[Dr.WoW] [No.52] Explicación de las técnicas VGMP-parte 2

66 0 0 0

3 Técnica VGMP cuando los firewalls acceden de manera transparente y se conectan a los enrutadores

En la Figura 1-3, las interfaces de servicio ascendente y descendente de dos firewalls funcionan en la Capa 2 y están conectadas a los enrutadores. OSPF se está ejecutando entre los dos cortafuegos. En este tipo de redes, los métodos de supervisión de fallas y dirección de tráfico adoptados por los grupos de VGMP de los firewalls son esencialmente los mismos que en la técnica de 02 VGMP cuando los firewalls acceden de manera transparente y se conectan a los switches, es decir, que VLAN se usa para monitorear fallas de interfaz y controlar la dirección del tráfico.

 

La diferencia entre estos métodos radica en el hecho de que la red descrita en esta sección solo es compatible con el método de reparto de carga de espera activa, y no es compatible con la conmutación por error activa / en espera. Esto se debe a que, si funciona con el método de conmutación por error activo / en espera, se deshabilitará la VLAN del dispositivo de respaldo y sus enrutadores ascendentes y descendentes no podrán comunicarse o establecer rutas OSPF. Por lo tanto, cuando se produjo el cambio activo / en espera, la VLAN del nuevo dispositivo primario (el dispositivo de respaldo original) se habilitaría, y sus enrutadores ascendentes y descendentes solo comenzarían a construir nuevas rutas OSPF. Sin embargo, la construcción de nuevas rutas OSPF requiere una cierta cantidad de tiempo, y esto resultaría en una interrupción temporal del servicio.

 

Figura 1-3 Conexión en red con firewall que accede de forma transparente a los enrutadores y se conecta a ellos.

 

021256a4k8mu2uzktx48hv.png?image.png

Los pasos para configurar el grupo VGMP para monitorear los estados de la interfaz (compartir la carga) a través de la VLAN se muestran en la Tabla 1-3.

 

Tabla 1-3 Configuración del grupo VGMP para monitorear interfaces usando una VLAN (carga compartida)

 

Objeto

Configuracion del FW1

Configuracion del FW2

Agregue las interfaces de servicio   de Capa 2 a la misma VLAN y configure los grupos VGMP activos y en espera   para monitorear la VLAN.

vlan 2

 port   GigabitEthernet 1/0/1

port GigabitEthernet   1/0/3   

hrp track active

hrp track standby

vlan 2

 port   GigabitEthernet 1/0/1

port GigabitEthernet   1/0/3   

hrp track active

hrp track standby

Configurar la interfaz de latido.

hrp interface   GigabitEthernet 1/0/2

hrp interface GigabitEthernet   1/0/2

Habilitar la función de hot standby

hrp enable

hrp enable

 

 

NOTA

Cuando las interfaces de servicio de los firewalls funcionan en la Capa 2 y están conectadas a los routers, no utilice el método hot standby active/standby. Esto ya  que la VLAN del dispositivo de respaldo está deshabilitada y sus routers ascendentes y descendentes no puede comunicarse y, por lo tanto, no pueden establecer rutas. Por lo tanto, durante la conmutación active/standby, el dispositivo de respaldo no puede reemplazar inmediatamente el dispositivo primario, lo que resulta en una interrupción del servicio.

 

Después de la configuración, ya que hay grupos VGMP activos tanto en FW1 como en FW2, FW1 y FW2 son dispositivos primarios, y cada uno de sus VLAN2 reenviará el tráfico. En este momento, la tabla de enrutamiento de R1 muestra que el tráfico que va a PC2 se puede reenviar a través de FW1 o FW2.

<R1> display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 14       Routes : 15      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

1.1.1.0/24      OSPF    10    2           D    10.1.1.2        GigabitEthernet0/0/1

OSPF    10    2           D    10.1.2.2        GigabitEthernet0/0/2

 

 

Después de que una de las interfaces de servicio de FW1 falla, los dos grupos de VGMP de los cortafuegos realizarán la conmutación de estado y el estado de espera activa cambiará de carga compartida a conmutación por error active/standby. Cuando el estado del grupo VGMP de FW1 cambia de acti**** en espera, todas las interfaces en los grupos VLAN se apagarán y luego se activarán. Esto hará que las rutas de los enrutadores ascendentes y descendentes cambien y converjan, por lo que todo el tráfico se dirigirá a FW2.

 

En este momento, la tabla de enrutamiento de R1 (a continuación) también muestra que el siguiente salto de paquetes que van a la red 1.1.1.0 ha cambiado a la dirección 10.1.2.2 de R2 GE0 / 0/2.

 

<R1>display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 10       Routes : 11      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

        1.1.1.0/24    OSPF    10   2            D   10.1.2.2        GigabitEthernet0/0/2

        10.1.2.0/24   Direct  0    0            D   10.1.2.1        GigabitEthernet0/0/2

 

4 Técnicas de Monitoreo de Interfaz Remota de Grupos VGMP

Las técnicas utilizadas por los grupos VGMP para manejar varias redes de espera activa se describieron anteriormente, y en estos grupos los grupos VGMP monitoreaban las interfaces propias del firewall. A continuación, veremos dos técnicas para la supervisión en grupo VGMP de interfaces remotas. Las "interfaces remotas" se refieren a las interfaces de otros dispositivos en un enlace. Cuando falla una interfaz remota supervisada por un grupo VGMP, la prioridad del grupo VGMP se reduce en 2, tal como hemos visto anteriormente. Las técnicas mediante las cuales VGMP supervisa las interfaces propias de los firewalls se pueden utilizar junto con las técnicas mediante las cuales se supervisan las interfaces remotas.

 

Es importante tener en cuenta que los dos tipos de técnicas para que VGMP monitoree las interfaces remotas solo se pueden usar en redes en las que las interfaces de servicio de los firewalls funcionan en la Capa 3, porque solo las interfaces de la Capa 3 tienen direcciones IP y pueden enviar enlaces IP Paquetes de detección de BFD a los dispositivos remotos.

 

·         Monitoreo del estado de las interfaces remotas usando un enlace IP

 

El método es establecer un enlace IP para probar la interfaz remota y luego hacer que el grupo VGMP monitoree el estado del enlace IP. Cuando una interfaz que se prueba a través de un enlace IP falla, el estado del enlace IP cambiará a Inactivo, y el grupo VGMP percibirá el cambio de estado del enlace IP y, por lo tanto, reducirá su propia prioridad.

 

Como se muestra en la Figura 1-4, necesitamos usar IP-Link 1 en FW1 (FW2) para inspeccionar la interfaz GE1 / 0/1 de R1 (R2) (una interfaz remota conectada de manera indirecta), y luego agregar IP-Link 1 a la Grupo VGMP activo (en espera) para monitorear el estado de IP-Link 1.

 

Figura 1-4 Monitoreo VGMP de interfaces remotas utilizando un enlace IP.

021314h7990av08kpg3zz3.png?image.png

Los detalles de la configuración se muestran en la Tabla 1-4 (la configuración de la función de espera activa debe completarse antes de la configuración a continuación)

 

Tabla 1-4 Configuración de la supervisión VGMP de interfaces remotas mediante el enlace IP.

Objeto

Configuracion en el FW1

Configuracion en el  FW2

Habilitar IP-link.

ip-link check enable

ip-link check enable

Configure   el IP-link para monitorear la dirección remota.

ip-link 1   destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp

ip-link 1   destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp

Configure   VGMP para monitorear el enlace IP.

hrp track ip-link   1 active

hrp track ip-link   1 standby

 

Monitoreo del estado de la interfaz remota usando BFD

 

Este método implica el uso de BFD para sondear interfaces remotas, con un grupo de VGMP monitoreando el estado de BFD. Cuando hay una falla en la interfaz remota que está siendo inspeccionada por BFD, el estado de BFD cambiará a Down, y el grupo VGMP percibirá el cambio de estado BFD y, por lo tanto, disminuirá su propia prioridad.

 

Como se muestra en la Figura 1-5, necesitamos usar la sesión BFD 10 en FW1 (FW2) para probar la interfaz GE1 / 0/1 de R1 (R2) (una interfaz remota conectada indirectamente), y luego agregar la sesión 1 de BFD al activo ( en espera) Grupo VGMP para monitorear el estado de la sesión 1 de BFD.

 

Figura 1-5 Monitoreo VGMP de interfaces remotas utilizando BFD.

021326lpt0ikmh0z2huv80.png?image.png

Los detalles de la configuración se muestran en la Tabla 1-5 (la función de espera activa debe configurarse antes de la configuración a continuación)

 

Tabla 1-5 Configuración de la supervisión VGMP de interfaces remotas utilizando BFD

Objeto

Configuracion en  FW1

Configuracion en  FW2

Configure BFD para monitorear la   dirección remota y especifique los discriminadores locales y de pares.

bfd 1 bind peer-ip   1.1.1.1

discriminator   local 10

discriminator remote   20

bfd 1 bind peer-ip   2.2.2.1

discriminator   local 10

discriminator remote   20

Configure el grupo VGMP para   monitorear BFD.

hrp track   bfd-session 10 active

hrp track   bfd-session 10 standby

 

5 Resumen

En resumen, aunque hay muchas técnicas diferentes de monitoreo de grupo VGMP y dirección de tráfico, todas cumplen con los siguientes dos principios:

·         Siempre que ocurra una falla en una interfaz que está siendo monitoreada por un grupo VGMP, independientemente de si se monitorea directa o indirectamente, y si la supervisión es de la propia interfaz de un firewall o una interfaz remota, la prioridad del grupo VGMP será bajado por 2.

 

·         Solo los dispositivos primarios (grupo VGMP en el estado activo) dirigirán el tráfico hacia sí mismos, mientras que los dispositivos de respaldo (grupo VGMP en el estado de espera) pensarán en una forma de rechazar que el tráfico se dirija a ellos.

 

Finalmente, resumiré las relaciones entre las diversas redes de espera activa típicas y las técnicas de supervisión de fallas y dirección de tráfico de VGMP en la Tabla 1-6.

 

Tabla 1-6 Resumen de las diversas técnicas VGMP de las redes en espera activa.

Red Hot Standby

Escenarios soportados

Técnica de supervisión de    fallas

Técnica de dirección de tráfico

Las   interfaces de servicio de firewall están funcionando en la Capa 3 y están   conectadas a los switches de la Capa 2.

Conmutación   por error active/standby y carga compartida

·           Monitorización de la interfaz mediante grupos VRRP.

·           Monitorización de la interfaz mediante enlaces IP (opcional)

·           Monitoreo de la interfaz utilizando BFD (opcional)

El   dispositivo principal enviará paquetes ARP gratuitos a los switches   conectados, actualizando las tablas de direcciones MAC de los switches.

Las   interfaces de servicio de firewall están funcionando en la Capa 3 y están   conectadas a los enrutadores.

Conmutación   por error active/standby y carga compartida

·           Monitoreo directo de la interfaz

·           Monitorización de la interfaz mediante enlaces IP (opcional)

·           Monitoreo de la interfaz utilizando BFD (opcional)

El   dispositivo principal anuncia rutas con costos normales, y el costo de las   rutas anunciadas por el dispositivo de respaldo aumenta en 65500.

Las   interfaces del servicio de firewall funcionan en la Capa 2 (modo transparente)   y están conectadas a los switchesde la Capa 2.

Solo soporta   failover active/standby

Monitorización   de la interfaz mediante VLAN

La VLAN del   dispositivo principal puede reenviar el tráfico, mientras que la VLAN del   dispositivo de respaldo está deshabilitada. Cuando el dispositivo principal   se convierte en el dispositivo de respaldo, las interfaces en la VLAN del   dispositivo principal se apagarán y luego se activarán, lo que provocará que   los dispositivos de Capa 2 ascendentes y descendentes actualicen sus tablas   de direcciones MAC.

Las   interfaces de servicio de firewall funcionan en la Capa 2 (modo transparente)   y están conectadas a los enrutadores.

Sólo es   compatible con la carga compartida

Monitorización   de la interfaz mediante VLAN

La VLAN del   dispositivo principal puede reenviar el tráfico, mientras que la VLAN del   dispositivo de respaldo está deshabilitada. Cuando el dispositivo principal   se convierte en el dispositivo de respaldo, las interfaces en la VLAN del   dispositivo primario se desactivarán y luego se activarán una vez, lo que   provocará la convergencia de rutas en los dispositivos de nivel 3 ascendente   y descendente.

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba