2014年11月17日 星期一

CCNP-BCMSN Module 05 Implementing HSRP/VRRP/GLBP

Proxy ARP
image
Proxy ARP的機制:
1.預設啟動
2.當收到ARP Request的時候,滿足以下條件時會發生Proxy ARP:
    (1)ARP Traget IP(目的地IP)與接收介面不在同一個Subnet上,會發生Proxy-ARP。
    (2)ARP Traget IP(目的地IP)有Routing Info.,會發生Proxy-ARP
3.Proxy-ARP的動作會幫外部的設備代理回應ARP Reply的訊息給PC,告知PC 他知道往目的地的路由資訊。
3.建議關閉Proxy ARP
  (config-if)#no ip proxy-arp
4.檢查Proxy-ARP的方法:
   show ip int fa x/x
image
目前Windows ARP的機制:
1.當PC有設定Default Gateway時,網卡會發ARP去問Gateway的MAC,再往目的地送。
2.當沒有設定Default Gateway跨網段的封包會被Drop。
SW的機制:
不管有無設定Default Gateway都發ARP去詢問Gateway的MAC。
IRDP(ICMP Router Discovery Protocol)
1.預設關閉
2.使用(config-if)#ip irdp啟動
3.使用Broadcast的方式傳送給同網段的設備
4.Router定期告知Subnet 設備Router的存在。
5.使用在Router與PC之間的協定,PC要有支援才可以。
6.雙邊設備都要啟動才有效果。
HSRP(Hot Standby Router Protocol)
image 
HSRP v1HSRP v2
Virtual MAC0000:0C07:ACxx
0000:0C-OUI(廠商識別碼)
07:AC-表示HSRP v1
xx-表示Group(最多256個)
0000:0C9F:Fxxx
0000:0C – OUI(廠商識別碼)
9F:F – 表示HSRP v2
xxx – 表示Group編號(max 4096個)
Virtual IP使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
與HSRP v1一樣
HSRP 角色
角色定義
Active Router1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
Standby Router當Active Router掛掉時,變成Active的角色,負責Atcive的工作
Speak Router其他的Router都叫做Speak Router
*更新角色的動作:
Standby Router接手時會發一個ARP的廣播問自己,為了做全部MAC的更新,Src的MAC會是Virtual的MAC,告訴所有人誰是Virtual IP並自己回答是自己的網卡MAC,達到由Sandby並成Active的目的。
與HSRP v1一樣
Hello MSG224.0.0.2(所有的IPv4的Router)(Multicast位址)
Src & Dest都走1985/UDP
224.0.0.102Src & Dest都走1985/UDP
HSRP HelloActive Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
與HSRP v1一樣
HSRP HoldtimeActive Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
與HSRP v1一樣
HSRP State
狀態定義
1.Initial(進入)1.介面剛UP
2.Router 不會送出Hello
2.Learn(學習)1.已收到Hello的訊息
2.還不知道誰是Active Router
3.還不知道Virtual IP
4.Router不會送出Hello
3.Listen(頃聽)1.已知道HSRP Group Vritual IP
2.自己的角色還未確定
(可以手動設定or自動學習)
3.Router不會送出Hello
4.Speak1.主動送出HSRP Hello
2.參與Active / Standby的競選(利用PRI值)
5.Standby(備援)1.唯一Active的候選人
2.Group只有一個Standby Router
3..開始送出Hello的訊息
6.Active(主要)1.負責傳送Virtual IP及Virtual MAC
2.Group只有一個Active Router
3.開始送出Hello訊息
與HSRP v1一樣
HSRP 競選1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
與HSRP v1一樣
Preempt1.當A為Active Router,B是Standby Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
備註1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。
與HSRP v1一樣
Config HSRP
1.設定群組 & V-IP

由此可知V-MAC為0000:0C07:AC01
2.最佳化的調整
(1)調整PRI值確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
image
image
(2)設定Preempt確保封包繞送的路徑
*預設沒有啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
image
image
(3)調整Timer加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
*建議Holdtime為3倍的Hello
image
image
(4)追蹤Tracing外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
image
image
3.HSRP Authentication
(1)Plain-text認證方法:*明文的方式較不安全
image   
(2)MD5 key-string認證方法:*較安全的方式
image  
(3)MD5 Key-chain認證方法:*最安全的方式
step1:
建立Key-chain(一串鑰匙)
image 
step2:
建立key-string
image 
step3:
套用到HSRP認證裡面
image
Show的觀察
1.Show standby brief
image
2.show standby
image
3.debug standbyimage
Multiple HSRP Group
image
1.一個VLAN下可以設定多組Group,可以達到Load Sharing的機制
2.較少人使用,通常都是由一個Router當作Active,一個Router當作Standby
3.查修較不容易
4.設定在Route Port或SVI上
VRRP(Virtual Router Redundancy Protocol)
image
Virtual MAC0000.5E00.01XX
0000:5E-OUI(廠商識別碼)
00:01-表示VRRP
xx-表示Group(最多256個)
Virtual IP使用一個獨立的V-IP及V-MAC
是PC的Default Gateway
VRRP 角色
角色定義
Master Router1.負責轉送資料
    -Dest IP=VIP
    -Dest MAC=VMAC
2.負責回應對VIP的Request
3.負責回應ARP
4.只有Master會送出Hello訊息
5.當V-IP被設定為實體Router的IP時,此Router馬上成為Master
Backup Router1.其他的Router都叫做Backup Router
2.當Master Router掛掉時,會看PRI高的Router成為Master
3.不會送出Hello的訊息
Hello MSG224.0.0.18
直接封裝在IP封包裡面,Protocol號碼為112
VRRP Hello1.Advertisement time 預設 1 Sec傳送一次
2.只有Master Router會送Hello
VRRP HoldtimeDown Interval = 3* Advertisement Timer + Skew time(傾斜的時間)
註:Skew Time = 256-priority/256
VRRP 競選1.必須要在同一個Group下
2.當V-IP被設定成實體Router的IP時,此Router馬上成為Master Router。(PRI值會自動設成255)
3.Highest Priority(越大越好),PRI值預設為100。
4.Highest Interface IP(越大越好)
5.當PRI值=0時表示永遠當做Backup角色
Preempt1.當A為Master Router,B是Bakup Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Master角色搶回來。
2.建議都要設定Preempt
備註1.在一個Group裡面最少要有一個Router,通常都是2個
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.一個Virtual Router只能服務一個群組,也可以設定多個
4.IEEE (RFC 2338)標準,各家都支援(建議使用同一家設備)
5.啟用HSRP時會自動關閉ICMP Redirect。
6.使用tracertout時,會發現第一站為實體IP,非V-IP,是因為TTL的機制所以會出現此狀況。
Config VRRP
1.設定群組 & V-IP
 
由此可知V-MAC為0000.5E00.0110
2.最佳化的調整
(1)調整PRI值確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
 
(2)設定Preempt確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime

(4)追蹤Tracing外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image
step2:套用到VRRP裡面
image
3.VRRP Authentication
(1)Plain-text認證方法:*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:*最安全的方式
*步驟皆與設定HSRP相同
Show的觀察
1.Show vrrp brief
 image
2.show vrrp
image
GLBP(Gateway Load Balancing Protocol)
image
Virtual MAC0007:B4yy:yyyy
0007:B4-OUI(廠商識別碼)
yy:yyyy-表示AVF

Group最多1024個
ex:若有一個第一群組的第3個Router,他的V-MAC為0007:B400:01(群組)03(Router)
Virtual IP使用一個獨立的V-IP及多個V-MAC
V-IP是PC的Default Gateway
*作法第一台PC來詢問就給第一台Router的MAC,第2台來詢問就給第2台Router的MAC…
GLBP角色
角色定義
AVG
(Active Virtual Gateway)
1.負責Assing V-MAC給Forwarder
    -Dest IP=VIP
    -Dest MAC=AVF MAC
2.負責回應對VIP的Request
3.負責回應ARP
4.會選出Active 及 Standby AVG
AVF
(Active Virtual Forwarder)
1.負責轉送Data的Router
2.再同一個Group裡最多4台AVF
3.每一個Router都是AVF
*GLBP可以達到Load Blance的目標
*GLBP裡同一個Router可以是AVG又是AVF
Hello MSG224.0.0.102
Src & Dest都走3222/UDP
GLBP HelloActive Hello 每3秒傳送一次(預設值)
Standby Helo 每3秒傳送一次(預設值)
*建議改為MS等級傳送一次
GLBP HoldtimeActive Holdtime 10秒(為Hello time的3倍)
Standby Holdtime 10秒(為Hello time的3倍)
GLBP 競選1.必須要在同一個Group下
2.Highest Priority(越大越好),PRI值預設為100。
3.Highest Interface IP(越大越好)
4.PRI最大的會成為AVG
5.PRI=0表示永遠都不成為AVG Router
GLBP Load Blance
1.Weight(權重)
*設定權重的方式
2.Host-Dependant
*建議值
*同一個Client詢問時,都會回同一個AVF Router
3.Round-Rabai
*不建議使用
*第一個Client就給他第一個AVF,第2個就給他第2個AVF
Preempt1.當A為Active AVG Router,B是Standby AVG Router。
當A設備掛掉時,會由B設備取代,若A Router恢復時,會把原來的B Router的Active角色搶回來。
2.建議都要設定Preempt
備註1.GLBP要達到的目標為,一個Group裡面的Router都可以轉送Data,不像HSRP與VRRP,都只有一台Active的Router轉送Data。
2.Virtual IP與PC在同一個VLAN或同一個網段。
3.多個Router服務一個群組。
4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。
5.Cisco 3750 3560 SW都只支援HSRP,要Router才支援VRRP/GLBP的協定
6.Cisco專屬協定
7.啟用HSRP時會自動關閉ICMP Redirect。
Config GLBP
1.設定群組 & V-IP
 
 
由此可知V-MAC為0007:B400:0701
2.最佳化的調整
(1)調整PRI值確認那一台可以成為Active
*預設值為100
*當PRI=0時不加入競選
   
(2)設定Preempt確保封包繞送的路徑
*預設啟動
*建議Router都要啟動
*可使用Delay去配合VTP / Routing收斂的時間
與HSRP設定的方法相同
(3)調整Timer加快收斂速度
*可依重要性使用msec等級的hellotime / holdtime
 
(4)load balance分流的方法
(5)追蹤Tracing外線發生未提的追蹤
*當外線有問題時,自動調整PRI值去調整路徑
*Cisco使用扣分制
*當線路恢復正常時會加回來
*可以定義多種物件來判斷
*預設使用Line Protocol / Routing資訊
step1:建立Track的Profile
(1)track Line Protocol的方式
image
(2)track路由資訊的方式
image
step2:套用到GLBP裡面
image
3.GLBP Authentication
(1)Plain-text認證方法:*明文的方式較不安全
*設定方法與HSRP相同  
(2)MD5 key-string認證方法:*較安全的方式
*設定方法與HSRP相同 
(3)MD5 Key-chain認證方法:*最安全的方式
*步驟皆與設定HSRP相同
Show的觀察
1.Show glbp brief*Active Router
  image
*Standby Router
image
2.showglbp
 image
3.showip int fa x/x
image
HSRP/VRRP/GLBP比較表
HSRP v1HSRP v2VRRPGLBP
標準Cisco ProprietaryCisco ProprietaryIEEE (RFC 2338)Cisco Proprietary
Hello Message (IP)224.0.0.2224.0.0.102224.0.0.18224.0.0.102
Port # / Pro. #1985 /UDP
(both src & dest Port)
1985 /UDP
(both src & dest Port)
Proto. # 1123222 /UDP
(both src & dest Port)
Virtual Router #256 (GID 0~255)4096 (GID=0~4095)256 (GID= 0~255)1024 Groups
4 AVF per Group
Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Single V-MAC
Single VIP
Multiple V-MAC
Virtual MAC #0000.0c07.acXY0000.0c9F.FXXX0000.5e00.01XX0007.b4yy.yyyy
where lower 24-bits: 000000-Group ID-Forwarder #
(6 bits) (10 bits) (8 bits)
角色1 Active/ 1 Standby/ others: Speak1 Active/ 1 Standby/ others: Speak1 Master / Others : BackupAVG: Assign V-MAC / Reply ARP Request for VIP
AVF: Forward packets destinated for V-MAC
Router Election1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
1. Highest Priority
2. Highest Interface IP
Hello Timer3 Sec (Active/Standby/Speak都會送)3Sec (Active/Standby/Speak
都會送)
Advertisement Interval: 1 Sec
(只有Master會送)
3 Sec. (learnedn form AVG)
Hold-Down TimerActive Timer: 10 Sec
Standby Timer: 10 Sec
Active Timer: 10 Sec
Standby Timer: 10 Sec
Down Interval = 3* Advertisement Timer + Skew time
Skew Time = 256-priority/256
10 Seconds (learnedn form AVG)
State1.initial(進入)
2.Learn(學習)
3.Listen(頃聽)
4.Speak
(競選active or standby)
5.Standy(備援)
6.Active(主要)
Load Blance1.Weighted load-balacning
2. Host-dependent load-balacning
3. Round-Robin load-balancing

沒有留言:

張貼留言