Foro en Español

Reply
Highlighted
Contributor I
Posts: 34
Registered: ‎09-16-2014

diseño recomendado para HA en túneles GRE

Hola:

 

Tenemos una arquitectura de túneles GRE-nivel 2 entre una controladora en LAN y otra controladora en DMZ para el acceso a internet. Con el servicio funcionando, debemos dar una solución HA en LAN, por lo que se despliega una configuración master-local con una VIP VRRP para descubrimiento de la master de configuraciones y una pareja de LMS IP (activa/standby) para el grupo de APs.

 

En esta situación la duda es si la solución recomendada es establecer el túnel desde cada controller-IP física en LAN contra la controladora en DMZ, o bien establecerla desde la VIP VRRP. Ambas soluciones funcionan pero no tengo claras las implicaciones en los transitorios de conmutación de LMS o VRRP (si configuramos preemption en ambas).

- Por un lado, si establecemos el túnel desde la VIP local aparentemente el servicio debe prestarse salvo transitorios en los cuales la IP del LMS activo no coincida con la IP del rol prioritario VRRP.

- Por otro lado, si establecemos un túnel desde cada controller-IP física, existirá un transitorio en el cual la controladora en DMZ ve la misma MAC por dos túneles, y no tengo claro cómo lo corrige ni en qué plazo.

 

Gracias

Moderator
Posts: 948
Registered: ‎07-29-2010

Re: diseño recomendado para HA en túneles GRE

[ Edited ]

Creo que mejor que cualquiera de las dos alternativas que comentas es usar la funcionalidad de "tunnel-group", disponible desde la versión 6.4.2.3.

 

Con esta funcionalidad cada controlador "local" establecería 2 túneles contra los controladores de DMZ y monitorizaría el estado de los mismos. A partir de ahí, se envía el tráfico sólo por el túnel activo. En el enlace que te he puesto se explica de forma bastante detallada cómo configurarlo.

 

Saludos

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Aruba Employee
Posts: 131
Registered: ‎07-09-2015

Re: diseño recomendado para HA en túneles GRE

Estoy con Samuel.  El "tunnel group" es la mejor opción, aunque se puede utilizar la VIP de VRRP para terminar los tuneles también.  He visto las dos opciones funcionando.

 

Saludos,


David

Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: diseño recomendado para HA en túneles GRE

La solución que proponéis protege riesgos distintos que el riesgo por el que yo preguntaba. Un tunnel-group sirve para mantener el túnel de nivel 2 entre una controladora local y dos controladoras en DMZ, de forma que si cae la comunicación con una de las controladoras, o la propia controladora en DMZ tenemos asegurado el servicio.

 

El riesgo que yo quiero proteger es el de caida de una controladora local (master LMS IP para un grupo de APs), cuando tenemos otra controladora local (standby LMS IP para este grupo). En ese caso, si utilizamos IPs físicas  para el origen local del túnel mi pregunta apuntaba a si existiría algún problema en el transitorio, mientras la controladora en DMZ ve MACs por los dos túneles: el de la controladora local LMS y el de la standby LMS, vs utilizar la VIP de VRRP de las dos controladoras locales para establecer el túnel

Moderator
Posts: 948
Registered: ‎07-29-2010

Re: diseño recomendado para HA en túneles GRE

Perdona, no había entendido esa parte. Yo siempre he levantado los túneles desde la IP física de los controladores locales y me ha funcionado bien.

 

Además, cuando el usuario conmuta de un controlador local al otro lo más normal es que esto venga provocado porque se ha caido el controller. Y cuando ocurre esto el túnel GRE también se cae...

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: diseño recomendado para HA en túneles GRE

ok. Muchas gracias

Aruba Employee
Posts: 131
Registered: ‎07-09-2015

Re: diseño recomendado para HA en túneles GRE

A ver si he ententido bien la pregunta.  Tienes HA entre las controladoras locales.  Si cae el LMS (HA active), entonces habrá el failover al HA "standby" (BKLMS), pero lo que estás contemplando es ¿qué pasariá con los túneles entre el LMS/BKLMS y el Master?

 

David 

Contributor I
Posts: 34
Registered: ‎09-16-2014

Re: diseño recomendado para HA en túneles GRE

Efectivamente, teniendo en cuenta además que tenemos un HA profile configurado, por lo que cada AP realmente tiene dos túneles establecidos (LMS y BKLMS) y, de cara al tunel GRE de uplink a la controladora master, puede haber un momento en la master en que la MAC esté aprendida por los dos túneles

Aruba Employee
Posts: 131
Registered: ‎07-09-2015

Re: diseño recomendado para HA en túneles GRE

¡Ok!  Una cosa sobre HA.  Te aconsejería considerar empleando modo "dual" en vez de active/standby.

 

Saludos,

 

David

Search Airheads
Showing results for 
Search instead for 
Did you mean: