3 Técnica VGMP cuando los firewalls acceden de manera transparente y se conectan a los enrutadores
En la Figura 1-3, las interfaces de servicio ascendente y descendente de dos firewalls funcionan en la Capa 2 y están conectadas a los enrutadores. OSPF se está ejecutando entre los dos cortafuegos. En este tipo de redes, los métodos de supervisión de fallas y dirección de tráfico adoptados por los grupos de VGMP de los firewalls son esencialmente los mismos que en la técnica de 02 VGMP cuando los firewalls acceden de manera transparente y se conectan a los switches, es decir, que VLAN se usa para monitorear fallas de interfaz y controlar la dirección del tráfico.
La diferencia entre estos métodos radica en el hecho de que la red descrita en esta sección solo es compatible con el método de reparto de carga de espera activa, y no es compatible con la conmutación por error activa / en espera. Esto se debe a que, si funciona con el método de conmutación por error activo / en espera, se deshabilitará la VLAN del dispositivo de respaldo y sus enrutadores ascendentes y descendentes no podrán comunicarse o establecer rutas OSPF. Por lo tanto, cuando se produjo el cambio activo / en espera, la VLAN del nuevo dispositivo primario (el dispositivo de respaldo original) se habilitaría, y sus enrutadores ascendentes y descendentes solo comenzarían a construir nuevas rutas OSPF. Sin embargo, la construcción de nuevas rutas OSPF requiere una cierta cantidad de tiempo, y esto resultaría en una interrupción temporal del servicio.
Figura 1-3 Conexión en red con firewall que accede de forma transparente a los enrutadores y se conecta a ellos.
Los pasos para configurar el grupo VGMP para monitorear los estados de la interfaz (compartir la carga) a través de la VLAN se muestran en la Tabla 1-3.
Tabla 1-3 Configuración del grupo VGMP para monitorear interfaces usando una VLAN (carga compartida)
Objeto | Configuracion del FW1 | Configuracion del FW2 |
Agregue las interfaces de servicio de Capa 2 a la misma VLAN y configure los grupos VGMP activos y en espera para monitorear la VLAN. | vlan 2 port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3 hrp track active hrp track standby | vlan 2 port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3 hrp track active hrp track standby |
Configurar la interfaz de latido. | hrp interface GigabitEthernet 1/0/2 | hrp interface GigabitEthernet 1/0/2 |
Habilitar la función de hot standby | hrp enable | hrp enable |
NOTA
Cuando las interfaces de servicio de los firewalls funcionan en la Capa 2 y están conectadas a los routers, no utilice el método hot standby active/standby. Esto ya que la VLAN del dispositivo de respaldo está deshabilitada y sus routers ascendentes y descendentes no puede comunicarse y, por lo tanto, no pueden establecer rutas. Por lo tanto, durante la conmutación active/standby, el dispositivo de respaldo no puede reemplazar inmediatamente el dispositivo primario, lo que resulta en una interrupción del servicio.
Después de la configuración, ya que hay grupos VGMP activos tanto en FW1 como en FW2, FW1 y FW2 son dispositivos primarios, y cada uno de sus VLAN2 reenviará el tráfico. En este momento, la tabla de enrutamiento de R1 muestra que el tráfico que va a PC2 se puede reenviar a través de FW1 o FW2.
<R1> display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 15
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.0/24 OSPF 10 2 D 10.1.1.2 GigabitEthernet0/0/1
OSPF 10 2 D 10.1.2.2 GigabitEthernet0/0/2
Después de que una de las interfaces de servicio de FW1 falla, los dos grupos de VGMP de los cortafuegos realizarán la conmutación de estado y el estado de espera activa cambiará de carga compartida a conmutación por error active/standby. Cuando el estado del grupo VGMP de FW1 cambia de acti**** en espera, todas las interfaces en los grupos VLAN se apagarán y luego se activarán. Esto hará que las rutas de los enrutadores ascendentes y descendentes cambien y converjan, por lo que todo el tráfico se dirigirá a FW2.
En este momento, la tabla de enrutamiento de R1 (a continuación) también muestra que el siguiente salto de paquetes que van a la red 1.1.1.0 ha cambiado a la dirección 10.1.2.2 de R2 GE0 / 0/2.
<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.0/24 OSPF 10 2 D 10.1.2.2 GigabitEthernet0/0/2
10.1.2.0/24 Direct 0 0 D 10.1.2.1 GigabitEthernet0/0/2
4 Técnicas de Monitoreo de Interfaz Remota de Grupos VGMP
Las técnicas utilizadas por los grupos VGMP para manejar varias redes de espera activa se describieron anteriormente, y en estos grupos los grupos VGMP monitoreaban las interfaces propias del firewall. A continuación, veremos dos técnicas para la supervisión en grupo VGMP de interfaces remotas. Las "interfaces remotas" se refieren a las interfaces de otros dispositivos en un enlace. Cuando falla una interfaz remota supervisada por un grupo VGMP, la prioridad del grupo VGMP se reduce en 2, tal como hemos visto anteriormente. Las técnicas mediante las cuales VGMP supervisa las interfaces propias de los firewalls se pueden utilizar junto con las técnicas mediante las cuales se supervisan las interfaces remotas.
Es importante tener en cuenta que los dos tipos de técnicas para que VGMP monitoree las interfaces remotas solo se pueden usar en redes en las que las interfaces de servicio de los firewalls funcionan en la Capa 3, porque solo las interfaces de la Capa 3 tienen direcciones IP y pueden enviar enlaces IP Paquetes de detección de BFD a los dispositivos remotos.
· Monitoreo del estado de las interfaces remotas usando un enlace IP
El método es establecer un enlace IP para probar la interfaz remota y luego hacer que el grupo VGMP monitoree el estado del enlace IP. Cuando una interfaz que se prueba a través de un enlace IP falla, el estado del enlace IP cambiará a Inactivo, y el grupo VGMP percibirá el cambio de estado del enlace IP y, por lo tanto, reducirá su propia prioridad.
Como se muestra en la Figura 1-4, necesitamos usar IP-Link 1 en FW1 (FW2) para inspeccionar la interfaz GE1 / 0/1 de R1 (R2) (una interfaz remota conectada de manera indirecta), y luego agregar IP-Link 1 a la Grupo VGMP activo (en espera) para monitorear el estado de IP-Link 1.
Figura 1-4 Monitoreo VGMP de interfaces remotas utilizando un enlace IP.
Los detalles de la configuración se muestran en la Tabla 1-4 (la configuración de la función de espera activa debe completarse antes de la configuración a continuación)
Tabla 1-4 Configuración de la supervisión VGMP de interfaces remotas mediante el enlace IP.
Objeto | Configuracion en el FW1 | Configuracion en el FW2 |
Habilitar IP-link. | ip-link check enable | ip-link check enable |
Configure el IP-link para monitorear la dirección remota. | ip-link 1 destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp | ip-link 1 destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp |
Configure VGMP para monitorear el enlace IP. | hrp track ip-link 1 active | hrp track ip-link 1 standby |
Monitoreo del estado de la interfaz remota usando BFD
Este método implica el uso de BFD para sondear interfaces remotas, con un grupo de VGMP monitoreando el estado de BFD. Cuando hay una falla en la interfaz remota que está siendo inspeccionada por BFD, el estado de BFD cambiará a Down, y el grupo VGMP percibirá el cambio de estado BFD y, por lo tanto, disminuirá su propia prioridad.
Como se muestra en la Figura 1-5, necesitamos usar la sesión BFD 10 en FW1 (FW2) para probar la interfaz GE1 / 0/1 de R1 (R2) (una interfaz remota conectada indirectamente), y luego agregar la sesión 1 de BFD al activo ( en espera) Grupo VGMP para monitorear el estado de la sesión 1 de BFD.
Figura 1-5 Monitoreo VGMP de interfaces remotas utilizando BFD.
Los detalles de la configuración se muestran en la Tabla 1-5 (la función de espera activa debe configurarse antes de la configuración a continuación)
Tabla 1-5 Configuración de la supervisión VGMP de interfaces remotas utilizando BFD
Objeto | Configuracion en FW1 | Configuracion en FW2 |
Configure BFD para monitorear la dirección remota y especifique los discriminadores locales y de pares. | bfd 1 bind peer-ip 1.1.1.1 discriminator local 10 discriminator remote 20 | bfd 1 bind peer-ip 2.2.2.1 discriminator local 10 discriminator remote 20 |
Configure el grupo VGMP para monitorear BFD. | hrp track bfd-session 10 active | hrp track bfd-session 10 standby |
5 Resumen
En resumen, aunque hay muchas técnicas diferentes de monitoreo de grupo VGMP y dirección de tráfico, todas cumplen con los siguientes dos principios:
· Siempre que ocurra una falla en una interfaz que está siendo monitoreada por un grupo VGMP, independientemente de si se monitorea directa o indirectamente, y si la supervisión es de la propia interfaz de un firewall o una interfaz remota, la prioridad del grupo VGMP será bajado por 2.
· Solo los dispositivos primarios (grupo VGMP en el estado activo) dirigirán el tráfico hacia sí mismos, mientras que los dispositivos de respaldo (grupo VGMP en el estado de espera) pensarán en una forma de rechazar que el tráfico se dirija a ellos.
Finalmente, resumiré las relaciones entre las diversas redes de espera activa típicas y las técnicas de supervisión de fallas y dirección de tráfico de VGMP en la Tabla 1-6.
Tabla 1-6 Resumen de las diversas técnicas VGMP de las redes en espera activa.
Red Hot Standby | Escenarios soportados | Técnica de supervisión de fallas | Técnica de dirección de tráfico |
Las interfaces de servicio de firewall están funcionando en la Capa 3 y están conectadas a los switches de la Capa 2. | Conmutación por error active/standby y carga compartida | · Monitorización de la interfaz mediante grupos VRRP. · Monitorización de la interfaz mediante enlaces IP (opcional) · Monitoreo de la interfaz utilizando BFD (opcional) | El dispositivo principal enviará paquetes ARP gratuitos a los switches conectados, actualizando las tablas de direcciones MAC de los switches. |
Las interfaces de servicio de firewall están funcionando en la Capa 3 y están conectadas a los enrutadores. | Conmutación por error active/standby y carga compartida | · Monitoreo directo de la interfaz · Monitorización de la interfaz mediante enlaces IP (opcional) · Monitoreo de la interfaz utilizando BFD (opcional) | El dispositivo principal anuncia rutas con costos normales, y el costo de las rutas anunciadas por el dispositivo de respaldo aumenta en 65500. |
Las interfaces del servicio de firewall funcionan en la Capa 2 (modo transparente) y están conectadas a los switchesde la Capa 2. | Solo soporta failover active/standby | Monitorización de la interfaz mediante VLAN | La VLAN del dispositivo principal puede reenviar el tráfico, mientras que la VLAN del dispositivo de respaldo está deshabilitada. Cuando el dispositivo principal se convierte en el dispositivo de respaldo, las interfaces en la VLAN del dispositivo principal se apagarán y luego se activarán, lo que provocará que los dispositivos de Capa 2 ascendentes y descendentes actualicen sus tablas de direcciones MAC. |
Las interfaces de servicio de firewall funcionan en la Capa 2 (modo transparente) y están conectadas a los enrutadores. | Sólo es compatible con la carga compartida | Monitorización de la interfaz mediante VLAN | La VLAN del dispositivo principal puede reenviar el tráfico, mientras que la VLAN del dispositivo de respaldo está deshabilitada. Cuando el dispositivo principal se convierte en el dispositivo de respaldo, las interfaces en la VLAN del dispositivo primario se desactivarán y luego se activarán una vez, lo que provocará la convergencia de rutas en los dispositivos de nivel 3 ascendente y descendente. |
