CCNP 筆記本

2009 年 05 月 10 日

CCNP-BCMSN Module 05 Implementing HSRP/VRRP/GLBP

Filed under: CCNP-BCMSN Module 05 — nkongkimo @ 10:56:23

Proxy ARP

image
Proxy ARP的機制:
1.預設啟動
2.當收到ARP Request的時候,滿足以下條件時會發生Proxy ARP:
    (1)ARP Traget IP(目的地IP)與接收介面不在同一個Subnet上,會發生Proxy-ARP。
    (2)ARP Traget IP(目的地IP)有Routing Info.,會發生Proxy-ARP
3.Proxy-ARP的動作會幫外部的設備代理回應ARP Reply的訊息給PC,告知PC 他知道往目的地的路由資訊。
3.建議關閉Proxy ARP
  (config-if)#no ip proxy-arp
4.檢查Proxy-ARP的方法:
   show ip int fa x/x
image
目前Windows ARP的機制:
1.當PC有設定Default Gateway時,網卡會發ARP去問Gateway的MAC,再往目的地送。
2.當沒有設定Default Gateway跨網段的封包會被Drop。
SW的機制:
不管有無設定Default Gateway都發ARP去詢問Gateway的MAC。

IRDP(ICMP Router Discovery Protocol)

1.預設關閉
2.使用(config-if)#ip irdp啟動
3.使用Broadcast的方式傳送給同網段的設備
4.Router定期告知Subnet 設備Router的存在。
5.使用在Router與PC之間的協定,PC要有支援才可以。
6.雙邊設備都要啟動才有效果。

HSRP(Hot Standby Router Protocol)

image 

  HSRP v1 HSRP v2
Virtual MAC 0000:0C07:ACxx
0000:0C-OUI(廠商識別碼)
07:AC-表示HSRP v1
xx-表示Group(最多256個)
0000:0C9F:Fxxx
0000:0C – OUI(廠商識別碼)
9F:F – 表示HSRP v2
xxx – 表示Group編號(max 4096個)
Virtual IP 使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
與HSRP v1一樣
HSRP 角色
角色 定義
Active Router 1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
Standby Router 當Active Router掛掉時,變成Active的角色,負責Atcive的工作
Speak Router 其他的Router都叫做Speak Router

*更新角色的動作:
Standby Router接手時會發一個ARP的廣播問自己,為了做全部MAC的更新,Src的MAC會是Virtual的MAC,告訴所有人誰是Virtual IP並自己回答是自己的網卡MAC,達到由Sandby並成Active的目的。

與HSRP v1一樣
Hello MSG 224.0.0.2(所有的IPv4的Router)(Multicast位址)
Src & Dest都走1985/UDP
224.0.0.102
Src & Dest都走1985/UDP
HSRP Hello Active Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
與HSRP v1一樣
HSRP Holdtime Active Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
與HSRP v1一樣
HSRP State
狀態 定義
1.Initial(進入) 1.介面剛UP
2.Router 不會送出Hello
2.Learn(學習) 1.已收到Hello的訊息
2.還不知道誰是Active Router
3.還不知道Virtual IP
4.Router不會送出Hello
3.Listen(頃聽) 1.已知道HSRP Group Vritual IP
2.自己的角色還未確定
(可以手動設定or自動學習)
3.Router不會送出Hello
4.Speak 1.主動送出HSRP Hello
2.參與Active / Standby的競選(利用PRI值)
5.Standby(備援) 1.唯一Active的候選人
2.Group只有一個Standby Router
3..開始送出Hello的訊息
6.Active(主要) 1.負責傳送Virtual IP及Virtual MAC
2.Group只有一個Active Router
3.開始送出Hello訊息
與HSRP v1一樣
HSRP 競選 1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
與HSRP v1一樣
Preempt 1.當A為Active Router,B是Standby Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
 
備註 1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。
與HSRP v1一樣

Config HSRP

1.設定群組 & V-IP
 
由此可知V-MAC為0000:0C07:AC01
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
image
image
(2)設定Preempt 確保封包繞送的路徑
*預設沒有啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
image
image
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
*建議Holdtime為3倍的Hello
image
image
(4)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
image
image
3.HSRP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
image   
(2)MD5 key-string認證方法:
*較安全的方式
image  
(3)MD5 Key-chain認證方法:
*最安全的方式
step1:
建立Key-chain(一串鑰匙)
image
step2:
建立key-string
image
step3:
套用到HSRP認證裡面
image

Show的觀察

1.Show standby brief
image
2.show standby
image
3.debug standby
image

Multiple HSRP Group

image
1.一個VLAN下可以設定多組Group,可以達到Load Sharing的機制
2.較少人使用,通常都是由一個Router當作Active,一個Router當作Standby
3.查修較不容易
4.設定在Route Port或SVI上

VRRP(Virtual Router Redundancy Protocol)

image

Virtual MAC 0000.5E00.01XX
0000:5E-OUI(廠商識別碼)
00:01-表示VRRP
xx-表示Group(最多256個)
Virtual IP 使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
VRRP 角色
角色 定義
Master Router 1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
4.只有Master會送出Hello訊息
5.當V-IP被設定為實體Router的IP時,此Router馬上成為Master
Backup Router 1.其他的Router都叫做Backup Router
2.當Master Router掛掉時,會看PRI高的Router成為Master
3.不會送出Hello的訊息
Hello MSG 224.0.0.18
直接封裝在IP封包裡面,Protocol號碼為112
VRRP Hello 1.Advertisement time 預設 1 Sec傳送一次
2.只有Master Router會送Hello
VRRP Holdtime Down Interval = 3* Advertisement Timer + Skew time(傾斜的時間)
註:Skew Time = 256-priority/256
VRRP 競選 1.必須要在同一個Group下
2.當V-IP被設定成實體Router的IP時,此Router馬上成為Master Router。(PRI值會自動設成255)
3.Highest Priority(越大越好),PRI值預設為100。
4.Highest Interface IP(越大越好)
5.當PRI值=0時表示永遠當做Backup角色
Preempt 1.當A為Master Router,B是Bakup Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Master角色搶回來。
2.建議都要設定Preempt
備註 1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.IEEE (RFC 2338)標準,各家都支援(建議使用同一家設備)
5.啟用HSRP時會自動關閉ICMP Redirect。
6.使用tracertout時,會發現第一站為實體IP,非V-IP,是因為TTL的機制所以會出現此狀況。

Config VRRP

1.設定群組 & V-IP
  
由此可知V-MAC為0000.5E00.0110
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
  
(2)設定Preempt 確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
 
(4)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image 
step2:套用到VRRP裡面
image
3.VRRP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:
*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:
*最安全的方式
*步驟皆與設定HSRP相同

Show的觀察

1.Show vrrp brief
 image
2.show vrrp
image

GLBP(Gateway Load Balancing Protocol)

image

Virtual MAC 0007:B4yy:yyyy
0007:B4-OUI(廠商識別碼)
yy:yyyy-表示AVF
 
Group最多1024個
ex:若有一個第一群組的第3個Router,他的V-MAC為0007:B400:01(群組)03(Router)
Virtual IP 使用一個獨立的V-IP及多個V-MAC
V-IP是PC的Default Gateway
*作法第一台PC來詢問就給第一台Router的MAC,第2台來詢問就給第2台Router的MAC…
GLBP角色
角色 定義
AVG
(Active Virtual Gateway)
1.負責Assing V-MAC給Forwarder
    -Dest IP=VIP
    -Dest MAC=AVF MAC
2.負責回應對VIP的Request
3.負責回應ARP
4.會選出Active 及 Standby AVG
AVF
(Active Virtual Forwarder)
1.負責轉送Data的Router
2.再同一個Group裡最多4台AVF
3.每一個Router都是AVF

*GLBP可以達到Load Blance的目標
*GLBP裡同一個Router可以是AVG又是AVF

Hello MSG 224.0.0.102
Src & Dest都走3222/UDP
GLBP Hello Active Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
GLBP Holdtime Active Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
GLBP 競選 1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
4.PRI最大的會成為AVG
5.PRI=0表示永遠都不成為AVG Router
GLBP Load Blance
1.Weight(權重)
*設定權重的方式
2.Host-Dependant
*建議值
*同一個Client詢問時,都會回同一個AVF Router
3.Round-Rabai
*不建議使用
*第一個Client就給他第一個AVF,第2個就給他第2個AVF
Preempt 1.當A為Active AVG Router,B是Standby AVG Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
備註 1.GLBP要達到的目標為,一個Group裡面的Router都可以轉送Data,不像HSRP與VRRP,都只有一台Active的Router轉送Data。
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.多個Router服務一個群組。
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。

Config GLBP

1.設定群組 & V-IP
 
  
由此可知V-MAC為0007:B400:0701
2.最佳化的調整

(1)調整PRI值 確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
  
(2)設定Preempt 確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer 加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
  
(4)load balance 分流的方法
(5)追蹤Tracing 外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image 
step2:套用到GLBP裡面
image
3.GLBP Authentication

(1)Plain-text認證方法:
*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:
*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:
*最安全的方式
*步驟皆與設定HSRP相同

Show的觀察

1.Show glbp brief
*Active Router
  image
*Standby Router
image
2.showglbp
 image
3.showip int fa x/x
image

HSRP/VRRP/GLBP比較表

  HSRP v1 HSRP v2 VRRP GLBP
標準 Cisco Proprietary Cisco Proprietary IEEE (RFC 2338) Cisco Proprietary
Hello Message (IP) 224.0.0.2 224.0.0.102 224.0.0.18 224.0.0.102
Port # / Pro. # 1985 /UDP
(both src & dest Port)
1985 /UDP
(both src & dest Port)
Proto. # 112 3222 /UDP
(both src & dest Port)
Virtual Router # 256 (GID 0~255) 4096 (GID=0~4095) 256 (GID= 0~255) 1024 Groups
4 AVF per Group
  Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Multiple V-MAC
Virtual MAC # 0000.0c07.acXY 0000.0c9F.FXXX 0000.5e00.01XX 0007.b4yy.yyyy
where lower 24-bits: 000000-Group ID-Forwarder #
(6 bits) (10 bits) (8 bits)
角色 1 Active/ 1 Standby/ others: Speak 1 Active/ 1 Standby/ others: Speak 1 Master / Others : Backup AVG: Assign V-MAC / Reply ARP Request for VIP
AVF: Forward packets destinated for V-MAC
Router Election 1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
Hello Timer 3 Sec (Active/Standby/Speak都會送) 3Sec (Active/Standby/Speak
都會送)
Advertisement Interval: 1 Sec
(只有Master會送)
3 Sec. (learnedn form AVG)
Hold-Down Timer Active Timer: 10 Sec
Standby Timer: 10 Sec
Active Timer: 10 Sec
Standby Timer: 10 Sec
Down Interval = 3* Advertisement Timer + Skew time
Skew Time = 256-priority/256
10 Seconds (learnedn form AVG)
State 1.initial(進入)
2.Learn(學習)
3.Listen(頃聽)
4.Speak
(競選active or standby)
5.Standy(備援)
6.Active(主要)
     
Load Blance       1.Weighted load-balacning
2. Host-dependent load-balacning
3. Round-Robin load-balacning
廣告

在WordPress.com寫網誌.