Stateful Interchassis Redundancy
W ostatnim wpisie dotyczącym NAT (NAT: pule nieciągłe na CAT8500) mówiliśmy o nieoczywistym sposobie konfiguracji puli nieciągłych na routerach Cisco CAT8500. Dziś kontynuujemy temat translacji adresów – przed Wami Stateful Interchassis Redundancy!
Według naszej wiedzy jest to drugi mało znany feature, który w wielu przypadkach może okazać się wręcz zbawienny. Mowa tutaj o replikacji stanów tablicy NAT. Tak, dobrze przeczytaliście! Na routerach CAT8500, CAT8300, CAT8200 (oraz starszej serii ASR1000) jest to możliwe! Funkcjonalność raczej znana ze świata firewalli pracujących w klastrze. Tutaj możemy ją wykorzystać na tradycyjnych routerach Cisco.
Cel jest bardzo prosty – redundancja NAT. Oba routery współdzielą jedną i tę samą pulę adresów publicznych (lub wiele pul). Poprzez dedykowane linki wymieniają między sobą informacje o aktywnych wpisach w tablicy NAT (control link). Dodatkowo w razie potrzeby routują ruch sieciowy między sobą (data link), tak by był on zawsze obsługiwany przez router aktywny dla danej puli NAT. Z powyższego wynika zatem, że mówimy tutaj o redundancji typu active-active! Wystarczy skonfigurować kilka puli NAT i przypisać je naprzemiennie do obu routerów. Dzięki temu ruch będzie load-balancowany na oba urządzenia, a w razie awarii jednego z nich – drugi przejmie całość ruchu na siebie w sposób natychmiastowy.. przecież tablica NAT będzie już wypełniona wszystkimi wpisami :)
Przyjrzyjmy się jeszcze prostemu schematowi:

Mamy tutaj dwa routery współdzielące jedną grupę NAT (grupa A) i dodatkowo spięte linkami na potrzeby control i data plane. Router 1 działa aktywnie i routuje ruch dla tej grupy oraz informuje Router 2 o translacjach adresów. Zarówno od strony LAN, jak i WAN routery mają wirtualne adresy IP oraz wirtualne adresy MAC – analogicznie jak przy protokołach typu FHRP (VRRP/HSRP). Router 2 to w tym przypadku router typu hot standby dla grupy A i jest gotowy w każdej chwili przejąć ruch na siebie.
Wszystko brzmi prosto i logicznie i w rzeczywistości tak jest. Ale jak to Network Expert lubi – konfigurację można mocno „podkręcić” na przykład w oparciu o:
- protokół BFD, gdzie schodzimy z czasem zbieżności do 50-100ms,
- scenariusz load-sharing, czyli wiele grup NATowych, tzw. Redundancy Groups,
- podłączenie IP SLA oraz Track -> do wykrywania awarii logicznych,
- zabezpieczenie w przypadku routingu asymetrycznego (od strony WANu).
Serdecznie zapraszamy do kontaktu, gdzie z przyjemnością zaimplementujemy to rozwiązanie (oraz każde inne związane z sieciami) w Twojej topologii!
Marcin Kaczyński – starszy inżynier ds. sieci, CCNA, CCNP, CCIE
Od wielu lat związany z branżą, wywodzi się z rynku operatorów ISP, przez co ma bardzo duże wyczucie specyfiki i potrzeb operatorskich. Marcin obecnie jest głównym wdrożeniowcem technologii u operatorów. Dodatkowo wyróżnia się certyfikacją rozwiązań Infoblox – DDIP – i z pasją zgłębia tajniki bezpieczeństwa ekosystemu DNS. W prywatnym czasie pochłania go rozwój zawodowy, sport i zdobywanie szczytów górskich.
