Application Notes: VRRP
Transcrição
Application Notes: VRRP
Application Notes: VRRP Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch Parecer Introdução Desenvolvimento inicial Setup básico Setup com roteamento dinâmico Explorando possibilidades Configuração dos roteadores Configuração dos elementos de acesso Configuração dos computadores Bateria de testes Considerações Finais Application Notes: VRRP Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch Documento de Uso Público. Data 01/03/2010, Revisão 1.1 Parecer Introdução Desenvolvimento inicial Setup básico Setup com roteamento dinâmico Explorando possibilidades Configuração dos roteadores Configuração dos elementos de acesso Configuração dos computadores Bateria de testes Considerações Finais Parecer A tecnologia de redundância virtual de roteadores é de suma importância para aplicações críticas que necessitam acesso L3 com o menor tempo parado possível. Os switches de rede DATACOM suportam este protocolo, inclusive com utilização em redes complexas, como anéis Metro. Introdução O VRRP, Virtual Router Redundancy Protocol é descrito pela RFC 3768, e é desenhado para prover maior disponibilidade em gateways de acesso em subredes. Neste documento veremos a utilização deste protocolo nos switches DATACOM, bem como exemplos de configuração e soluções para possíveis erros de configuração. Os equipamentos da linha DmSwitch3000 (L3) e DM4000 estão aptos para operar este protocolo, sempre recomendando a utilização de firmware mais recente. É pré-requisito a utilização de equipamentos com capacidade de roteamento, como pode ser verificado através do comando show system. TecnoPUC-NOC#show system Product ------Model: DmSwitch3324F2 System capabilities: Bridge, Router OID: 1.3.6.1.4.1.3709.1.2.19 Factory ------ID: DATACOM 624592 2 Documento de Uso Público MAC Address: User configurable ----------------Name: Location: Contact: 00:04:DF:10:64:CA TecnoPUC-NOC TecnoPUC-NOC# Note que a informação de System capabilities expressa que o equipamento é capaz de roteamento. Serão necessários ao menos dois equipamentos com esta capacidade, pois o VRRP funciona em um sistema mestre-escravo. Este sistema mestre-escravo significa que um switch ficará ativo, comunicando com default gateway para os hosts da rede. O outro switch ficará em espera, aguardando o momento em que o primeiro deixe de operar. Existe um protocolo de comunicação para garantir que o escravo (ou escravos, é possível ter mais de um) reconheça quando o mestre falhar. Esta falha pode ser tanto física quanto lógica: queda de energia, desconfiguração, desconexão de link, entre outros, são os erros imaginados neste setup. Nas próximas seções será explicado o procedimento de configuração e utilização deste protocolo. Desenvolvimento inicial Conforme visto anteriormente, o VRRP necessita de pelo menos dois switches. A configuração destes é praticamente idêntica, apenas variando os IPs deles e a condição de prioridade e mestre do VRRP. É recomendado o uso de um terceiro switch, operando apenas em L2, para facilitar a agregação da rede. Caso não se utilize este switch, e conectem-se os hosts diretamente aos L3, pode acontecer que uma falha em um L3 faça com que os hosts conectados a ele percam acesso total à rede. Setup básico Considere a seguinte figura como topologia sugerida. Existem três níveis diferentes, representando os elementos da topologia: Redes acessíveis são aquelas roteadas a partir dos elementos L3; Roteadores VRRP são os equipamentos que encaminharão os pacotes, bem como estarão disponíveis de forma redundante para o nível local; O nível local é composto de switches L2 e dos hosts locais, como os computadores; DATACOM 3 Documento de Uso Público Os níveis são segmentos separados de rede, não devendo jamais se comunicar diretamente. Caso isso ocorra, podem ocorrer loops não previstos. Não recomenda-se o uso de spanning-tree e outros protocolos de controle L2 nas portas conectadas a outros elementos L3. A conexão entre os dois roteadores é recomendada para aumentar a resiliência da solução em caso de falhas individuais dos links. A explicação será detalhada em momento oportuno. A configuração pode iniciar separando um conjunto de portas. A tabela abaixo reflete as escolhas. A nomenclatura de portas seguirá o padrão do DmSwitch 3324, podendo sempre ser adaptada para outros elementos da família. DATACOM 4 Documento de Uso Público Elemento Porta(s) Função e Observações Roteador L3 1/1 até 1/25 Desligada através de shutdown, por segurança Roteador L3 1/26 Porta para ligação ao switch L2, será untagged na VLAN do VRRP Roteador L3 1/27 Porta para ligação ao outro Roteador L3, será untagged em uma VLAN de inter-roteamento, desligar STP Roteador L3 1/28 Porta para ligação aos roteadores que levam à outras redes Switch L2 1/1 até 1/28 Basta estarem em uma mesma VLAN, STP preferencialmente ativo Com base nestas portas escolhidas, a configuração de exemplo nos Roteadores L3 é explicada passo-a-passo abaixo. Ajustar os endereços IP conforme cada roteador. 1. Entrar no modo de configuração dos Roteadores R1 e R2: config 2. Habilitar o funcionamento do Roteamento IP: ip routing 3. Habilitar a detecção de links em VLAN. Esta opção é importante para que as VLANs sejam desligadas caso não exista nenhuma porta ativa naquela VLAN. Evita problemas de redes inalcançáveis: vlan link-detect 4. Configurar uma VLAN que servirá para comunicação com os clientes Utilizar um bloco IP de tamanho adequado para a rede. Nesta VLAN será realizada a configuração de uma instância VRRP, que pode ter uma chave de segurança. Atribuir já a porta correta: interface vlan 2 name VLAN_clientes_L2 ip address 2.0.0.1/24 set-member untagged ethernet 1/26 vrrp 2 ip 2.0.0.254 vrrp 2 auth chaveSecreta interface ethernet 1/26 switchport native vlan 2 5. Configurar a VLAN para comunicação entre os Roteadores L3. Para evitar o desperdício de endereçamento IP recomenda-se a utilização de redes /30. Atribuir já a porta correta, e desligar STP pois esta é uma porta L3: DATACOM 5 Documento de Uso Público interface vlan 5 ip address 5.0.0.1/30 set-member untagged ethernet 1/27 interface ethernet 1/27 switchport native vlan 5 no spanning-tree 1 6. A VLAN de configuração com os roteadores de uplink, que alcançam outras redes. Atribuir já a porta correta, e desligar STP pois esta é uma porta L3: interface vlan 10 ip address 10.0.0.1/24 set-member untagged ethernet 1/28 interface ethernet 1/28 switchport native vlan 10 no spanning-tree 1 7. É importante escolher um mestre VRRP, e definir sua prioridade. ATENÇÃO: podem existir prioridades diferentes, porém apenas um mestre. E o mestre deve sempre ter o maior número na prioridade. Em caso de empate, será escolhido através do maior IP na VLAN do VRRP. interface vlan 2 vrrp 2 priority 123 8. Desabilitar a VLAN 1, de forma a evitar problemas de loop: interface vlan 1 no set-member ethernet all exit 9. Finalizar a configuração, colocando as rotas corretas para as redes. Importante colocar rotas redundantes para a rede local e para o default-gateway através do link entre os roteadores, aumentando assim a resiliência da solução. ip default-gateway 10.0.0.254 ip route 2.0.0.0/24 5.0.0.2 distance 254 ip route 0.0.0.0/0 5.0.0.2 distance 254 10. Ao término desta configuração, e tendo os cabeamento já conectado, será possível comunicar entre os dois roteadores com todos os IPs configurados. Agora, os hosts da sub-rede podem começar a configurar o IP do VRRP como seu destino padrão, e conseguirão atingir as redes destino. Pode-se apontar como caminho para a rede 2.0.0.0/24 ambos os Roteadores L3: ambos são capazes de encaminhar o tráfego de retorno até a rede. Setup com roteamento dinâmico O VRRP pode ser auxiliado com roteamento dinâmico, provendo dinamismo na escolha do caminho de entrada e de saída da rede. A configuração do setup é praticamente igual ao procedimento anterior, com diferenças apenas no que diz respeito à escolha de rotas. DATACOM 6 Documento de Uso Público 1. Repetir a configuração anterior, ignorando o último passo. 2. No passo final, onde eram configurado o ip route para cada destino, pode-se ativar o OSPF: ip default-gateway 10.0.0.254 router ospf redistribute connected network 5.0.0.0/30 area 5.0.0.0 3. Se for necessário comunicar com outras redes OSPF, ajustar corretamente a configuração de network e area conforme a topologia a ser seguida. 4. Se for utilizado BGP para comunicar com as outras redes remotas, pode-se fazer da forma a seguir. Lembrando que a configuração BGP está fora do escopo deste documento. router bgp 5000 redistribute connected neighbor 10.0.0.254 remote-as 5000 Explorando possibilidades A solução apresentada na seção anterior é muito poderosa, mas não apresenta todas as possibilidades que o VRRP possui no DmSwitch. Abaixo segue uma topologia mais complexa, com uso de múltiplas instâncias e um número maior de roteadores protegendo diferentes sub-redes. Será criada uma topologia muito parecida com a anterior, porém com os seguintes adicionais: serão utilizados 3 roteadores e 2 switches de acesso; existirão 2 VLANs distintas para proteção. Chamaremos estas VLANs (A) e (B); a VLAN (A), serão protegidas duas sub-redes (um IP secundário); estas sub-redes da VLAN (A) serão chamadas de (A.1) e (A.2); uma instância VRRP protegerá a VLAN (A) utilizando os 3 roteadores (R1,R2,R3); outra instância VRRP protegerá a VLAN (B) utilizando apenas 2 roteadores (R1,R3); DATACOM 7 Documento de Uso Público Como explicado anteriormente, é importante que os roteadores tenham ligação entre si para evitar perda de tráfego em caso de quedas do link para as outras redes. Por existirem três roteadores nesta topologia, eles estarão conectados no chamado full mesh (todos com todos). A utilização de dois switches de acesso com duas VLANs também alterará o modo de comunicação entre os equipamentos. Agora as VLANs devem ser enviadas tagged entre cada um, mesmo que continuem untagged para os clientes finais (computadores). Mesmo com existência de duas redes IP na VLAN (A), os computadores desta deverão utilizar o gateway correto de cada rede para atingir as outras. Inclusive, se um computador da rede (A.1) tentar comunicar com outro na (A.2), acontecerá roteamento IP através do roteador. DATACOM 8 Documento de Uso Público Configuração dos roteadores Para informações no formato passo-a-passo, vide a subseção Setup Básico, na seção de Desenvolvimento. Para facilitar a leitura, esta subseção será mais direta. Elemento Porta(s) Função e Observações Roteadores L3 R1,R2,R3 1/1 até 1/24 Desligada através de shutdown, por segurança Roteadores L3 R1,R2,R3 1/26 Porta para ligação ao switch L2, será tagged nas VLANs (A) e (B) Roteadores L3 R1 1/25 Ligação para roteador R3 Roteadores L3 R1 1/27 Ligação para roteador R2 Roteadores L3 R2 1/25 Ligação para roteador R3 Roteadores L3 R2 1/27 Ligação para roteador R1 Roteadores L3 R3 1/25 Ligação para roteador R2 Roteadores L3 R3 1/27 Ligação para roteador R1 Roteadores L3 R1,R2,R3 1/28 Porta para ligação aos roteadores que levam à outras redes Nota importante sobre múltiplas instâncias VRRP em mesma VLAN: atualmente, na versão 7.6.2 do firmware, não é possível configurar múltiplas instâncias do VRRP em uma mesma VLAN. Estes passos devem ser ignorados ao longo do caderno. 