Riunione Brad Hedlund in persona è stato sicuramente uno dei momenti salienti della mia Interop 2013 settimane. Abbiamo avuto una conversazione impressionante e rapidamente resi conto di quanto strettamente allineato le nostre opinioni di VLAN , reti overlay e le appliance virtuali sono.
Non sorprende, Brad migliorato rapidamente le mie idee con una proposta radicale: in esecuzione BGP tra il virtuale e il mondo fisico.
Rivediamo la pila applicazione che ho usato nel disaster recovery con elettrodomestici virtuale posta. Uno dei punti di collegamento della pila applicazione virtuale con il mondo fisico era l'indirizzo IP esterno del firewall (o il bilanciamento del carico, se si sta utilizzando bump-in-the-wire firewall).
Ora immaginate l'inserimento di un router tra il firewall e il mondo esterno, l'assegnazione di un prefisso per lo stack di applicazione (che potrebbe essere un IPv4 prefisso singola / 32, una sola / 64 prefisso IPv6, o qualcosa di più grande), e la pubblicità che prefisso dal virtuale router per il mondo fisico tramite BGP.
Prima di iniziare a scrivere un commento lamentarsi come tre appliance virtuali in sequenza riducono le prestazioni e introducono attraversamenti di rete non necessari: come appliance virtuali più in questi giorni utilizzano Linux, non è così difficile da aggiungere ancora qualche daemon per la stessa VM. Le tre caselle nella foto potrebbe essere un singolo VM se si preferisce l'ottimizzazione delle prestazioni in flessibilità.
Si potrebbe facilmente preconfigurare gli interruttori ToR (o core switch - a seconda del vostro centro di progettazione di dati) con i modelli BGP peer, che consente loro di accettare connessioni BGP da un intervallo di indirizzi IP collegati direttamente, assegnare all'esterno l'indirizzo IP per i router virtuali tramite DHCP ( potenzialmente in esecuzione sullo stesso interruttore ToR), e utilizzare l'autenticazione MD5 per fornire una certa sicurezza di base.
Una soluzione ancora migliore sarebbe un server route BGP centrale dove si poteva fare qualche seria autenticazione e filtraggio route. Inoltre, si potrebbe Anycast lo stesso indirizzo IP in più data center, rendendo più facile per il router virtuale bordo di trovare il suo vicino BGP anche dopo l'intero stack applicativo è stato migrato in una posizione diversa.
Questa torsione sull'idea originale rende la pila applicazione virtuale completamente portatile tra infrastrutture compatibili. Non importa quale VLAN il bersaglio data center sta usando, non importa quale sottorete IP è configurata su quella VLAN, quando si sposta lo stack di applicazione del client router-rivestimento ottiene un indirizzo esterno, stabilisce una sessione BGP con qualcuno , e inizia la pubblicità l'intervallo di indirizzi rivolti al pubblico della domanda.
Corso Cisco - Corso CCNA - Corso Security
- Corso CCNA
Security - Certificazione
Cisco - CCNA
200-120
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.