[Todo sobre switches] los servicios no se conmutan al dispositivo de respaldo VRRP en el momento en que el enlace al VRRP Master Device falla.

77 0 0 0

Productos y versiones involucrados

Todos los productos y versiones

Red

Como se muestra en la Figura 1-1, se configura un grupo VRRP en SwitchA y SwitchB. SwitchA es el dispositivo maestro VRRP y SwitchB es el dispositivo de respaldo  VRRP. Se implementa un enlace heartbeat entre SwitchA y SwitchB para transmitir de forma transparente paquetes de la VLAN correspondiente. SwitchA está conectado a SwitchC, y SwitchB está conectado a SwitchD. Dos puertos de red del servidor están conectados a SwitchA y SwitchB, respectivamente.

Figura 1-1 Diagrama de red para la falla de conmutación de servicios al dispositivo de backup VRRP de manera oportuna cuando el enlace al dispositivo maestro VRRP falla

20180309094454952001.png

 

Síntoma de la falla

Cuando el enlace entre el servidor y SwitchA falla, los servicios no se pueden cambiar al enlace standby de manera oportuna. Los servicios sólo se pueden restaurar después de 20 minutos.

Análisis de causa

Normalmente, el SwitchA es el dispositivo maestro VRRP y el SwitchB es el dispositivo de backup VRRP. El enlace entre el servidor y SwitchA es el enlace activo, y el enlace entre el servidor y SwitchB es el enlace standby. SwitchA aprende la entrada ARP del servidor a través de la interfaz GE1/0 / 1 y SwitchB aprende la entrada ARP del servidor desde SwitchA a través del heartbeat interface GE1/0 / 2.

Cuando el enlace activo del servidor falla, los paquetes del servidor se reenvían a través del enlace standby de SwitchB. Después de que la interfaz de SwitchA se cae, el SwitchA reaprende la entrada ARP del servidor. Por lo tanto, no se produce ninguna falla cuando el servidor envía paquetes y los paquetes de respuesta llegan a SwitchA Sin embargo, si los paquetes de respuesta llegan a SwitchB los paquetes de respuesta no pueden llegar al servidor. Después de consultar las entradas ARP en SwitchB, se encuentra que la interfaz ARP en SwitchB sigue siendo la interfaz heartbeat y la actualización de ARP no se realiza. Como resultado, los paquetes de respuesta que llegan a SwitchB continúan siendo enviados a SwitchA. Debido a que el enlace entre SwitchA y el servidor se interrumpe, se produce una falla de red. La red se recupera 20 minutos después de que se actualicen las entradas ARP.

Para localizar la falta de actualización de las entradas ARP de manera oportuna, se verifican las configuraciones de SwitchA y SwitchB. Se encuentra que los comandos arp anti-attack entry-check fixed-all enable y arp learning strict force-enable se configuraron en SwitchA y SwitchB. SwitchB aprende la entrada ARP del servidor desde la interfaz heartbeat. Una vez que el servidor realiza una conmutación de enlace/standby activa, las entradas ARP aprendidas por SwitchB a través de la interfaz GE1/0 / 1 are no coinciden con las entradas ARP originales. Como resultado, SwitchB no actualiza las entradas ARP.

Procedimiento de resolución de problemas

                   Paso 1  Ejecutar el comando undo arp anti-attack entry-check enable  para deshabilitar la fijación de entrada ARP, y ejecutar el comando undo arp learning strict para deshabilitar el aprendizaje estricto de ARP.

----End

Conclusiones y sugerencias

A continuación se describen los escenarios de aplicación de la fijación de entrada ARP y el estricto aprendizaje de ARP.

Fijación de entrada ARP

Para defender contra ataques de spoofing de direcciones ARP, habilite la fijación de entrada ARP. Los modos fixed-mac, fixed-all, y send-ack son aplicables a diferentes escenarios y son mutuamente excluyentes:

l  El modo fixed-mac c se aplica a las redes donde las direcciones MAC del usuario no cambian, pero las ubicaciones de acceso a los usuarios a menudo cambian. Cuando un usuario se conecta a una interfaz diferente en el dispositivo, el dispositi****ctualiza la información de la interfaz en la entrada ARP del usuario a tiempo.

l  El modo fixed-all se aplica a las redes donde se fijan las direcciones MAC del usuario y las ubicaciones de acceso de los usuarios.

l  El modo send-ack se aplica a las redes donde las direcciones MAC del usuario y las ubicaciones de acceso de los usuarios a menudo cambian.

Aprendizaje ARP estricto

Si muchos hosts de usuario envían un gran número de paquetes ARP a un dispositivo simultáneamente o los atacantes envían paquetes ARP falsos al dispositivo, se producen los siguientes problemas:

l  El procesamiento de paquetes ARP consume muchos recursos de la CPU. El dispositi****prende muchas entradas ARP no válidas, que agotan los recursos de entrada ARP y evitan que el dispositi****prenda entradas ARP para paquetes ARP de usuarios autorizados. En consecuencia, se interrumpe la comunicación de usuarios autorizados.

l  Después de recibir paquetes ARP falsos, el dispositivo modifica incorrectamente las entradas ARP. Como resultado, los usuarios autorizados no pueden comunicarse entre sí.

Para evitar los problemas anteriores, habilite el aprendizaje estricto de ARP en la puerta de enlace. Esta función indica que el dispositi****prende sólo las entradas ARP para los paquetes ARP Reply en respuesta a la solicitud de ARP packets enviada por sí misma. Esto defiende el dispositivo contra la mayoría de los ataques ARP.

 

 

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba