DCI MPLS oraz dostep do Internet

Problemy i dyskusje z zakresu rozwiązań i technologii Data Center
Wiadomość
Autor
martino76
CCIE
CCIE
Posty: 883
Rejestracja: 17 gru 2010, 15:23
Lokalizacja: Barczewo

DCI MPLS oraz dostep do Internet

#1

#1 Post autor: martino76 »

Witam,

W związku z tym, ze nadszedł czas migracji połączeń L2 pomiędzy naszymi DC's i wdrożenie nowego rozwiązania, przygotowałem sobie design, który chciałbym wdrożyć, ale mam kilka wątpliwości i pomyślałem, ze bardziej doświadczenie koledzy, będę je wstanie rozwiać albo cos doradzić.

Ale od początku, w związku z tym, ze nasze DC's to multi tenant, chce wdrożyć MP-BGP+MPLS jako core pomiędzy naszymi lokalizacjami co pozwoli nam na większą skalowalność oraz elastyczność podczas migracji czy to już istniejących klientów, czy dodawania nowych. W łatwy sposób, będzie można migrować klienta pomiędzy DC czy stworzyć dla klienta testowe środowisko w innej lokalizacji w odizolowanym środowisko i zapewnić mu vrf-leaking pomiędzy środowiskiem produkcyjnym i testowym, jeśli będzie taka potrzeba.

Założenie, jest takie, ze INTRA VRF trafik ma być przesyłany z pominięciem FW, a traffic do INTERNETU czy INTER-VRF ma być przesyłany poprzez FW. Jesli chodzi o Overlay L2 to, do wyboru mam NSX, który będzie części tego projektu oraz VXLAN czy to na N5K czy tez na ASR. OTV odpada, ze względu na to, ze nie można odpalić OTV na tym samym ASR gdzie mamy MPLS.

Jeśli chodzi o L2 Overlay to uważam, ze tutaj MPLS, tez będzie pomocny ze względu na to, ze swoja skalowalność i elastyczność. Myślałem o VXLAN+BGP EVPN, ktry jest wspierany na N5K od wersji 7.3 ale obecny release tej wersji ma tyle bugow, ze sobie to odpuściłem w tej chwili. Z drugiej strony jeśli, pojde teraz w MPLS, to w przyszłości będzie mi łatwiej odpalić VXLAN BGP EVPN :)


Topologia jak poniżej Obrazek. Pokazałem tylko 2 VRF-y VRF1 (filetowy INTERNET) oraz VRF2 (zielony - KLIENT), taka sama topologia będzie dla innych klientów.

Teraz moje pytanie, czy jest sens tworzyć VRF INTERNET i wrzucać do niego default route czy może lepiej uzyc w takiej samej topologi jak VRF INTERNET samego BGP, ale w w VRF default. Jeśli stworzyłbym VRF INTERNET to prefix 0.0.0.0/0 mógłbym rozgłaszać poprzez MP-BGP+MPLS do innych lokalizacji i w przypadku problemow z ISP, traffic do internetu mógłby być przesyłany poprzez MPLS. Jest taka, możliwość bo w nowej lokalizacji nie mamy jeszcze drugiego ISP i w przypadku awarii łącza, można by wysyłać traffic do internetu własnie za pomocą VRF INTERNET. Jeśli, nie stworzyłbym dedykowanego VRF dla INTERNET, to można by zastosować BGP IPv4 na tych samych urządzeniach co VPNv4, by propagować default route, cala tablice BGP lub wybrane prefixy. Kolejna, opcja jaka brałem pod uwagę to, ze każdy z klientów miałby swój dedykowany OUTSIDE VRF, ale takie rozwiązanie wiąże się z tym, ze dla każdego klienta trzeba by tworzyć outside VRF oraz oddzielna siec tranzytowa dla takiego VRF-u z ASA OUTSIDE do urządzenie brzegowego. Takie podejście wymaga więcej konfiguracji oraz nakładu pracy :)

Kolejna, rzecz jaka chciałbym zrobić to dla VRF INTERNET lub default na interfejsie ASA OUTSIDE zastosować adresacje prywatna i uzyc tejże adresacji jako transit network, by zaoszczędzić adresacje publiczna. Na ASA można stworzyć static route do Null0 z adresacja publiczna np 1.1.1.0/29 i rozgłaszać to za pomocą BGP, OSPF lub statyków do routera brzegowego a tam później rozgłaszać prefix/24, następnie stworzyć NAT POOL z taka adresacja i uzywac jej dla całego ruchu wychodzącego do Internetu, takie rozwiązanie działa, można zastosować static NAT dla serwerów w INSIDE VRF i są one osiągalne również Internetu. Takie rozwiązanie byłoby akceptowalne ale problem pojawia się, gdy chcemy na ASA stworzyć S2S VPN, bo nie wiem czy można zrobić NAT prywatnego adresu interfejsu OUTSIDE do innego adresu OUTSIDE np. publicznego ożywając obiektu, tak by traffic inicjowany z interfejsu OUTSIDE (nie mowie o flow, który przechodzi z INSIDE do OUTSIDE, bo to ogarnia NAT POOL) np 10.1.1.1 był NAT-y do 1.1.1.10, tak by nasz source byl NAT-y na publiczne IP.

Czy, jest możliwość zrobienia tego na ASA? Jedyne rozwiązanie, jakie przychodzi mi do głowy to zrobić NAT adresacji prywatnej interfejsu OUTSIDE na ruterze brzegowym, wtedy będzie można zestawić S2S VPN. Moze, takie rozwiązanie nie jest eleganckie ale działa :). Czy, ktoś ma inny pomysł jak by to zrobić używając adresacji prywatnej na OUTSIDE?



Pozdro,

ODPOWIEDZ