Geekly articles weekly

Tratamiento de enrutamiento asimétrico de FHRP

¿Qué es el "enrutamiento asimétrico FHRP"?


Un estado de enrutamiento en el que el tráfico dentro de una sesión sale a través de un enrutador maestro FHRP (VRRP / HSRP) y regresa a través de un segundo.


imagen


¿Qué tiene de malo eso?


Si todos los enrutadores están dentro de la misma LAN, lo más probable es que no haya nada.
Los problemas comienzan si la topología de la red se ve así:


imagen


1. Descubrimiento de MTU: si la MTU más pequeña de las dos rutas difiere, el descubrimiento de ruta de MTU de punto final podría resultar en una de las dos MTU más grandes, lo que a su vez provocará la caída de los paquetes de tamaño máximo. Por ejemplo, si una ruta atraviesa un túnel VPN y la otra no, el túnel VPN tendrá una MTU más pequeña. ping funcionará bien, pero la transferencia de archivos grandes fallará de manera consistente.
2. La resolución de problemas de conectividad será más difícil si uno de los dos caminos está roto pero el otro no. El viejo "traceroute" no será de ninguna ayuda, ya que no podrá detectar los puntos intermedios de la ruta inversa, a menos que se ejerza desde ambos lados de la conexión, lo que requiere un canal de gestión fuera de banda.

Fuente


¿Por qué es esto así?


El enrutador ascendente (core-r-1) no tiene información sobre las funciones de los enrutadores descendentes en FHRP.


La decisión de elegir una ruta se toma de forma autónoma, en función de las métricas del protocolo de enrutamiento dinámico o PBR.


¿Cómo arreglarlo?


Desde el punto de vista del flujo de tráfico: el tráfico debe ir y volver a través del mismo enrutador y túnel VPN


imagen


En términos de enrutamiento:
Los enrutadores ascendentes deben recibir información de estado de FHRP.


Por ejemplo, una ruta a una subred con dispositivos de punto final solo debe anunciarse por el maestro FHRP en el desarrollo normal de eventos.


Como funciona


imagen


Banco de pruebas (GNS3, MikroTik, BGP, VRRP).


imagen


  1. Enlace de descarga
  2. Credenciales de enrutador:
    A. Iniciar sesión: admin
    B. Pase: no

Bono para aquellos que han leído hasta el final


De hecho, el uso de 100.500 subredes dedicadas / 30 IPv4 es opcional.
Para resolver el problema, se pueden usar direcciones locales dinámicas de enlace IPv6, lo que simplifica enormemente la implementación inicial.


La solución (en la implementación de MikroTik RouterOS) es la siguiente:
imagen


© Idea - webfox , articulo y montaje de soporte - maniak

Source: https://habr.com/ru/post/es427939/

More articles:


All Articles