Hola a todos,
Hoy voy a hablaros sobre los tipos de sincronismo que existen en los despliegues Dual Site, centrándonos principalmente en las interfaces syte-sync así como qué configuraciones pueden cambiarse y de qué manera.
En los despliegues Dual Site, tenemos los siguientes tipos de sincronismo:
Intra-site:
Sincronismo entre MHO del mismo site, siempre y cuando haya dos MHO en el site (Si solo hay un MHO este tipo de sincronismo no hace falta). Estos puertos de sincronismo son de tipo “ssm_sync”.
Inter-site:
Sincronismo entre MHO de diferentes sites. Estos puertos de sincronismo son de tipo “site-sync”. La comunicación/conexionado se realiza entre parejas de MHO con el mismo ID:
- MHO1_1 – MHO2_1
- MHO1_2 – MHO2_2
No es necesario redundar este tipo de enlace, puesto que en caso de problemas en uno de ellos, el otro enlace otorga redundancia en el sincronismo entre sites. En caso de querer redundarlo, puede realizarse sin problemas.
Los paquetes de sincronismo entre sites, se pueden dividir en dos tipos:
- MHO sync:
- Información sobre recursos disponibles y asignados en cada site.
- Utiliza la vlan 3951 ó 3952 (por defecto). Estas vlans pueden cambiarse mediante el siguiente comando: “set maestro configuration orchestrators base-vlan <vlan-id>”, donde las vlans configurables son del rango 3950-4000.
- SG Sync:
- Cuando un SG está configurado como Activo/Standby entre sites, es el sincronismo entre miembros del SG de ambos sites. Los equipos activos sincronizarán la información necesaria en el equipo de Standby del otro site.
- Como sabéis, si la comunicación no es directa y se realiza vía switches, existen dos opciones desde la versión R81.10:
- Q-in-Q (recomendado) en los puertos del switch.
- En este caso, la vlan de sincronismo del SG (3800+SG) se encapsula en la vlan site-vlan (3600/3601) en el tránsito del MHO de un site al MHO del otro site.
- Esta site-vlan puede cambiarse con el comando “set maestro configuration security-appliances inter-site base-vlan <vlan-id>”
- En caso de no utilizar Q-in-Q, puede deshabilitarse desde la versión R81.10 con el siguiente comando:
set maestro configuration security-appliances inter-site vlan encapsulation disabled
orchd restart
- Al eliminar Q-in-Q, la vlan de sincronismo del SG (3800+SG) debe ser explícitamente configurada en los puertos de los switches para permitir que el tráfico de sincronización llegue al otro site.
Una vez visto los dos tipos de paquetes de sincronismo y vista la opción de utilizar Q-in-Q o no, éste sería un resumen de las vlans necesarias en los puertos de los switches:
- Q-in-Q:
- Puerto SW al MHO 1_1: VLAN trunk 3600, 3951
- Puerto SW al MHO 1_2: VLAN trunk 3601, 3952
- Puerto SW al MHO 2_1: VLAN trunk 3600, 3951
- Puerto SW al MHO 2_2: VLAN trunk 3601, 3952
- Enlaces entre los switches de ambos sites (dos switches en cada site)
- 1_1 y 2_1: VLAN trunk 3600, 3951
- 1_2 y 2_2: VLAN trunk 3601, 3952
- Si solo hay un switch en cada site: VLAN trunk 3600, 3601, 3951, 3952
- Sin Q-in-Q:
- Puerto SW al MHO 1_1: VLAN trunk 3951, 3800+SG
- Puerto SW al MHO 1_2: VLAN trunk 3952, 3800+SG
- Puerto SW al MHO 2_1: VLAN trunk 3951, 3800+SG
- Puerto SW al MHO 2_2: VLAN trunk 3952, 3800+SG
- Enlaces entre los switches de ambos sites (dos switches en cada site)
- 1_1 y 2_1: VLAN trunk 3951, 3800+SG
- 1_2 y 2_2: VLAN trunk 3952, 3800+SG
- Si solo hay un switch en cada site: VLAN trunk 3951, 3952, 3800+SG
Saludos,
Juan Carlos Romero Muñoz
Telco Security Engineer - Maestro SME