Как правильно сделать роутинг между VLAN в облаке?

Question

[Алексей]

Есть несколько хостов на vmware ESXi, на которых запущено 20-30 VM раскиданных в 5 VLAN. Эти хосты подключены к свичам Cisco 3750G. Сейчас маршрутизацию осуществляет Vyatta (маршрутизатор, межсетевой экран, ACL и VPN) запущенная как VM на одном из хостов.



Вопрос — может лучше настроить InterVLAN Routing на свичах, а на Vyatta оставить маршрутизацию в интернет, межсетевой экран и VPN?



Но в этом случае трафик между VM расположенными на том же хосте, что и Vyatta придется выводить наружу для маршрутизации, а это увеличит нагрузку на сеть. Сейчас большинство машин которым требуется доступ в другие VLAN находятся на том же хосте, что и Vyatta и трафик остается в пределах внутреннего vSwitch и наружу не попадает.

Answer 1

[Ilya_Drey]

Ну вы собственно сами и ответили на свой вопрос – оставить как есть. Чем вас не устраивает vSwitch? Что вы выиграете уведя маршрутизацию на switch? – ничего. Может вы о какой-то задаче которую нужно дополнительно реализовать умалчиваете? :)

Comments

[Алексей]

Нет, просто руки чешутся. Стоят L3 свичи функционал которых не используется. Обидно :( Думал может, что-то не учел. Вот и решил совета спросить.

[Николай Турнавиотов]

Почешите руки и успокойтесь. L3 в свичах обычно очень сильно базовая, сколько раз мне знакомые цисководы это говорили.

[Алексей]

Ну я же не собираюсь на нем BGP fullview использовать. А с InterVLAN Routing они очень хорошо справляются. Хотя, наверное все так оставлю, до тех пор пока не увижу, что Vyatta начала ресурсов много жрать на маршрутизации VLAN.

Answer 2

[JDima]

3750 — неплохая железка, под intervlan routing подходит идеально. Если не накосячить, то будет маршрутизировать на line rate, причем с задержками меньше чем у софтового решения на гипервизоре. Можно ACLы навесить. Боитесь за повышение объемов трафика? Сделайте тиминг двух и более сетевух на гипервизоре и etherchannel на свитче.
Ну и все-таки начинать надо с точных цифр объема трафика между виртуалками одного хоста в разных VLANах.

Comments

[Алексей]

Вот, наконец. Есть повод сделать на 3750 :). ACL для LAN я планировал с Vyatta перенести на кошек. Тиминг и etherchannel там и так есть 4x1G.

[JDima]

Если сейчас весь трафик между VLANами нескольких хостов ходит через один хост, то это уже само по себе повод задействовать роутинг на свитче. Отвратительное решение честно говоря.

[Алексей]

Нет, машины по хостам собраны так, чтобы те которым надо обмениваться трафиком, постоянно были на том же хосте где и роутер.

[JDima]

И все равно некрасиво.

[Ilya_Drey]

Точную схему автор так и не представил, если на Vyatta используется IPS, то если сделать роутинг на свичах из него получится максимум IDS с возможностью блокировки TCP.

[JDima]

может лучше настроить InterVLAN Routing на свичах, а на Vyatta оставить маршрутизацию в интернет, межсетевой экран и VPN?

Из постановки задачи следует, что продвинутое инспектирование трафика между VLANами не требуется, и что автор в достаточной мере понимает, что ему нужно :)

Answer 3

[Николай Турнавиотов]

Я бы на Вашем месте сначала нарисовал текущую карту, потом будущую и подумал, зачем это надо.
А тогда уже решал как перенастраивать и надо ли вообще

Answer 4

[nicolnx]

Сложно что-то сказать, не видя топологии, но получается если у вас упадет VM с Vyatta — весь роутинг умрёт?
Юзайте vSwitch для хостов в пределах одного тазика и L3 маршрутизацию на свичах для разных

>. L3 в свичах обычно очень сильно базовая

У меня на 3560 BGP и PBR крутится, ничего себе базовая )

Comments

[Алексей]

Не, не упадет она по HA поднимется на втором хосте.

[multagor]

У человека standalone хосты. Без кластера HA.

[JDima]

Не вижу проблем с поднятием двух Viatta в HA кластере. Одна умирает — вторая шлет GARP и начинает принимать трафик. Это, кстати, лучше, чем HA на базе гипервизора, при котором глюк одной виртуалки непременно среплицируется на другую, и который защищает лишь от аварии на хосте.