经过几个月的问题,他们终于恢复到我的博客我的访问!这样的沉寂之后,我很高兴把这个特殊的职位。我敢肯定很多人会找到它至少是一个酷“我是一个怪胎网络”样的方式,甚至更好:你会发现它很有教育意义,甚至利用它在自己的世界。
这是一个解决方案,我一直在想,现在写了很长的时间,让我们很清楚,这不是我的。这整个帖子是欠我的一个长期的私人朋友,谁也最有才华和天赋的技术专家今天漫游地球的一个。他的名字是彼得·伊巴密浓达Karelis,CCIE#8068(皮特)。
皮特专为小ISE部署中有两个数据中心这个特殊的高可用性解决方案,如通过粗略我在下面的图所示。雷竞技电脑网站
亚伦T. Woland
2. DC架构和IP SLA
我经常使用的选播我的身份服务引擎(ISE)的部署。这是在安全工具箱一个很好的工具,以帮助确保交通去一个地方,正确的位置,最接近的地方,并有一个备份,如果是接近的地方是不可用的。然而,选播的这个特殊的用途是什么之前,我从来没有考虑过。
对于那些你谁可能没有网络负责人,任播是一种联网技术,其中将完全相同的IP地址在网络内的多个地方存在。在这种情况下,相同的IP地址(2.2.2.2)被分配给Gig1接口上的所有RADIUS服务器(ISE PSN网络在我们的情况)的。在每个数据中心的路由器配置的静态路由2雷竞技电脑网站.2.2.2/32与PSN作为下一跳的Gig0 IP地址。这些静态路由被重新分配到路由协议;在这种情况下,使用EIGRP。选播依赖于路由协议,保证发往任播地址(2.2.2.2)的流量发送到该IP地址的最接近的实例。
现在,任播是设置路由2.2.2.2到ISE PSN,皮特用于EIGRP度量来确保优选路由指向主数据中心,而所述二级数据中心的路线被列为可行后继(FS)。雷竞技电脑网站与EIGRP,存在当一个路径(被称为后继)被替换为备份路由(被称为可行后继)的亚秒的延迟。
我们如何让从路由表中的后继路由下降时,ISE节点出现故障?皮特构造,即检查了ISE PSN的HTTP服务的状态在数据中心每五秒钟路由器上的IP服务水平协议(IP SLA)。雷竞技电脑网站如果HTTP服务停止响应在有源PSN,则路径被移除且可行后继接管,所有导致流量2.2.2.2在次级数据中心发送到PSN。雷竞技电脑网站下图显示了IP SLA功能。并且当它发生时,留在路由表的唯一途径是在次级数据中心路由器。雷竞技电脑网站
亚伦T. Woland
该IP SLA导致路由表中的变化
所有网络设备被配置为使用任播地址(2.2.2.2),如它们的配置的唯一RADIUS服务器。该RADIUS请求都将被发送到任何一个ISE节点活跃。
下面示出了实施例1上的ISE PSN接口配置。该Gig0接口是PSN的实际路由的IP地址,而Gig1在一个VLAN无处使用任播IP地址。
实施例1 - ISE接口配置
接口演出0
!节点的实际IPIP地址1.1.1.1 255.255.255.0接口演出1!任播VIP分配到G1所有PSN节点IP地址2.2.2.2 255.255.255.255IP默认网关[实时网关Gig0]!注意没有需要静态路由。
实施例2示出了路由器的IP SLA配置,测试端口80上的PSN每隔五秒钟,但可以超时后1000毫秒。当超时发生时,路由器将被删除。
实施例2 - IP SLA配置
IP SLA 1
!测试TCP端口80到节点的实际IP。!“控制禁用”是必要的,因为你是连接!到主机,而不是一个SLA响应TCP-CONNECT 1.1.1.1 80控制禁止!考虑SLA仿佛响应GT 1000msec下来门槛1000!后1000毫秒超时。超时1000!测试每5秒:频率5IP SLA附表1的生活从此开始,现在时间
跟踪1 IP SLA 1
IP路由2.2.2.2 255.255.255.255 1.1.1.1轨道1
实施例3示出了其中EIGRP量度被施加的路由重新分配的配置。皮特能够使用的指标,他特意选择了,因为他非常熟悉他的网络。他以儆效尤尝试同样的事情是要熟悉你的网络或标识会为你的工作指标时进行彻底的测试。
实施例3 - 路由重新分配
EIGRP的路由器[自治系统编号]引入静态路由映射,静态-TO-EIGRP路由映射,静态-TO-EIGRP允许20匹配IP地址前缀列表ISE_VIP!设置指标正常设置度量标准百万1 255 1 1500IP前缀列表ISE_VIP SEQ 5 2.2.2.2/32许可证
嗯,这是它!我希望你喜欢这个,就像我没有看到它投入生产。与往常一样,我期待着阅读下面的评论。