GoldenLine
Zaloguj się
Adam C.

Adam C. IT

Temat: Redundancja bramy

Witam,

Przy projektowaniu infrastruktury w pełni redundantnego portalu www natrafiłem na problem redundancji bramy.

Podstawowe informacje:

- 3 warstwy (www/app/db) - wszystko linux, najprawdopodobniej RH/Centos
- każda warstwa to osobny VLAN z osobną klasą IP.
- warstwy komunikują się między sobą (np. serwer www gada z serwerem app, a serwer app gada z klastrem db). Wymagana możliwość definiowania ACL pomiędzy warstwami (czyli firewall).
- mile widziana przepustowość 1Gbit/s chyba że koszty rosną zbyt mocno.
- wymagana pełna redundancja (wypięcie zasilania ze switcha lub wyłączenie jednego z serwerów lub routera nie może powodować przerwy w działaniu).
- możliwie jak najbardziej opłacalne cenowo rozwiązanie.

Aktualny pomysł:

- Podział na 3 VLAN (www, app, db).
- Dwa switche z portami 1Gbit miedź.
- Każdy serwer posiada 2 interface sieciowe i połączenia do obu switchy ("na krzyż"). Na linuxie skonfigurowany bonding interface. Rozwiązanie przetestowałem i wyłącznie jednego kabla powoduje najwyżej utratę paru pakietów.
- Router ("on stick") połączony do obu switchy również "na krzyż". Pozostaje problem redundancji routera.

Pomysły:

1) Przerzucić routowanie pomiędzy vlan na switch warstwy 3 i "olać" router. Ponieważ switche rozumieją VRRP lub ciscowy odpowiednik wszystko powinno być ok.

2) Zastosować 2 serwery pracujące pod Linux/*BSD i zastosować jakiś VRRP.

Mile widziane konstruktywne komentarze.

Pozdrawiam
Adam
Link do wypowiedziLink
Adrian Czerniak

Adrian Czerniak Administrator
Systemów Uniksowych

Temat: Redundancja bramy

Możesz się zastanowić czy VLANy są w tym wypadku potrzebne, przecież i tak robisz 3 rozłączne podsieci. VRRP jest jak najbardziej ok, możesz też pójść krok dalej i ustawić jakiś OSPF i ogłaszać default route z różnymi metrykami, downtime przy wypięciu kabelka zależny jest od parametrów OSPF, powrót jest niezauważalny. Nie wiem tylko czy to nie strzelanie z armaty do muchy.
Link do wypowiedziLink
Adam C.

Adam C. IT

Temat: Redundancja bramy

Adrian Czerniak:
Możesz się zastanowić czy VLANy są w tym wypadku potrzebne, przecież i tak robisz 3 rozłączne podsieci. VRRP jest jak najbardziej ok, możesz też pójść krok dalej i ustawić jakiś OSPF i ogłaszać default route z różnymi metrykami, downtime przy wypięciu kabelka zależny jest od parametrów OSPF, powrót jest niezauważalny. Nie wiem tylko czy to nie strzelanie z armaty do muchy.

serwery będą podłączane do nietagowanych portów. VLANy są tylko i wyłącznie po to, abym nie musiał posiadać routera z dużą ilością portów tylko użył "router on stick". Co do OSPF to jeśli dobrze zrozumiałem to musiał bym instalować demona OSPF na każdej z maszyn ?
Link do wypowiedziLink
Adrian Czerniak

Adrian Czerniak Administrator
Systemów Uniksowych

Temat: Redundancja bramy

Tak, na każdej. W odrębnym VLANie na przykład. Tylko wydaje mi się, że rozwiązanie z VRRP jest prostsze i nie gorsze.
Link do wypowiedziLink
Wojciech C.

Wojciech C. Making things done
is my core
competencies

Temat: Redundancja bramy

Witam,

Jakis przykład od teorii od praktyki co do zastosowań OSPF?

Dzieki,
Wojtek
Link do wypowiedziLink
Adrian Czerniak

Adrian Czerniak Administrator
Systemów Uniksowych

Temat: Redundancja bramy

Ale tu naprawdę nie ma filozofii, zwykłe ustawienie kosztów na trasach do dwóch routerów będących w tej samej area i ogłaszających bramkę domyślną.
Link do wypowiedziLink
Maciej Hedrych-Ozimina

Maciej Hedrych-Ozimina IT - problem ? jaki
problem ? nowe
wyzwanie
+48_503_970_286

Temat: Redundancja bramy

a moze pojsc w strone wirtualizacji serverow ? to odciaza cie sprzetowo w postaci switchow, routerow a majac dwa fizyczne maszyny masz vrrp praktycznie on-line w esx [vmotion]
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Redundancja bramy

Adam C.:
Mile widziane konstruktywne komentarze.

Jeśli dobrze Cie zrozumiałem biorąc pod uwagę już dość późną porę to proponuje takie rozwiązanie. 2x Cat 3750 lub inny switch L3 z możliwością stackowania (pisząc stackowanie mam na myśli tworzenie jednej logicznej maszyny połączonej szybką magistralą - nie pseudostackowanie uplinkami). Każda maszyna jak rozumiem ma dwie karty 1 Gbps - zatem każdą z kart podłączamy do portu w każdym ze switchy - na przełącznikach konfigurujesz EtherChanell a na serwerze bonding (czy linuksowcy muszą wymyślać swoje nazwy na rzeczy dawno nazwane?). Konfigurujesz VLANy, tworzysz SVI i ustawiasz routing między SVI ograniczając go ACLkami. Pad jednego ze switchy, jednej z kart sieciowych, jednego z linków, etc. będzie w tej konfiguracji niegroźny.

Krzysztof
Link do wypowiedziLink

konto usunięte

Temat: Redundancja bramy

Krzysztof Kania:
podłączamy do portu w każdym ze switchy - na przełącznikach konfigurujesz EtherChanell a na serwerze bonding (czy linuksowcy muszą wymyślać swoje nazwy na rzeczy dawno nazwane?).

Etherchannel jest potrzebny tylko w niektórych rodzajach bondingu. Przy
zwykłym active-passive nic na switchach nie trzeba robić.
Link do wypowiedziLink
Adam C.

Adam C. IT

Temat: Redundancja bramy

Krzysztof Kania:
Adam C.:
Mile widziane konstruktywne komentarze.

Jeśli dobrze Cie zrozumiałem biorąc pod uwagę już dość późną porę to proponuje takie rozwiązanie. 2x Cat 3750 lub inny switch L3 z możliwością stackowania (pisząc stackowanie mam na myśli tworzenie jednej logicznej maszyny połączonej szybką magistralą - nie pseudostackowanie uplinkami). Każda maszyna jak rozumiem ma dwie karty 1 Gbps - zatem każdą z kart podłączamy do portu w każdym ze switchy - na przełącznikach konfigurujesz EtherChanell a na serwerze bonding (czy linuksowcy muszą wymyślać swoje nazwy na rzeczy dawno nazwane?). Konfigurujesz VLANy, tworzysz SVI i ustawiasz routing między SVI ograniczając go ACLkami. Pad jednego ze switchy, jednej z kart sieciowych, jednego z linków, etc. będzie w tej konfiguracji niegroźny.

Krzysztof

Rozwiązanie bardzo "eleganckie" i w pełni sprzętowe. Mam tylko obawy czy to nie będzie wąskie gardło, bo o ile o wydajność switchingu się nie martwię, to wydajność takiego switcha w L3 to dla mnie wielka niewiadoma. Masz może jakieś doświadczenie jak wydajne są ACL ?

Adam
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Redundancja bramy

Adam C.:
Rozwiązanie bardzo "eleganckie" i w pełni sprzętowe. Mam tylko obawy czy to nie będzie wąskie gardło, bo o ile o wydajność switchingu się nie martwię, to wydajność takiego switcha w L3 to dla mnie wielka niewiadoma. Masz może jakieś doświadczenie jak wydajne są ACL ?

O to się nie martw :-) A jeśli jednak bardzo Cię to martwi istnieją na cisco.com dokumenty dokładnie opisujące jak bardzo rozbudowane ACL są obsługiwane sprzętowo i kiedy pojemność ACL przekracza możliwości sprzętu i jest realizowana przez CPU wpływając znacznie na wydajność. Wszystko zostało zmierzone i opisane.

Krzysztof
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Redundancja bramy

Krzysztof Pułapa:
Etherchannel jest potrzebny tylko w niektórych rodzajach bondingu. Przy
zwykłym active-passive nic na switchach nie trzeba robić.

Ale jak rozumiem kolega jest zainteresowany maksymalizowaniem przepływności więc agregacja do 2 Gbps (oczywiście pamiętając o tym jak działa mechanizm rozrzucania pakietów np. po źródłowym mac'u, docelowym mac'u, etc) jest zapewne pożądana.

Krzysztof
Link do wypowiedziLink

konto usunięte

Temat: Redundancja bramy

Rozwiązanie Krzysztofa podoba mi się najbardziej - bo sam to robiłem. Nie na Cisco tylko na wskazanym 3Com z L3 (5500), definiując właśnie 'fabric' z 2 switchy.
Link do wypowiedziLink
Adam C.

Adam C. IT

Temat: Redundancja bramy

Krzysztof Kania:
Krzysztof Pułapa:
Etherchannel jest potrzebny tylko w niektórych rodzajach bondingu. Przy
zwykłym active-passive nic na switchach nie trzeba robić.

Ale jak rozumiem kolega jest zainteresowany maksymalizowaniem przepływności więc agregacja do 2 Gbps (oczywiście pamiętając o tym jak działa mechanizm rozrzucania pakietów np. po źródłowym mac'u, docelowym mac'u, etc) jest zapewne pożądana.

Krzysztof

Wydajność nie jest krytyczna, po prostu na logikę skoro serwery mają karty 1Gbit to switch też powinien taki być, aby nie był wąskim gardłem.

Adam
Link do wypowiedziLink
Adam C.

Adam C. IT

Temat: Redundancja bramy

Krzysztof Kania:
O to się nie martw :-) A jeśli jednak bardzo Cię to martwi istnieją na cisco.com dokumenty dokładnie opisujące jak bardzo rozbudowane ACL są obsługiwane sprzętowo i kiedy pojemność ACL przekracza możliwości sprzętu i jest realizowana przez CPU wpływając znacznie na wydajność. Wszystko zostało zmierzone i opisane.

Krzysztof


Zrobiłem dziś małe "labolatorium" przy pomocy 2 serwerów i Cisco 3750G.
Przy ok 80 wpisach w ACL (oczywiście pasował dopiero ostatni przed deny) wydajność zmierzona iperf wyniosła 940Mbit/s (bez bongingu - na kartach 1Gbit). Zatem wychodzi na to że 3750 to aż nad to co potrzebuje. Zastanawiam się nad czymś z serii 2950/2960 lub np. HP Procurve

AdamAdam C. edytował(a) ten post dnia 05.07.10 o godzinie 17:10
Link do wypowiedziLink
Krzysztof Kania

Krzysztof Kania Inżynier systemowy
Cisco (CCNA R&S,
Voice, Security)

Temat: Redundancja bramy

Adam C.:
Zastanawiam się nad czymś z serii 2950/2960

Zarówno 2950 jak i 2960 to przełączniki L2.
lub np. HP Procurve

To już co kto lubi ale L3 żadnego producenta tanie nie będą.

Krzysztof
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj