j'ai compris

[Dr.WoW] [No.52] Explication des techniques VGMP-partie 2

publié il y a  2020-4-28 23:18:04 52 0 0 0 0

3 Technique VGMP lorsque les pare-feu accèdent et se connectent en toute transparence aux routeurs

Dans la figure 1-3 , les interfaces de service amont et aval de deux pare-feu fonctionnent toutes les deux dans la couche 2 et sont connectées à des routeurs. OSPF s'exécute entre les deux pare-feu. Dans ce type de mise en réseau, les méthodes de surveillance des pannes et de direction du trafic adoptées par les groupes VGMP des pare-feu sont essentiellement les mêmes que dans la technique 0 2 VGMP lorsque les pare-feu accèdent et se connectent de manière transparente aux commutateurs , c'est-à-dire que le VLAN est utilisé pour surveiller l'interface défauts et contrôler la direction du trafic.

La différence entre ces méthodes réside dans le fait que la mise en réseau décrite dans cette section prend uniquement en charge la méthode de partage de charge de la redondance d'UC et ne prend pas en charge le basculement actif / redondant. En effet, si vous travaillez avec la méthode de basculement actif / de secours, le VLAN du périphérique de sauvegarde serait désactivé et ses routeurs en amont et en aval ne pourraient pas communiquer ou établir de routes OSPF. Par conséquent, lorsque la commutation active / veille se produisait, le nouveau VLAN du périphérique principal (le périphérique de sauvegarde d'origine) était activé, et ses routeurs en amont et en aval ne commençaient alors qu'à créer de nouvelles routes OSPF. Cependant, la construction de nouvelles routes OSPF nécessite un certain temps, ce qui entraînerait une interruption temporaire du service.

Figure 1-3 Mise en réseau avec un pare-feu accédant et se connectant de manière transparente aux routeurs


[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-1 

Les étapes de configuration du groupe VGMP pour surveiller les états d'interface (partage de charge) via le VLAN sont présentées dans le Tableau 1-3 .

Tableau 1-3 Configuration du groupe VGMP pour surveiller les interfaces à l'aide d'un VLAN (partage de charge)


Article

Configuration sur FW1

Configuration sur FW2

Ajoutez les interfaces de service de couche 2 au même VLAN et configurez les groupes VGMP actifs et de secours pour surveiller le VLAN.

vlan 2

 port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3   

piste hrp active

veille piste hrp

vlan 2

 port GigabitEthernet 1/0/1

port GigabitEthernet 1/0/3   

piste hrp active

veille piste hrp

Configurez l'interface de pulsation.

interface hrp GigabitEthernet 1/0/2

interface hrp GigabitEthernet 1/0/2

Activez la fonction de redondance d'UC.

activer hrp

activer hrp


 

REMARQUE

Lorsque les interfaces de service des pare-feu fonctionnent dans la couche 2 et sont connectées à des routeurs, n'utilisez pas la méthode de basculement actif / veille de la redondance d'UC. En effet, le VLAN du périphérique de sauvegarde est désactivé et ses routeurs en amont et en aval ne peuvent pas communiquer et ne peuvent donc pas établir de routes. Par conséquent, lors de la commutation active / veille, le périphérique de sauvegarde n'est pas en mesure de remplacer immédiatement le périphérique principal, ce qui entraîne une interruption de service.

Après la configuration, car il existe des groupes VGMP actifs sur FW1 et FW2, FW1 et FW2 sont tous deux des appareils principaux, et chacun de leurs VLAN2 transmettra le trafic. À l'heure actuelle, la table de routage de R1 montre que le trafic allant vers PC2 peut être transféré via FW1 ou FW2.

<R1> display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 14       Routes : 15      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

1.1.1.0/24      OSPF    10    2           D    10.1.1.2        GigabitEthernet0/0/1

OSPF    10    2           D    10.1.2.2        GigabitEthernet0/0/2


Après l'échec de l'une des interfaces de service de FW1, les groupes VGMP des deux pare-feu procèdent à une commutation d'état et l'état de redondance d'UC passe du partage de charge au basculement actif / redondant. Lorsque l'état du groupe VGMP de FW1 passe de l'état actif à l'état de veille, toutes les interfaces des groupes VLAN descendent puis remontent. Cela entraînera la modification et la convergence des routes des routeurs en amont et en aval, et tout le trafic sera donc dirigé vers FW2.

À l'heure actuelle, la table de routage de R1 (ci-dessous) montre également que le prochain saut de paquets allant vers le réseau 1.1.1.0 a changé pour l'adresse GE0 / 0/2 de R2 10.1.2.2.

<R1>display ip routing-table

Route Flags: R - relay, D - download to fib

------------------------------------------------------------------------------

Routing Tables: Public

         Destinations : 10       Routes : 11      

 

Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

 

        1.1.1.0/24    OSPF    10   2            D   10.1.2.2        GigabitEthernet0/0/2

        10.1.2.0/24   Direct  0    0            D   10.1.2.1        GigabitEthernet0/0/2

                   

4 Techniques de surveillance d'interface à distance des groupes VGMP

Les techniques utilisées par les groupes VGMP pour gérer divers réseaux de secours à chaud ont été décrites ci-dessus, et dans ces groupes, les groupes VGMP surveillaient les propres interfaces du pare-feu. Ci-dessous, nous examinerons deux techniques de surveillance de groupe VGMP des interfaces distantes. Les "interfaces distantes" font référence aux interfaces d'autres appareils sur un lien. Lorsqu'une interface distante surveillée par un groupe VGMP échoue, la priorité du groupe VGMP diminue de 2, comme nous l'avons vu précédemment. Les techniques par lesquelles VGMP surveille les propres interfaces des pare-feu peuvent être utilisées avec les techniques par lesquelles les interfaces distantes sont surveillées.

Il est important de noter que les deux types de techniques utilisées par VGMP pour surveiller les interfaces distantes ne peuvent être utilisées que sur les réseaux dans lesquels les interfaces de service des pare-feu fonctionnent dans la couche 3, car seules les interfaces de la couche 3 ont des adresses IP et peuvent envoyer IP-Link et Paquets de détection BFD vers le ou les appareils distants.

l    Surveillance de l'état des interfaces distantes à l'aide de la liaison IP

La méthode consiste à établir une liaison IP pour sonder l'interface distante, puis à faire contrôler par le groupe VGMP l'état de la liaison IP. Lorsqu'une interface testée via une liaison IP échoue, l'état de la liaison IP passe à Bas et le groupe VGMP perçoit le changement d'état de la liaison IP et, par conséquent, diminue sa propre priorité.

Comme le montre la figure 1-4 , nous devons utiliser IP-Link 1 sur FW1 (FW2) pour inspecter l'interface GE1 / 0/1 de R1 (R2) (une interface distante indirectement connectée), puis ajouter IP-Link 1 à la groupe VGMP actif (veille) pour surveiller l'état de IP-Link 1.

Figure 1-4 Surveillance VGMP des interfaces distantes à l'aide de la liaison IP


[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-2 

Les détails de configuration sont indiqués dans le Tableau 1-4 (la configuration de la fonction de redondance d'UC doit être terminée avant la configuration ci-dessous)

Tableau 1-4 Configuration de la surveillance VGMP des interfaces distantes à l'aide de la liaison IP


Article

Configuration sur FW1

Configuration sur FW2

Activez la liaison IP.

ip-link check enable

ip-link check enable

Configurez la liaison IP pour surveiller l'adresse distante.

ip-link 1 destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp

ip-link 1 destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp

Configurez VGMP pour surveiller la liaison IP.

hrp track ip-link 1 active

hrp track ip-link 1 standby


 

l    Surveillance de l'état de l'interface à distance à l'aide de BFD

Cette méthode implique l'utilisation de BFD pour sonder les interfaces distantes, avec un groupe VGMP surveillant l'état BFD. En cas de défaillance de l'interface distante inspectée par BFD, l'état de BFD passera à Down et le groupe VGMP percevra le changement d'état de BFD et diminuera donc sa propre priorité.

Comme le montre la figure 1-5 , nous devons utiliser la session BFD 10 sur FW1 (FW2) pour sonder l'interface GE1 / 0/1 de R1 (R2) (une interface distante connectée indirectement), puis ajouter la session BFD 1 à l'actif ( veille) Groupe VGMP pour surveiller l'état de la session BFD 1.

Figure 1-5 Surveillance VGMP des interfaces distantes à l'aide de BFD


[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-3 

Les détails de configuration sont indiqués dans le Tableau 1-5 (la fonction de redondance d'UC doit être configurée avant la configuration ci-dessous)

Tableau 1-5 Configuration de la surveillance VGMP des interfaces distantes à l'aide de BFD


Article

Configuration sur FW1

Configuration sur FW2

Configurez BFD pour surveiller l'adresse distante et spécifiez les discriminateurs locaux et homologues.

bfd 1 bind peer-ip 1.1.1.1

discriminator local 10

discriminator remote 20


bfd 1 bind peer-ip 2.2.2.1

discriminator local 10

discriminator remote 20


Configurez le groupe VGMP pour surveiller BFD.

hrp track bfd-session 10 active

hrp track bfd-session 10 standby


 

5 Résumé

En résumé, bien qu'il existe de nombreuses techniques différentes de surveillance de groupe VGMP et de direction du trafic, elles respectent toutes les deux principes suivants:

l   Chaque fois qu'une défaillance se produit sur une interface surveillée par un groupe VGMP, qu'elle soit directement ou indirectement surveillée et que la surveillance soit de la propre interface d'un pare-feu ou d'une interface distante, la priorité du groupe VGMP sera abaissé de 2.

l   Seuls les périphériques principaux (groupe VGMP à l'état actif) dirigeront le trafic sur eux-mêmes, tandis que les périphériques de sauvegarde (groupe VGMP à l'état de veille) réfléchiront à un moyen de refuser que le trafic soit dirigé vers eux.

Enfin, je vais résumer les relations entre les divers réseaux de secours automatique typiques et les techniques de surveillance des défauts VGMP et de direction du trafic dans le Tableau 1-6 .

Tableau 1-6 Résumé des différentes techniques VGMP des réseaux de secours à chaud


Réseau de redondance d'UC

Scénarios pris en charge

Technique de surveillance des défauts

Technique de direction du trafic

Les interfaces de service de pare-feu fonctionnent dans la couche 3 et sont connectées aux commutateurs de la couche 2.

Basculement actif / veille et partage de charge

l  Surveillance d'interface à l'aide de groupes VRRP

l  Surveillance de l'interface à l'aide de liaisons IP (facultatif)

l  Surveillance de l'interface à l'aide de BFD (en option)

Le périphérique principal enverra des paquets ARP gratuits aux commutateurs connectés, mettant à jour les tables d'adresses MAC des commutateurs

Les interfaces de service de pare-feu fonctionnent dans la couche 3 et sont connectées aux routeurs.

Basculement actif / veille et partage de charge

l  Surveillance d'interface directe

l  Surveillance de l'interface à l'aide de liaisons IP (facultatif)

l  Surveillance de l'interface à l'aide de BFD (en option)

Le périphérique principal annonce des itinéraires avec des coûts normaux, et le coût des itinéraires annoncés par le périphérique de sauvegarde augmente de 65 500.

Les interfaces de service de pare-feu fonctionnent en couche 2 (mode transparent) et sont connectées aux commutateurs de couche 2.

Prise en charge uniquement du basculement actif / veille

Surveillance d'interface à l'aide de VLAN

Le VLAN du périphérique principal peut transférer le trafic, tandis que le VLAN du périphérique de sauvegarde est désactivé. Lorsque le périphérique principal devient le périphérique de sauvegarde, les interfaces du VLAN du périphérique principal descendent puis remontent, déclenchant les périphériques de couche 2 en amont et en aval pour mettre à jour leurs tables d'adresses MAC.

Les interfaces de service de pare-feu fonctionnent en couche 2 (mode transparent) et sont connectées à des routeurs.

Ne prend en charge que le partage de charge

Surveillance d'interface à l'aide de VLAN

Le VLAN du périphérique principal peut transférer le trafic, tandis que le VLAN du périphérique de sauvegarde est désactivé. Lorsque le périphérique principal devient le périphérique de sauvegarde, les interfaces dans le VLAN du périphérique principal descendent puis remontent une fois, déclenchant la convergence des routes sur les périphériques de couche 3 en amont et en aval.


 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.