EVPN :)


Topologia jak poniżej Image. Pokazałem tylko 2 VRF-y VRF1 (filetowy INTERNET) oraz VRF2 (zielony - KLIENT), taka sama topologia będzie dla innych klientów.

Teraz moje pytanie, czy jest sens tworzyć VRF INTERNET i wrzucać do niego default route czy może lepiej uzyc w takiej samej topologi jak VRF INTERNET samego BGP, ale w w VRF default. Jeśli stworzyłbym VRF INTERNET to prefix 0.0.0.0/0 mógłbym rozgłaszać poprzez MP-BGP+MPLS do innych lokalizacji i w przypadku problemow z ISP, traffic do internetu mógłby być przesyłany poprzez MPLS. Jest taka, możliwość bo w nowej lokalizacji nie mamy jeszcze drugiego ISP i w przypadku awarii łącza, można by wysyłać traffic do internetu własnie za pomocą VRF INTERNET. Jeśli, nie stworzyłbym dedykowanego VRF dla INTERNET, to można by zastosować BGP IPv4 na tych samych urządzeniach co VPNv4, by propagować default route, cala tablice BGP lub wybrane prefixy. Kolejna, opcja jaka brałem pod uwagę to, ze każdy z klientów miałby swój dedykowany OUTSIDE VRF, ale takie rozwiązanie wiąże się z tym, ze dla każdego klienta trzeba by tworzyć outside VRF oraz oddzielna siec tranzytowa dla takiego VRF-u z ASA OUTSIDE do urządzenie brzegowego. Takie podejście wymaga więcej konfiguracji oraz nakładu pracy :)

Kolejna, rzecz jaka chciałbym zrobić to dla VRF INTERNET lub default na interfejsie ASA OUTSIDE zastosować adresacje prywatna i uzyc tejże adresacji jako transit network, by zaoszczędzić adresacje publiczna. Na ASA można stworzyć static route do Null0 z adresacja publiczna np 1.1.1.0/29 i rozgłaszać to za pomocą BGP, OSPF lub statyków do routera brzegowego a tam później rozgłaszać prefix/24, następnie stworzyć NAT POOL z taka adresacja i uzywac jej dla całego ruchu wychodzącego do Internetu, takie rozwiązanie działa, można zastosować static NAT dla serwerów w INSIDE VRF i są one osiągalne również Internetu. Takie rozwiązanie byłoby akceptowalne ale problem pojawia się, gdy chcemy na ASA stworzyć S2S VPN, bo nie wiem czy można zrobić NAT prywatnego adresu interfejsu OUTSIDE do innego adresu OUTSIDE np. publicznego ożywając obiektu, tak by traffic inicjowany z interfejsu OUTSIDE (nie mowie o flow, który przechodzi z INSIDE do OUTSIDE, bo to ogarnia NAT POOL) np 10.1.1.1 był NAT-y do 1.1.1.10, tak by nasz source byl NAT-y na publiczne IP.

Czy, jest możliwość zrobienia tego na ASA? Jedyne rozwiązanie, jakie przychodzi mi do głowy to zrobić NAT adresacji prywatnej interfejsu OUTSIDE na ruterze brzegowym, wtedy będzie można zestawić S2S VPN. Moze, takie rozwiązanie nie jest eleganckie ale działa :). Czy, ktoś ma inny pomysł jak by to zrobić używając adresacji prywatnej na OUTSIDE?



Pozdro,


Top
   
Display posts from previous:  Sort by  
Post new topic  Reply to topic  [ 1 post ] 

All times are UTC+01:00


Who is online

Users browsing this forum: No registered users and 1 guest


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot post attachments in this forum

Search for:
Jump to:  
This Website is not sponsored by, endorsed by or affiliated with Cisco Systems, Inc. Cisco, Cisco Systems, CCDA, CCNA, CCDP, CCNP, CCIE, CCSI, CCIP, the Cisco Systems logo and the CCIE logo are trademarks or registered trademarks of Cisco Systems, Inc. in the United States and certain other countries. Używamy informacji zapisanych za pomocą cookies i podobnych technologii m.in. w celach reklamowych i statystycznych oraz w celu dostosowania naszych serwisów do indywidualnych potrzeb użytkowników. Mogą też stosować je współpracujące z nami firmy. W programie służącym do obsługi internetu można zmienić ustawienia dotyczące cookies. Korzystanie z naszych serwisów internetowych bez zmiany ustawień dotyczących cookies oznacza, że będą one zapisane w pamięci urządzenia.



Powered by phpBB® Forum Software © phpBB Limited