Explicación, técnicas de VGMP parte 1

233 0 0 0

Explicación, técnicas de VGMP parte 1

La combinación de VGMP y VRRP solo se aplica a las redes que usan firewalls conectados a dispositivos de Capa 2. Por lo tanto, si un firewall se conecta a un router, o si un firewall accede de manera transparente a una red (las interfaces de servicio funcionan en la Capa 2), ¿qué técnica utiliza un grupo VGMP como respuesta? En esta sección, revelaré las técnicas del grupo VGMP para todos.

Técnica VGMP para conexiones Firewall-Router

En la Imagen 1-1, las interfaces de servicio ascendente y descendente de dos firewalls funcionan en la Capa 3 y están conectadas a los routers. Los firewalls y los routers ejecutan OSPF entre ellos. Como los dispositivos ascendentes y descendentes no son switches de Capa 2, el grupo VGMP no puede usar grupos VRRP. Por lo tanto, la técnica que los grupos VGMP usarán para monitorear las fallas es el monitoreo directo del estado de la interfaz. Esto se logra mediante la adición directa de interfaces a los grupos VGMP. Cuando se produce un error en una de las interfaces de un grupo VGMP, el grupo VGMP percibirá directamente el cambio de estado de la interfaz y, por lo tanto, reducirá su propia prioridad.

Imagen 1-1 Redes con firewalls conectados al router ascendente y descendente

064012ztjt8oj766m6btjy.png

 

Los pasos para configurar el monitoreo de la interfaz directa utilizando grupos VGMP son los que se muestran en la Tabla 1-1 (como se realizó utilizando el método de conmutación por error activo / en espera)

 

Tabla 1-1 Configuración de monitoreo de interfaz directa usando grupos VGMP

Item

Configuration on FW1

Configuration on FW2

Configure the VGMP   group to directly monitor interface GE1/0/1.

interface   GigabitEthernet 1/0/1

 ip address   10.1.1.2 255.255.255.0

 hrp   track active

interface   GigabitEthernet 1/0/1

 ip address   10.1.2.2 255.255.255.0

 hrp   track standby

Configure the VGMP   group to directly monitor interface GE1/0/3.

interface   GigabitEthernet 1/0/3

 ip address   10.2.1.2 255.255.255.0

 hrp   track active

interface   GigabitEthernet 1/0/3

 ip address 10.2.2.2   255.255.255.0

 hrp   track standby

Configure the   automatic cost adjustment function.

hrp ospf-cost   adjust-enable

hrp ospf-cost   adjust-enable

Configure the   heartbeat interface.

hrp interface   GigabitEthernet 1/0/2 

hrp interface   GigabitEthernet 1/0/2 

Enable the hot   standby function.

hrp enable

hrp enable

 

NOTA

Si se utiliza el método de reparto de carga de espera activa, solo necesitamos ejecutar los comandos hrp track active y hrp track standby en cada interfaz de servicio, y agregar las interfaces de servicio a los grupos de VGMP activos y en espera.

Aquí, los lectores curiosos pueden preguntar: ¿no estamos agregando interfaces a los grupos VGMP para permitir que un grupo VGMP (s) monitoree los estados de la interfaz? ¿Por qué es el comando hrp track y no vgmp track? Esto se debe a lo que hemos explicado en la sección anterior con respecto a los paquetes VGMP y HRP, ambos encapsulados con un encabezado VRRP y un encabezado VGMP (con la única diferencia entre ellos es que los paquetes HRP también deben encapsularse más con un encabezado HRP) Por lo tanto, cuando los desarrolladores diseñaron este comando, usaron el parámetro hrp, y esta práctica ha continuado en uso hasta hoy.

Una vez que se completa la configuración, podemos ejecutar el estado de visualización del comando hrp en FW1, lo que nos permite ver que las interfaces GE1 / 0/1 y GE1 / 0/3 se agregaron al grupo activo y están siendo monitoreadas por el grupo activo.


HRP_A<FW1> display hrp state

The firewall's config state is: ACTIVE

 

Current state of interfaces tracked by active:

             GigabitEthernet0/0/1 : up 

             GigabitEthernet0/0/3 : up 

 

Ejecutar el comando hrp state en FW2 mostrara que las interfaces GE1 / 0/1 y GE1 / 0/3 se agregaron al grupo VGMP en espera y están siendo monitoreadas por el grupo.


HRP_S<FW2> display hrp state

The firewall's config state is: Standby

 

Current state of interfaces tracked by standby:

             GigabitEthernet0/0/1 : up 

             GigabitEthernet0/0/3 : up 

 

 

Ejecuta el comando hrp group en FW1 mostrara que el estado del grupo VGMP activo está activo, su prioridad es 65001 y que el grupo VGMP en espera no se ha habilitado.


HRP_A<FW1> display hrp group

 

Active group status:

   Group enabled:         yes

   State:                 active

   Priority running:      65001

   Total VRRP members:    0

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      30

   Peer group available:  1

   Peer's member same:    yes

 Standby group status:

   Group enabled:         no

   State:                 initialize

   Priority running:      65000

   Total VRRP members:    0

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      0

   Peer group available:  0

   Peer's member same:    yes

 

Ejecuta el comando hrp group en FW2 mostrara que el estado del grupo VGMP en espera está en espera, su prioridad es 65000 y que el grupo VGMP activo no se ha habilitado.


HRP_S<FW2> display hrp group

 

Active group status:

  Group enabled:         no

   State:                 initialize

   Priority running:      65001

   Total VRRP members:    0

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      30

   Peer group available:  1

   Peer's member same:    yes

 Standby group status:

   Group enabled:         yes

   State:                  standby

   Priority running:      65000

   Total VRRP members:    2

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      0

   Peer group available:  1

 

Por lo tanto, podemos concluir que después de completar la configuración, el grupo VGMP de FW1 se encuentra en el estado activo y FW1 se ha convertido en el dispositivo principal. El estado del grupo VGMP de FW2 está en estado de espera y FW2 se ha convertido en el dispositivo de respaldo.

En la Descripción general de Hot Standby, mencioné que si deseamos que el tráfico de PC1 a PC2 sea reenviado por FW1, debemos aumentar manualmente el costo OSPF del enlace de FW2 (R1—> FW2—> R2). Sin embargo, ¿qué sucede si es no conveniente / imposible configurar los enrutadores ascendentes y descendentes R1 o R2? Esta situación requiere que usemos la función de dirección de tráfico del grupo VGMP del firewall para dirigir automáticamente el tráfico al dispositivo primario. Esto se puede hacer porque el firewall ajustará automáticamente los costos de OSPF de acuerdo con el estado de un grupo VGMP (el comando es hrp ospf-cost adjust-enable). Una vez que esta función está habilitada, si un grupo VGMP activo está en un Firewall, el Firewall anunciará rutas con costos normales; Si el grupo VGMP de un firewall está en estado de espera, entonces el firewall aumentará los costos en 65500 (este es un valor predeterminado y se puede ajustar) cuando se anuncian rutas.

 

NOTA

Si se trata de una red de uso compartido de carga, ya que hay grupos de VGMP activos en ambos firewalls, cada firewall anunciará rutas con costos normales.

A la izquierda de la Imagen 1-1, el firewall principal FW1 (el estado de su grupo VGMP está activo) está anunciando las rutas normalmente, Y el FW2 de respaldo (su grupo VGMP está en estado de espera) aumentará los costos en 65500 cuando las rutas publicitarias a los dispositivos ascendentes y descendentes. Por lo tanto, desde la perspectiva de R1, el costo OSPF de usar FW1 para acceder a PC2 es 1 + 1 + 1 = 3, mientras que el costo OSPF de usar FW2 para acceder a PC2 es 65501 + 1 + 1 = 65503. Como el enrutador elegirá la ruta con el menor costo al reenviar el tráfico (R1—> FW1—> R2), el tráfico de la PC1 de la intranet a la PC2 de la red externa se reenviará a través del dispositivo principal FW1.

Podemos ver en la tabla de enrutamiento de R1 que el siguiente salto de paquetes que van a la red 1.1.1.0 es la dirección 10.1.1.2 de FW1 GE1 / 0/1.

 

[R1] display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 11       Routes : 11      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

1.1.1.0/24     OSPF    10   3            D   10.1.1.2        GigabitEthernet0/0/1

 

 

 

Después de que una de las interfaces de servicio de FW1 falla, los grupos VGMP de los dos firewalls sufrirán una conmutación de estado. Después del cambio de estado, el estado del grupo VGMP de FW2 cambiará a activo, y FW2 se convertirá en el dispositivo principal; El estado del grupo VGMP de FW1 cambiará al modo de espera y FW1 se convertirá en el dispositivo de respaldo. FW2 anunciará rutas normalmente (no aumenta el valor del costo), mientras que el costo de ruta anunciado por FW1 aumentará a 65500. Para R1, la ruta a PC2 que usa FW1 está bloqueada (porque la interfaz ascendente de FW1 ha fallado), y la ruta se puede acceder a PC2 a través de FW2, y el costo es 3, por lo que el tráfico de la intranet PC1 que accede a PC2 en la red externa se reenviará a través del nuevo dispositivo primario FW2.

Desde la tabla de enrutamiento de R1 también podemos ver que el siguiente salto de paquetes que viajan al segmento de red de destino 1.1.1.0 ha cambiado a la dirección 10.1.2.2 de FW2 GE1 / 0/1.


[R1] display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 11       Routes : 11      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

1.1.1.0/24     OSPF    10   3            D   10.1.2.2        GigabitEthernet0/0/2

 

Técnica de VGMP cuando los Firewalls acceden de forma transparente y se conectan a los switches

En la Imagen 1-2, las interfaces de servicio ascendente y descendente de dos firewalls funcionan en la Capa 2 y están conectadas a los switches. Como las interfaces de servicio de los firewalls funcionan en la Capa 2, no tienen direcciones IP, por lo que los grupos VGMP no pueden utilizar los grupos VRRP ni monitorear directamente los estados de la interfaz. Por lo tanto, la técnica de monitoreo de fallas utilizada por los grupos VGMP es monitorear los estados de la interfaz usando una VLAN. Esto se logra al agregar interfaces de servicio de Capa 2 a una VLAN, con el grupo VGMP monitoreando la VLAN. Cuando falla una interfaz en un grupo VGMP, el grupo VGMP percibirá este cambio en el estado de una de sus interfaces a través de la VLAN y, por lo tanto, reducirá su propia prioridad.

Imagen 1-2 Conexión en red con un Firewall que accede de forma transparente y se conecta a los switches



 064058c1tpcmqltkkycwcy.png

  

La Tabla 1-2 muestra los pasos de configuración utilizados para permitir que un grupo VGMP use una VLAN para monitorear los estados de la interfaz (conmutación por error activa / en espera).

Item

Configuration FW1

Configuration FW2

Add Layer 2 service interfaces into the same   VLAN, and configure the VGMP group to monitor the VLAN.

vlan 2

 port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3 

hrp track active

vlan 2

 port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3

hrp track standby

Configure the heartbeat interface.

hrp interface GigabitEthernet 1/0/2

hrp interface GigabitEthernet 1/0/2

Enable the hot standby function.

hrp enable

hrp enable

Tabla 1-2 Configuración de uso de grupos VGMP de una VLAN para monitorear interfaces (conmutación por error activa / en espera)


 

NOTA

Cuando las interfaces de servicio de los firewalls funcionan en la Capa 2 y están conectadas a los conmutadores, no se admite el método de reparto de carga de espera activa. Esto se debe a que si se trabaja en el método de carga compartida, las VLAN se habilitarían en ambos dispositivos y cada dispositivo podría reenviar el tráfico, de modo que toda la red formaría un bucle

.

Después de completar la configuración, el estado del grupo VGMP de FW1 está activo y FW1 se convierte en el dispositivo principal; El estado del grupo VGMP de FW2 está en espera y FW2 se convierte en el dispositivo de respaldo. Como las interfaces de servicio de los firewalls funcionan en la Capa 2, los firewalls mismos no pueden ejecutar OSPF, y por lo tanto los grupos VGMP no pueden dirigir el tráfico ascendente y descendente utilizando los costos de OSPF. Sin embargo, los VGMP pueden controlar si su VLAN reenvía el tráfico para garantizar que el tráfico se dirija al dispositivo primario. Cuando un grupo de VGMP está activo, la VLAN del grupo puede reenviar el tráfico; cuando el estado de un grupo VGMP está en espera, la VLAN del grupo está desactivada y no puede reenviar el tráfico. El control de un VGMP de si su tráfico de reenvío de VLAN no necesita configurarse por separado; agregar una VLAN al grupo VGMP es todo lo que se requiere.

Como se muestra en la Figura 1-2, en circunstancias normales, la VLAN del dispositivo principal (FW1; el estado de su grupo VGMP está activo) está habilitada, y puede reenviar el tráfico. La VLAN del dispositivo de respaldo (FW2; su grupo VGMP está en estado de espera) está deshabilitada y no puede reenviar el tráfico. Por lo tanto, el tráfico de PC1 a PC2 será reenviado por el dispositivo principal FW1.


Después de una falla de la interfaz de servicio en FW1, los grupos VGMP de los dos firewalls sufrirán un cambio de estado. Cuando el estado del grupo VGMP de FW1 cambia de acti**** respaldo, el estado de la (s) interfaz (s) normal (es) en la VLAN del grupo caerá y luego subirá. Esto hace que los switches ascendentes y descendentes actualicen sus propias tablas de direcciones MAC para asignar la dirección MAC de destino al puerto Eth0 / 0/2, lo que dirige el tráfico a FW2.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje