vysoká dostupnosť a - kis | fri | uniza

1

BCMSN Module 5 Implementing high availability in a Campus Environments

Vysoká dostupnosť a

protokoly pre

redundanciu brány

2

RCNA Žilina

High Availability

3

RCNA Žilina

Komponenty HA

HA je technológia ako aj organizačný cieľ so zámerom poskytnúť dostupnosť IP siete a jej služieb

Poskytnutie HA je komplexný problém a zahŕňa: Riešenie redundancie

Implementácia vhodnej technológie

Zahŕňa softvérové a hardvérové vlastnosti

Vyškolený personál

Procesy

Použitie vhodných nástrojov

4

RCNA Žilina

Redundancia

Redundantný dizajn eliminuje centrálne body chyby, ktoré by pri výpadku mohli spôsobiť zlyhanie služby

Mechanizmy redundancie

Geografická diverzita zariadení a ciest

Duálne zariadenia a linky

Duálne WAN pripojenie (Dvaja ISP)

Dual data centrá

Bežné skôr vo veľkých spoločnostiach

Dual PBX, duálne napájanie apod.

Dizajn je boj medzi cenou a benefitmi

5

RCNA Žilina

Technológie

Zamerané na výpadky

• Cisco Nonstop Forwarding (NSF), Stateful Switchover (SSO), Graceful Restart

• Monitoring s object tracking, IP SLA,

• Konvergencia smerovania, server load balancing, Firewall Stateful Failover

Vyškolení ľudia sú dôležitým prvkom

Musia mať prostriedky na testovanie, plánovanie, dizajn

Definované role a zodpovednosť

Dokumentáciu a spoluprácu s inými tímami

Ľudia

6

RCNA Žilina

Procesy

Organizácia by mala rozvíjať opakované procesy v:

• Dokumentácia opakujúcich sa procesov (upgrades)

• Dokumentácia failover procesov a testovacích lab. procedúr

• Manažment a dokumentácia implementačných procedúr

• Vhodné používanie labákov (testovanie nových zariadení, upgradov, failover mechanizmov, zmien)

• PPDIOO

Dobrý monitoring dostupnosti a výkonnosti siete a služieb

S adekvátnou dokumentáciou

• Aktuálnou, sieťové diagramy, adresovanie....

Nástroje

7

Resiliency for High Availability

8

RCNA Žilina

Resiliency for High Availability

Zahŕňa

Network-Level Resiliency

Fokus kurzu

System level Resiliency

Z pohľadu kurzu napájanie

Network monitoring

Byť informovaný keď sa niečo udeje

9

RCNA Žilina

Network-Level Resiliency

Vybudované pomocou redundancie zariadení a liniek

Duplicita (dual Staff)

Implementované mechanizmy pre rýchlu konvergenciu

L2 (RSTP), L3 (routing),

konfigurácia active/standby

Spolieha sa na monitoring

NTP, SNMP, IP SLA

10

RCNA Žilina

Failover Times

Je potrebné brať do úvahy vlastnosti daných technológií

• Optimalizovaný failover pri routing protokoloch je menší než 1 sek

• RSTP konverguje okolo 1 sekundy

• EtherChannel failover je tiež okolo 1 sekundy.

• HSRP bez ladenia má failover do 10 sekúnd.

• Stateful service moduly prepínačov majú failover do 3 až 5 sekúnd.

• TCP/IP stack má toleranciu do 9 sekúmd

11

RCNA Žilina

Redundancia

Poskytuje alternatívne cesty

Snaha vybudovať optimálnu redundanciu pre dosiahnutie HA

Nie príliš komplexnú

Nie príliš drahú a zložitú

Nie nezrozumiteľnú

Nemajúcu centrálne body zlyhania

Odporúčanie je

Zdvojiť distro a core prepínače vo full mesh zapojení

Na distro a core sa odporúča použiť prepínače s Cisco Nonstop Forwarding (NSF), Stateful Switchover (SSO)

Access prepínače majú zdvojené len prepoje na distro

12

RCNA Žilina

Redundancia

Optimal redundancy vs. Too complex redundancy

aaa

•Kde bude Root?

•Aký bude čas konvergencie?

•Ktoré linky zablokovať?

•Ako nájdem chybu ak niečo nepôjde?

13

RCNA Žilina

Implementácia redundancie

Otázka je kde umiestniť redundantné zariadenia

Sú viaceré prístupy podľa požiadaviek

Riešenie na core, distro a access vrstve

14

RCNA Žilina

Distributed VLANs on Access Switches

Requirement: VLAN spred over multiple access switches

Recommendations

• Use Rapid STP (RSTP) as the version of STP.

• Provide a Layer 2 trunk between the two distribution switches to avoid unexpected traffic paths and multiple convergence events.

• Place the Hot Standby Router Protocol (HSRP) primary and the STP primary root on the same distribution layer switch if you choose to load balance VLANs across uplinks.

• The HSRP and RSTP root should be colocated on the same distribution switches to avoid using the interdistribution link for transit.

15

RCNA Žilina

Local VLANs on Access Switches

No VLANs span between access layer switches across distribution switches.

Here a single voice VLAN and a single data VLAN are restricted to a single access switch.

Root for each VLAN aligned with active HSRP instance.

Distribution-to-distribution L3 link required for route summarization in this design.

16

RCNA Žilina

Layer 3 Access to the Distribution Interconnection

No VLANs span over access switches

L3 or routed links connect distribution and access layer switches in this design • in the future this will be the standard (even the links to the end stations

will be L3 in the future as prices of RPs continue to decline).

• reusing power of routing protocols

Recommended practice is to map the L2 VLAN number to the L3 subnet for ease of use and management.

17

RCNA Žilina

Riešenie Access vrstvy Daisy Chaining Access Layer Switches (1) One VLAN over multiple access switches

No links block from an STP perspective.

Both uplinks are available to send and receive traffic.

Issue 1

• If a link or node in the middle of the chain or stack fails, standby HSRP peer (Dist-B) can go active as it loses connectivity to its primary peer (Dist-A).

18

RCNA Žilina

Daisy Chaining Access Layer Switches (2)

Issue 2

• Here the core switch sees both distribution switches advertise the VLAN 2 subnet, doing equal cost load balancing for traffic destined to VLAN 2 between Dist-A and Dist-B.

• 50% chance that return traffic arrives on distribution switch that does not have connectivity to half of stack where traffic destined. Solution: add A-a to A-c connection.

19

RCNA Žilina

Solution = StackWise Access Switches

Supports recommended practice of using L3 connection between distribution switches without having to use loopback cable or perform extra configuration.

Uses Cisco Catalyst 3750 switches in the access layer.

Much less complex than chains or stacks of other models.

StackWise switches

• Appears as one node from network topology perspective.

20

RCNA Žilina

Issue of Too Little Redundancy (1)

VLANs span multiple access layer switches.

No L2 link between distribution switches.

Design is looped in figure-8 topology.

Once access layer uplink is blocking

HSRP hellos exchanged by transiting access switches.

21

RCNA Žilina

Too Little Redundancy (2)

When uplink from Access A to Distribution A fails, there are 3 convergence events.

1) Dist-B nemá prístup k Dist-A, stáva sa HSRP active

2) Dist B musí odblokovať port na Access B = STP konvergencia

3) HSRP konvergencia, Dist A sa stáva opäť jediný Active

22

First Hop Redundancy Protocols / mechanizmy zálohovania brán

23

RCNA Žilina

L3 redundancia Ak A padne, dynamické

smerovanie začne využívať B

Stanica však nepoužíva smerovací protokol

Obykle používa len jednu pridelenú IP brány

Existujú viaceré pokusy o riešenie tohto problému

Proxy ARP

ICMP Router Discovery Protocol

Podpora smerovacieho protokolu v OS stanice

Buď však nie sú tieto riešenia škálovateľné, alebo si vyžadujú osobitnú softvérovú podporu u klienta

Problém:

Exspirácia ARP tabuľky na hostovy (5min.)

Internet,

Backbone, etc.

Router A

172.16.10.82

0010.efb3.d800

Router B

172.16.10.83

0010.efb3.d801

Stanica A

172.16.10.182

001a.efb3.d811

1

2

3

24

RCNA Žilina

Riešenie redundancie cez virtual router

Routery môžu vytvárať ilúziu nového virtuálneho routera

Tento virtuálny router má svoju virtuálnu MAC a IP

Stanice budú používať túto vIP ako svoju bránu

Jeden z reálnych routerov bude nositeľom vMAC a vIP

Ak súčasný nositeľ virtuálnej identity prestane odpovedať, prevezme na seba vMAC a vIP ďalší router

Pre stanice nebude táto zmena vôbec viditeľná, lebo z ich pohľadu sa vMAC ani vIP nezmenila

Internet,

Backbone, etc.

Virtual Router

ForwarderBackup in

Standby

25

L3 redundancy – Hot Standby Routing Protocol

26

RCNA Žilina

Hot Standby Router Protocol (HSRP)

HSRP poskytuje:

Zoskupovanie smerovačov do grúp tvoriacich virtuálny router

Redundanciu brán zdieľaním virtuálnej IP a MAC adresy medzi redundantnými routrami v grupe

Každý router má svoju reálnu IP a reálnu MAC adresu!!!!

Routre v grupe si nakonfigurované adresy prenášajú medzi sebou pomocou HSRP protokolu na Mcast adrese 224.0.0.2 s použitím UDP portu 1985

Routre musia mať L2 vzájomnú konektivitu

Koncové hosty sú nakonfigurované s IP adresou Virtuálneho routra

Počet grúp

Od 0 po 255

Reálne na Catalyst 16

Grupa má len lokálny význam per interface

Grupa 1 na int vlan 1 ≠ Grupa 1 na int vlan 20

27

RCNA Žilina

Hot Standby Router Protocol (HSRP)

HSRP definuje tzv. standby group, ktorá obsahuje:

Active router

Nositeľ identity virtuálneho routera (vMAC, vIP)

Je zodpovedný za obsluhu paketov posielaných na identitu virtuálneho router

V HSRP grupe je vždy iba jeden Active router

Standby router

Záložný router pre Active (podobne ako DR a BDR v OSPF)

Ak Active router prestane pracovať, Standby router preberie na seba vMAC a vIP

V HSRP grupe je vždy najviac jeden Standby router

Other routers

Ostatné routery v HSRP grupe, ktoré nie sú ani Active ani Standby. Monitorujú dostupnosť Active a Standby routerov. V prípade potreby vedia prejsť do roly Standby a následne Active.

Virtual router

Celá standby group

28

RCNA Žilina

Činnosť HSRP – Active router

V grupe len ACTIVE router forwarduje dáta

Volí sa per HSRP group

Na základe priority

Default je 100, čím vyššia vyhráva

AK zhoda priorít vyhráva router s vyššou IP adresou

Vystupuje v mene virtual routra

Posiela Hello správy

Default každé 3s

Odpovedá na ARP dotazy MAC adresou virtuálneho routra

000.0c07.acxx, kde 000.0c je vendor, 07.ac je HSRP a xx je číslo grupy

Forwarduje dáta

29

RCNA Žilina

Činnosť HSRP

Active a Standby oba posielajú hello na 224.0.0.2

Za účelom

Monitoringu navzájom

Informovanie zvyšných routrov v grupe o ich existencii a úlohách

Ak Standby zistí že Active neodpovedá, preberie rolu

Dané Holdown timerom (def. 10 sekúnd)

Ostatné routre v grupe len počúvajú Hello

Forwardujú pakety len priamo určené im

Pri zmiznutí Hello je vyhlásená voľba o nový Active a Standby

30

RCNA Žilina

Init or Disabled

Router nie je schopný sa podieľať na činnosti grupy

Napr. interface je down

Learn

Inicializácia HSRP, interface šiel do up, router ešte nedostal Hello

Listen (10sec)

Router začal dostávať Hello správy

Monitoruje prítomnosť Active a Standby routra

Ak existujú ostáva tu

Speak (10sec)

Router posiela a prijíma Hello správy

Začína sa podieľať na voľbe Standby a Active

Standby

Pri neexistencii standby routra sa router označí za Standby

Pri existencii Active routera ostáva v Standby stave


Monitoruje prítomnosť Active routra

Active

Pri neexistencii Active routra sa router označí za Active


HSRP stavy

31

RCNA Žilina

HSRP stavy

Active router

Prechádza všetkými stavmi

Standby router

Ostáva v standby, kým nepadne Active

Ostatné

Ostávajú v Listen

State Definition

Initial The beginning state. The initial state indicates that HSRP

does not run. This state is entered via a configuration change

or when an interface first comes up.

Listen The router knows the virtual IP address, but the router is

neither the active router nor the standby router. It listens for

hello messages from those routers.

Speak The router sends periodic hello messages and actively

participates in the election of the active or standby router. A

router cannot enter speak state unless the router has the

virtual IP address.

Standby The router is a candidate to become the next active router

and sends periodic hello messages. With the exclusion of

transient conditions, there is, at most, one router in the group

in standby state.

Active The router currently forwards packets that are sent to the

group virtual MAC address. The router sends periodic hello

messages. With the exclusion of transient conditions, there

must be, at the most, one router in the active state in the

group.

33

RCNA Žilina

Voľba HSRP

34

RCNA Žilina

HSRP časovače

Časovač Popis

Active timer Monitoruje aktívny router. Časovač je resetovaný vždy keď dostane Hello od Active routra. Ak routre neuvidia Hello aktívneho routra v čase Hold timera dochádza k zmene stavu routrov, musí byť zvolený jeden Active.

Standby timer Monitoruje standby router. Časovač je resetovaný vždy keď dostane Hello od Standby routra. Ak routre neuvidia Hello Standby routra v čase Hold timera dochádza k zmene stavu routrov, musí byť zvolený jeden Standby.

Hello timer Perióda posielania Hello paketov (1-255). Default je 3s.

Hold time Je čas, počas ktorého platí prijaté Hello (Failover time).

Default je 10s. Býva trojnásobok Hello.

35

RCNA Žilina

HSRP multicast správy Hello

Posiela Active a Standby

Doručujú routrom v HSRP grupe informácie o virtuálnej adrese, priorite a stave odosielateľa

Coup

Použité ak router chce prevziať úlohu active routra

Napr. pri preempt

Resign

Active router posiela pri shutdown

Active router posiela keď router s vyššou prioritou preberá active rolu

Preemption je schopnosť iného routera prevziať na seba úlohu Active routera, aj keď Active stále žije, avšak jeho priorita je menšia než priorita na Standby

Štandardne je preempcia vypnutá, v takej situácii Standby preberie na seba úlohu Active len vtedy, keď Active úplne odíde

36

RCNA Žilina

Virtuálna IP adresa HSRP grupy

HSRP grupa vytvára jeden virtuálny router s virtuálnou IP

Pri konfigurácii HSRP bude mať každý člen HSRP grupy nastavenú tú istú vIP adresu, lebo v ktoromkoľvek momente môže začať plniť úlohu Active routera

vIP adresa musí byť z priestoru IP adries rozhrania, na ktorom HSRP spúšťame

V HSRP však táto vIP nesmie byť rovnaká ako skutočná IP adresa niektorého člena HSRP grupy

Odporúčané použitie

vIP je najnižšia, reálne routery majú najvyššie IP v sieti

vIP je najvyššia, reálne routery majú najnižšie IP v sieti

37

RCNA Žilina

Verzie HSRP protokolu

HSRP version 1

Default verzia v Cisco IOS

Podporuje do 255 grúp

Používa Virtual MAC adresu 0000.0C07.ACXX (XX = HSRP group),

HSRPv1 hello packety posielané na multicast address 224.0.0.2.

HSRP version 2

V IOS od 12.2 46SE

Podporuje až 4095 virtuálnych grúp

Používa MAC adresu 0000.0C9F.FXXX (XXX=HSRP group),

Hello packety posielané na multicast adresu 224.0.0.102

HSRPv2 má odlišný formát paketu od HSRPv1.

Musí byť v grupe nakonfigurovaná rovnaká verzia

Zmena verzie:

Switch(config-if)#

standby <hsrp group

number> version 2

38

RCNA Žilina

Konfigurácia a overenie HSRP

! Konfiguruje HSRP na rozhrani pre danu grupu identifikovanu

cislom

! Ip address je adresa virtualneho gatewaya

! Default group je 0

Router(config-if)#standby GROUP_NUMBER ip IP_ADDRESS

! Zrusi HSRP na rozhrani

Router(config-if)#no standby GROUP_NUMBER ip IP_ADDRESS

! Zobrazenie info o HSRP

Router#sh standby [interface] [group] brief


Router#sh standby


Router#sh run

39

RCNA Žilina

Sh standby brief

DL3# show standby brie

P indicates configured to preempt.

|

Interface Grp Pri P State Active Standby Virtual IP

Fa0/0.10 10 100 Active local 10.1.10.2 10.1.10.254

Sh standby DL3# sh standby

FastEthernet0/0.10 - Group 10

State is Active

2 state changes, last state change 00:04:42

Virtual IP address is 10.1.10.254

Active virtual MAC address is 0000.0c07.ac0a

Local virtual MAC address is 0000.0c07.ac0a (v1 default)

Hello time 3 sec, hold time 10 sec

Next hello sent in 2.940 secs

Preemption disabled

Active router is local

Standby router is 10.1.10.2, priority 100 (expires in 8.472 sec)

Priority 100 (default 100)

Group name is "hsrp-Fa0/0.10-10" (default)

40

RCNA Žilina

Debug HSRP

DLS1# debug standby ?

errors HSRP errors

events HSRP events

packets HSRP packets

terse Display limited range of HSRP errors, events and

packets

<cr>

DLS1# debug standby terse

HSRP:

HSRP Errors debugging is on

HSRP Events debugging is on

(protocol, neighbor, redundancy, track, ha, arp)

HSRP Packets debugging is on

(Coup, Resign)

41

RCNA Žilina

debug standby

- ukážka voľby active

POZOR: množstvo hlásení

DLS1# debug standby

HSRP debugging is on

DLS1#

*Mar 8 20:34:10.221: SB11: Vl11 Init: a/HSRP enabled

*Mar 8 20:34:10.221: SB11: Vl11 Init -> Listen

*Mar 8 20:34:20.221: SB11: Vl11 Listen: c/Active timer expired (unknown)

*Mar 8 20:34:20.221: SB11: Vl11 Listen -> Speak

*Mar 8 20:34:20.221: SB11: Vl11 Hello out 172.16.11.111 Speak pri 100 ip 172.16.11.115




*Mar 8 20:34:30.221: SB11: Vl11 Speak: d/Standby timer expired (unknown)

*Mar 8 20:34:30.221: SB11: Vl11 Standby router is local

*Mar 8 20:34:30.221: SB11: Vl11 Speak -> Standby

*Mar 8 20:34:30.221: SB11: Vl11 Hello out 172.16.11.111 Standby pri 100 ip 172.16.11.115

*Mar 8 20:34:30.221: SB11: Vl11 Standby: c/Active timer expired (unknown)

*Mar 8 20:34:30.221: SB11: Vl11 Active router is local

*Mar 8 20:34:30.221: SB11: Vl11 Standby router is unknown, was local

*Mar 8 20:34:30.221: SB11: Vl11 Standby -> Active

*Mar 8 20:34:30.221: %STANDBY-6-STATECHANGE: Vlan11 Group 11 state Standby -> Active

*Mar 8 20:34:30.221: SB11: Vl11 Hello out 172.16.11.111 Active pri 100 ip 172.16.11.115

10s

43

RCNA Žilina

debug standby events

*Mar 3 05:38:28.502: HSRP: Vl10 Interface UP

*Mar 3 05:38:28.502: HSRP: Vl10 Starting minimum interface delay (1 secs)

*Mar 3 05:38:29.458: HSRP: Vl10 Grp 1 Active router is 172.16.10.102

*Mar 3 05:38:29.458: HSRP: Vl10 Nbr 172.16.10.102 is no longer passive

*Mar 3 05:38:29.458: HSRP: Vl10 Nbr 172.16.10.102 active for group 1

*Mar 3 05:38:29.500: HSRP: Vl10 Interface min delay expired

*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Init: a/HSRP enabled

*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Init -> Listen

*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Init -> Backup

*Mar 3 05:38:29.500: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Init -> Backup

*Mar 3 05:38:30.507: %LINK-3-UPDOWN: Interface Vlan10, changed state to up

*Mar 3 05:38:30.515: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up

*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Listen: h/Hello rcvd from lower pri Active router

(100/172.16.10.102)

*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Active router is local, was 172.16.10.102

*Mar 3 05:38:32.260: HSRP: Vl10 Nbr 172.16.10.102 no longer active for group 1 (Listen)

*Mar 3 05:38:32.260: HSRP: Vl10 Nbr 172.16.10.102 Was active or standby - start passive holddown

*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Listen -> Active

*Mar 3 05:38:32.260: %HSRP-5-STATECHANGE: Vlan10 Grp 1 state Listen -> Active

*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Backup -> Active

*Mar 3 05:38:32.260: HSRP: Vl10 Added 172.16.10.1 to ARP (0000.0c07.ac01)

*Mar 3 05:38:32.268: HSRP: Vl10 Grp 1 Activating MAC 0000.0c07.ac01

*Mar 3 05:38:32.268: HSRP: Vl10 Grp 1 Adding 0000.0c07.ac01 to MAC address filter

*Mar 3 05:38:32.268: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Backup -> Active

*Mar 3 05:38:35.254: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Active -> Active

*Mar 3 05:38:42.913: HSRP: Vl10 Grp 1 Standby router is 172.16.10.102

*Mar 3 05:38:42.913: HSRP: Vl10 Nbr 172.16.10.102 is no longer passive

*Mar 3 05:38:42.913: HSRP: Vl10 Nbr 172.16.10.102 standby for group 1

44

RCNA Žilina

Konfigurácia a overenie HSRP

Keď je spustené HSRP

Koncová stanica sa nesmie dozvedieť fyzickú MAC adresu aktívneho routra

Každý protokol, ktorý by mohol informovať koncovú stanicu o MAC adrese fyzického routra musí byť vypnutý

Spustenie HSRP spôsobí deaktiváciu ICMP redirektov na HSRP rozhraní

45

RCNA Žilina

Optimalizácia HSRP

! Ovplyvnenie volby Active a standby routra

! nastavenim priority, router s najvyssou PRIO vyhrava volbu Active

! Default priority je 100

! Ak je zhoda priorit, vyhrava najvyssia IP Adresa

Router(config-if)#standby group-number priority priority-value

! Zrusenie priority spet na def hodnotu

Router(config-if)#no standby group-number priority

! Prebratie ulohy active routra ak local priority je lepsia ako

! momentalne aktivneho HSRP, pretoze po obnoveni povodneho Active sa ten

! Active automaticky nestava

Router(config-if)#standby group-number preempt


! Pockaj SECOND sekúnd kým sa pokúsiš prevziat Active rolu

! Od okamihu ako si toho schopný, aka HSRP enbled or int is up

Router(config-if)#standby group-number preempt delay minimum SECONDS


! Ale az po SECOND čase od reload

Router(config-if)#standby group-number preempt delay reload SECONDS

46

RCNA Žilina

Debug HSRP – aktívny preempt pre vlan 10

! Aktívny preempt pre int vlan 10

DLS1# debug standby terse

HSRP:

HSRP Errors debugging is on

HSRP Events debugging is on

(protocol, neighbor, redundancy, track, ha, arp)

HSRP Packets debugging is on

(Coup, Resign)

DLS1(config-if)#

*Mar 3 05:30:00.588: HSRP: Vl10 Interface UP

*Mar 3 05:30:00.588: HSRP: Vl10 Starting minimum interface delay (1 secs)

*Mar 3 05:30:01.586: HSRP: Vl10 Interface min delay expired

*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Init: a/HSRP enabled

*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Init -> Listen

*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Init -> Backup

*Mar 3 05:30:01.586: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Init -> Backup

*Mar 3 05:30:02.593: %LINK-3-UPDOWN: Interface Vlan10, changed state to up

*Mar 3 05:30:02.602: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up

*Mar 3 05:30:03.306: HSRP: Vl10 Grp 1 Active router is 172.16.10.102

*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 created

*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 active for group 1

*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Listen: h/Hello rcvd from lower pri Active router

(100/172.16.10.102)

*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Active router is local, was 172.16.10.102

*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 no longer active for group 1 (Listen)

*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 Was active or standby - start passive holddown

*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Coup out 172.16.10.101 Listen pri 150 vIP 172.16.10.1

*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Listen -> Active

*Mar 3 05:30:03.315: %HSRP-5-STATECHANGE: Vlan10 Grp 1 state Listen -> Active

*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Backup -> Active

*Mar 3 05:30:03.315: HSRP: Vl10 Added 172.16.10.1 to ARP (0000.0c07.ac01)

*Mar 3 05:30:03.315: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Backup -> Active

*Mar 3 05:30:06.309: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Active -> Active

*Mar 3 05:30:13.666: HSRP: Vl10 Grp 1 Standby router is 172.16.10.102

47

RCNA Žilina

Debug HSRP – odstúpenie z Active úlohy

DL3(config)#int fa 0/0.10

DL3(config-subif)#sh

DL3(config-subif)#

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Interface DOWN

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active: b/HSRP disabled

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Resign out 10.1.10.3 Active pri 140 vIP 10.1.10.254

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active router is unknown, was local

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active -> Init

*Mar 1 01:53:01.787: %HSRP-5-STATECHANGE: FastEthernet0/0.10 Grp 10 state Active -> Init

*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Redundancy "hsrp-Fa0/0.10-10" state Active -> Init

*Mar 1 01:53:01.799: HSRP: Fa0/0.10 Grp 10 Standby router is unknown, was 10.1.10.2

*Mar 1 01:53:01.799: HSRP: Fa0/0.10 Nbr 10.1.10.2 no longer standby for group 10 (Init)

*Mar 1 01:53:01.803: HSRP: Fa0/0.10 Nbr 10.1.10.2 Was active or standby - start passive holddown

*Mar 1 01:53:01.807: HSRP: Fa0/0.10 IP Redundancy "hsrp-Fa0/0.10-10" update, Active -> Init

*Mar 1 01:53:01.811: HSRP: Fa0/0.10 IP Redundancy "hsrp-Fa0/0.10-10" standby, 10.1.10.2 -> unknown

*Mar 1 01:53:01.827: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.10.2 (FastEthernet0/0.10) is

down: interface down

*Mar 1 01:53:01.831: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.10.1 (FastEthernet0/0.10) is

down: interface down

48

RCNA Žilina

Optimalizácia HSRP

! Nastavenie casovacov

! Hello 3 sekund

! Hold time 10 sekund

! Hold je zvycajne tri krat dlhsi ako hello

! Musí byť rovnaký v celej HSRP grupe

Router(config-if)#standby group-number timers Hello_timer

Hold_down_timer

! Alebo v milisekundach

Router(config-if)#standby group-number timers msec Hello_timer

msec Hold_down_timer

49

RCNA Žilina

HSRP interface tracking

Čo ak linka za aktívnym routrom je down?

ICMP redirect je zakázaný default pre HSRP

Zmena routingu nemusí dopadnúť optimálne

Musí existovať možnosť Aktívneho routra uvoľniť svoju rolu ak kľúčové rozhrnie je down.

= INTERFACE TRACKING

Ak kľúčové rozhranie je down, zníži sa HSRP priorita routra

Internet,

Backbone, etc.

Virtual Router

Active Standby

50

RCNA Žilina

HSRP interface tracking – prvý spôsob – priamy tracking rozhrania

! Interface tracking

! [interface priority] = o kolko znizim prioritu routra ak

! Rozhranie je down, default je 10

! Musi byt v celej grupe zapnuty preempt

! Trackovat mozeme viacere rozhrania

Router(config-if)#standby group-number track int_type number

[interface priority]

! Zrusenie Interface tracking

Router(config-if)# no standby group-number track

DLS1(config-if)# standby 1 track fast 0/1 50

51

RCNA Žilina

Interface tracking – druhý spôsob - object tracking

Switch#configure terminal

Switch(config)#track object-number interface type number {line-

protocol | ip routing}

Switch(config-track)#exit

Switch(config)# interface type number

Switch(config-if)# standby [group-number] track object-number

[decrement priority-decrement]

DLS1(config)# track 100 interface Port-channel 1 line-protocol

DLS1(config-track)#exit

DLS1(config)# int vlan 20

DLS1(config-if)# standby 1 track 100 ?

decrement Priority decrement

shutdown Shutdown group

<cr>

DLS1(config-if)# standby 1 track 100 decrement 60

52

RCNA Žilina

Interface tracking – tretí spôsob – IP SLA

ena

conf t

ip sla 10

icmp-echo 3.0.0.2 source-interface vlan 20

frequency 5

exit

ip sla schedule 10 start-time now life forever

track 10 ip sla 10 reachability

int vlan 20

stand 1 track 10 decrement 25

End

sh ip sla statisti

Ss ip sla config

sh track 10

53

RCNA Žilina

Plain text autenfikácia

HSRP autentifikácia

! Plain text autentifikácia

! Heslo ako clear text

! Default key string je cisco

Switch(config-if)# standby group-number authentication

string

Pozn. Použitie autentifikácia pri HSRP a VRRP pri rozdielnych

heslách spôsobí, že každý router považuje to svoje heslo

za správne a vyhlási sa za Active or Master pre danú grupu

54

RCNA Žilina

MD5 autentifikácia na string

MD5 autentifikácia na reťazec kľúčov

HSRP autentifikácia

Switch(config)# key chain chain-name

Switch(config-keychain)# key key-number

Switch(config-keychain-key)# key-string [0 | 7] string

Switch(config)# interface type mod/num


md5 key-chain chain-name

! MD5 autenfikácia

! Posiela sa MD5 hash


md5 key-string [0 | 7] string

55

RCNA Žilina

Diagnostika HSRP autentifikácie

switch# debug standby errors

*Mar 3 05:40:49.606: HSRP: Vl1 Grp 1 Auth failed for

Hello pkt from 10.1.1.102, Text auth failed





56

RCNA Žilina

HSRP load balancing

57

RCNA Žilina

Predpoklad konfigurácie

Net:10.0.0.0/24

Lavy:10.0.0.1/24

Pravy:10.0.0.2/24

Jedna domena VTP

Vlan 1:192.168.1.0/24

Vlan 2:192.168.2.0/24

HSRP

Group 1 pre vlan 1

Virtual IP:192.168.1.1

LavyR:

IP 192.168.1.101

Active

Prio 150, Preempt

pravyR:

IP 192.168.1.102

Standby

Prio 100

Group 2 pre vlan 2

Virtual IP:192.168.2.1

Lavy:

IP 192.168.2.101

Standby

Prio 100

Pravy:

IP 192.168.2.102

Active

Prio 150, Preempt

Príklad konfigurácie HSRP - topo

Gi 1/1Gi 1/1

Gi 1/2 Gi 1/2

Net

Fa

0/23

Fa

0/22

Fa

0/22

Fa

0/23

Fa

0/23

Fa

0/22

Fa

0/22

Fa

0/23

Fa

0/21Fa

0/20

Fa

0/21

Fa

0/20

Gi 1/1

Fa

0/20

Fa

0/21

Fa

0/21

Fa

0/20

Fa 0/1 Fa 0/1

Gi 1/1

Gi 1/2 Gi 1/2

Fa

0/24

Fa

0/24

10.0.0.1/24

10.0.0.2/24

58

RCNA Žilina

Príklad konfigurácie HSRP Pravy(config)#interface FastEthernet0/0

Pravy(config)#no shut

Pravy(config)#interface FastEthernet0/0.1

Pravy(config-if)#encapsulation dot1Q 1 native

Pravy(config-if)#ip address 192.168.1.102

255.255.255.0

Pravy(config-if)#standby 1 ip 192.168.1.1

Pravy(config-if)#standby 1 preempt

Pravy(config-if)#interface FastEthernet0/0.2

Pravy(config-if)#encapsulation dot1Q 2

Pravy(config-if)#ip address 192.168.2.102

255.255.255.0

Pravy(config-if)#standby 2 ip 192.168.2.1

Pravy(config-if)#standby 2 priority 150

Pravy(config-if)#standby 2 preempt

Pravy(config-if)#standby 2 track fa 0/1 60

Pravy(config-if)#interface FastEthernet0/1

Pravy(config-if)#ip address 10.0.0.2 255.0.0.0

Pravy(config-if)#exit

Pravy(config)#router rip

Pravy(config-router)#network 10.0.0.0



Lavy(config)#interface FastEthernet0/0

Lavy(config)#no shut

Lavy(config)#interface FastEthernet0/0.1

Lavy(config-if)#encapsulation dot1Q 1 native

Lavy(config-if)#ip address 192.168.1.101

255.255.255.0

Lavy(config-if)#standby 1 priority 150

Lavy(config-if)#standby 1 ip 192.168.1.1

Lavy(config-if)#standby 1 preempt

Lavy(config-if)#standby 1 track fa 0/1 60

Lavy(config-if)#interface FastEthernet0/0.2

Lavy(config-if)#encapsulation dot1Q 2

Lavy(config-if)#ip address 192.168.2.101

255.255.255.0

Lavy(config-if)#standby 2 ip 192.168.2.1

Lavy(config-if)#standby 2 preeempt

Lavy(config-if)#interface FastEthernet0/1

Lavy(config-if)#ip address 10.0.0.1 255.0.0.0

Lavy(config-if)#exit

Lavy(config)#router rip

Lavy(config-router)#network 10.0.0.0



loadbalance

59

RCNA Žilina

Overenie konfigurácie – sh standby brief

Pravy#sh standby brief


|

Interface Grp Prio P State Active Standby Virtual IP

Fa0/0.1 1 100 P Standby 192.168.1.100 local 192.168.1.1

Fa0/0.2 2 150 P Active local 192.168.2.100 192.168.2.1

Lavy#sh standby brief


|

Interface Grp Prio P State Active Standby Virtual IP

Fa0/0.1 1 150 P Active local 192.168.1.102 192.168.1.1

Fa0/0.2 2 100 P Standby 192.168.2.102 local 192.168.2.1

60

RCNA Žilina

Overenie konfigurácie – sh standby

Lavy#sh standby


State is Active



Active virtual MAC address is 0000.0c07.ac01

Local virtual MAC address is 0000.0c07.ac01 (v1 default)



Preemption enabled

Active router is local

Standby router is 192.168.1.102, priority 100 (expires in 9.788 sec)

Priority 150 (configured 150)

IP redundancy name is "hsrp-Fa0/0.1-1" (default)


State is Standby



Active virtual MAC address is 0000.0c07.ac02

Local virtual MAC address is 0000.0c07.ac02 (v1 default)



Preemption enabled

Active router is 192.168.2.102, priority 150 (expires in 7.796 sec)

Standby router is local

Priority 100 (default 100)

IP redundancy name is "hsrp-Fa0/0.2-2" (default)

61

RCNA Žilina

Overenie činnosti – ping

C:\Documents and Settings\palo>ping -t 192.168.1.14

Pinging 192.168.1.14 with 32 bytes of data:

Reply from 192.168.1.14: bytes=32 time=1ms TTL=254






Request timed out.

Request timed out.

Request timed out.




62

Virtual Router Redundancy Protocol (VRRP)

63

RCNA Žilina

VRRP

Štandardizovaná IETF RFC 2338 alternatíva k HSRP (Cisco™)

VRR Group (na routri je možných až 255 grúp)

Reprezentovaná virtuálnou IP a MAC adresou

Jeden Virtual Master router (v HSRP Active)

Môže mať takú istú reálnu IP ako sa použije virtuálna – vtedy vyhráva voľbu na Master ten router, ktorého IP je použitá ako virtuálna

Priority 255 (def. 100, vyčlenenie z voľby 0)

Ak sa používa len virtuálna IP

Prebieha voľba na základe priority

MAC adresa virtual routra je 0000.5e00.01xx, kde xx je dvojčíselné hexa číslo VRRP grupy

Jeden alebo viac backup routrov (v HSRP jeden Standby, zvyšok Listen)

64

RCNA Žilina

VRRP load sharing a VRRP činnosť

65

RCNA Žilina

VRRP činnosť Master posiela advertisements o grupe

na multicast 224.0.0.18 port # 112 v pravidelných intervaloch 1 sekundy (default.)

Ak sa korektne vypína

Zruší svoju úlohu poslaním správy s prioritou 0

Backup preberie úlohu po skew time, bez Master down interval timera

Ak nekorektne

Použijú sa časovače

Advertisement interval

Def. 1 sec.

Master down interval

Čas po uplynutí ktorého sa master považuje za down

3 x advertisement interval + skew time

Skew time

(256 - priority) / 256 ms

Zabezpečí, že backup router s najvyššou prioritou sa stane Master

Preempt je default zapnutý

Obnovený router s lepšou PRIOR. prebera master úlohu

66

RCNA Žilina

Porovnanie VRRP a HSRP

HSRP VRRP

HSRP is a Cisco proprietary protocol,

created in 1994, and formalized with the RFC 2281 in March 1998.

VRRP is an IEEE standard (RFC 2338 in 1998; then RFC

3768 in 2005) for router redundancy.

16 groups max. 255 groups max.

1 active, 1 standby, several candidates. 1 active, several backups.

Virtual IP is different from Active and Standby real IP addresses.

Virtual IP can be the same as one of the

group members real IP address.

Uses 224.0.0.2 for hello packets. Uses 224.0.0.18 for hello packets.

Default timers: hello 3 s, holdtime 10 s. The default timers are shorter in VRRP than HSRP. This

often gave VRRP the reputation of being faster than HSRP.

Can track interfaces or objects. Can track only objects.

Uses authentication within each group by

default. When authentication is not

configured, a default authentication, using “cisco” as the password.

Supports plaintext and HMAC/MD5 authentication methods

(RFC 2338). The new VRRP RFC (RFC 3768) removes

support for these methods. The consequence is that VRRP

does not support authentication anymore. Nevertheless,

current Cisco IOS still supports the RFC 2338

authentications mechanisms.

67

RCNA Žilina

Konfigurácia VRRP

Step Description

1. To enable VRRP on an interface. This makes the interface a member of

the virtual group identified with the IP virtual address:

Switch(config-if)# vrrp group-number ip virtual-

gateway-address

2. To set a VRRP priority for this router for this VRRP group: Highest value

wins election as active router. Default is 100. If routers have the same

VRRP priority, the gateway with the highest real IP address is elected to

become the master virtual router:

Switch(config-if)# vrrp group-number priority

priority-value

3. To change timer and indicate if it should advertise for master or just

learn for backup routers:

Switch(config-if)# vrrp group-number timers advertise

timer-value

Switch(config-if)# vrrp group-number timers learn

68

RCNA Žilina

Konfigurácia VRRP ! Switch A

SwitchA(config)#interface vlan10

SwitchA(config-if)#ip address 10.1.10.5 255.255.255.0

! Vloz popis (description)

SwitchA(config-if)# vrrp 10 description POPIS GRUPY

! Virtual IP pre grupu 10

SwitchA(config-if)#vrrp 10 ip 10.1.10.1

! Priority pre router a pre grupu 10

SwitchA(config-if)#vrrp 10 priority 150

! Preempt

SwitchA(config-if)#vrrp 10 preempt delay minimum 380

! Switch B

SwitchB(config)#interface vlan10

SwitchB(config-if)#ip address 10.1.10.6 255.255.255.0

SwitchB(config-if)#vrrp 10 ip 10.1.10.1

SwitchB(config-if)#vrrp 10 priority 100

69

RCNA Žilina

Overenie a diagnostika VRRP CatalystA# show vrrp

CatalystA# show vrrp all

CatalystA# show vrrp brief

CatalystA# show vrrp interface INT X/Y

CatalystA # debug vrrp ?

all Debug all VRRP information

auth VRRP authentication reporting

errors VRRP error reporting

events Protocol and Interface events

packets VRRP packet details

state VRRP state reporting

track Monitor tracking

70

RCNA Žilina

Overenie a diagnostika VRRP DL1# sh vrrp


State is Backup


Virtual MAC address is 0000.5e00.0101

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 110

Master Router is 10.1.10.3, priority is 130

Master Advertisement interval is 1.000 sec

Master Down interval is 3.570 sec (expires in 3.370 sec)

DL1# sh vrrp bri

Interface Grp Pri Time Own Pre State Master addr Group addr

Fa0/0.10 1 110 3570 Y Backup 10.1.10.3 10.1.10.254

71

RCNA Žilina

Konfigurácia VRRP - timers ! “Hello timer”

SwitchA(config-if)# vrrp 10 timer advertise 4

! Switch B

SwitchB(config-if)# vrrp 10 timer advertise 1

!!! Ak nesedia timery, routre nesformuju virtualny vrrp router

!!! A kazdy sa vyhlasi za mastra

! Or nechat sa naucit timery od aktualneho Mastera

! Overit, nefunguje

SwitchB(config-if)# vrrp 10 timer learn

72

RCNA Žilina

Konfigurácia VRRP - timers DL3(config-subif)# vrrp 1 timer advertise 2

DL3(config-subif)# do sh vrrp


State is Master




Preemption enabled

Priority is 130

Track object 1 state Up decrement 40

Master Router is 10.1.10.3 (local), priority is 130


Master Down interval is 6.492 sec

DL2(config-subif)# vrrp 1 timer learn

DL2(config-subif)#do sh vrrp


State is Backup




Preemption enabled

Priority is 120



Master Down interval is 6.531 sec (expires in 6.343 sec) Learning

73

RCNA Žilina

VRRP Príklad konfigurácie

RouterA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

RouterA(config)# interface vlan 1

RouterA(config-if)# ip address 10.0.2.1 255.255.255.0

RouterA(config-if)# vrrp 1 ip 10.0.2.254

RouterA(config-if)# vrrp 1 timers advertise msec 500

RouterA(config-if)# end

RouterB# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.

RouterB(config)# interface vlan 1

RouterB(config-if)# ip address 10.0.2.2 255.255.255.0

RouterB(config-if)# vrrp 1 ip 10.0.2.254

RouterB(config-if)# vrrp 1 priority 90

RouterB(config-if)# vrrp 1 timers learn

RouterB(config-if)# end

74

RCNA Žilina

VRRP Príklad konfigurácie

RouterA# show vrrp interface vlan 1

Vlan1 - Group 1

State is Master




Preemption is enabled

min delay is 0.000 sec

Priority is 100




RouterB# show vrrp interface vlan 1

Vlan1 - Group 1

State is Backup






Priority is 90



Master Down interval is 2.109 sec (expires in 1.745 sec)

75

RCNA Žilina

Interface tracking (object tracking)

! Monitoruj stav serial rozhrania

track 1 interface Serial0/1 line-protocol

!

interface Ethernet1/0

ip address 10.0.0.2 255.0.0.0

vrrp 1 ip 10.0.0.3

vrrp 1 priority 120

vrrp 1 track 1 decrement 25

Interface tracking (sla object tracking)

- Ako HSRP

76

RCNA Žilina

Plain text autenfikácia

VRRP autentifikácia

! Plain text autentifikácia

! Heslo ako clear text

! Default key string je cisco

Switch(config-if)# vrrp group-number authentication text

text-string

Pozn. Použitie autentifikácia pri HSRP a VRRP pri rozdielnych

heslách spôsobí, že každý router považuje to svoje heslo

za správne a vyhlási sa za Active or Master pre danú grupu

77

RCNA Žilina

MD5 autentifikácia na string

MD5 autentifikácia na reťazec kľúčov

VRRP autentifikácia

Switch(config)# key chain chain-name

Switch(config-keychain)# key key-number

Switch(config-keychain-key)# key-string [0 | 7] string

Switch(config)# interface type mod/num

Switch(config-if)# vrrp group-number authentication md5

key-chain chain-name

! MD5 autenfikácia

! Posiela sa MD5 hash

Switch(config-if)# vrrp group-number authentication md5

key-string [0 | 7] string

78

RCNA Žilina

Diagnostika VRRP autentifikácie Switch# show vrrp

Ethernet0/1 - Group 1

State is Master






Priority is 100

Authentication MD5, key-string, timeout 30 secs




79

RCNA Žilina

Diagnostika VRRP autentifikácie Router1#: debug vrrp authentication

VRRP: Sent: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: B861CBF1B9026130DD34AED849BEC8A1

VRRP: Rcvd: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: B861CBF1B9026130DD34AED849BEC8A1

VRRP: HshR: C5E193C6D84533FDC750F85FCFB051E1

VRRP: Grp 1 Adv from 172.24.1.2 has failed MD5 auth

Router2#: debug vrrp authentication

VRRP: Sent: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: C5E193C6D84533FDC750F85FCFB051E1

VRRP: Rcvd: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: C5E193C6D84533FDC750F85FCFB051E1

VRRP: HshR: B861CBF1B9026130DD34AED849BEC8A1

VRRP: Grp 1 Adv from 172.24.1.1 has failed MD5 auth

80

GLBP

Gateway Load Balancing Protocol

81

RCNA Žilina

Gateway Load Balancing Protocol

Vylepšenie HSRP a VRRP o lepší manažment zdrojov neaktívnych routrov v grupe

Ak chcem dosiahnúť lepšie vyťaženie viacerých routrov pri HSRP a VRRP = manuálna konfigurácia load balance

napr. rozložením Active routrov pre viaceré virtual IP

GLBP umožňuje

Použitie viacerých “Forwarders”(GW) paralelne na smerovanie dát

Automatický výber GW

Automatický failover medzi použitými GW

Ľahšia konfigurácia využitia zdrojov ako pri HSRP a VRRP

Load sharing lepší ako pri HSRP a VRRP

Redundantné linky využívané paralelne

HSRP a VRRP používajú na smerovanie len jeden z uplinkov,

ostatné nevyužité kým sa nepoužije nejaká Load Balance finta

GLBP používa:

Jedna virtuálna IP adresa

Viaceré virtuálne MAC adresy

Max. 4 per grupu

82

RCNA Žilina

GLBP - Základné bloky

GLBP grupa

Active virtual gateway (AVG)

Zvolený členmi GLBP grupy

Najvyššia priorita or najvyššia IP adresa

Def. Priorita je 100

Jeden per GLBP grupu

Ostatný mu robia backup

Prideľuje virtuálne MAC adresy členom grupy

Odpovedá na ARP requests na IP def. GW virtuálnymi MAC adresami

Active virtual forwarder (AVF)

Max. 4 členovia GLBP grupy

Zodpovedný za smerovanie paketov doručovaných na im pridelenú MAC adresu

Ostatné routre = Backup AVF

Vnútorná komunikácia medzi členmi

Každý AVG/AVF posiela hello messages každé 3 sekundy

Na multicast adresu 224.0.0.102, User Datagram Protocol (UDP) port 3222.

83

RCNA Žilina

GLBP činnosť

84

RCNA Žilina

GLBP činnosť

GLBP podporuje mechanizmy load - balance:

Vážený round-robin (Weighted load-balancing algorithm)

Objem prevádzky pripadajúci na AVF je úmerný váhe, ktorú tento AVF ohlasuje

Per-host (Host-dependent load-balancing algorithm)

Konkrétna koncová stanica používa vždy ten istý AVF

Round-robin load-balancing algorithm

Na ARP otázky klientov AVG odpovedá cyklickým striedaním pridelených vMAC

85

RCNA Žilina

Porovnanie HSRP a GLBP

HSRP GLBP

Cisco Proprietary, 1994 Cisco Proprietary, 2005

16 groups max. 1024 groups max.

1 active, 1 standby, several candidates. 1 AVG, several AVF, AVG load balances

traffic among AVF and AVGs

Virtual IP is different from Active and Standby real IP addresses.

Virtual IP is different from AVG and AVF real

IP addresses

1 Virtual MAC address for each group 1 Virtual MAC address per AVF/AVG in each

group

Uses 224.0.0.2 for hello packets. Uses 224.0.0.102 for hello packets.

Default timers: hello 3 s, holdtime 10 s. The default timers are shorter in VRRP than

HSRP. This often gave VRRP the reputation

of being faster than HSRP.

Can track interfaces or objects. Can track only objects.

Default timers: hello 3 s, holdtime 10 s Default timers: hello 3 s, holdtime 10 s

Authentication supported Authentication supported

86

RCNA Žilina

Konfigurácia GLBP Switch(config)# interface type number

Switch(config-if)# ip address ip-address mask [secondary]

! Ip adresa

Switch(config-if)# glbp group ip [ip-address [secondary]]

! Priorita pre volbu AVG

Switch(config-if)# glbp group priority level

! preempt

Switch(config-if)# glbp group preempt [delay minimum seconds]

! timery

Switch(config-if)# glbp group timers [msec] hellotime [msec]

holdtime

! Typ load-balance

Switch(config-if)# glbp group load-balancing [host-dependent

| round-robin | weighted]

87

RCNA Žilina

Redundancia

Zálohovanie sa týka AVG a AVF

Pri AVG

Na základe priority

Zmena AVG je až ak primárny úplne padne

Na základe priority a nastaveného „preempt“

Podobne ako pri HSRP

Pri AVF

AVF je def. považovaný vždy za „active“

Ak padne, nahradí ho ďalší „čakateľ“

Piaty router v grupe, resp. na základe voľby a nastavenej váhy

Je vyberaný AVG podľa obslužného algoritmu

88

RCNA Žilina

GLBP Interface Tracking (1)

GLBP podobne ako HSRP podporuje interface tracking

Tracking znamená rozhodnutie, či daný router bude AVF or nie!

Ak WAN linka z Router R1 padne, GLBP detekuje chybu, daný AVG/AVF dekrementuje prioritu, AVF forwarding môžu byť presunutý na záložný AVF

• Pri preberaní je prevzatá aj virtuálna MAC adresa

• Z pohľadu klienta je prechod plynulý a transparentný

/ AVF

89

RCNA Žilina

GLBP Objekt tracking a weighting

Switch# configure terminal

Switch(config)# track object-number interface type number {line-protocol |

ip routing}

Switch(config-track)# exit

Switch(config)# interface type number

Switch(config-if)# glbp group weighting maximum [lower lower] [upper upper]

Switch(config-if)# glbp group weighting track object-number [decrement

value]

Switch(config-if)# glbp group forwarder preempt [delay minimum seconds]

Switch(config-if)# end

Rieši situáciu kedy a či sa má AVF vzdať svojej úlohy

90

RCNA Žilina

GLBP Objekt tracking a weighting - príklad

Rieši situáciu kedy sa má AVF vzdať svojej úlohy

Switch# configure terminal

Switch(config)# track 2 interface fa 0/23 line-protocol

Switch(config)# track 3 interface fa 0/24 line-protocol

Switch(config-track)# exit

Switch(config)# interface vlan 10

Switch(config-if)# glbp 10 weighting 110 lower 85 upper 105

Switch(config-if)# glbp 10 weighting track 2 decrement 20

Switch(config-if)# glbp 10 weighting track 3 decrement 10

Switch(config-if)# glbp 10 forwarder preempt delay minimum 60

Switch(config-if)# end

•Zníženie váhy pod lower znamená, že router prestáva byť AVF, jeho MAC je

pridelená na obsluhu inému AVF

•Ak sa router dostáva nad Upper jeho AVF roľa sa mu vracia

91

RCNA Žilina

Overenie a diagnostika GLBP CatalystA# show glbp

CatalystA# show glbp brief

CatalystA# show glbp GROUP_NUM

CatalystA# debug glbp error

CatalystA# debug glbp events

CatalystA# debug glbp packets

CatalystA# debug glbp terse

92

RCNA Žilina

Konfigurácia GLBP

93

RCNA Žilina

Konfigurácia - príklad

CatalystA(config)# interface vlan 50

CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0

CatalystA(config-if)# glbp 1 priority 200

CatalystA(config-if)# glbp 1 preempt

CatalystA(config-if)# glbp 1 ip 192.168.1.1

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––-

CatalystB(config)# interface vlan 50

CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0

CatalystB(config-if)# glbp 1 priority 150

CatalystB(config-if)# glbp 1 preempt

CatalystB(config-if)# glbp 1 ip 192.168.1.1

––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––-

CatalystC(config)# interface vlan 50

CatalystC(config-if)# ip address 192.168.1.12 255.255.255.0

CatalystC(config-if)# glbp 1 priority 100

CatalystC(config-if)# glbp 1 ip 192.168.1.1

94

RCNA Žilina

Overenie - príklad

95

RCNA Žilina

CatalystA# show glbp

Vlan50 - Group 1

State is Active





Redirect time 600 sec, forwarder time-out 14400 sec

Preemption enabled, min delay 0 sec

Active is local

Standby is 192.168.1.11, priority 150 (expires in 9.632

sec)

Priority 200 (configured)

Weighting 100 (default 100), thresholds: lower 1, upper

100

Load balancing: round-robin

There are 3 forwarders (1 active)

Forwarder 1

State is Active


MAC address is 0007.b400.0101 (default)

…

Forwarder ľ

....

a

v

f

a

v

g

96

Implementing Network Monitoring

97

RCNA Žilina

Čo je to sieťový manažment

Net manažment je sada nástrojov, ktorá ponúka možnosť

• Verifikovať, že sieť pracuje v poriadku a podľa plánu

• Charakterizovať a definovať výkonnosť siete

• Porozumieť koľko, kade a aké toky tečú v sieti

• Lepšie diagnostikovať sieť

98

RCNA Žilina

Nástroje sieťového manažmentu

Syslog

SNMP

IP SLA

99

syslog

100

RCNA Žilina

Syslog

System Message Logging

Umožňuje monitorovaným zariadeniam reportovať chyby a notifikačné správy

Používa port UDP 514.

Na cisco zariadeniach správa obsahuje úroveň závažnosti (severity) a zdroj (facility)

Syslog je v súčasnosti univerzálne podporovaný na všetkých (solídnych) sieťových prvkoch

Možnosť logovať na

• Vty, konzolu, syslog server, buffer

101

RCNA Žilina

Syslog Severity Levels

• Čím nižšie číslo tým vyššia závažnosť (alarm)

• Vyššie čísla zahŕňajú hlášky nižších levelov

Syslog Severity Severity Level

Emergency Level 0, highest level

Alert Level 1

Critical Level 2

Error Level 3

Warning Level 4

Notice Level 5

Informational Level 6

Debugging Level 7

102

RCNA Žilina

Syslog Facilities

Identifikuje službu, ktorá poslala hlášku na syslog.

Využívané na identifikáciu a kategorizáciu hlásení

Cisco IOS má aktuálne viac ako 500 „facilities“

Najznámejšie:

IP

OSPF

SYS operating system

IP Security (IPsec)

Route Switch Processor (RSP)

Interface (IF)

103

RCNA Žilina

Formát Syslog správ

Systémová správa začína so znakom percento (%)

Facility

• Dve alebo viac písmen identifikujúci hw zariadenie, protocol, alebo sw modul

Severity

• Kód od 0-7, ktorá indikuje úroveň závažnosti

Mnemonic

• Kód jednoznačne identifikujúci správu

Message-text

• Text popisujúci daný stav. Môže obsahovať detailnejší popis danej udalosti, zahŕňajúci portové číslo, terminal, meno používateľa apod

104

RCNA Žilina

Sample Syslog Messages 08:01:13: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up

08:01:23: %DUAL-5-NBRCHANGE: EIGRP-IPv4:(1) 1: Neighbor 10.1.1.1 (Vlan1) is up: new adjacency

08:02:31: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up

08:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down

08:18:22: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up

08:18:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down

08:18:24: %ILPOWER-5-IEEE_DISCONNECT: Interface Fa0/2: PD removed

08:18:26: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down

08:19:49: %ILPOWER-7-DETECT: Interface Fa0/2: Power Device detected: Cisco PD

08:19:53: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to up

08:19:53: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to up

105

RCNA Žilina

Konfigurácia syslog (1)

Konfigurácia syslog servera

Nastavenie úrovne hlášok (severity level) Switch(config)# logging trap ?

<0-7> Logging severity level

alerts Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

emergencies System is unusable (severity=0)

errors Error conditions (severity=3)

informational Informational messages (severity=6)

notifications Normal but significant conditions (severity=5)

warnings Warning conditions (severity=4)

Switch(config)# logging trap errors

! Nastav IP adresu syslog servera

Switch(config)# logging IP_ADDR

106

RCNA Žilina

Konfigurácia syslog (2)

Konfigurácia logovania do zásobníka (buffer)

• Správy budú držané lokálne

• Potrebné nastaviť level a veľkosť zásobníka

Switch(config)# logging buffered ?

<0-7> Logging severity level

<4096-2147483647> Logging buffer size

alerts Immediate action needed (severity=1)

critical Critical conditions (severity=2)

debugging Debugging messages (severity=7)

discriminator Establish MD-Buffer association

emergencies System is unusable (severity=0)

errors Error conditions (severity=3)

informational Informational messages (severity=6)

notifications Normal but significant conditions (severity=5)

warnings Warning conditions (severity=4)

xml Enable logging in XML to XML logging buffer

Switch(config)# logging buffered errors

! Velkost bufra

Switch(config)# logging buffered 8192

107

RCNA Žilina

Overenie konfigurácie Syslog

Príkaz

• show logging

Na filtráciu výpisov je vhodné používať pipe (|) s kľúčovým slovom

• include or begin

Switch# show logging | include LINK-3

2d20h: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up



Switch# show logging | begin %DUAL

2d22h: %DUAL-5-NBRCHANGE: EIGRP-IPv4:(10) 10: Neighbor 10.1.253.13

(FastEthernet0/11) is down: interface down

2d22h: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down

2d22h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11,

changed state to down

108

RCNA Žilina

Čas (najmä správny) je dôležitý!!!! ! Pridaj casovu znacku pre debug spravy

Router(config)# service timestamps debug datetime msec localtime show-

timezone

! Pridaj casovu znacku pre log spravy

Router(config)# service timestamps log datetime msec localtime show-

timezone

debug Indicates that the timestamp should be applied to debugging messages.

log Indicates that the timestamp should be applied to system logging

messages.

uptime Time stamp with the time since the system was rebooted. The time

stamp format for uptime is HHHH:MM:SS.

datetime Time stamp with the date and time. The time stamp format for datetime

is MMM DD HH:MM:SS.

msec (Optional) Include milliseconds in the time stamp.

localtime (Optional) Time stamp relative to the local time zone.

year Include the year in the datetime format.

show-timezone (Optional) Include the time zone name in the time stamp.

Predpokladá sa správny lokálny čas (NTP?) !!!!

109

RCNA Žilina

Ďalšie čítanie

Troubleshooting and Fault Management

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/bsm/configuration/15-mt/bsm-15-mt-book/bsm-troubleshooting.html














110

SNMP

111

RCNA Žilina

Simple Network Management Protocol Je de facto jediný štandard pre

manažment v IP sieťach

SNMP má tri komponenty: • Network Management Application

(SNMP Manager)

• SNMP Agents

• Pracuje vo vnútri riadeného zariadenia

• MIB Database

• Databáza objektov, ktoré popisujú informáciu v definovanom formáte (SMI)

SNMP definuje ako budú riadiace správy manažmentu vymieňané cez sieť medzi SNMP aplikáciou a SNMP agentom • Pull model

• Manažér sa opýta agenta

• Push model

• Agent sám pošle info manažérovy

Existujú viaceré verzie SNMP protokolu

112

RCNA Žilina

MIB – Management Information Base

Objekty na agentovi majú svoje identifikátory OID (Object IDentifier)

OID sú usporiadané v stromovej štruktúre

Vrcholy majú číselný i slovný názov

Konkrétny objekt je adresovaný cestou od koreňa stromu

Príklad: .1.3.6.1.2.1.1 iso(1) org(3) dod(6) internet(1)

mgmt(2)

mib-2 (1)

system (1)

1

3

6

1

1

2 3

4

1

1

2 4

6

iso(1)

org(3)

dod(6)

internet(1)

directory(1)

mgmt(2) experimental(3)

private(4)

mib-2(1)

system(1)

interfaces(2) ip(4)

tcp(6)

113

RCNA Žilina

Porty a UDP

SNMP ako transportný mechanizmus používa User Datagram Protocol (UDP) s portami

UDP Port 161 - SNMP Messages

• UDP Port 162 - SNMP Trap Messages

Ethernet

Frame IP

Packet UDP

Datagram

SNMP Message CRC

114

RCNA Žilina

SNMP Verzia 1 (SNMPv1)

Definovaná v RFC 1157

Definuje päť základných správ

Get Request (Get)

Požaduje načítanie hodnoty

danej MIB premennej agenta

Get Next Request (GetNext)

Použitá po počiatočnom „Get

Request“ na získanie ďalšej

položky z MIB

Set Request (Set)

Použitá na nastavenie MIB

premennej na agentovi

Get Response (Response)

Použitá agentom na odoslanie

odpovede na Get Request a Get

Next request

Trap

Zasielanie nevyžiadanej správy z

agenta na manažéra. Zvyčajne

nastanie udalosti, alarm a pod.

115

RCNA Žilina

SNMP Verzia 2 (SNMPv2)

Definovaná v RFC 1441

Problém s akceptáciou v IETF z dôvodu bezpečnosti a administratívy

Má len experimentálne implementácie

Community-based SNMPv2 (SNMPv2C)

RFC 1901

Najbežnejšia implementácia SNMP

SNMPv2C používa administratívny framework definovaný v SNMPv1, ktorý používa read/write komunitné reťazce (heslá) za účelom riadenia prístupu

SNMPv2 pridáva dva nové druhy správ:

Get Bulk Request:

Umožňuje preniesť väčšie množstvo dát

Zvyšuje výkonnosť obmedzením opakujúcich sa správ request/reply

Inform Request:

Umožňuje informovať manažéra o nastáti udalosti

Príjem je potvrdzovaný

116

RCNA Žilina

SNMP Security

SNMPv1 a v2 Community Strings (like passwords)

READ-ONLY

Overenie zasielaných Get & GetNext na SNMP agenta

Ak agent používa rovnaké reťaze odpovie na request

READ-WRITE

Overenie Get, GetNext, a Set.

Ak daný MIB objekt má ACCESS hodnotu typu read-write, Set správou môžeme zmeniť hodnotu premennej MIB objektu

TRAP

Spájanie entít do komunitných skupín

117

RCNA Žilina

SNMP Verzia 3

RFCs 3410 až 3415

Pridáva metodiku na zabezpečenie prenosu kritických dát medzi manažovanými zariadeniami

SNMPv3 prináša tri úrovne zabezečenia

noAuthNoPriv:

Autentifikácia nie je vyžadovaná, šifrovanie nie je poskytované

authNoPriv

Využíva autentifikáciu postavenú nad Hash-based Message Authentication Code with Message Digest 5 (HMAC-MD5) alebo Hash-based Message Authentication Code with Secure Hash Algorithm (HMAC-SHA). šifrovanie nie poskytované

authPriv

K autentifikácii sa pridáva šifrovanie cez Cipher Block Chaining-Data Encryption Standard (CBC-DES)

Úroveň zabezpečenia definuje ku ktorému SNMP objektu môže používateľ pristupovať, pre čítanie, zápis alebo nastavenie notifikácie

118

RCNA Žilina

Odporúčania pre používanie SNMP

Komunitné reťazce v SNMPv1 a SNMPv2 sú prenášané ako čistý text

Komunitné reťazce by sa mali meniť v pravidelných intervaloch podľa požiadaviek sieťovej politiky

Napr. pri zmene admina

Ak cez SNMP len monitorujeme zariadenia, treba používať len Read Only komunitu

Na riadenie prístupu zo SNMP manažérov používaj ACL.

Nasadenie SNMPv3 je vysoko odporúčané kvôli autentifikácii a šifrovaniu

119

RCNA Žilina

Konfigurácia SNMP

Vytvorenie ACL pre limitovaný prístup k SNMP agentovi

Nastavenie SNMP komunít

Nastavenie cieľa pre zasielanie správ SNMP Trap

Aktivácia konkrétnych SNMP Trap správ

Switch(config)# access-list 1 permit 10.1.1.0 0.0.0.255

Switch(config)# snmp-server community cisco RO 1

Switch(config)# snmp-server community xyz123 RW 1

Switch(config)# snmp-server host 10.1.1.50 xyz123

Switch(config)# snmp-server enable traps ?

120

RCNA Žilina

Voľne šíriteľné SNMP MIB broser-y (walkers)

Free SNMP MIB Browser Tools

http://www.manageengine.com/products/mibbrowser-free-tool/

SnmpB

http://sourceforge.net/projects/snmpb/






http://sourceforge.net/projects/snmpb/

121

IP Service Level Agreement

122

RCNA Žilina

IP Service Level Agreement

IP SLA je kontrakt medzi poskytovateľom služby a zákazníkom

• Môže špecifikovať rôzne položky kontraktu

• Napr. zahŕňa garantovanú úroveň dostupnosti konektivity, výkonnosť siete (oneskorenie, RTT), odozvy (oneskorenie, jitter, straty) a pod.

123

RCNA Žilina

IP SLA Measurements

Cisco IP SLA je nástroj vhodný na overenie prostredia pre nasadenie služby, dodržiavanie kontraktu, monitorovanie prostredia, daignostika, QoS parametrov, kontrola výpadkov a mnoho iných ...

Cisco IP SLA je vlastnosť IOS ktorá umožňuje vykonávať merania • Vykonávané zasielaním umelej prevádzky na hosta alebo smerovač, ktorý sú

nastavený naň odpovedať

IP SLA podporuje veľké množstvo testov • Protokoly

• UDP, TCP, ICMP, HTTP, DNS, DHCP, FTP,…

• Testovane konektivity

• ICMP or UDP

• Testovanie chvenia (Jitter)

• A zozbierať množstvo parametrov, dostupných cez SNMP MIB or CLI

124

RCNA Žilina

Cisco IOS IP SLAs nasadenie a metriky

*DATA TRAFFIC

*VoIP

*SERVICE LEVEL AGREEMENT

*AVAILABILITY

**STREAMING VIDEO

RE

QU

IRE

ME

NT

• Minimize Delay, Packet Loss

• Verify QoS

• Minimize Delay, Packet Loss, Jitter

• Measure Delay, Packet Loss, Jitter

• One-way

Connectivity testing

• Minimize

Delay,

Packet Loss

IP S

LA

ME

AS

UR

ME

NT

• Jitter • Packet loss • Latency • per QoS

• Jitter • Packet loss • Latency • MOS Voice

Quality Score

• Jitter • Packet loss • Latency • One-way • Enhanced

accuracy • NTP

• Connectivity tests to IP devices

• Jitter • Packet loss • Latency

125

RCNA Žilina

Súčasti IP SLA

IP SLA zdroj (source)

Posiela testovaciu prevádzku na stanovený cieľ

Všetky testy sú konfigurované na SLA zdroji (CLI or GUI)

SLA zdroj využíva samostatný riadiaci protokol pre komunikáciu s responderom ešte pred začiatkom testu

Najmä pre časové charakteristiky je nutné, aby zdroj a respondent boli časovo synchronizovaní (NTP)

IP SLA respondent (responder)

je súčasťou IOSu,

je komponent na cieli testovacej prevádzky, ktorý slúži na koordináciu prebiehajúceho testu s IP SLA zdrojom

IP SLA operácia (operation)

je meranie, ktorého súčasťou je protokol, frekvencia a prahové (treshold) hodnoty parametrov

126

RCNA Žilina

IP SLAs meranie (operácia)

IP SLA merania je možné realizovať:

• voči zariadeniu, na ktorom

nebeží SLA respondent (web

server alebo IP stanica)

Obvykle sú to testy bežného

aplikačného protokolu alebo ping

• voči zariadeniu, na ktorom beží

SLA respondent (napr. Cisco

router)

Je možné realizovať dodatočné

testy, prípadne získavať presnejšie

výsledky

R1 R2

IP SLAs

Source

DNS

Serve

r

Generated traffic to measure the network

Generated ICMP traffic to measure network

response

R1 R2

IP SLAs

Source

IP SLAs

Responder

MIB data retrieved via SNMP

127

RCNA Žilina

IP SLA riadiací protokol

Na IP SLA zdroji sa zadefinuje pre každú IP SLA operáciu

• Cieľové zariadenie (probe), protokol a UDP or TCP port číslo

Pred započatím testu prebehne kontrolná fáza

• IP SLA zdroj následne pred poslaním test paketu použije na komunikáciu s responderom riadiaci

protokol (port 1967), ak všetko v poriadku Responder odpovie OK

• Info o trvaní testu, protokole a porte

• Riadiace správy môžu byť overované MD5 hashom

Test začne posielaním sady testovacích paketov medzi IP SLA zdrojom a

responderom za periódu času

Keď skončí test, výsledok je uložený v SNMP IP SLA MIB

128

RCNA Žilina

IP SLA Responder Timestamps

IP SLA responder timestamps je využité pri kalkulácii round-trip time (RTT)

IP SLA source posiela paket v čase T1.

IP SLA responder zahrnie v odpovedi čas príjmu (T2) a čas odoslania (T3).

Je vhodné mať zdroj aj cieľ synchronizovaný cez NTP

129

RCNA Žilina

Konfigurácia IP SLA s object tracking

1. Definovať aspoň jednu SLA operáciu (test, tzv. probe)

2. Definovať dobu trvania operácie

3. Definovať aspoň jeden tzv. tracking object, ktorý bude reprezentovať úspech alebo neúspech SLA operácie

4. Definovať akciu asociovanú s tracking object-om

Pozor:

Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa príkaz ip sla monitor nahrádza príkazom ip sla

131

RCNA Žilina

Vytvorenie IP SLA operácie

Vytvorenie IP SLA operácie

Router(config)#

ip sla operation-number ! alebo: ip sla monitor operation-number

Parameter operation-number je ID operácie (ľubovoľné)

R1(config)# ip sla 1 ! Alebo: ip sla monitor 1

R1(config-ip-sla)# ?

IP SLAs entry configuration commands:

dhcp DHCP Operation

dns DNS Query Operation

exit Exit Operation Configuration

icmp-echo ICMP Echo Operation ! alebo: type echo protocol ipIcmpEcho

icmp-jitter ICMP Jitter Operation

! Skrátené kvôli stručnosti

R1(config-ip-sla)#

132

RCNA Žilina

Defining an IP SLAs ICMP Echo Operation

Definovanie ping operácie voči non-responder cieľu

Router(config-ip-sla)#

icmp-echo {destination-ip-address | destination-hostname} [source-

ip {ip-address | hostname} | source-interface interface-name]

Pozor:

Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa príkaz type echo protocol ipIcmpEcho nahrádza príkazom icmp-echo

Parameter Popis

destination-ip-address |

destination-hostname Cieľová IPv4/IPv6 adresa

source-ip {ip-address |

hostname} (Nepovinné) Stanovuje zdrojovú IPv4/IPv6 adresu

source-interface

interface-name

(Nepovinné) Stanovuje rozhranie, z ktorého sa požičia

zdrojová IPv4/IPv6 adresa

133

RCNA Žilina

icmp-echo – nastavenie detailov

Existuje množstvo parametrov, avšak pre nás sú teraz podstatné len parametre frequency a timeout

R1(config-ip-sla)# icmp-echo 209.165.201.30

R1(config-ip-sla-echo)# ?

IP SLAs echo Configuration Commands:

default Set a command to its defaults

exit Exit operation configuration

frequency Frequency of an operation

history History and Distribution Data

no Negate a command or set its defaults

owner Owner of Entry

request-data-size Request data size

tag User defined tag

threshold Operation threshold in milliseconds

timeout Timeout of an operation

tos Type Of Service

verify-data Verify data

vrf Configure IP SLAs for a VPN Routing/Forwarding in-stance

R1(config-ip-sla-echo)#

134

RCNA Žilina

icmp-echo – nastavenie detailov

frequency seconds

Stanovuje, ako často sa operácia bude opakovať

Parameter seconds udáva počet sekúnd medzi dvomi behmi tejto

operácie. Štandardná hodnota je 60 sekúnd.

Router(config-ip-sla-echo)#

timeout milliseconds

Stanovuje čas, do ktorého SLA operácia očakáva odpoveď na odoslanú žiadosť

Router(config-ip-sla-echo)#

135

RCNA Žilina

Naplánovanie SLA operácie – doba trvania

IP SLA operáciu je potrebné naplánovať

Router(config)#

ip sla schedule operation-number [life {forever | seconds}] [start-time {hh:mm[:ss] [month day | day month] | pending | now | after hh:mm:ss}] [ageout seconds] [recurring]]

Pozor:

Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa príkaz ip sla monitor schedule nahrádza príkazom

ip sla schedule

136

RCNA Žilina

Voľby príkazy ip sla schedule Parameters Parameter Description

operation-number Number of the IP SLAs operation to schedule.

life forever (Optional) Schedules the operation to run indefinitely.

life seconds (Optional) Number of seconds the operation actively collects information.

The default is 3600 seconds (one hour).

start-time (Optional) Time when the operation starts.

hh:mm[:ss] Specifies an absolute start time using hour, minute, and (optionally) second.

Use the 24-hour clock notation.

month (Optional) Name of the month to start the operation in.

If month is not specified, the current month is used.

day (Optional) Number of the day (in the range 1 to 31) to start the operation on.

If a day is not specified, the current day is used.

pending (Optional) No information is collected. This is the default value.

now (Optional) Indicates that the operation should start immediately.

after hh:mm:ss (Optional) Indicates that the operation should start this amount of time after this command was

entered.

ageout seconds (Optional) Number of seconds to keep the operation in memory when it is not actively collecting

information (default is 0 seconds which means it never ages out).

recurring (Optional) Indicates that the operation will start automatically at the specified time and for the

specified duration every day.

137

RCNA Žilina

Vytvorenie tracking object-u

Vytvoriť tracking object, ktorý bude vyhodnocovať výsledok IP SLA operácie Router(config)#

track object-number ip sla operation-number {state |

reachability}

Pozor:

Počnúc verziou IOSu 12.4(20)T, 12.2(33)SXI1 a 12.2(33)SRE je príkaz track rtr nahradený príkazom track ip sla

Parameter Popis

object-number Číslo tracking object-u od 1 do 500 (ľubovoľné)

operation-number Číslo SLA operácie, ktorej stav bude tento tracking object

uchovávať.

state Uchováva návratový kód (OK, OverThreshold, ...)

reachability Uchováva všeobecnú úspešnosť

138

RCNA Žilina

Overenie IP SLA Command Description

show ip sla

configuration

[operation]

Display configuration values including all defaults for all

Cisco IOS IP SLAs operations, or for a specified operation.

The operation parameter is the number of the IP SLAs

operation for which the details will be displayed.

show ip sla statistics

[operation-number |

details]

Display the current operational status and statistics of all

Cisco IOS IP SLAs operations, or of a specified operation.

Sh ip sla application Display global information about Cisco IOS IP SLAs.

139

RCNA Žilina

Príklad použitia

R1(config)# ip sla 11 R1(config-ip-sla)# icmp-echo 10.1.3.3 R1(config-ip-sla-echo)# frequency 10 R1(config-ip-sla-echo)# exit ! 2x R1(config)# ip sla 22 R1(config-ip-sla)# icmp-echo 172.16.3.3 R1(config-ip-sla-echo)# frequency 10 R1(config-ip-sla-echo)# exit ! 2x R1(config)# track 1 ip sla 11 reachability R1(config-track)# delay down 10 up 1 R1(config-track)# exit R1(config)# track 2 ip sla 22 reachability R1(config-track)# delay down 10 up 1 R1(config-track)# exit R1(config)# ip sla schedule 11 life forever start-time now R1(config)# ip sla schedule 22 life forever start-time now R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.1 2 track 1 R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1 3 track 2

Primary Path

ISP 1

172.16.1.0 R1

R2 10.1.1.0 .1

Backup Path

Internet

Customer

A

R3

.1 ISP 2

10.1.3.3

172.16.3.3

140

RCNA Žilina

ena

conf t

ip sla 10

icmp-echo 3.0.0.2 source-interface vlan 20

frequency 5

exit

ip sla schedule 10 start-time now life forever

track 10 ip sla 10 reachability

int vlan 20

stand 1 track 10 decrement 25

End

sh ip sla statisti

Ss ip sla config

sh track 10

Tracking VRRP master na základe IP SLA

141

RCNA Žilina

Viac o SLA

SLA Book

http://www.cisco.com/en/US/docs/ios/ipsla/configuration/guide/sla_overview_support_TSD_Island_of_Content_Chapter.html




142

Cisco IOS Server Load Balancing

143

RCNA Žilina

Cisco IOS SLB Benefits

Cisco IOS Server Load Balance (SLB) rozkladá záťaž medzi viaceré servery

• Zavádza virtuálnu IP adresu servera

• Cisco IOS SLB potom reprezentuje skupinu sieťových serverov (serverová farma v dátovom centre) ako jednu inštanciu

SLB vykonáva balancing

• Podľa informácii z L4 až L7

• Sofvérovo

• Hardvérovo

• Je vyžadovaný modul Cisco Application Control Engine (ACE)

Dostupné len na prepínači Cat6500

Výhody

• Zvýšená výkonnosť/priepustnosť

• Administrácie serverov je jednoduchšia

• Zvýšená bezpečnosť, lebo reálna IP adresa serverov nie je distribuovaná von

• Zníženie času nedostupnosti pri nasadení viac serverov

• Prepínač deteguje servery, ktoré sú nedostupné a neposielajú im prevádzku

144

RCNA Žilina

Cisco IOS SLB pracovné režimy

Dispatched mode

Každý server vo farme má svoju reálnu adresu a naviac virtuálnu adresu celej farmy – konfigurovaná na Loopbacku alebo ako sekundárna IP

Presmerovanie sa deje vložením paketu idúceho na virtuálnu IP do rámca adresovaného MAC adrese konkrétneho reálneho servera

V tomto režime musia byť servery spolu so SLB v spoločnej sieti

Directed mode

Každý server vo farme má iba svoju reálnu adresu

Virtuálna adresa celej farmy je serverom neznáma

SLB realizuje NAT tak, že prepisuje cieľovú virtuálnu IP na adresu konkrétneho reálneho servera

145

RCNA Žilina

Konfigurácia serverovej farmy v dátovom centre s reálnymi servermi

Krok 1. Definuje serverovú farmu:

Switch(config)# ip slb serverfarm SERVERFARM-NAME

Krok 2. Pridá reálny server do serverovej farmy:

Switch(config-slb-sfarm)# real A.B.C.D

Krok 3. Povolí používanie reálneho servera vo farme:

Switch(config-slb-real)# inservice

146

RCNA Žilina

Konfigurácia serverovej farmy v dátovom centre s reálnymi servermi (2)

Dve farmy v dátovom centre, PUBLIC a RESTRICTED

PUBLIC serverová farma asociované tri reálne servery: 10.1.1.1, 10.1.1.2, a 10.1.1.3.

RESTRICTED serverová farm má dva reálne servery: 10.1.1.20 and 10.1.1.21.

Swítch(config)# ip slb serverfarm PUBLIC

Switch(config-slb-sfarm)# nat server ! Len pre Directed Mode

Switch(config-slb-sfarm)# real 10.1.1.1


Switch(config-slb-real)# real 10.1.1.2




!

Swítch(config)# ip slb serverfarm RESTRICTED

Switch(config-slb-sfarm)# nat server ! Len pre Directed Mode

Switch(config-slb-sfarm)# real 10.1.1.20




147

RCNA Žilina

Diagnostika SLB

Zobrazenie stavu a konfigurácie serverových fariem

Asociované reálne servery

Stav reálnych serverov

Systém rozkladania záťaže

Počet obsluhovaných spojení

Switch# show ip slb real

real farm name weight state cons

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

10.1.1.1 PUBLIC 8 OPERATIONAL 0



10.1.1.20 RESTRICTED 8 OPERATIONAL 0

10.1.1.21 RESTRICTED 8 OPERATIONAL 0

Switch# show ip slb serverfarm

server farm predictor nat reals bind id

– – – – – – – – – – – – – – – – – – – – – – – – – - - - - -

PUBLIC ROUNDROBIN none 3 0

RESTRICTED ROUNDROBIN none 2 0

148

RCNA Žilina

Konfigurácia serverovej farmy v dátovom centre s virtuálnymi servermi (1)

Krok1. Definuje virtuálny server:

Switch(config)# ip slb vserver vserver-name

Krok 2. Nastaví IP adresu virtuálneho servera:

Switch(config-slb-vserver)# virtual ip-address [network-mask] {tcp

| udp} [port-number | wsp | wsp-wtp | wsp-wtls | wsp-wtp-wtls]

[service service-name]

Krok 3. Asociuje serverovú farmu k virtuálnemu serveru:

Switch(config-slb-vserver)# serverfarm primary-serverfarm-name

[backup backup-serverfarm-name [sticky]]

Krok 4. Povolí virtuálny server

Switch(config-slb-vserver)# inservice

Krok 5. Špecifikuje klientov, ktorí majú prístup na virtuálny server:

Switch(config-slb-vserver)# client ip-address network-mask

149

RCNA Žilina

Konfigurácia serverovej farmy v dátovom centre s virtuálnymi servermi (2)

Switch(config)# ip slb vserver PUBLIC_HTTP

Switch(config-slb-vserver)# virtual 10.1.1.100 tcp www

Switch(config-slb-vserver)# serverfarm PUBLIC


Switch(config)# ip slb vserver RESTRICTED_HTTP

Switch(config-slb-vserver)# virtual 10.1.1.200 tcp www

Switch(config-slb-vserver)# client 10.4.4.0 255.255.255.0

Switch(config-slb-vserver)# serverfarm RESTRICTED


150

RCNA Žilina

Overenie

! Verifikacia konfiguracie

Switch# show ip slb vserver

slb vserver prot virtual state cons

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –

PUBLIC_HTTP TCP 10.1.1.100:80 OPERATIONAL 0

RESTRICTED_HTTP TCP 10.1.1.200:80 OPERATIONAL 0

! Stav spojenia

Switch# show ip slb connections

vserver prot client real state nat

– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – - - - - - - - - -

RESTRICTED_HTTP TCP 10.4.4.0:80 10.1.1.20 CLOSING none

151

RCNA Žilina

Overenie

Zobrazenie detailných info o stave omedzeného prístupu klienta restricted

show ip slb connections client

Zobrazenie štatistík

show ip slb stats

Switch# show ip slb connections client 10.4.4.0 detail

VSTEST_UDP, client = 10.4.4.0:80

state = CLOSING, real = 10.1.1.20, nat = none

v_ip = 10.1.1.200:80, TCP, service = NONE

client_syns = 0, sticky = FALSE, flows attached = 0

Switch# show ip slb stats

Pkts via normal switching: 0

Pkts via special switching: 6

Connections Created: 1

Connections Established: 1

Connections Destroyed: 0

Connections Reassigned: 0

Zombie Count: 0

Connections Reused: 0