Merhaba arkadaslar

Bu yazimizda bir önceki yazimizin devami olarak internete çikis trafiginin manipülasyonundan bahsedecegim. Sirketlerde bulunan internet çikis yapisinin önce kaba taslak üstünden geçip daha sonra eBGP, iBGP ve IGP manipülasyonlari ile internete çikisin en saglikli ve genisletilebilir halinden bahsetmeye çalisacagim.

ISP-baglantisi-LAN
Genel bir enterprise internete çikis yapisinda en önemli parçayi elbette routerlar olusturmaktadir. Firmamiz internete kendi blogunu anons etmek istiyorsa ISP ile BGP konusmamiz gerekmektedir. Tabi bu durum kendimize ait bir BGP AS_NUMBER ve /24 IP bloguna varsa geçerlidir. Internet hizmetinde IP blogunun ISP ye ait oldugu ve bir nevi firmaya kiraladigi durumlarda söz konusudur ancak bu gibi durumlarda son AS hep ayni ISP ye ait olacagindan çift ISP ile yedeklilik senaryosu söz konusu degildir.

Bu yazimizda çift ISP ile yedekliligin oldugu senaryoda internet çikisinin tek yada çift ISP üzerinden kullanilmasi ile ilgili iki senaryodan bahsedecegim. Temel farklilik iç networkte yani Firewallar ile Routerlar arasinda dinamik mi yoksa statik mi yönlendirme yapilacagi olacaktir. Elbette statik yönlendirme ile de dinamik yönlendirme protokolünün saglayacagi yedeklilik gibi durumlara (ip tracking,ip sla) ulasmak mümkündür ancak durumu mümkün oldugunca karmasikliktan uzak bir sekilde açiklamaya çalisacagim. Çift ISPnin kullanildigi ve herseyin dinamik oldugu durumu ise konfigürasyonlari ile bir sonraki kisimda anlatacagim.

Statik ve Tek Çikisli Yapi
InternetExitSingle
Bu yapida yedeklilik tam olarak saglanmaktadir ancak ISP çikislari aktif-pasif olarak kullanilmaktadir. Yedeklilik durumu Internet routerlarinin lokale bakan arayüzlerinde bir FHRP (VRRP,HSRP vs.) kullanilmasi ve internet routerlari arasinda iBGP peering kurulmasi ile olusturulur. Yapinin yedekliliginde herhangi ISP tarafinda bir BGP peeringinin düsmesi durumunda diger ISP den alinan default route iBGP Peer üzerinden iletilir. Böylece aktiflik durumu ISP peeringi down olan cihazda olsa da default route’in alindigi yere dogru çikisi gösterir. Burada dezavantaj olarak fazladan bir hop daha cihaz geçme durumu söz konusudur. Bunun disinda HSRP aktif yönlendiricinin lokal baglantisi düserse minimum 4 saniyelik bir kesintiyi göze almamiz gerekmektedir. Cisco hold-time süresini 4 saniyeden asagida tutulmamasi gerektigini dökümanlarinda belirtmektedir. Bu gereksiz bir sekilde aktifligin degismesi durumu olusturabilir (http://www.cisco.com/c/en/us/support/docs/ip/hot-standby-router-protocol-hsrp/10583-62.html#topic14).

Firewall gibi konfigüre edilmis cihazlarda (yani Layer 3 cihaz) temel olarak sadece HSRP IP adresi olarak belirlenen 193.193.193.5 IP sine dogru statik rota yazilmistir. Bu yapida tek HSRP grubu kullanilmistir. Çift olarak aktif-aktif yapilmak istenirse iki tane HSRP IP’si olusturulup iki statik rota ile bu islem gerçeklestirilebilir. HSRP 1 için router_1’in aktif oldugu ve HSRP 2 için router_2’nin aktif oldugu bir yapi kurulabilir. Ancak suan tek çikisli durumdan bahsettigimizden bu sekilde bir islem yapmayacagim :). Aktif router ENT_INTERNET_ROUTER2 ve iki ISP routerinda da 8.8.8.8/32 Loopback’i açilmistir. Router_As_Firewall1 cihazindan 8.8.8.8’e sürekli ping atilirken HSRP aktifliginin degismesi ile kesinti süresinin ne kadar olacagini asagida görebilirsiniz.

Traceto8
ENT_INTERNET_ROUTER2 Aktif

pinglosshsrp
HSRP Aktiflik Degisimi Sirasinda Ping Kaybi (Timers 1 4)

Traceto8new
ENT_INTERNET_ROUTER1 Aktif

Görüldügü gibi minorda olsa HSRP degisiminde bir kesinti yasanmaktadir. Ancak bu kesinti ses trafigi veya agresif bir UDP trafigi yoksa sorun yaratacagini düsünmüyorum. Elbette yapilan isin kritikligine göre bu durumun kabul edilip edilemeyecegine firmanin karar vermesi gerekmektedir.

Bir sonraki yazimda dinamik routing protokolü kullanarak tamamen yapinin statikten dinamige çevirilmesini ve aktif-aktif internet yapisinda IGP’de 2/1 veya 3/1 gibi yük dagilimini nasil edilebileceginden bahsedecegim.

Hüseyin Efe Evyapan

Kategoriler: NetworkRouting

0 yorum

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir