Application Notes: VRRP

Application Notes: VRRP
Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch
Parecer
Introdução
Desenvolvimento inicial
Setup básico
Setup com roteamento dinâmico
Explorando possibilidades
Configuração dos roteadores
Configuração dos elementos de acesso
Configuração dos computadores
Bateria de testes
Considerações Finais
Application Notes: VRRP
Aplicabilidade do Virtual Router Redundancy Protocol no DmSwitch
Documento de Uso Público. Data 01/03/2010, Revisão 1.1
Parecer
Introdução
Desenvolvimento inicial
Setup básico
Setup com roteamento dinâmico
Explorando possibilidades
Configuração dos roteadores
Configuração dos elementos de acesso
Configuração dos computadores
Bateria de testes
Considerações Finais
Parecer
A tecnologia de redundância virtual de roteadores é de suma importância para aplicações críticas que
necessitam acesso L3 com o menor tempo parado possível. Os switches de rede DATACOM suportam
este protocolo, inclusive com utilização em redes complexas, como anéis Metro.
Introdução
O VRRP, Virtual Router Redundancy Protocol é descrito pela RFC 3768, e é desenhado para prover maior
disponibilidade em gateways de acesso em subredes. Neste documento veremos a utilização deste
protocolo nos switches DATACOM, bem como exemplos de configuração e soluções para possíveis erros
de configuração.
Os equipamentos da linha DmSwitch3000 (L3) e DM4000 estão aptos para operar este protocolo, sempre
recomendando a utilização de firmware mais recente. É pré-requisito a utilização de equipamentos com
capacidade de roteamento, como pode ser verificado através do comando show system.
TecnoPUC-NOC#show system
Product
------Model:
DmSwitch3324F2
System capabilities: Bridge, Router
OID:
1.3.6.1.4.1.3709.1.2.19
Factory
------ID:
DATACOM
624592
2
Documento de Uso Público
MAC Address:
User configurable
----------------Name:
Location:
Contact:
00:04:DF:10:64:CA
TecnoPUC-NOC
TecnoPUC-NOC#
Note que a informação de System capabilities expressa que o equipamento é capaz de roteamento. Serão
necessários ao menos dois equipamentos com esta capacidade, pois o VRRP funciona em um sistema
mestre-escravo.
Este sistema mestre-escravo significa que um switch ficará ativo, comunicando com default gateway para
os hosts da rede. O outro switch ficará em espera, aguardando o momento em que o primeiro deixe de
operar. Existe um protocolo de comunicação para garantir que o escravo (ou escravos, é possível ter mais
de um) reconheça quando o mestre falhar.
Esta falha pode ser tanto física quanto lógica: queda de energia, desconfiguração, desconexão de link,
entre outros, são os erros imaginados neste setup.
Nas próximas seções será explicado o procedimento de configuração e utilização deste protocolo.
Desenvolvimento inicial
Conforme visto anteriormente, o VRRP necessita de pelo menos dois switches. A configuração destes é
praticamente idêntica, apenas variando os IPs deles e a condição de prioridade e mestre do VRRP.
É recomendado o uso de um terceiro switch, operando apenas em L2, para facilitar a agregação da rede.
Caso não se utilize este switch, e conectem-se os hosts diretamente aos L3, pode acontecer que uma falha
em um L3 faça com que os hosts conectados a ele percam acesso total à rede.
Setup básico
Considere a seguinte figura como topologia sugerida. Existem três níveis diferentes, representando os
elementos da topologia:
Redes acessíveis são aquelas roteadas a partir dos elementos L3;
Roteadores VRRP são os equipamentos que encaminharão os pacotes, bem como estarão disponíveis
de forma redundante para o nível local;
O nível local é composto de switches L2 e dos hosts locais, como os computadores;
DATACOM
3
Documento de Uso Público
Os níveis são segmentos separados de rede, não devendo jamais se comunicar diretamente. Caso isso
ocorra, podem ocorrer loops não previstos. Não recomenda-se o uso de spanning-tree e outros
protocolos de controle L2 nas portas conectadas a outros elementos L3.
A conexão entre os dois roteadores é recomendada para aumentar a resiliência da solução em caso de
falhas individuais dos links. A explicação será detalhada em momento oportuno.
A configuração pode iniciar separando um conjunto de portas. A tabela abaixo reflete as escolhas. A
nomenclatura de portas seguirá o padrão do DmSwitch 3324, podendo sempre ser adaptada para outros
elementos da família.
DATACOM
4
Documento de Uso Público
Elemento
Porta(s)
Função e Observações
Roteador
L3
1/1 até
1/25
Desligada através de shutdown, por segurança
Roteador
L3
1/26
Porta para ligação ao switch L2, será untagged na VLAN do VRRP
Roteador
L3
1/27
Porta para ligação ao outro Roteador L3, será untagged em uma VLAN
de inter-roteamento, desligar STP
Roteador
L3
1/28
Porta para ligação aos roteadores que levam à outras redes
Switch L2
1/1 até
1/28
Basta estarem em uma mesma VLAN, STP preferencialmente ativo
Com base nestas portas escolhidas, a configuração de exemplo nos Roteadores L3 é explicada
passo-a-passo abaixo. Ajustar os endereços IP conforme cada roteador.
1. Entrar no modo de configuração dos Roteadores R1 e R2:
config
2. Habilitar o funcionamento do Roteamento IP:
ip routing
3. Habilitar a detecção de links em VLAN. Esta opção é importante para que as VLANs sejam
desligadas caso não exista nenhuma porta ativa naquela VLAN. Evita problemas de redes
inalcançáveis:
vlan link-detect
4. Configurar uma VLAN que servirá para comunicação com os clientes Utilizar um bloco IP de
tamanho adequado para a rede. Nesta VLAN será realizada a configuração de uma instância VRRP,
que pode ter uma chave de segurança. Atribuir já a porta correta:
interface vlan 2
name VLAN_clientes_L2
ip address 2.0.0.1/24
set-member untagged ethernet 1/26
vrrp 2 ip 2.0.0.254
vrrp 2 auth chaveSecreta
interface ethernet 1/26
switchport native vlan 2
5. Configurar a VLAN para comunicação entre os Roteadores L3. Para evitar o desperdício de
endereçamento IP recomenda-se a utilização de redes /30. Atribuir já a porta correta, e desligar STP
pois esta é uma porta L3:
DATACOM
5
Documento de Uso Público
interface vlan 5
ip address 5.0.0.1/30
set-member untagged ethernet 1/27
interface ethernet 1/27
switchport native vlan 5
no spanning-tree 1
6. A VLAN de configuração com os roteadores de uplink, que alcançam outras redes. Atribuir já a porta
correta, e desligar STP pois esta é uma porta L3:
interface vlan 10
ip address 10.0.0.1/24
set-member untagged ethernet 1/28
interface ethernet 1/28
switchport native vlan 10
no spanning-tree 1
7. É importante escolher um mestre VRRP, e definir sua prioridade. ATENÇÃO: podem existir
prioridades diferentes, porém apenas um mestre. E o mestre deve sempre ter o maior número na
prioridade. Em caso de empate, será escolhido através do maior IP na VLAN do VRRP.
interface vlan 2
vrrp 2 priority 123
8. Desabilitar a VLAN 1, de forma a evitar problemas de loop:
interface vlan 1
no set-member ethernet all
exit
9. Finalizar a configuração, colocando as rotas corretas para as redes. Importante colocar rotas
redundantes para a rede local e para o default-gateway através do link entre os roteadores,
aumentando assim a resiliência da solução.
ip default-gateway 10.0.0.254
ip route 2.0.0.0/24 5.0.0.2 distance 254
ip route 0.0.0.0/0 5.0.0.2 distance 254
10. Ao término desta configuração, e tendo os cabeamento já conectado, será possível comunicar entre os
dois roteadores com todos os IPs configurados.
Agora, os hosts da sub-rede podem começar a configurar o IP do VRRP como seu destino
padrão, e conseguirão atingir as redes destino. Pode-se apontar como caminho para a rede
2.0.0.0/24 ambos os Roteadores L3: ambos são capazes de encaminhar o tráfego de retorno até a
rede.
Setup com roteamento dinâmico
O VRRP pode ser auxiliado com roteamento dinâmico, provendo dinamismo na escolha do caminho de
entrada e de saída da rede. A configuração do setup é praticamente igual ao procedimento anterior, com
diferenças apenas no que diz respeito à escolha de rotas.
DATACOM
6
Documento de Uso Público
1. Repetir a configuração anterior, ignorando o último passo.
2. No passo final, onde eram configurado o ip route para cada destino, pode-se ativar o OSPF:
ip default-gateway 10.0.0.254
router ospf
redistribute connected
network 5.0.0.0/30 area 5.0.0.0
3. Se for necessário comunicar com outras redes OSPF, ajustar corretamente a configuração de network
e area conforme a topologia a ser seguida.
4. Se for utilizado BGP para comunicar com as outras redes remotas, pode-se fazer da forma a seguir.
Lembrando que a configuração BGP está fora do escopo deste documento.
router bgp 5000
redistribute connected
neighbor 10.0.0.254 remote-as 5000
Explorando possibilidades
A solução apresentada na seção anterior é muito poderosa, mas não apresenta todas as possibilidades que o
VRRP possui no DmSwitch. Abaixo segue uma topologia mais complexa, com uso de múltiplas instâncias
e um número maior de roteadores protegendo diferentes sub-redes.
Será criada uma topologia muito parecida com a anterior, porém com os seguintes adicionais:
serão utilizados 3 roteadores e 2 switches de acesso;
existirão 2 VLANs distintas para proteção. Chamaremos estas VLANs (A) e (B);
a VLAN (A), serão protegidas duas sub-redes (um IP secundário);
estas sub-redes da VLAN (A) serão chamadas de (A.1) e (A.2);
uma instância VRRP protegerá a VLAN (A) utilizando os 3 roteadores (R1,R2,R3);
outra instância VRRP protegerá a VLAN (B) utilizando apenas 2 roteadores (R1,R3);
DATACOM
7
Documento de Uso Público
Como explicado anteriormente, é importante que os roteadores tenham ligação entre si para evitar
perda de tráfego em caso de quedas do link para as outras redes. Por existirem três roteadores nesta
topologia, eles estarão conectados no chamado full mesh (todos com todos).
A utilização de dois switches de acesso com duas VLANs também alterará o modo de comunicação
entre os equipamentos. Agora as VLANs devem ser enviadas tagged entre cada um, mesmo que
continuem untagged para os clientes finais (computadores).
Mesmo com existência de duas redes IP na VLAN (A), os computadores desta deverão utilizar o
gateway correto de cada rede para atingir as outras. Inclusive, se um computador da rede (A.1) tentar
comunicar com outro na (A.2), acontecerá roteamento IP através do roteador.
DATACOM
8
Documento de Uso Público
Configuração dos roteadores
Para informações no formato passo-a-passo, vide a subseção Setup Básico, na seção de Desenvolvimento.
Para facilitar a leitura, esta subseção será mais direta.
Elemento
Porta(s)
Função e Observações
Roteadores L3
R1,R2,R3
1/1 até
1/24
Desligada através de shutdown, por segurança
Roteadores L3
R1,R2,R3
1/26
Porta para ligação ao switch L2, será tagged nas VLANs (A)
e (B)
Roteadores L3 R1
1/25
Ligação para roteador R3
Roteadores L3 R1
1/27
Ligação para roteador R2
Roteadores L3 R2
1/25
Ligação para roteador R3
Roteadores L3 R2
1/27
Ligação para roteador R1
Roteadores L3 R3
1/25
Ligação para roteador R2
Roteadores L3 R3
1/27
Ligação para roteador R1
Roteadores L3
R1,R2,R3
1/28
Porta para ligação aos roteadores que levam à outras redes
Nota importante sobre múltiplas instâncias VRRP em mesma VLAN: atualmente, na versão 7.6.2 do
firmware, não é possível configurar múltiplas instâncias do VRRP em uma mesma VLAN. Estes passos
devem ser ignorados ao longo do caderno.
1. Configuração do Roteador R1:
Este roteador será o mestre da instância 20 do VRRP (rede A.1). Será o primeiro escravo na rede B.
Será o segundo escravo na rede A.2.
config
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.1/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface ethernet 1/25
description Ligacao_R1-R3
switchport native vlan 5
DATACOM
9
Documento de Uso Público
interface ethernet 1/27
description Ligacao_R1-R2
switchport native vlan 5
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.1/24
ip address 2.1.0.1/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 30
name VLAN_clientes_L2_VLAN_B
ip address 3.0.0.1/24
set-member tagged ethernet 1/26
vrrp 30 ip 3.0.0.254
vrrp 30 auth chaveSecreta
interface vlan 10
ip address 10.0.1.1/24
set-member untagged ethernet 1/28
interface ethernet 1/28
switchport native vlan 10
no spanning-tree 1
interface vlan 20
vrrp 20 priority 300
vrrp 21 priority 100
interface vlan 30
vrrp 30 priority 100
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.1.254
ip
ip
ip
ip
route
route
route
route
2.0.0.0/24
2.1.0.0/24
2.0.0.0/24
2.1.0.0/24
5.0.0.2
5.0.0.2
5.0.0.3
5.0.0.3
distance
distance
distance
distance
254
254
254
254
ip route 3.0.0.0/24 5.0.0.3 distance 254
ip route 0.0.0.0/0 5.0.0.2 distance 254
ip route 0.0.0.0/0 5.0.0.3 distance 254
2. Configuração do Roteador R2:
DATACOM
10
Documento de Uso Público
Este roteador será o mestre da instância 21 do VRRP (rede A.2). Será o segundo escravo na rede A.2.
Não participará da rede B.
config
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.2/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface ethernet 1/25
description Ligacao_R2-R3
switchport native vlan 5
interface ethernet 1/27
description Ligacao_R2-R1
switchport native vlan 5
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.2/24
ip address 2.1.0.2/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 10
ip address 10.0.2.1/24
set-member untagged ethernet 1/28
interface ethernet 1/28
switchport native vlan 10
no spanning-tree 1
interface vlan 20
vrrp 20 priority 100
vrrp 21 priority 300
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.2.254
ip
ip
ip
ip
route
route
route
route
2.0.0.0/24
2.1.0.0/24
2.0.0.0/24
2.1.0.0/24
5.0.0.1
5.0.0.1
5.0.0.3
5.0.0.3
distance
distance
distance
distance
254
254
254
254
ip route 3.0.0.0/24 5.0.0.1 distance 254
DATACOM
11
Documento de Uso Público
ip route 3.0.0.0/24 5.0.0.3 distance 254
ip route 0.0.0.0/0 5.0.0.1 distance 254
ip route 0.0.0.0/0 5.0.0.3 distance 254
1. Configuração do Roteador R3:
Este roteador será o mestre da instância 30 do VRRP (rede B). Será o primeiro escravo nas redes A.1
e A.2.
config
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.3/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface ethernet 1/25
description Ligacao_R3-R2
switchport native vlan 5
interface ethernet 1/27
description Ligacao_R3-R1
switchport native vlan 5
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.3/24
ip address 2.1.0.3/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 30
name VLAN_clientes_L2_VLAN_B
ip address 3.0.0.3/24
set-member tagged ethernet 1/26
vrrp 30 ip 3.0.0.254
vrrp 30 auth chaveSecreta
interface vlan 10
ip address 10.0.3.1/24
set-member untagged ethernet 1/28
interface ethernet 1/28
switchport native vlan 10
no spanning-tree 1
interface vlan 20
DATACOM
12
Documento de Uso Público
vrrp 20 priority 200
vrrp 21 priority 200
interface vlan 30
vrrp 30 priority 200
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.3.254
ip
ip
ip
ip
route
route
route
route
2.0.0.0/24
2.1.0.0/24
2.0.0.0/24
2.1.0.0/24
5.0.0.1
5.0.0.1
5.0.0.2
5.0.0.2
distance
distance
distance
distance
254
254
254
254
ip route 3.0.0.0/24 5.0.0.1 distance 254
ip route 0.0.0.0/0 5.0.0.1 distance 254
ip route 0.0.0.0/0 5.0.0.2 distance 254
Configuração dos elementos de acesso
Elemento
Porta(s)
Função e Observações
Switches L2 1/1 até 1/12
Untagged na VLANs (A)
Switches L2 1/13 até 1/24
Untagged na VLAN (B)
Switches L2 1/25 até 1/28 Tagged nas VLANs (A) e (B), ligação aos roteadores R1,R2,R3
Os switches de acesso terão a seguinte configuração.
config
interface vlan 20
set-member untagged ethernet range 1/1 1/12
set-member tagged ethernet range 1/25 1/28
interface vlan 30
set-member untagged ethernet range 1/13 1/24
set-member tagged ethernet range 1/25 1/28
interface ethernet range 1/1 1/12
switchport native vlan 20
interface ethernet range 1/13 1/24
switchport native vlan 30
interface vlan 1
no set-member ethernet all
DATACOM
13
Documento de Uso Público
Configuração dos computadores
Utilizando três computadores, conectá-los conforme a tabela abaixo.
Computador (interface principal, eth0) Ligação no switch L2
IP
PC 1
Switch 1 porta 1/1
2.0.0.100/24
PC 2
Switch 1 porta 1/13
3.0.0.100/24
PC 3
Switch 1 porta 1/1
2.1.0.100/24
A configuração no Linux é relativamente simples, ficando documentada a seguir para facilitar.
1. PC 1
ifconfig eth0 2.0.0.100 netmask 255.255.255.0 up
route add default gw 2.0.0.254
2. PC 2
ifconfig eth0 3.0.0.100 netmask 255.255.255.0 up
route add default gw 3.0.0.254
3. PC 3
ifconfig eth0 2.1.0.100 netmask 255.255.255.0 up
route add default gw 2.1.0.254
Agora, todos os computadores devem conseguir se pingar e realizar troca de tráfego normalmente.
Por exemplo, para pingar o PC1 a partir dos PCs 2 e 3:
ping -i .1 2.0.0.100
Bateria de testes
Todos os computadores devem conseguir acesso um ao outro, porém sempre através do seu gateway.
Realizar um ICMP PING entre os PCs, por exemplo, devem mostrar apenas a entrada MAC do roteador.
Um PC não pode e não vai aprender o MAC do outro diretamente, mesmo que na mesma VLAN.
O comando abaixo vai mostrar apenas a entrada MAC do gateway.
arp -a
DATACOM
14
Documento de Uso Público
Considerações Finais
Como visto ao longo deste documento, o VRRP é útil para redes que necessitam gateways de acesso
redundantes. O funcionamento é explicado em diversas aplicações, todas suportadas atualmente pela
família de switches DATACOM.
É possível utilizar roteamento estático ou dinâmico com o VRRP, aumentando a gama de soluções
atendidas. Para maiores informações sobre o roteamento dinâmico, recomenda-se a leitura dos Application
Notes específicos sobre este assunto.
DATACOM
15
Documento de Uso Público