1. Configuração do Roteador R1: Este roteador será o mestre da instância 20 do VRRP (rede A.1). Será o primeiro escravo na rede B. Será o segundo escravo na rede A.2. config ip routing vlan link-detect interface vlan 5 name VLAN_roteadores ip address 5.0.0.1/29 set-member untagged ethernet 1/25 set-member untagged ethernet 1/27 interface ethernet 1/25 description Ligacao_R1-R3 switchport native vlan 5 DATACOM 9 Documento de Uso Público interface ethernet 1/27 description Ligacao_R1-R2 switchport native vlan 5 interface vlan 20 name VLAN_clientes_L2_VLAN_A ip address 2.0.0.1/24 ip address 2.1.0.1/24 secondary set-member tagged ethernet 1/26 vrrp 20 ip 2.0.0.254 vrrp 20 auth chaveSecreta vrrp 21 ip 2.1.0.254 vrrp 21 auth chaveSecreta interface vlan 30 name VLAN_clientes_L2_VLAN_B ip address 3.0.0.1/24 set-member tagged ethernet 1/26 vrrp 30 ip 3.0.0.254 vrrp 30 auth chaveSecreta interface vlan 10 ip address 10.0.1.1/24 set-member untagged ethernet 1/28 interface ethernet 1/28 switchport native vlan 10 no spanning-tree 1 interface vlan 20 vrrp 20 priority 300 vrrp 21 priority 100 interface vlan 30 vrrp 30 priority 100 interface vlan 1 no set-member ethernet all exit ip default-gateway 10.0.1.254 ip ip ip ip route route route route 2.0.0.0/24 2.1.0.0/24 2.0.0.0/24 2.1.0.0/24 5.0.0.2 5.0.0.2 5.0.0.3 5.0.0.3 distance distance distance distance 254 254 254 254 ip route 3.0.0.0/24 5.0.0.3 distance 254 ip route 0.0.0.0/0 5.0.0.2 distance 254 ip route 0.0.0.0/0 5.0.0.3 distance 254 2. Configuração do Roteador R2: DATACOM 10 Documento de Uso Público Este roteador será o mestre da instância 21 do VRRP (rede A.2). Será o segundo escravo na rede A.2. Não participará da rede B. config ip routing vlan link-detect interface vlan 5 name VLAN_roteadores ip address 5.0.0.2/29 set-member untagged ethernet 1/25 set-member untagged ethernet 1/27 interface ethernet 1/25 description Ligacao_R2-R3 switchport native vlan 5 interface ethernet 1/27 description Ligacao_R2-R1 switchport native vlan 5 interface vlan 20 name VLAN_clientes_L2_VLAN_A ip address 2.0.0.2/24 ip address 2.1.0.2/24 secondary set-member tagged ethernet 1/26 vrrp 20 ip 2.0.0.254 vrrp 20 auth chaveSecreta vrrp 21 ip 2.1.0.254 vrrp 21 auth chaveSecreta interface vlan 10 ip address 10.0.2.1/24 set-member untagged ethernet 1/28 interface ethernet 1/28 switchport native vlan 10 no spanning-tree 1 interface vlan 20 vrrp 20 priority 100 vrrp 21 priority 300 interface vlan 1 no set-member ethernet all exit ip default-gateway 10.0.2.254 ip ip ip ip route route route route 2.0.0.0/24 2.1.0.0/24 2.0.0.0/24 2.1.0.0/24 5.0.0.1 5.0.0.1 5.0.0.3 5.0.0.3 distance distance distance distance 254 254 254 254 ip route 3.0.0.0/24 5.0.0.1 distance 254 DATACOM 11 Documento de Uso Público ip route 3.0.0.0/24 5.0.0.3 distance 254 ip route 0.0.0.0/0 5.0.0.1 distance 254 ip route 0.0.0.0/0 5.0.0.3 distance 254 1. Configuração do Roteador R3: Este roteador será o mestre da instância 30 do VRRP (rede B). Será o primeiro escravo nas redes A.1 e A.2. config ip routing vlan link-detect interface vlan 5 name VLAN_roteadores ip address 5.0.0.3/29 set-member untagged ethernet 1/25 set-member untagged ethernet 1/27 interface ethernet 1/25 description Ligacao_R3-R2 switchport native vlan 5 interface ethernet 1/27 description Ligacao_R3-R1 switchport native vlan 5 interface vlan 20 name VLAN_clientes_L2_VLAN_A ip address 2.0.0.3/24 ip address 2.1.0.3/24 secondary set-member tagged ethernet 1/26 vrrp 20 ip 2.0.0.254 vrrp 20 auth chaveSecreta vrrp 21 ip 2.1.0.254 vrrp 21 auth chaveSecreta interface vlan 30 name VLAN_clientes_L2_VLAN_B ip address 3.0.0.3/24 set-member tagged ethernet 1/26 vrrp 30 ip 3.0.0.254 vrrp 30 auth chaveSecreta interface vlan 10 ip address 10.0.3.1/24 set-member untagged ethernet 1/28 interface ethernet 1/28 switchport native vlan 10 no spanning-tree 1 interface vlan 20 DATACOM 12 Documento de Uso Público vrrp 20 priority 200 vrrp 21 priority 200 interface vlan 30 vrrp 30 priority 200 interface vlan 1 no set-member ethernet all exit ip default-gateway 10.0.3.254 ip ip ip ip route route route route 2.0.0.0/24 2.1.0.0/24 2.0.0.0/24 2.1.0.0/24 5.0.0.1 5.0.0.1 5.0.0.2 5.0.0.2 distance distance distance distance 254 254 254 254 ip route 3.0.0.0/24 5.0.0.1 distance 254 ip route 0.0.0.0/0 5.0.0.1 distance 254 ip route 0.0.0.0/0 5.0.0.2 distance 254 Configuração dos elementos de acesso Elemento Porta(s) Função e Observações Switches L2 1/1 até 1/12 Untagged na VLANs (A) Switches L2 1/13 até 1/24 Untagged na VLAN (B) Switches L2 1/25 até 1/28 Tagged nas VLANs (A) e (B), ligação aos roteadores R1,R2,R3 Os switches de acesso terão a seguinte configuração. config interface vlan 20 set-member untagged ethernet range 1/1 1/12 set-member tagged ethernet range 1/25 1/28 interface vlan 30 set-member untagged ethernet range 1/13 1/24 set-member tagged ethernet range 1/25 1/28 interface ethernet range 1/1 1/12 switchport native vlan 20 interface ethernet range 1/13 1/24 switchport native vlan 30 interface vlan 1 no set-member ethernet all DATACOM 13 Documento de Uso Público Configuração dos computadores Utilizando três computadores, conectá-los conforme a tabela abaixo. Computador (interface principal, eth0) Ligação no switch L2 IP PC 1 Switch 1 porta 1/1 2.0.0.100/24 PC 2 Switch 1 porta 1/13 3.0.0.100/24 PC 3 Switch 1 porta 1/1 2.1.0.100/24 A configuração no Linux é relativamente simples, ficando documentada a seguir para facilitar. 1. PC 1 ifconfig eth0 2.0.0.100 netmask 255.255.255.0 up route add default gw 2.0.0.254 2. PC 2 ifconfig eth0 3.0.0.100 netmask 255.255.255.0 up route add default gw 3.0.0.254 3. PC 3 ifconfig eth0 2.1.0.100 netmask 255.255.255.0 up route add default gw 2.1.0.254 Agora, todos os computadores devem conseguir se pingar e realizar troca de tráfego normalmente. Por exemplo, para pingar o PC1 a partir dos PCs 2 e 3: ping -i .1 2.0.0.100 Bateria de testes Todos os computadores devem conseguir acesso um ao outro, porém sempre através do seu gateway. Realizar um ICMP PING entre os PCs, por exemplo, devem mostrar apenas a entrada MAC do roteador. Um PC não pode e não vai aprender o MAC do outro diretamente, mesmo que na mesma VLAN. O comando abaixo vai mostrar apenas a entrada MAC do gateway. arp -a DATACOM 14 Documento de Uso Público Considerações Finais Como visto ao longo deste documento, o VRRP é útil para redes que necessitam gateways de acesso redundantes. O funcionamento é explicado em diversas aplicações, todas suportadas atualmente pela família de switches DATACOM. É possível utilizar roteamento estático ou dinâmico com o VRRP, aumentando a gama de soluções atendidas. Para maiores informações sobre o roteamento dinâmico, recomenda-se a leitura dos Application Notes específicos sobre este assunto. DATACOM 15 Documento de Uso Público
Documentos relacionados
Utilização em uma LAN com switch
Ethernet do computador monitorado receba quadros e o tcpdump possa mostrar então o campo tag. 7. VLANs podem ser compostas por estações conectadas a diferentes switches. Conecte o switch de sua ban...
Leia maisConfiguração Básica Ip phone utilizando o packet tracer 5.3.
Como vamos utilizar apenas telefones não vamos ter duas VLANs separadas para voz e dados, por isso vamos utilizar a VLAN 1 mesmo como VLAN de Voz. Esse comando é utilizado para separar o tráfego de...
Leia maisVLAN - LIP Minho
• Tagged e Untagged – Também é possível ter uma única default VLAN untagged e múltiplas VLANs tagged – Tráfego originário da estação que não tenha TAG é encaminhado para a VLAN default – Tráfego co...
Leia mais