Blog Archives

Laboratório para configuração de VRRP no HP Network Simulator

Galera, montei um laboratório de VRRP no Simulador HP para o Comware 7 com o objetivo de validar a sintaxe dos comandos, além de testar o protocolo conforme cenário abaixo..

Para aqueles que não conhecem o VRRP, o protocolo funciona para redundância de Gateway em uma rede, com o objetivo de 2 ou mais roteadores compartilharem o mesmo IP virtual no modo ativo/backup ou ativo/ativo. O padrão do protocolo é o ativo(Master)/backup

VRRP Simware

Segue a configuração do VRRP nos Roteadores R1 e R2 além da configuração do Switch.

# Switch
vlan 2
#
interface GigabitEthernet1/0/2
port link-mode bridge
port access vlan 2
#
interface GigabitEthernet1/0/3
port link-mode bridge
port access vlan 2
#
Roteador - R1
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1
vrrp vrid 1 priority 110

Roteador - R2
interface GigabitEthernet 0/0/2
port link-mode route
ip add 192.168.1.3 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.1

Os comandos display vrrp e display vrrp verbose executados nos roteadores exibem valiosas informações sobre o status do VRRP.

vrrp-device2

A configuração da topologia para HP Network Simulator 7.1.50 pode ser baixada aqui.
Os comandos são identicos para a versão 5 do Comware.

Até logo.

Configuração básica do VRRP entre equipamentos Cisco e HPN

Esses dias durante a finalização do Capítulo sobre VRRP para o segundo eBook “Guia Básico para Configuração de Switches”  com o foco em Alta Disponibilidade” para equipamentos HPN/3Com/H3C, fiz alguns laboratórios com o protocolo VRRP, incluindo a utilização entre diferentes fabricantes. Segue abaixo um mini resumo sobre o protocolo, scripts das configurações e as “saídas” dos dispositivos.

O VRRP permite que 2 ou mais roteadores atuem como um único Roteador Virtual – na visão das máquinas de uma rede local – atuando de forma redundante em caso de falha no Roteador que é o default gateway das estações.
O protocolo é bem simples. Os Roteadores elegem um equipamento para ser o MASTER que é o responsável por encaminhar o tráfego e atuar como gateway para as máquinas da LAN, enquanto os outros Roteadores monitoram as mensagens geradas pelo MASTER e atuam como um Roteador Backup para em caso de falha do equipamento principal.

Atuação principal do Roteador Master é responder as requisições ARP das máquinas da rede local sobre o endereço MAC do Gateway e consequentemente processar o trafego encaminhado.
Em caso de falha do equipamento Master, um dos Roteadores Backup será eleito como novo Master para o grupo VRRP.

O protocolo é descrito pelo IETF na RFC 3768 e permite a configuração entre equipamentos de diferente fabricantes.

Na topologia abaixo, mostraremos um Script com a configuração de um grupo VRRP entre um Roteador Cisco e um Switch e/ou Roteador HPN /H3C.

 

Roteador Cisco

!
interface FastEthernet0/0
 ip address 172.16.0.2 255.255.255.0
 duplex auto
 speed auto
 vrrp 1 ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp 1 priority 120
! Configurando a prioridade do Roteador para 120
 vrrp 1 authentication rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
end
!

Roteador HPN

#
interface Ethernet0/0
 port link-mode route
 ip address 172.16.0.3 255.255.255.0
vrrp vrid 1 virtual-ip 172.16.0.1
! Configurando o grupo vrrp 1 com o endereço IP virtual 172.16.0.1
 vrrp vrid 1 authentication-mode simple rdefault
! Configurando a autenticação do grupo VRRP 1 com a “senha” rdefault
#

Comandos show e display

Roteador Cisco

Router#show vrrp
FastEthernet0/0 - Group 1
  State is Master
  Virtual IP address is 172.16.0.1
  Virtual MAC address is 0000.5e00.0101
  Advertisement interval is 1.000 sec
  Preemption enabled
  Priority is 120
  Authentication text, string "rdefault"
  Master Router is 172.16.0.2 (local), priority is 120
  Master Advertisement interval is 1.000 sec
  Master Down interval is 3.531 sec

Roteador HPN

[H3C]display vrrp  verbose
 IPv4 Standby Information:
     Run Mode       : Standard
     Run Method     : Virtual MAC
 Total number of virtual routers : 1
   Interface Ethernet0/0
     VRID           : 1                    Adver Timer  : 1
     Admin Status   : Up                   State        : Backup
     Config Pri     : 100                  Running Pri  : 100
     Preempt Mode   : Yes                  Delay Time   : 0
     Auth Type      : Simple               Key          : rdefault
     Virtual IP     : 172.16.0.1
     Master IP      : 172.16.0.2

Não esqueça

  • Caso não seja configurada a prioridade do grupo VRRP em um Roteador, o mesmo atribuirá o valor padrão (100) para o equipamento.
  • Se o endereço IP do Roteador for o mesmo do IP virtual, o equipamento será o MASTER.
  • Se o Roteador principal falhar, o novo Master será o Roteador com maior prioridade.

Agora uma pergunta: – É possível decrementar a prioridade de um Roteador/ Switch  VRRP  para em caso de falha no Link para Internet no Roteador principal  o outro equipamento Backup assumir como Master ? Se sim… deixem comentários! ;)

Outras referências e links:

Viva o linux http://www.vivaolinux.com.br/artigo/Firewalls-redundantes-utilizando-VRRP
Diferença entre VRRP, HSRP e GLBP http://blog.ccna.com.br/2008/12/16/pr-vrrp-x-hsrp-x-glbp/
RFC em inglês para suporte também a IPv6 http://tools.ietf.org/html/rfc5798
VRRP Load-Balance em Switches HPN http://www.comutadores.com.br/switches-hp-a7500-vrrp-load-balance/

Publicado originalmente em http://www.rotadefault.com.br/2012/09/26/configuracao-basica-do-vrrp-entre-equipamentos-cisco-e-hpn/

 

 

Switches HP A7500 – VRRP Load Balance

Publicado originalmente em 10 DE NOVEMBRO DE 2010

Cada estação de trabalho necessita de um endereço IP, Mascara e Gateway para comunicação com a Internet. Geralmente tais informações são distribuídas via servidor DHCP ou configuradas estaticamente na placa de rede.

Infelizmente tais configurações não são alteradas dinamicamente após mudanças na rede, como por  exemplo, a falha do Switch ou Roteador com papel de Gateway.

Se o default gateway falhar, não haverá conectividade com o acesso fora da LAN. Ao adicionar outro roteador de Backup, ajudará parcialmente, pois precisaremos alterar o endereço do Gateway de todas as máquinas da rede para novo Gateway.

O VRRP (Virtual Router Redundancy Protocol) permite utilizarmos um endereço IP virtual para mais de um Gateway. Baseado na troca de mensagens entre dispositivos com o VRRP ativo, o processo elege um equipamento MASTER e outro BACKUP.

A cada solicitação ARP dos hosts da rede solicitando o endereço MAC do Gateway o dispositivo Master irá responder a solicitação, em caso de falha do Master, o dispositivo de Backup ( que será o Master a partir da falha) irá continuar a responder pelo IP Virtual.

A eleição do MASTER é baseada no equipamento com maior prioridade, valor configurável no dispositivo entre 0 e 255, o valor default é 100. Se os dois Switches tiverem a mesma prioridade, vence a eleição o dispositivo com maior endereço IP configurado.

O MASTER deverá encaminhar anúncios em intervalos constantes, monitorados pelo BACKUP. Em caso de não recebimento de alguns anúncios, será efetuada nova eleição para substituição do Switch MASTER.

Obs: Os anúncios são encaminhados para equipamentos que estão no mesmo segmento. As mensagens VRRP são encaminhadas a cada 1 segundo e o tempo de falha é 3 vezes o valor.

VRRP Load Balance

Uma das desvantagens do VRRP é que o equipamento de Backup sempre estará em modo passivo enquanto não houver uma falha no dispositivo Master, o VRRP Load Balance permite balancearmos o encaminhamento dos tráfego, alterando a resposta ARP, hora com o endereço MAC do Master, hora com o endereço MAC do Backup .

No modo VRRP Load Balance, é criado dinamicamente endereços MAC virtuais para cada dispositivo do Grupo, cabe ao Master, continuar respondendo qual endereço será respondido em cada requisição ARP.

Obs: A feature é similar ao GLBP proprietário da Cisco!

Configurando

Switch Master VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.2 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 priority 120
! Aumentando a Prioridade para eleição do Master 
! (a prioridade default é 100, vence o maior)
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Switch Backup VRRP

vrrp mode load-balance 
! Habilitando o VRRP em modo de Balanceamento
#
interface Vlan-interface1
ip address 192.168.1.3 255.255.255.0
! Endereço IP físico da Interface VLAN 1
vrrp vrid 1 virtual-ip 192.168.1.1
! Endereço IP Virtual do VRRP grupo 1
vrrp vrid 1 authentication-mode md5 vrrpcomutadores
! Forçando a autenticação dos Switches que participarão do 
! Grupo VRRP 1 com a senha vrrpcomutadores

Display

Comando display no Switch eleito como Master

[SW1]display vrrp verbose 

IPv4 Standby Information:
Run Mode : Load Balance
Run Method : Virtual MAC

Total number of virtual routers : 2
Interface Vlan-interface1
VRID : 1 Adver Timer : 1 

Admin Status : Up State : Master 
Config Pri : 120 Running Pri : 120 
Preempt Mode : Yes Delay Time : 5 
Auth Type : MD5 Key : 0-Ma,R:)9P'Q=^Q`MAF4

Virtual IP : 192.168.1.1 
Master IP : 192.168.1.2
Forwarder Information: 2 Forwarders 1 Active 
Config Weight : 255 
Running Weight : 255 
Forwarder 01
State : Listening 
Virtual MAC : 000f-e2ff-0011 (Learnt)
Owner ID : 0024-7399-27f5 
Priority : 127 
Active : 192.168.1.2 
Forwarder 02
State : Active 
Virtual MAC : 000f-e2ff-0012 (Owner)
Owner ID : 0024-7399-27f0 
Priority : 255 
Active : local

Até a próxima!

Script de Configuração NQA com Tracking (IP SLA)

A dica de utilização do NQA foi encaminhada pelo Leandro Cândido: “Caros, estava testando a Feature de NQA + TRACK  (SIMILAR AO IP SLA DO CISCO), pois iríamos precisar utilizar em um dos nossos clientes, e vi que funciona perfeitamente bem. Então, estou encaminhando o script caso alguém precise aplicar em algum projeto que envolva equipamentos 8800, 4800, 7900 e outros…”

A Feature NQA (Network Quality Analizer) permite o diagnóstico de desempenho de Links para verificação de Jitter, atraso de conexão TCP, FTP, ICMP e etc.

O NQA realiza testes utilizando pacotes ICMP echo, DHCP, FTP, HTTP, UDP jitter, SNMP, TCP, UDP echo, voz e DLSw.

No exemplo abaixo utilizaremos o NQA para testar o link principal com pacotes ICMP (PING). Em caso de falha do Link, o NQA permitirá ao Switch utilizar uma segunda a rota default para encaminhar o tráfego para o Link Redundante.

Utilizaremos o primeiro Roteador da Operadora A (Link principal) como Objeto para “rastrear” o Link como ativo.

Configuração

Nessa primeira parte do Script efetuaremos o vínculo do NQA (responsável por gerar os pacotes ICMP) com o Track.

 

nqa entry empresax rota_monitorada_via_icmp
!Criando o grupo NQA empresax rota_monitorada_via_icmp
type icmp-echo
! definindo o tipo de pacote como ICMP
destination ip 200.1.2.3
! endereço monitorado no primeiro salto da Operadora A
frequency 500
! a freqüência do teste será a cada 500ms
reaction 1 checked-element probe-fail threshold-type consecutive 4 action-type trigger-only
! Se a reação 1 identificar 4 falhas no objeto monitorado, ele será invalidado 

nqa schedule empresax rota_monitorada_via_icmp start-time now lifetime forever
!ativando o tempo de monitoração como infinito
nqa agent enable

track 1 nqa entry empresax rota_monitorada_via_icmp reaction 1
!Associando o track 1 ao NQA empresax

Obs: Até agora apenas criamos o NQA para monitorar o endereço do primeiro salto da Operadora A (é possível identificarmos esse endereço com o comando traceroute para qualquer endereço de internet) e vinculamos ao Track. A idéia agora é vincularmos a rota default principal como Objeto do Track, para invalidarmos a rota em caso de falha no link.

ip route-static 0.0.0.0 0.0.0.0 192.0.1.1 track 1 preference 1 descripition rota_principal
! Associando a rota estática com preferência 1 ao Track 1
ip route-static 200.1.2.3 255.255.255.255 192.0.1.1 descripition roteador_operadoraA
! A rota estática  está forçando a monitoração do Link Principal pelo roteador 192.0.1.1 
! evitando chegarmos no Roteador da operadora A via Operadora B em caso de falha no link principal

ip route-static 0.0.0.0 0.0.0.0 192.0.2.1 preference 60 description rota_backup
! rota de backup com preferência 60

Comandos Display

[4800G] display track 1
Track ID: 1
Status: Positive
! Rota principal funcionando
Reference object:
NQA entry: empresax rota_monitorada_via_icmp
Reaction: 1

[4800G]display nqa statistics
NQA entry(admin empresax, tag rota_monitorada_via_icmp) test 
statistics:
NO. : 1
Destination IP address: 200.1.2.3 
Start time: 2000-04-26 13:14:57.0 
Life time: 2612 
Send operation times: 2510 Receive response times: 2067 
Min/Max/Average round trip time: 3/460/4 
Square-Sum of round trip time: 553275 

Extended results:
Packet lost in test: 17% 
Failures due to timeout: 443
Failures due to disconnect: 0 
Failures due to no connection: 0
Failures due to sequence error: 0 
Failures due to internal error: 0
Failures due to other errors: 0

Packet(s) arrived late: 0

[4800G]display ip routing-table 
Routing Tables: Public
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 1 0 192.0.1.1 Vlan1 
!Tráfego encaminhado via interface vlan 1, antes do problema no link

Após a falha

Se o resultado do teste NQA der negativo, isto é, 200.1.2.3 como inalcançável, (o status do Objeto Track é Negative) a rota estática será inválida.

[4800G]display track 1 
Track ID: 1
Status: Negative
!Momento em que ocorre o problema no link, rota principal para de funcionar 
Reference object:
NQA entry: empresax rota_monitorada_via_icmp
Reaction: 1

[4800G]dis ip routing-table 
Routing Tables: Public
Destination/Mask Proto Pre Cost NextHop Interface
0.0.0.0/0 Static 60 0 192.0.2.1 Vlan3 
! Agora o Tráfego será encaminhado via interface vlan 3. Se o link principal 
! voltar a comunicar, a rota default com preferência 1 voltará para tabela de 
! rotas excluíndo a de preferência 60

O que acharam do NQA? já tiveram alguma experiência com essa feature? Comentem…

Abraços

Switches 3Com 5500G – Configurando o Switch como Servidor DHCP

Uma dica muito interessante encaminhada pelo Danilo Rodrigues é a utilização do Switch 3Com 5500G como Servidor DHCP. O serviço DHCP no Switch é útil para as empresas que possuem diversas filiais de pequeno e médio porte, que assim, utilizando o Switch como Servidor, acabam economizando recursos em infraestrutura, energia elétrica, ativos de rede e etc.

Configuração

#
dhcp server ip-pool clientex
!Criando o escopo DHCP com o nome clientex
network 192.168.1.0 mask 255.255.255.0
! Escopo para distribuição dinamica do range 192.168.1.0/24
gateway-list 192.168.1.254
! Gateway do escopo
dns-list 192.168.2.17 192.168.2.27
! DNS do escopo
domain-name clientex.com.br
! Nome do domínio
expired day 30
! Tempo de alocação do endereço IP
#
vlan 9
#
interface Vlan-interface9
description REDE_LOCAL
ip address 192.168.1.254 255.255.255.0
! É obrigatório a utilização de Interface VLAN
! no mesmo range de endereço do escopo DHCP
#
dhcp server forbidden-ip 192.168.1.1 192.168.1.40
dhcp server forbidden-ip 192.168.1.240 192.168.1.252
! Endereços reservados não distribuídos via DHCP

display

[5500G]display dhcp server ip-in-use all

Global pool:
IP address Client-identifier/ Lease expiration Type
Hardware address
192.168.1.202 001b-b96d-158f Jan 1 2006 05:41:32 AM Auto:COMMITTED
192.168.1.166 001b-b969-4007 Jan 2 2006 22:10:17 PM Auto:COMMITTED
192.168.1.41 001b-b969-3f69 Jan 3 2006 02:43:15 AM Auto:COMMITTED
192.168.1.59 001b-b96d-188e Jan 1 2006 00:01:26 AM Auto:COMMITTED

Obs: para os Switches que estão configurados com o protocolo XRN é necessário a utilização do comando “udp-helper enable”

Switches 3Com 5500 – Guia rápido de Configuração!!! Parte 2

Publicado originalmente em 30 DE DEZEMBRO DE 2010

Olá amigos, para comemorar um ótimo ano profissional e para fechar 2010 com “chave de ouro”, hoje eu escrevo a continuação do Post mais popular desse ano. “Switches 3Com 5500 – Guia rápido de Configuração!!!”

Desejo a todos um Feliz 2011!!

Syslog
[Switch]info-center loghost 10.1.1.1
Encaminhando mensagens os Logs para o Servidor de Syslog 10.1.1.1

NTP
[Switch]ntp-service unicast-server 10.1.1.2
Configurando o sincronismo do relógio com o servidor 10.1.1.2

BANNER
header motd %
=================================================================

“This system resource are restricted to Corporate official business and subject to being monitored at any time. Anyone using this network device or system resource expressly consents to such monitoring and to any evidence of unauthorized access, use or modification being used for criminal prosecution.”

=================================================================
%
Mensagem exibida para os usuários que farão acesso ao Switch. O inicio e fim da mensagem é delimitado por um caractere especial, no nosso exemplo, utilizamos o %

Atualizando o Switch via Servidor TFTP
<Switch> tftp 10.1.1.10 get s4e04_02.btm
<Switch> tftp 10.1.1.10 get s4m03_03_02s168ep05.app
Copiando os arquivos .btm e .app do Servidor de TFTP para o SWitch
<Switch>boot bootrom s4e04_02.btm
Forçando o Bootrom com o arquivo s4e04_02.btm 
<Switch> boot boot-loader s4m03_03_02s168ep05.app
Forçando o .app (Sistema Operacional) com o arquivo s4m03_03_02s168ep05.app
<Reboot>

Atribuindo as portas como Edged(portfast)
[Switch]interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] stp edged-port enable
A porta configurada como edged-port entrará automaticamente em estado encaminhamento (pulando os estados iniciais do STP ou RSTP) e não gerará mensagens de notificação à topologia em caso de UP ou DOWN

STP Root Protection
[Switch]interface Ethernet1/0/3
[Switch-Ethernet1/0/3]stp root-protection
Se a porta configurada com Root-protection receber um BPDU Superior ao Root (querendo tornar-se Root no STP), a mesma não trafegará dados até cessar o recebimento dos BPDUs superiores naquela porta

Configurando SSH
[Switch] rsa local-key-pair create
Gerando as chaves RSA
[Switch] user-interface vty 0 4
[Switch-ui-vty0-4] authentication-mode scheme
[Switch-ui-vty0-4] protocol inbound ssh
Configurando modo de autenticação SOMENTE para SSH
[Switch-ui-vty0-4] quit
[Switch] local-user clientex
[Switch-luser-clientex] password simple 3com
[Switch-luser-clientex] service-type ssh level 3
Permitindo o usuário clientex conectar via SSH com permissão de administrador (3)
[Switch-luser-client2] quit
[Switch] ssh authentication-type default all

Configurando autenticação no Switch via RADIUS
radius scheme empresax
Criando o Scheme para o RADIUS chamado empresax
primary authentication 10.110.91.164 1645
Configurando o servidor de autenticação com o IP 10.110.91.164 com a porta 1645
primary accounting 10.110.91.164 1646
Configurando o servidor de contabiilidade com o IP 10.110.91.164 com a porta 1646
key authentication Swsec2011
Configurando a chave Swsec2011 compartilhada entre o RADIUS e o Switch
key accounting Swsec2011
Configurando a chave para contabilidade Swsec2011 compartilhada entre o RADIUS e o Switch
user-name-format without-domain
Configurando a autenticação para encaminhamento do usuário sem o formato nome@dominio (nome@empresax)
#
domain empresax
Criando o domínio empresax
authentication radius-scheme empresax
Efetuando o vinculo do radius empresax com o domínio empresax
#
domain default enable empresax
Na utilização de mais de um domínio, o domínio default será o domínio empresax
#
user-interface vty 0 4
authentication-mode scheme
Habilitando a utilização na interface vty 0 4 de Telnet ou SSH para utilização do RADIUS para
autenticação ao Switch

Configurando uma porta conectada a um Telefone IP e um Host (na mesma porta).
[Switch] interface ethernet 1/0/6
[Switch-Ethernet1/0/6] port link-type trunk
[Switch-Ethernet1/0/6] port trunk permit vlan 2 4
Configurando a porta para permitir a VLAN 2 ( telefonia) e VLAN 4 (Host)
[Switch-Ethernet1/0/6] port trunk pvid vlan 4
Configurando a porta para enviar e receber frames não-tagueados na VLAN 4

Port Security
[Switch] port-security enable
[Switch] interface Ethernet 1/0/1
[Switch-Ethernet1/0/1] port-security max-mac-count 1
Configurando o Port Security para permitir o aprendizado de somente um endereço MAC
[Switch-Ethernet1/0/1] port-security port-mode autolearn
Configurando o Port Security para aprender dinamicamente o endereço MAC “amarrado a porta”. Se outro endereço MAC for aprendido após o primeiro aprendizado a porta entra´ra em estado de violação e não trafegará dados! 

DHCP-Relay 
[Switch] dhcp enable
Ativando o serviço DHCP
[Switch] dhcp –server 1 ip 10.1.1.1
Adicionando o servidor DHCP 10.1.1.1 dentro do grupo 1.
[Switch] interface vlan-interface 2
[Switch-Vlan-interface2] ip address 192.168.1.1 255.255.255.0
[Switch-Vlan-interface2] dhcp-server 1
Correlacionando a VLAN-interface 2 para o grupo DHCP 1

Saúde e Sucesso a todos!!!!