[Dr.WoW] [No.48] La historia de VRRP y VGMP-parte 1

123 0 0 0

Para los lectores familiarizados con los enrutadores y los conmutadores, el protocolo VRRP será el primero que se le ocurra cuando se menciona la implementación de dispositivos duales en la red, y la función de espera en caliente del firewall es en realidad una expansión sobre la base proporcionada por el protocolo VRRP. Por lo tanto, a medida que explico la historia de VGMP y VRRP paso a paso en esta sección, primero analizaré VRRP y luego presentaré VGMP desde esta base.

 

1 VRRP Overview

En el router o en el firewall de la red en espera activa analizada en la sección anterior, la tabla de enrutamiento de los dispositivos ascendentes y descendentes decidieron si el tráfico se dirigía al dispositivo primario o de respaldo. Esto se debe a que el enrutamiento dinámico puede ajustar dinámicamente las tablas de enrutamiento de acuerdo con los estados de enlace para dirigir automáticamente el tráfico al dispositivo correcto. Sin embargo, ¿qué sucede si los dispositivos ascendentes y descendentes utilizan enrutamiento estático? Esto es realmente un problema, ya que no se pueden realizar ajustes dinámicos en el enrutamiento estático.

Veamos un ejemplo de esto a continuación. Como se muestra en la Figura 1-1, el enrutador está configurado como la puerta de enlace predeterminada en los hosts de la red interna. Por lo tanto, cuando los hosts desean acceder a Internet, primero enviarán un paquete a la puerta de enlace, y luego la puerta de enlace enviará el paquete a Internet. Sin embargo, cuando el gateway falla, la comunicación entre los hosts e Internet se interrumpirá.

 

Figura 1-1 Un solo fallo del gateway resulta en la interrupción del servicio


172327j292n4pn4yuw9294.png


Como se muestra en la Figura 1-2, si queremos resolver el problema de las interrupciones de la red, debemos agregar varios gateways (Router 1 y Router 2). Sin embargo, el enrutamiento dinámico no se puede configurar en los hosts. Solo se puede especificar una puerta de enlace predeterminada en los hosts. Si configuramos el Router 1 como la puerta de enlace predeterminada, cuando falla el Router 1, el tráfico no se dirigirá automáticamente al Router 2. En este momento, solo al cambiar manualmente la puerta de enlace predeterminada del host al Router 2 se permitirá que el tráfico del host se dirija al Router 2. Sin embargo, esto sin duda dará como resultado la interrupción del tráfico del host que accede a Internet durante un período de tiempo. Además, en redes grandes, puede haber cientos de hosts, y el ajuste manual de la red para lograr la conmutación por error de la puerta de enlace claramente no es realista.

 

Figura 1-2 Múltiples gateways no pueden garantizar un servicio ininterrumpido


172344gcmdc839g9i5i99q.png


Con el fin de resolver mejor el problema de las interrupciones de la red que se producen debido a fallas del gateway, los desarrolladores de la red han desarrollado el protocolo VRRP. El protocolo VRRP es un tipo de protocolo tolerante a fallas, y garantiza que cuando se produce una falla en el router del próximo salto de un host (gateway predeterminadao), un router de respaldo reemplazará automáticamente al router fallido al completar las tareas de reenvío de paquetes, manteniendo así Comunicación confiable de la red.

 

En la Figura 1-3, hemos asignado un grupo de routers (en realidad, estas son las interfaces descendentes de los routers) desde una LAN, formando un grupo VRRP. Los grupos VRRP son equivalentes a un router virtual que tiene su propia dirección IP virtual y dirección MAC virtual (formato: 00-00-5E-00-01- {VRID}, donde VRID es el ID del grupo VRRP). Por lo tanto, los hosts dentro de la LAN pueden configurar su gateway predeterminado como la dirección IP virtual del grupo VRRP. Los hosts dentro de la LAN "piensan" que se comunican con el enrutador virtual y usan el enrutador virtual para comunicarse con la red externa


Figure 1-3 VRRP basicos


172356hd7ke7bpv63r6zv2.png


Los routers en un grupo VRRP determinarán su propio estado en el grupo VRRP según la prioridad especificada por el administrador. El estado de mayor prioridad es Maestro y el otro estado es Copia de seguridad. Un router cuyo estado es Maestro se denomina router maestro y un router cuyo estado es Copia de seguridad se denomina router de respaldo. Cuando el enrutador maestro funciona normalmente, los hosts dentro de la LAN se comunicarán con el mundo externo a través del router maestro. Si el enrutador maestro falla, un router de respaldo (el que tiene la siguiente prioridad VRRP más alta) se convertirá en el nuevo router maestro y asumirá el trabajo de reenvío de paquetes, garantizando que la red no se interrumpa.

 

2 VRRP Working Mechanisms

Aquí, usaré ayudas visuales para demostrar el proceso completo de las operaciones de VRRP, a fin de ayudar a los lectores a comprender los principios de implementación de VRRP. Mientras mire las figuras de abajo en su totalidad y las memorice, seguramente entenderá y recordará el protocolo VRRP.

 

1.       Una vez que el administrador termina de configurar el grupo VRRP y las prioridades en los routers, el grupo VRRP funcionará temporalmente en el estado Inicializar. Como se muestra en la Figura 1-4, después de que el grupo VRRP recibe los mensajes que indican que se han activado las interfaces, los routers del grupo cambian al estado de Copia de seguridad, y esperan que sus temporizadores pasen al estado Maestro.

 

Figura 1-4 Estados de grupo VRRP cambiando de Inicializar a Copia de seguridad


172411mkkoeogtxnizxioo.png


Como se muestra en la Figura 1-5, de los enrutadores del grupo VRRP, el primer router que cambie su estado a Maestro se convertirá en el router maestro. El enrutador con la prioridad más alta en un grupo VRRP tendrá el temporizador más corto, lo que significa que es más fácil que este enrutador se convierta en el router maestro. Este proceso se llama la selección del router maestro.

Después de una elección exitosa, el router maestro enviará de inmediato los paquetes VRRP periódicos (el valor predeterminado es un segundo) a todos los routers de respaldo del grupo VRRP para notificarles su propio estado y prioridad.

 

Figura 1-5 Eligiendo router maestro


172426wd0wdvdf4dw7g722.png


2.       El router maestro también enviará un paquete ARP gratuito para notificar al conmutador conectado a él la dirección MAC virtual y la dirección IP virtual del grupo VRRP; Esto se muestra en la Figura 1-6. Se realizará una entrada en la tabla MAC del switch descendente que registra la relación entre la dirección MAC virtual y el puerto Eth0 / 0/1.

Figura 1-6 El router maestro mandando paquetes ARP gratuitos


172434t91cprncycing1lg.png


3.       Como se muestra en la Figura 1-7, dado que el gateway en la PC de la intranet se configura en la dirección IP virtual del grupo 1 de VRRP, cuando una PC de la intranet accede a Internet, primero transmitirá los paquetes ARP en la red de transmisión para solicitar el MAC virtual. Dirección que corresponde con la dirección IP virtual. En este punto, solo el router maestro responderá a este paquete ARP al proporcionar su dirección MAC virtual a la PC.

Figure 1-7 Router maestro responde al paquete petición ARP del PC


172456mrnobwwm74lwo1nv.png


4.       Como se muestra en la Figura 1-8, la PC usa la dirección MAC virtual como la dirección MAC de destino para encapsular paquetes, y luego envía un paquete al switch. El switch reenvía el paquete enviado por la PC a través del puerto Eth0 / 0/1 al Router 1 de acuerdo con la dirección MAC y la relación de puerto registrada en la tabla MAC.

 

Figura 1-8 Un switch descendente que envía un paquete al router maestro


172508shfk3bgbno3113io.png


La descripción anterior es del establecimiento de los estados del router maestro y del router de respaldo y sus procesos operativos. A continuación, presentaremos la conmutación de estado y los procesos operativos relacionados para el enrutador maestro y el enrutador de respaldo.

 

1.       La descripción anterior es del establecimiento de los estados del router  maestro y del router de respaldo y sus procesos operativos. A continuación, presentaremos la conmutación de estado y los procesos operativos relacionados para el enrutador maestro y el enrutador de respaldo.

Figure 1-9 VRRP Conmutación de estado


172516gipjca2tit73f3ez.png


También hay otro escenario: si el enrutador maestro abandona su posición como Maestro (por ejemplo, el enrutador maestro se retira del grupo VRRP), enviará inmediatamente un paquete VRRP con una prioridad de 0, lo que provocará que el enrutador de respaldo cambie rápidamente a El enrutador maestro.

 

2.       Como se muestra en la Figura 1-10, después de completar el cambio de estado, el nuevo enrutador maestro enviará inmediatamente un paquete ARP gratuito con la dirección MAC virtual y la dirección IP virtual del grupo VRRP, para actualizar las entradas de la tabla MAC para el dispositivo conectado (el interruptor aguas abajo). La relación entre la dirección MAC virtual y el nuevo puerto Eth0 / 0/2 se registrará en la tabla MAC del conmutador descendente.

 

Figura 1-10 El nuevo enrutador maestro que envía un paquete ARP gratuito


172534x78cqvsn9iid597x.png


3.       Como se muestra en la Figura 1-11, después de que la PC de la intranet envíe un paquete al conmutador, el conmutador reenviará el paquete enviado por la PC a través del puerto Eth0 / 0/2 al Enrutador 2. Por lo tanto, el tráfico de la PC de la intranet se reenviará a través del nuevo enrutador maestro, Enrutador 2. Este proceso es completamente transparente para el usuario, y la PC de la intranet no percibe que el enrutador principal ya haya cambiado de Enrutador 1 a Enrutador 2.


Figura 1-11 El conmutador descendente envía un paquete al nuevo enrutador maestro


172551x9736bb539r26tb5.png



1.       En la Figura 1-12, cuando se soluciona la falla en el enrutador maestro original (el enrutador de respaldo actual), la prioridad de este enrutador será mayor que el enrutador maestro actual. En este momento, si se ha habilitado la función de preferencia, el enrutador maestro original cambiará su estado a Maestro después de que el temporizador de preferencia caduque y se convierta nuevamente en el enrutador principal; Si la función de preferencia no se ha habilitado, el enrutador maestro original continuará manteniendo su estado de respaldo.

Figura 1-12 Prevención del enrutador maestro original después de que se solucione una falla


172603pzjikpp4qnppkpne.png


3 problemas creados por varios estados VRRP independientes

 

La sección anterior explica cómo la ejecución de VRRP en la interfaz descendente de una puerta de enlace puede garantizar la disponibilidad de la puerta de enlace. Pero, ¿qué pasaría si ejecutamos VRRP simultáneamente en las interfaces ascendente y descendente de una puerta de enlace?

 

En la Figura 1-13, las interfaces descendentes de dos dispositivos se unen al grupo 1 de VRRP, y sus interfaces ascendentes se unen al grupo 2 de VRRP. En circunstancias normales, el estado de R1 es Maestro en el grupo 1 de VRRP y el estado de su grupo de VRRP es Maestro, por lo que R1 es el enrutador maestro tanto en el grupo 1 de VRRP como en el grupo 2 de VRRP. Como hemos aprendido anteriormente al analizar los principios de VRRP, todos los paquetes de servicio entre la intranet y una red externa se reenviarán a través de R1.

 

Figura 1-13 VRRPs múltiples operando simultáneamente



172616w3znl3xlzgwmrth8.png


Cuando falla la interfaz GE1 / 0/1 de R1, el estado de R1 en el grupo 1 de VRRP cambia a Inicializar, y el estado de R2 en el grupo 1 de VRRP cambia a Maestro. Por lo tanto, R2 se convierte en el enrutador maestro en el grupo 1 de VRRP y envía un paquete ARP gratuito a LSW1, actualizando la tabla MAC en LSW1; en este punto, los paquetes de PC1 que acceden a PC2 se reenviarán a través de R2. Sin embargo, como el enlace entre R1 y LSW2 funciona normalmente, R1 sigue siendo el enrutador maestro en el grupo 2 de VRRP, mientras que R2 sigue siendo el enrutador de respaldo en el grupo 2 de VRRP. a R1. Sin embargo, como la interfaz GE1 / 0/1 descendente de R1 ha fallado, R1 solo puede descartar estos paquetes de retorno, lo que resulta en una interrupción del tráfico de servicio.

 

Después de terminar de leer este proceso, los lectores seguramente habrán descubierto el problema con VRRP: los grupos VRRP son independientes entre sí, lo que significa que cuando hay varios grupos VRRP en un dispositivo, no se puede hacer una copia de seguridad de sus estados.

 

Los firewalls, enrutadores, conmutadores y otros dispositivos de red de Huawei tienen un método único para resolver este problema VRRP. A continuación, nos centraremos en presentar cómo los firewalls de Huawei resuelven este problema.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje