BCMSN - Building Converged Multilayer Switched Networks. (2/4 CCNP) KOMPENDIUM na podstawie CCNP BCMSN Official Exam Certification Guide

Transkrypt

1 BCMSN - Building Converged Multilayer Switched Networks. (2/4 CCNP) KOMPENDIUM na podstawie CCNP BCMSN Official Exam Certification Guide Copyright by Gliwice, sierpień 2007 Spis Treści: Chapter 1+2 Overview and design of Campus Network str.2 Chapter 3 Switch operation str.3 Chapter 4 Switch port configuration + technologie ethernetowe str.5 Chapter 5 VLAN and Trunks str.7 Chapter 6 VTP str.9 Chapter 7 Agregating switch links str.11 Chapter 8+9 Spanning Tree str.13 Chapter 10 Protecting STP str.16 Chapter 11 Advanced Spanning Tree Protocol str.18 Chapter 12 Multilayer Switching+ InterVLAN Routing str.20 Chapter 13 Router, Supervisor and Power Redundancy str.21 Chapter 14 IP Telephony str.25 Chapter 15 Securing Switch Access str.28 Chapter 16 Securing witch VLANs str Copyright by 1

2 Chapter Overview and design of Campus Network Jak działa switch to na ogół wiadomo ;) Generalnie switch L2 i L3 wykonuje hardware-based-bridging. Ramki przychodzące na port wejściowy, są forwardowane do portu wyjściowego SPRZĘTOWO, przez ASIC-i po look-up-ie do odpowiedniej tablicy. W switchach L2 jest tablica CAM a w switchach L3 / L4 TCAM. Switche L3 / L4 forwardują ramki tak jak router. Ramki mogą być forwardowane po wykonaniu security control (ACL) i QoS-a Campus Network Model Struktura sieci w tym modelu składa się z następujących bloków funkcjonalnych: - Core Block (backbone) - Switch Block (połączone switche Access Layer i Distribution Layer, do AL dołączone są hosty) - Server Farm Block ( tak jak switch block tylko zamiast zwykłych hostów serwery) - Enterprise Edge Block - Management Block - Service Provider Edge Block Switche w sieci pracują w takich warstwach: - Access Layer (AL.) L2 - Distribution Layer (DL) L3/L4 (MLS) - Core Layer (CL) L3 Switche Access Layer AL: Do switchy AL są podłączone hosty userów. Switche AL są switchami L2, powinny mieć duŝą gęstość portów i niski koszt portu. Odbywa się tu VLAN membership, filtrowanie ruchu, podstawowy QoS Switche Distribution Layer DL: Switche DL są switchami MLS. Do switchy dystrybucyjnych DL są podłączone switche AL linkami redundantnymi. KaŜdy switch AL ma osobny link do kaŝdego switcha DL. Wykorzystując podwójne linki moŝna np. zaimplementować per-vlan load balancing. W switchach DL odbywa się routing między VLAN-ami oraz Security i QoS. Switche DL muszą być zdolne przetworzyć cały wolumen ruchu ze switchy AL. Na switchach DL kończy się ruch broadcastowy userów. Switch Block tworzą połączone switche AL i DL. Typowy Switch Block składa się ze 2 switchy DL do których są podłączone podwójnymi linkami switche AL.VLANy powinny być tak zaprojektowane Ŝeby Ŝaden ruch między VLANami nie odbywał się poza warstwę dystrybucji Switche Core Layer CL: W warstwie CL pracuje 1 lub 2 switche L3 (dual Core). W CL Ŝadnych operacji na pakietach ( ACL, filtry itp.) Do switchy warstwy CL są podłączone za pomocą podwójnych linków: - Switch Blocki - Server Farm Blocki ( tak jak switch block tylko zamiast zwykłych hostów serwery) - Enterprise Edge Block - Management Block - Service Provider Edge Block W mniejszych sieciach 3-warstwowa struktura moŝe być uproszczona do struktury 2 warstwowej. Warstwa dystrybucji i core-u moŝe stanowić jedną warstwę nazywa się to Colapsed Core. Czyli struktura sieci wygląda tak Ŝe wszystkie Switch Blocki są połączone ze sobą linkami redundantymi Copyright by 2

3 Chapter 3 switch operation czas trzymania MACa w CAM ( do pakietu przychodzącego jest przybijany time stamp) sw(config)# mac address-table aging-time 300 (default) statyczne przybicie MACa do VLANu i portu sw(config)# mac address-table static 00:02:a2:c0:fa:b0 vlan 10 interface fe0/5 pokaŝ zawartość CAM sw# sh mac address-table dynamic [ address 00:02:a2:c0:fa:b0 interface fe0/5 vlan 10] rozmiar CAM sw# sh mac address-table count wyczyść zawartość CAM sw# clear mac address-table dynamic [ address 00:02:a2:c0:fa:b0 interface fe0/5 vlan 10] Trochę teorii: W switchu L2 ramka przychodząca na port, trafia do jednej z IngressQue a następnie jest przetwarzana sprzętowo (ASIC) jednocześnie przez: L2 forwarding table ( MAC->Egress port->vlan) Security ACLs (TCAM) QoS ACLs (TCAM) a następnie trafia do EgressQue i dalej na port wychodzący Switche L2 / L3 Multilayer Switches (MLS) Catalyst 3560/4500/6500 Typy MLS: Route Caching (Route Processor + Switch Engine)= route one switch many, Netflow Lan Sw. Topology-based=Cisco Express Forwarding->routing proces przetwarza sprzętowo Forwarding Information Base (FIB) W switchu MLS ramka przychodząca na port, trafia do jednej z IngressQue a następnie jest przetwarzana sprzętowo (ASIC) jednocześnie przez : L2 forwarding table ( MAC->Egress port->vlan) L3 forwarding Information Base (FIB) Security ACLs (TCAM) QoS ACLs (TCAM) a następnie następuje L3 packet rewrite ( bo zmieniły sie MAC-i ( jak w routerze), TTL i FCSy L2 i L3 ), i dalej trafia do EgressQue i dalej na port wychodzący Nie wszystkie pakiety są przetwarzane przez CEF. Niektóre rodzaje pakietów są przetwarzane przez CPU process switching. Są to: ARP Req /Rep pakiety wymagające odpowiedzi routera np. TTL expired, MTU exceed broadcasty relay-owane jako unicast ( ustawiony ip helper address do relayowania DHCP req) routing protocol updaty pakiety CDP pakiety IPX, non IP Flapping MAC widziany na jednym porcie, pojawił się na innym porcie, a CAM nie został updatowany TCAM to skompilowana ACL-ka przetwarzanie odbywa się sprzętowo w pojedynczym look-up-ie TCAM składa sie z: 2007 Copyright by 3

4 - Feature Manager-a (kompiluje wszystkie ACL matching statements) i Switching Database Managera (SDM) partycjonuje TCAM ( nie we wszystkich switchach) RóŜnica między CAM a TCAM w CAM matching MAC->Port to 1 lub 0 w TCAM ( poniewaŝ jest maska to matching jest 1, 0 lub X - ( don't care) czyli 3 wartości=ternary TCAM entries składają sie z Value, Mask, Results (VMR) Values 134 bity wartość składająca się ze sklejonego adresu SRC i DST oraz innych pól protokołu Masks zbudowana tak jak Values, ale wybrane są tylko bity które stanowią wzorzec dopasowania Results wynik porównania Value z Maską, decyduje jak zforwardować pakiet permit lub deny, lub index do QoS policera itd. JeŜeli w ACLu jest operator warstwy L4, lub logiczny gt, lt, neq, range to Feature Manager compiluje do TCAM entry, rejestr Logical Operation Unit. TCAM generalnie nie wymaga Ŝadnej obsługi naleŝy jedynie pilnować Ŝeby nie było overflow jak rozbudowuje sie ACLki 2007 Copyright by 4

5 chapter 4 switch port configuration + technologie ethernetowe pojedynczy port do konfiguracji sw(config)# interface fe 0/10 kilka portów do konfiguracji (spacje są istotne! ) sw(config)# interface range fe 0/10, fe 1/11, fe 1/15 zakres portów do konfiguracji sw(config)# interface range fe 0/1-48 definicja macro sw(config)# define interface-range nazwa_macro gig 2/1, gig 2/3 2/5, gig 3/0 3/48... i uŝycie macro sw(config)# interface range macro nazwa_macro...następnie konfiguracja duplexu, nazwy i szybkości interfejsu sw(config-if)# description serwer POP3 sw(config-if)# duplex { auto full half } sw(config-if)# speed { auto } zarządzanie wykrywaniem errorów na portach ( konfiguracja dotyczy WSZYSTKICH portów) sw(config)# [no] errdisable detect [ all typ erroru ] - defaultowo all typy errorów: all wszystkie przyczyny są wykrywane arp-inspection - wiadomo bpduguard gdy na porcie Portfast zostanie wykryty BPDU (a oczywiście nie powinno go tam być) channel-misconfig dotyczy EtherChannel dhcp-rate-limit - DHCP snooping dtp-flap zmienił sie typ trunkingu gbic-invalid - wiadomo ilpower - wiadomo l2ptguard L2 protocol tunneling loopback - coś sie zapętliło link-flap wiadomo link up/down pagp-flap EtherChannel psecure-violation naruszenie zasad security rootguard BPDU z root bridge-a wykryte na niedozwolonym porcie security-violation - naruszenie zasad security storm-control - wiadomo udld link stał sie jednokierunkowy unicast-flood wiadomo vmps error przy przypisaniu do dynamicznego VLAN-u przez serwer VMPS JeŜeli port znajdzie sie w stanie errdisable to musi być ręcznie włączony przez: sw(config)# interface gig0/1 sw(config-if)# shutdown sw(config-if)# no shutdown moŝe sie teŝ włączyć automatycznie jeŝeli: 2007 Copyright by 5

6 sw(config)# errdisable recovery cause [ all typ erroru ] automatyczne recovery jest co 300 sec defaultowo, moŝna to zmienić przez: sw(config)# errdisable recovery interval Troche teorii o technologii PHY: Format ramki we wszystkich rodzajach ethernetu jest taki sam, róŝnica jest tylko w sygnalizacji warstwy PHY FastEthernet 802.3u 100BASE-TX UTP cat.5 100m 100BASE-FX fiber MMF 62.5/ m half duplex/2000m full duplex fiber SMF 10 km Gigabit Ethernet 802.3ab 1000BASE-T UTP cat5+ 100m 4 pary 802.3z 1000BASE-SX fiber MMF 62.5/ nm laser 275m fiber MMF laser 550m 1000BASE-LX/LH fiber MMF nm laser 550m fiber SMF nm laser 550m fiber SMF nm laser 10km 1000BASE-ZX fiber SMF nm laser 70km fiber SMF nm laser 100km 10Gigabit Ethernet 802.3ae 10GBASE x1x2 x1x2 znaczy: x1->s-850nm, L-1310nm, E-1550n,; x2->r-lan PHY, W-WAN PHY np. LW4 znaczy laser 1310nm, WAN interface, 4-transmisja na 4 długościach fali WWDM SR/SW MMF 50 i do 300m, LR/LW SMF 9 10km ER/EW SMF 9 40km LX4/LW4 SMF/MMF m do 10 km 2007 Copyright by 6

7 chapter 5 VLAN and Trunks Konfiguracja VLAN-ów ( VLANy statyczne przybite do portu, Dynamiczne-przybite do MACa, wymaga serwera VMPS) tworzymy i nazywamy VLAN sw(config)# vlan 10 (1-1005, automat., extend VLAN tylko vtp mode transparent) sw(config-vlan)# name marketing_dept ( 32 znaki max bez spacji) a następnie przybijamy go do portu sw(config)# interface fe 0/1 sw(config-if)# switchport - włączamy L2 operation sw(config-if)# switchport mode access sw(config-if)# switchport access vlan 10 konfigurujemy trunk linka sw(config)# interface gig 1/0 sw(config-if)# switchport sw(config-if)# switchport trunk encapsulation { isl dot1q negotiate} (negotiate-default) sw(config-if)# switchport trunk native vlan 1 (default native vlan nie jest tagowana) sw(config-if)# switchport trunk allowed vlan { lista all { add except remove} lista }(default all) JeŜeli ustawia sie allowed vlan to zrobić to na obu końcach trunka sw(config-if)# switchport mode { trunk dynamic { desirable all } ( dynamic-desirable - default) i sprawdzamy sw# show interface gig 1/0 trunk sw# show interface gig 1/0 switchport sw# show interface status Trochę teorii: VLAN-y projektować tak Ŝeby nie sięgały poza domenę L2 switcha warstwy dystrybucji (End-to-End VLAN) VLAN-y powinny siedzieć jedynie w switch bloku ( switche dostępowe i dystrybucyjne. śadnego ruchu między VLAN-ami przez Core!) Dynamiczna negocjacja trunka ( DTP Cisco proprietary) DTP naleŝy wyłączyć gdy switch ma łącze trunkowe podłączone do nontrunking routera, firewalla etc, Trunk ling moŝe być ustanowiony przez DTP tylko gdy switche naleŝą do tej samej domeny VTP. JeŜeli swiche naleŝą do róŝnych domen VTP a ma być trunk miedzy nimi to ustawić nonegotiate mode. Ramki DTP są wysyłane co 30 sek. Jeśli ona końce trunka mają ustawione fixed trunk, to wyłączyć DTP Sw(config-if) # switchport nonegotiate switchport mode trunk (łącze permanentnie trunkowe) Dynamic Trunking jeŝeli switch na końcu jest: trunk lub dynamic desirable lub dynamic auto switchport mode dynamic desirable ( tryb defaultowy na switchu, port aktywnie próbuje wynegocjować łącze jako trunkowe) Dynamic Trunking jeŝeli switch na końcu jest: trunk lub dynamic desirable lub dynamic auto 2007 Copyright by 7

8 switchport mode auto ( port stanie się trunkowy jeśli switch na drugim końcu o to poprosi ) Dynamic Trunking jeŝeli switch na końcu jest: trunk lub dynamic desirable Podczas trunkingu port wyjściowy łącza trunkowego dodaje taga do ramki kaŝdego VLAN-u a port wejściowy zdejmuje taga. ISL ramka ethernetowa jest enkapsulowana wewnątrz ramki ISL przez dodatnie 26 bajtów headera, 4 bajty trailera (CRC), 15bit VLAN ID jest w headerze dot1q 801.1Q ramki L2 są tagowane tagiem 4 bajtowym, 12bit VLAN ID Struktura ramki wygląda tak: Dst-MAC Src-MAC 802.1Q tag DATA FCS 802.1Q tag (4bajty)wygląda tak: TPID (8bit) TPID (8bit) Priority (4bit) VLAN ID 12 bit - TPID zawsze ma wart. 0x Priority słuŝy do implementacji CoS IEEE 802.1p - VLAN ID wart Native VLAN ramki naleŝące na native vlan, na łączu trunkowym nie są tagowane Ŝadnymi Informacjami. Na obu końcach trunka musi być ustawiony ten sam Native VLAN Native VLAN mismatch jest odkrywany przez CDP Narzut na informacji trunku na ramkę moŝe spowodować ze ramka przekroczy max MTU=1518 bajtów dla ramki Ethernetowej. Taka rameczka to baby giant frame i jest raportowane przez switch jako error 2007 Copyright by 8

9 chapter 6 VTP UWAGA : Przed wpięciem switcha do Ŝywej sieci wyzerować VTP Rev Nr!!!!! bo jest zapisywany w NVRAM. Najprościej zmienić nazwę domeny na nieistniejącą i spowro tem na właściwą. Po wyzerowaniu sprawadzić: sw# show vtp status - Rev musibyć =0 Konfiguracja VTP sw(config)# vtp domain cisco_the_best sw(config)# vtp mode {server client transparent } ( server default) sw(config)# vtp password haselko sw(config)# vtp version { 1 2 } ( ver.1 default) ( w domenie musza być ust. te same vtp ver) Pruning wycina z trunka niepotrzebne VLANy, zamiast tego uŝywać #switchport trun allowed vlan sw(config)# vtp pruning ( disabled default, gdy enable-to prune eligible wszystkie VLANy ) sw(config)# interface gig 0/1 sw(config-if)# switchport trunk pruning vlan { add except none remove } 2, 3 Troubleshooting; sw # show vtp status sw # show vtp counters sw # show vlan brief sw # show interface gig 0/1 switchport sw # show interface gig 0/1 pruning Troche teorii: Switch moŝe naleŝeć do 1 domeny, ale domen moŝe być kilka są one niezaleŝne Dla redundancji powinien być >1 switch w trybie serwer Wszystkie switche muszą mieć ten sam VTP ver nr Server mode pełna kontrola nad tworzeniem i modyfikacją VLANów w domenie, wszystkie informacje VTP są ogłaszane innym switchom, informacje przychodzące są synchronizowane Client mode nasłuchuje komunikatów VTP i modyfikuje swoją konfigurację VLANów Odebrane inf VTP są forwardowane przez trunk link do sąsiadów Transparent mode nie uczestniczy w VTP, VTP ver 1 nawet nie relayuje info VTP jeśli ten switch nie ma ustawionej domeny VTP takiej jak reszta. VTP ver 2 relayuje VTP info niezaleŝnie od nazwy domeny Przed wpięciem switcha do Ŝywej sieci wyzerować VTP rev nr!!!! ( jest zapisany w NVRAM) po to Ŝeby np. client mode switch z wyŝszym Rev nr nie rozwalił konfiguracji w całej domenie Najprościej wyzerować przez zmianę nazwy domeny na nieistniejącą i spowrotem na właściwą VTP advertisements są wysyłane jako ramki multicastowe VLANy muszą być tworzone i konfigurowane tylko na VTP serwerze W domenie musza być ustawione te same wersje vtp VTP ver 2 ma takie dodatkowe ficzersy : Version dependent transparent mode transparent mode switch forwarduje VTP adv niezaleŝnie 2007 Copyright by 9

10 od nazwy domeny i bez sprawdzania ver nr Consistency check sprawdza parametry VTP i VLAN wklepane przez CLI lub z SNMP Token Ring support (kto to jeszcze stosuje????) Unrecognized TLV support - Dla bezpieczeństwa ustawiać hasło w domenie VTP Formy ogłoszeń VTP : Ogłoszenia VTP są wysyłane tylko na linkach trunkowych! Summary advertisements wysyłane przez VTP servers co 300 sek lub przy kaŝdej zmianie bazy danych VLAN, Format summary adv.: Ver. (1 bajt) Type (1 bajt) nr of adv (1bajt) Domain name length (1 bajt) Domain name ( wypełnione zerami do 32 bajtów) Config Rev nr (4 bajty) Updater Identity (originating IP address 4 bajty) Update time stamp (12 bajtów) MD5 hash (16 bajtów) Subset advertisements serwery VTP wysyłają po zmianie konfiguracji VLAN Zawiera informacje o utworzeniu/skasowaniu, zmianie nazwy, zmianie MTU VLANu Statusie i typie VLANu Advertisements request from clients zapytania od klientów o informacje brakujące Po zapytaniu klienta, serwery odpowiadają przez wysłąnie Summary adv i subset adv VTP Pruning defaultowo trunk link transportuje ruch z wszystkich VLANów Po włączeniu pruningu switch nie wysyła broadcastów na linku trunkowym który nie wymaga tego broadcastu czyli następuje poprawa wykorzystania pasma. Zamiast VTP pruningu ustawiać #switchport trunk allowed vlan 2007 Copyright by 1

11 chapter 7 Agregating switch links dla kaŝdego EC na switchu trzeba wybrać protokół EC i przypisać do niego port...dla PagP ( CISCO) leci to tak:...najpierw sprawdzamy ficzersy switcha do obsłui EC sw# sh port capabilities sw(config)# interface port-channel 1 - tworzymy interfejs port-channel sw(config)# port-channel load-balance src-dst-port sw(config)# interface range gig 0/1 4, gig1/1-4 sw(config-if)# channel-protocol pagp sw(config-if)# channel-group (1-64) mode { on { auto desirable } [non-silent] } auto - (pasive mode) domyślny tryb, switch negocjuje EC gdy switch odległy zainicjuje desireable (active mode) switch aktywnie prosi switch odległy o negocjacje EC silent default, jeŝeli na drugim końcu linka jest urządzenie PagP-capable to ustawić no-silent razem z auto lub desireable (15 50 sec delay)...dla LACP (IEEE 802.3ad) leci to tak: sw(config)# lacp system-priority (default 32768) sw(config)# interface gig 0/1 4, gig 1/1 4 sw(config-if)# channel-protocol lacp sw(config-if)# channel-group (1-64) mode { on passive active } sw(config-if)# lacp port-priority (default 32768) LACP przypisuje role EC endpointom. Switch z najniŝszym system priority ( 2 bajty priority+ 6 bajtów switch MAC-a) podejmuje decyzje, które porty w danej chwili uczestniczą w EC Porty są wybrane i stają się aktywne według port priority ( 2 bajty pririty+2 bajty port nr) NiŜsza wartość = wyŝszy priorytet Do udziału w EC moŝe być wybranych do 16 potencjalnych linków, LACP wybiera z nich do 8 linków z najniŝszym port priority.pozostałe linki są w stanie standby i czekają na pad linków aktywnych Troubleshooting: Przedewszystkim sprawdzić czy jest spójna konfiguracja na obu końcach. sw# show etherchannel summary sw# show etherchannel port sw# show etherchannel port-channel sw# show etherchannel load-balance sw# show { pagp lacp } neighbor Troche teorii: EtherChannel stanowi 2 do 8 zagregowanych linków FE, GE lub 10GE Pasmo full duplex np. Dla 8 linków GE = 8x1Gbps x 2 = 16Gbps PoniewaŜ te linki równoległe tworzą 1 link logiczny to nie ma Ŝadnych loop-ów śadne odebrane broadcasty i multicasty nie są odsyłane spowrotem na pozostałe porty EC 2007 Copyright by 1

12 Ramki są wysyłane na poszczególne linki EC zgodnie ze wzorcem binarnym będącym wynikiem działania algorytmu hash-ującego który uzywa src-ip, dst-ip, src-mac,dst-mac, port nr ramki np. gdy mamy link EC składający się z 4 linkow, to algorytm bierze src-ip i dst-ip, wykonuje na tych adresach operacje XOR, i 2 najmniej znaczące bity wyniku stanowią nr linka przez który pójdą dane. Czyli to znaczy Ŝe transmisja między 2 takimi samymi adresami odbywa sie zawsze tym samym linkiem, ale poniewaŝ na linku EC gadają róŝne adresy to cisco doszło do wniosku Ŝe dystrybucja obciąŝenia między linki będzie równomierna JeŜeli aktywny link padnie to istniejący ruch pójdzie innymi linkami. Niemniej jednak gdyby np na 4 linkowym EC volumen ruchu między 1 parą adresów był znacznie większy niŝ między innymi parami adresów ( np ruch do jednego serwera) to nastąpi duŝa nierównomierność rozkładu obciąŝenia między linkami. Dla rozwiązania problemu trzeba ustawić inną metodę algorytmu hashowania niŝ src-ip-dst-ip, np src-port-dst-port. Ustawia sie to przez: sw(config)# port-channel load-balance src-dst-ip (default) ( globalnie na switchu) Dopuszczalne metody to: tylko src-ip ( wynik jest bitowy np. EC 4 linkowe to wynik stanowią 2 bity LSB src-ip) tylko dst-ip src-dst-ip ( wynik stanowią np 2 bity LSB z operacji XOR między src-ip a dst-ip) src-mac, dst-mac, src-dst-mac, src-port, dst-port, src-dst-port Gdy gadają ze sobą 2 routery to nie uŝywać MAC-ów bo zawsze sa takie same i cały ruch pójdzie jednym linkiem!!! Przy switchowaniu protokołów innych niŝ IP uŝyć MAC-ów Do zweryfikowania rozkładu obciąŝenia uŝyć: sw# show etherchannel port-channel Wszystkie porty wybrane do EC musza naleŝeć do tego samego VLANu, muszą mieć ten sam Native VLAN, ten sam speed i duplex settings, jeŝeli ma to być link trunkowy to porty musza mieć ustawiony trunking i te same allowed VLANs. Muszą być identyczne ustawienia Spanning Tree Po skonfigurowaniu EC wszystkie zmiany konfiguracji na interfejsie port-channel dotyczą całego EC, natomiast zmiany na interfesie fizycznym dotycza tego konkretnego interfejsu Copyright by 1

13 Chapter Spanning Tree UWAGA W ŚRODOWISKU PRODUKCYJNYM: W CZASIE REKONFIGURACJI STP RUCH W SIECI ZOSTAJE WSTRZYMANY. Switch(config)# spanning-tree 1, (defaultowo STP jest włączony dla wszystkich VLANow)...wybieramy root bridge-a Switch(config)# spanning-tree vlan 1, priority (32768-default)..lub Switch(config)# spanning-tree vlan 1, root {primary secondary} [diameter diameter]...koszt ścieŝki na interfejsie (np. RóŜne koszty dla róŝnych VLANów) Switch(config-if)# spanning-tree [vlan 1, 10-20] cost 19...port priority Switch(config-if)# spanning-tree [vlan 1, 10-20] portpriority 128 (128-default) STP timers ( Modyfikacja timerów tylko na Root Bridge-u) Switch(config)# spanning-tree [vlan vlan-id] hello-time 2 (1-10) Switch(config)# spanning-tree [vlan vlan-id] forward-time 15 (4-30) Switch(config)# spanning-tree [vlan vlan-id] max-age 20 (6-40) Switch(config)# spanning-tree portfast default - globalnie na switchu moŝna wyłączyć portfast na określonych portach UŜywać razem z BPDU Guard Switch(config-if)# no spanning-tree portfast Switch(config)# spanning-tree uplinkfast [max-updaterate 150] (150 default, ) na switchach dostępowych gdy są dual uplinki do switchy dystrybucyjnych Switch(config)# spanning-tree backbonefast - umoŝliwia szybką konwergencje w Core Switch# show spanning-tree Switch# show spanning-tree detail Switch# show spanning-tree [vlan vlan-id] summary Switch# show spanning-tree [vlan vlan-id] root Switch# show spanning-tree [vlan vlan-id] bridge Switch# show spanning-tree uplinkfast Switch# show spanning-tree backbonefast Trochę teorii: Informacje STP sa przesyłane przez BPDU na STP Multicast adres c BPDU domyślnie wysyłane na porcie co hello time=2 sek. Typy BPDU: Configuration BPDU słuŝą do wyznaczenia topologii STP Topology Change Notification ( TCN BPDU) switch wysyła do sąsiadów TCN na Root-portach jeśli wystąpiła zmiana w topologi. (zmiana stanu portu lub linka) KaŜdy switch który odebrał TCN BPDU wysyła ACK i nastepnie równieŝ wysyła TCN BPDU na 2007 Copyright by 1

14 Root Portach do swoich sąsiadów. W końcu TCN dochodzi do Root bridge-a. Root Bridge wysyła ACK i w odpowiedzi wysyła change flag w Conf BPDU switche skracają po tym czas trzymania MACów z 300 sek do 15 sek a następnie zostaje wyznaczona nowa topologia Struktura Conf BPDU: Protocol ID (2bajty) Ver (1) Message Type (1) Flags (1) Root bridge ID (8) Root Path cost (4) Sender bridge ID 8 Port ID (2) Message Age (2) Max Age (2) Hello time (2) Forward delay (2) Struktura TCN BPDU: - informacja TYLKO o tym Ŝe wystąpiła zmiana topologii ( co 2 sek) Protocol ID (2) Ver (1) Message Type (1) Bridge ID ( dla CST)= Bridge Priority (16bitów) (32768 default) + MAC (48bitów) Bridge ID ( dla PVST)= Bridge Priority (4bity) + Extend System ID (12bitów) + MAC 6 bajtów w tym przypadku bridge priority jest inkrementowany co 4096 Root Bridge = switch z najniŝszym Bridge ID Port ID = Port Priority (0-255, 128 default) + Port ID ( 0-255) Root port = port na non-root switchu, port w kierunku root switcha po ścieŝce o najniŝszym koszcie całkowitym.jeŝeli są 2 scieŝki o takim samym koszcie to RP jest portem o niŝszym port priority. W kaŝdym switchu jeden RP Koszty STP ścieŝek: (nowa skala) 10Gbps=2, 1Gbps=4, 622Mbps=6, 155Mbps=14, 100Mbps=19, 10Mbps=100 Designated port = port o najniŝszym całkowitym koszcie do Root bridgea, jeŝeli są takie same to decyduje niŝszy Sender Bridge ID, a następnie Sender Port ID. W kaŝdym segmencie jest jeden Designated port. Porty które nie są DP ani RP zostają zablokowane. Stany STP: Disabled port administracyjnie wyłączony Blocking odbiera tylko BPDU, jest w stanie standby Listening odbiera i wysyła BPDU wybiera porty RP i DP ( forward delay 15 sek) Learning - odbiera i wysyła BPDU + odbiera MAC-i (forward delay 15 sek) Forwarding full function Hello time czas wysyłania Conf BPDU przez Roota 2 sek Forward delay 15 sek. Max Age Time czas przez który switch przechowuje BPDU po utracie kontaktu ze źródłem Po tym czasie switch stwierdza Ŝe zmieniła sie topologia 20 sek Cisco wymyśliło Per-VLAN Spanning tree ( PVST) uŝywa osobnej instancji STP dla kaŝdego VLAN-u, Wymaga Ŝeby linku trunkowe uŝywały enkapsulacji ISL. Nie mieszać 8021D STP z PVST!!! PVST+ umoŝliwia taką współprace Zamiast modyfikacji wartości timerów dla poprawy szybkości konwergencji STP moŝna uŝywać: PortFast na switchach access layer do których są dołączone hosty robocze Copyright by 1

15 Na porcie do którego jest podłączony pojedynczy host PF pomija Listening i Learning i przechodzi bezpośrednio z blocking do forwarding-. Wykrywanie pętli STP nadal działa Nie włączać PF na portach do których są podłączone inne switche!!! Zaletą PF jest to Ŝe nie są wysyłane do sieci TCN BPDU gdy taki port jest up/down UplinkFast na switchach access layer które mają podwójne uplinki do switchy dystrybucyjnych Switch dostępowy który ma 2 uplinki do switchy dystrybucyjnych potrzebuje do 50 sek na przełączenie się na link zapasowy gdy podstawowy padnie. UF śledzi wszystkie moŝliwe ścieŝki do Root Bridge-a i gdy primary Root Port zdechnie to to inny blocked uplink o najniŝszym koszcie do RootBridgea natychmiast wstaje. Nie załączać UF na Root Bridge-u!!! Generalnie moŝe to być załączone na leaf-node switchach Po włączeniu UF switch sam zabezpiecza sie przed tym Ŝeby nie zostać Root Bridgem, podnosząc Bridge Priority do 49152, a Port Cost zwiększa do 3000 Ŝeby inne switche nie wybrały tej ścieŝki do roota Parametr max-update-rate w poleceniu uplinkfast oznacza maksymalną szybkość wysyłania ramek multicastowych na adres ccd.cdcd. To są ramki zawierające CAM switcha do powiadomienia upstream switchy Ŝe downstream stations będą osiągalne przez nowy uplink po tym jak zdechł primary uplink BackboneFast w rdzeniu sieci. Switch z BF aktywnie określa czy istnieje alternatywna ścieŝka do RootBridge-a w przypadku wykrycia indirect link failure. BF skraca max opóźnienie konwergencji z 50 do 30 sek. JeŜeli włącza sie BF, to naleŝy go włączyć na WSZYSTKICH switchach w sieci poniewaŝ uŝywa RLQ Request i RLQ Reply do sprawdzenia stabilności RootPath Copyright by 1

16 Chapter 10 Protecting STP Switch(config-if)# spanning-tree guard root Switch(config)# spanning-tree portfast bpduguard default - na wszystkich portach...i moŝna wyłączyć na określonym porcie Switch(config-if)# [no] spanning-tree bpduguard enable Switch(config)# spanning-tree loopguard default Switch(config-if)# [no] spanning-tree guard loop Switch(config)# udld {enable aggressive message time 7} ( 7s dla 3550, 15s dla 6500) Switch(config-if)# udld {enable aggressive disable} Enable BPDU filtering Switch(config)# spanning-tree bpdufilter default Switch(config-if)# spanning-tree bpdufilter enable Switch# show spanning-tree inconsistentports Switch# show spanning-tree summary Switch# show udld [type mod/num] Switch# udld reset Troche teorii: (o ficzersach wymyślonych przez cisco dla zabezpieczenia STP :) Root Guard i BPDU Guard to są ficzersy które zabezpieczają sieć przed rekonfiguracją gdy do sieci zostanie wpięty lewy switch z niŝszym BridgeID, który będzie chciał zostać RootBridgem Root Guard ustawiać na portach gdzie root nigdy nie będzie spodziewany Po ustawieniu na porcie switcha, nie pozwala temu portowi stać się root portem Gdy na porcie na którym jest RootGuard zostanie wykryty lepszy BPDU, port przejdzie w stan root-inconsistent STP i ruch zostanie zablokowany. BPDU Guard ustawiać na na switchach dostępowych tam gdzie jest włączony PortFast BG wykrywa BPDU na porcie na którym nie powinno go być, czyli np na porcie gdzie został włączony PortFast jeśli pojawią sie tam jakiś BPDU to port natychmiast przechodzi w stan errdisable ( włączenie portu ręczne lub automatyczne zaleŝnie od ustawienia errdisable) Nigdy nie ustawiać BPDU-Guard na uplinkach na których jest lub moŝe być RootBridge! Zabezpieczenia przed utratą BPDU JeŜeli switch na porcie non-designated nie odbierze w określonym czasie BPDU to uzna Ŝe zdechł link i trzeba zmienić topologie, lub Ŝe na tym porcie nie ma Ŝadnego urządzenia STP i moŝna przejść do stanu forwarding Loop Guard ustawiać na portach ND LG śledzi BPDU activity na non-designated porcie, jeśli BPDU sie stracą to LG zmienia stan portu na loop-inconsistent state i trzyma port dalej jako non-designated w stanie blokowania. LoopGuard moŝna załączyć na wszystkich portach switcha niezaleŝnie od ich funkcji. LG pilnuje tylko Ŝeby porty ND były portami ND Unidirectional Link Detection (UDLD) ustawiać na linkach światłowodowych ( na obu końcach linka! ) Ale spoko moŝna załączyć na wszystkich portach UDLD monitoruje czy link faktycznie jest 2 kierunkowy wysyłając w warstwie L2 ramki UDLD i czekając na echo ( defaultowo co 15 sek) UDLD musi wykryć unidirectional zanim port przejdzie ze stanu blocking do do forwarding, czyli przed upłynięciem 2 x forwarding time + Max age time, 2007 Copyright by 1

17 czyli 50 sek. UDLD moŝe pracować w trybie normal i aggressive Normal po wykryciu linku uni- port kontynuuje prace a UDLD zaznacza stan port u jako nieokreślony i generuje syslog msg Aggressive switch próbuje re-establish link, UDLD wysyła wiadomosci co 1 sek przez 8 sek, po tym czasie port przechodzi do stanu errdisable. UDLD musi być załączone na obu końcach, ale jest na tyle inteligentne Ŝe jeŝeli jest konfigurowane na linku za pierwszym razem to wie Ŝe na drugim końcu nie ma UDLD i nie połozy linka. Dziękujemy ci Cisco :) Niedozwolona kombinacja Guardów: RootGuard i LoopGuard RootGuard i BPDU Guard 2007 Copyright by 1

18 Chapter 11 Advanced Spanning Tree Protocol Konfiguracja RSTP (jedyną zmianą konfiguracyjną w stos do 802.1D jest konfiguracja typu portu PortFast i linka point-to-point) Switch(config-if)# spanning-tree portfast Switch(config-if)# spanning-tree link-type point-to-point określa to automatycznie w sumie RSTP na linku full-duplex, Włączenie Rapid PVST+ ( RPVST+) ( uwaga na włączanie tego w środowisku produkcyjnym następuje reset STP) Switch(config)# spanning-tree mode rapid-pvst...a spowrotem do PVST+ Switch(config)# spanning-tree mode pvst Konfiguracja MSTP...wchodzimy do konfiguracji MST Switch(config)# spanning-tree mst configuration...oglądamy bieŝącą konfigurację Switch(config-mst)# show current...ustawiamy nazwe regionu Switch(config-mst)# name region_mst...i revision nr Switch(config-mst)# revision ( ) za kaŝdym razem jak zmienia sie konfiguracje naleŝy zwiększyć numer o 1, konfiguracja regionu (łącznie z rev nr musi być taka sama na wszystkich switchach w regionie POWODZENIA!...mapujemy VLAN do instancji Switch(config-mst)# instance (0-15) vlan 1, (default wszystkie VLANy mapowane do 0...sprawdz dokonane zmiany, i zatwierdz i wydź. Switch(config-mst)# show pending Switch(config-mst)# exit...i robimy tuning parametrów MST podobnie jak dla STP Switch(config-mst)# spanning-tree mst (0-15) root {primary secondary} [diameter diameter] Switch(config-mst)# spanning-tree mst (0-15) priority bridgepriority Switch(config-mst)# spanning-tree mst (0-15) cost cost Switch(config-mst)# spanning-tree mst (01%) port-priority port-priority Set STP timers Switch(config-mst)# spanning-tree mst hello-time 2 Switch(config-mst)# spanning-tree mst forward-time 15 Switch(config-mst)# spanning-tree mst max-age 20 Trochę teorii: Rapid Spanning Tree RSTP IEEE 802.1w to jest rozszerzenie STP IEEE 802.1D, RSTP współpracuje z STP 802.1D. RSTP Wymaga linka full duplex, p2p Copyright by 1

19 W RSTP, Root bridge jest wybierany tak jak w STP, następnie są wybierane porty: Root Port (jw.) Designated Port (jw.) Alternate port port który ma alternatywną ścieŝkę do roota ( np access switch który ma 2 uplinki) Backup Port port który zapewnia redundantne połączenie do segmentu gdzie inny switch port jest juŝ podłączony. Stany portów RSTP: Discarding - kombinacja stanów STP : Disabled,Blocking,Listening Learning tak jak STP Forwarding -tak jak STP Format ramki RSTP jest taki sam jak STP 802.1D. Są uŝyte bity Messsage type, ver jest =2 BPDU są wysyłane z kaŝdego portu co Hello Time, niezaleŝnie czy BPDU zostały odebrane z roota czy nie. Gdy 3 kolejne BPDU zostaną utracone switch uwaŝa Ŝe sąsiad sie zdownował, czyli neighbor failure jest wykrywane w czasie defaultowym 6 sek vs 20 sek Max age time 802.1D KaŜdy switch generuje własne BPDU. BPDU jest uŝywany jako mechanizm keepalive W RSTP BPDU istotny jest bajt falgi opis bitów jest taki: 7 TC 6 Proposal 5, 4 Port Role 3 Learning 2 Forwarding 1- Agreement 0 TC Ack Gdy RSTP bridge wykryje zmiane topologii to odpala timer TC-While z wartością 2 x hello, po odliczeniu do zera, wywala MAC-i na tym porcie i ustawia flage TC we wszystkich wyjsciowych BPDU. I dalej idzie to falą Typy portów RSTP: Edge Port port na którym wisi pojedynczy host i jest włączony PortFast, jeśli pojawi się tam BPDU, port traci ten status Root Port jak STP Non-edge Port (Point-to-Point Port) port podłączony do innego switcha i designated port. Wybierany na podstawie szybkiego RSTP handshake-a między switchami między którymi jest link full-duplex Tylko non-edge porty generują TCN-y, i tylko gdy przechodzą do stanu forwarding. Konwergencja RSTP odbywa się jako propagacja handshake-ów (proposal < > agreement) na linkach p-2-p między switchami W 802.1D STP port który został wybrany jako Designated, musi czekać 2 x forward delay time, zanim przejdzie do stanu forwadring. W RSTP przebiega to szybciej poniewaŝ na podstawie relacji link-by-link. Konwergencja zaczyna się od switcha wysyłającego proposal msg. Odbioraca proposal msg. musi zsynchronizować się izolując się od reszty topologii ustawiając wszystkie non-edge porty jako blokowane. Tworzy to moving wave Działa to mniej więcej tak: 1. switch dostaje proposal BPDU, załóŝmy Ŝe z najwyŝszym bridge ID, przed ustawieniem portu na którym to dostał robi synchronizacje 2. Wszystkie non-edge porty ustawia w stan Discarding 3. Odsyła agreement msg. ( configuration BPDU) 2007 Copyright by 1

20 4. Root port przechodzi w stan forwarding 5. Z kaŝdego portu non-edge ( który jest Discarding), switch wysyła proposal BPDU 6. Zwrotnie otrzymuje agreement msg 7. Port przechodzi w stan Forwarding RSTP wykrywa zmianę topologii tylko gdy non-edge port przechodzi do stanu forwarding. PVST+ - dla kaŝdego aktywnego VLANu jest tworzona osobna instancja. Jest to korzystne bo np. Access switch mający 2 uplinki, moŝe wykorzystywać je oba, na jednym uplinku moŝe chodzić 1 VLAN a na drugim inny. Ilość topologii nie zaleŝy od ilości VLAN-ów tylko od ilości uplinków. Multiple Spanning Tree (MST) IEEE 802.1s Rapid Per VLAN STP RPVST+ - jest częścią IEEE 802.1s Multiple Spanning Tree (MST) MST 802.1s istota MST polega na mapowaniu 1 lub kilku VLAN-ów do pojedynczej instancji STP. MoŜe być uŝywanych kilka instancji. Instancje MSTP są prostymi instancjami RSTP istniejącymi tylko wewnątrz regionu działającymi automatycznie, i nie wymagają extra konfiguracji RSTP. Numer instancji MSTP jest przenoszony w Bridge ID, w polu Extended ID Wygląda to tak: Bridge Priority (4bity) Extended Sys. ID (12 bitów) MAC (48 bitów) Pole Extended Sys ID zawiera VLAN ID i MSTP Instance nr w/g specyfikacji 802.1s switch MSTP musi obsłuŝyć przynajmniej 1 Internal Spaning Tree (IST) IST (instancja 0) działa na wszystkich switchach w regionie MST, i zapewnia interakcję na granicach z innymi regionami MST, i jest odpowiedzialna za kompatybilność między regionami MST, a sieciami CST i PVST podłączonymi do regionów. IST odbiera i wysyła BPDU do CST i reprezentuje region MST jako virtualny bridge CST Instancje MSTP w regionie są numerowane od 1-15 Aby zaimplementować MST naleŝy określić: ile instancji STP jest potrzebnych jak zamapować VLAN-y do kaŝdej z instancji Instancja MST jest określona przez takie atrybuty: configuration name ( 32 znaki) configuration revision number ( ) MST instance-to-vlan mapping table ( 4096 entries) JeŜeli 2 swiche mają taki sam zestaw atrybutów to naleŝą to tego samego regionu MST Instancje STP powiązane z MST Common Spanning Tree (CST) topologia dla całej sieci Internal Spanning Tree (IST) topologia dla regionu MST Instancje MST (MSTi) topologie wewnątrz regionu MST dla setu zamapowanych VLAN-ów 2007 Copyright by 2

21 Chapter 12 Multilayer Switching + InterVLAN Routing Konfiguracja routera na patyku Router on a stick do routowania między VLANami (nie trzeba włączać routingu dynamicznego, bo sieci są directly connected ) Switchport podłączony do routera musi być portem trunkowym. rtr(config)# interface fe 0/0 - interfejs dla native VLAN rtr(config-if)# ip address rtr(config-if)# interface fe/0:10 - subinterfejs dla VLAN-u 10 rtr(config-sub)# encapsulation dot1q rtr(config-sub)# ip address rtr(config-if)# interface fe/0:20 - subinterfejs dla VLAN-u 20 rtr(config-sub)# encapsulation dot1q rtr(config-sub)# ip address Routing między VLAN-ami na switchu MLS Switch(config)# ip routing - włączamy routing Switch(config)# interface vlan 10 - konfigurujemy interfejs logiczny SVI Switch(config-if)# ip address adres SVI Switch(config)# router ospf 1 - opcjonalnie włączamy routing dynamiczny Switch(config)# network area 0 Switch# sh ip route - sprawdzamy Konfiguracja routed port-u na switchu MLS Switch(config)# ip routing - włączamy routing na routerze Switch(config)# interface fe 0/10 - Switch(config-if)# no switchport - ustawiamy interfejs jak L3 Switch(config-if)# ip address Switch(config)# router eigrp 1 - opcjonalnie włączamy routing dynamiczny Switch(config)# network Konfiguracja CEF Switch(config)# interface fe 0/1 Switch(config-if)# ip cef - na catalystach 4000 Switch(config-if)# ip route-cache cef - na catalystach 3550 ( tylko na int. VLAN) Switch# show ip cef vlan 10 - pokaŝ FIB table Switch# show ip cef longer-prefixes Switch# show adjacency summary - pokaŝ Adjacency table Dla protokołów których CEF nie moŝe routować jest uŝyta technika fallback bridging...włączamy to Switch(config)# bridge-group b_grupa protocol vlan-bridge...określamy VLAN w którym mamy ruch non-cef routed Switch(config)# interface vlan 10...i przypisujemy go do grupy Switch(config-if)# bridge-group b_grupa 2007 Copyright by 2

22 Switch# show bridge b_grupa tryb pracy portu: ( L2 /L3) Switch# show interface gig 0/1 switchport Switch# show interface vlan 10 Switch# show ip interface vlan 10 Troche teorii: Do transportu ruchu między VLAN-ami trzeba oczywiście uŝyć urządzenia L3 np routera :) który ma fizyczne lub logiczne połączenie z kaŝdym VLAN-em Router na patyku ( Router on a Stick ) to router który ma pojedynczy link trunkowy do switcha Multilayer Switch moŝe przypisywać adres L3 do pojedynczego interfejsu, lub do interfejsu logicznego reprezentującego VLAN (SVI Switched Virtual Interfejs) Defaultowo SVI jest tworzony dla defaultowego VLAN-u (VLAN1) dla umoŝliwienia zdalnego zarządzania. InterVLAN routing wymaga włączenia protokołu L3 i dodatkowo naleŝy skonfigurować routing statyczny lub dynamiczny. W switchach L3, Control Path i Data Patch są względnie niezaleŝne. Control Plane ( routing) siedzi w Route processorze, i tworzy FIB i Adj. table Data Plane jest obsługiwana przez Switching fabric ( jeśli na kartach liniowych to = dcef) CEF cachuje L3 routing info w FIB table i L2 next-hop adres w adjacency table Central CEF -> FIB i Adj table leŝą w route procesorze i route procesor wykonuje expres forwarding. DCEf -> kopie FIB i Adj. Table leŝą na kartach liniowych i one wykonują forwarding. ( cat6500) CEF ( Cisco Express Forwarding) defaultowo jest włączony na wszystkich CEF-capable Catalystach typu 3750, 4500, 6500 (fixed CEF) Preferowane przez IOS metody switchingu Distributed CEF (dcef) (najszybszy) CEF Fast Switching Process Switching 2007 Copyright by 2

23 Chapter 13 Router, Supervisor and Power Redundancy Konfiguracja HSRP...przypisujemy router do grupy 1 - konfiguracja na interfejsie SVI ( patrz niŝej teoria) Switch(config-if)# standby 1 priority 100 (100-default, 0-255)...i tuningujemy hello-time i hold-time ( hello-time=1-254s lub ms, hold=3xhello) Switch(config-if)# standby 1 timers msec ustawiamy pre-empt ( patrz niŝej teoria) Switch(config-if)# standby 1 preempt [delay [minimum0-3600] [reload ]...no i warto zabezpieczyć protokół HSRP Switch(config-if)# standby 1 authentication tajne-haslo...lub lepiej MD5 Switch(config-if)# standby 1 authentication md5 key-string [0 7] tajne-haslo...włączamy na routerze wykrywanie uszkodzonych linków ( patrz niŝej teoria ) Switch(config-if)# standby 1 track gig 0/1 [decrementvalue] (10-default)...i przypisujemy adres IP do interfejsu HSRP Switch(config-if)# standby 1 ip [secondary]...tak samo jak HSRP Switch(config-if)# vrrp 1 priority 10 Switch(config-if)# vrrp 1 timers advertise [msec] 2 Switch(config-if)# vrrp 1 timers learn Switch(config-if)# no vrrp 1 preempt Switch(config-if)# vrrp 1 preempt [delay 10] Switch(config-if)# vrrp 1 authentication tajne_haslo Switch(config-if)# vrrp 1 ip [secondary] Swicth# show vrrp Konfiguracja GLBP Switch(config-if)# glbp priority (default priority 100) Switch(config-if)# glbp 1 preempt [delay minimum seconds] ustawiamy timery albo na wszystkich routerach albo tylko na AVG Switch(config-if)# glbp 1 timers [msec] hello-time [msec] hold-time (h-t=3sec, hld-t=10sec) wybieramy linki które chcemy śledzić Switch(config)# track (1-5) interface type mod/num {line-protocol ip routing} i ustawiamy wage Switch(config-if)# glbp 1 weighting (1-254, 100 default) [lower 10] [upper 200] Switch(config-if)# glbp 1 weighting track object-number [decrement 10] o ile ma spadać waga wybieramy metode load-balancingu Switch(config-if)# glbp 1 load-balancing [round-robin weighted host-dependent] no i załączamy GLBP przypisując virtualny adres IP GLBP Switch(config-if)# glbp 1 [ip-address [secondary]] 2007 Copyright by 2

24 Redundancja w Chassis: Router(config)# redundancy Router(config-red)# mode { rpr rpr-plus sso} Router# show redundancy states konfigurujemy synchronizacje Router(config)# redundancy Router(config-red)# main-cpu Router(config-r-c)# auto-sync { startup-config config-register bootvar } konfigurujemy redundancje zasilaczy Switch(config)# power redundancy-mode { redundant combined } Switch(config)# [no] power enable module. Switch# show power [ redundancy-mode status available used total ] Troche teorii: Switche MLS działają jako bramy dla VLAN SVI lub jako interfejsy L3 dla podsieci, mogą równieŝ brać udział w routingu dynamicznym tak jak zwykłe routery. JeŜeli gateway router dla subnetu lub VLANu zdechnie to wiadomo co sie stanie ;) Dla zapewnienia wysokiej dostępności mają zaimplementowane protokoły redundancji: Hot Standby Router Protocol HSRP ( Cisco ale RFC 2281 ) Virtual Router Redundancy Protocol VRRP ( RFC 2338) Gateway Load Balancing Protocol GLBP Implementacja tych protokołów zapewnia automatyczny gateway zapasowy HSRP kaŝdy z routerów który ma zapewnić redundancje danego gateway-a, jest przypisany do wspólnej grupy HSRP. Jeden z routerow jest wybrany jako primary (active) HSRP router, a drugi jako standby HSRP router. Wszystkie pozostałe pozostają w stanie listen. Routery wymieniają pakiety hello na multicast UDP 1985, dla sprawdzania czy Ŝyją. Default hello time =3sek, holdtime =10sek.Tylko standby router monitoruje pakiety hello Po upłynięciu czau holdtime, router standby przejmuje gateway. KaŜdej grupie HSRP jest przypisany numer (0-255) PoniewaŜ Catalysty supportują max 16 grup to jeŝeli mamy wiele VLANów to sensownie jest przypisać numer grupy do kaŝdego interfejsu VLAN (SVI) ( przypisanie lokalne na interfejsie) Wybór routera primary/standby odbywa sie na podstawie priority (0-255) koonfigurowanego dla kaŝdego routera w grupie. Router z NAJWYśSZYM priority jest primary. JeŜeli wszystkie priority takie same, to decyduje najwyŝszy IP na interfejsie HSRP Po skonfigurowaniu HSRP na interfejsie, interfejs router wykonuje taką akcję. 1. Disabled 2. Init 3. Listen <-pozostałe routery 4. Standby <- router zapasowy 5. Active <-router podstawowy JeŜeli router aktywny zdechł i router standby przejął jego role, to jeŝeli pierwotny router wstanie to nie nie przejmie spowrotem roli aktywnej nawet jeŝeli ma wyzszy priorytet. Ciekawa sprawa jest jeŝeli mamy 2 routery i jednocześnie je załączymy, to routerem active jest ten router który pierwszy wstanie-nawet jeśli ma niŝszy priorytet! MoŜna to zachowanie zniwelować konfigurując group pre-empt.- powoduje to Ŝe routerem active jest zawsze ten który ma wyŝszy priority. delay minimum-router czeka podany czas przed przejęciem roli active, reload router czeka podany czas po restarcie router czeka aŝ protokół routingu osiągnie konwergencje HSRP ma taki fajowy ficzers Ŝe gdy router ma kilka linków wyjściowych na świat, to router 2007 Copyright by 2

25 śledzi czy te linki Ŝyją, gdy linki po kolei sie kładą z powodu awarii to router redukuje swój priority o wartość decrementvalue tak Ŝeby inny router mógł przejąć rolę active. To wszystko działa tylko wtedy gdy jest ustawione pre-empt!!! KaŜdy router w grupie HSRP ma przypisany swój adres IP HSRP ( standby ) address. Klienty mogą wskazywać ten adres jako gateway. Aktualny adres interfejsu i virtual (standby) adres muszą być w tej samej podsieci.czyli inaczej router HSRP ma 2 adresy IP: 1- szy, Przypisany do interfejsu SVI 2-gi, Przypisany do grupy HSRP Oba adresy w tej samej podsieci, a klienty VLANu jako gateway wskazują na adres HSRP HSRP definiuje specjalny virtual MAC adres dla swojego interfejsu: c07.acxx - gdzie xx to nr grupy HSRP, ARP request idzie na ten MAC Load balancing za pomocą HSRP teoretycznie nie jest moŝliwy ale moŝna zrobic taki myk: Ustawić 2 grupy na obu switach które mają robić load balancing Na switchu A priorytet dla grupy 1 ustawić np 200, a dla grupy 2 np 100 Na switchu B odwrotnie Gateway dla grupy 1 np.1 dla grupy 2 np..2..no i połowe hostów ustawić na gateway.1 a drugą połowe na.2 VRRP RFC 2338 bardzo podobny do HSRP. RóŜnice: zamiast active router master router, zamiast standby backup Virtual MAC adres e00.01xx VRRP adv co 1 sek,na multicast Backup routery opcjonalnie mogą sie uczyć adv interval z master routera Wszystkie routery VRRP defaultowo mają pre-empt Nie ma ficzersa śledzenia linków. GLBP (cisco) IOS>12.2(14) Troche podobny do HSRP/VRRP.Wszystkie routery w grupie uczestniczą w forwardowaniu ruchu. śaden z klientów nie wskazuje na określony Gateway Address. Wszystkie klienty mają ten sam default gateway ustawiony na Virtual Router IP address. Wszystkie routery w grupie GLBP mają ustawiony ten sam Virtual Router IP. Load balancing odbywa sie przez uŝycie virtual router MAC adresów zawartych w ARP reply-ach do klientow. Gdy klient wysyła ARP Req z zapytaniem o Virtual Router adres, GLBP odsyła ARP reply z virtual MAC adresem wybranego routera w grupie czyli wszystkie klienty uŝywają ten sam gateway adres ale maja dla niego róŝne MAC-i. W grupie GLBP, jeden z routerów mający najwyŝszy priority, lub najwyŝszy IP jest wybierany jako Active Virtual Gateway (AVG). AVG odpowiada na wszystkie ARP Requesty skierowane do Virtual Router IP adresu. Który MAC zostanie zwrócony w odpowiedzi zaleŝy od tego który algorytm load balancingu został skonfigurowany do uŝycia. AVG przypisuje virtual MACi kaŝdemu routerowi w grupie GLBP. (moŝe być uŝyte do 4 adresów) Te routery to Active Virtual Forwarde (AVF) Routery AVF forwardują ruch odebrany na MACach virtualnych. Inne routery w grupie pracują jako backup lub secondary Virtual Forwardery. W GLBP podobnie jak w HSRP, inny router nie moŝe przejąć roli active dopóki aktualny router aktywny nie zdechnie. W tym celu ustawia się pre-empt. AVG odbiera hello od AVF, jeśli po czasie hold-time nie pojawi się odpowiedź to AVG zakłada Ŝe AVF padł., i próbuje przypisać tą role innemu routerowi który juŝ jest AVF i ma virtual MACa Redirect timer określa po jakim czasie AVG przestanie uŝywać starego MACa w ARP reply-ach ( default 600 sek, ) Timeout określa po jakim czasie stary MAC i Virtual Forwarder jest wywalany z wszystkich GLBP peerów, ( default 14400sek, ) GLBP ma funkcje weighting. Router który ma kilka linków na świat, w razie awarii kaŝdego z linków obniŝa weight o określoną wartość gdy osiągnie określony poziom taki router przestaje być AVF. Defaultowy weight=100, 2007 Copyright by 2

26 Metody Load-balancingu: Round robin kaŝdy ARP request do virtual router daje w odpowiedzi kolejny MAC routera uczestniczącego w grupie GLBP to jest metoda defaultowa Weighted im wyŝszy weight na interfejsie tym częściej w ARP reply jest MAC tego routera Host depend kaŝdy klient generujący ARP request zawsze otrzymuje ten sam MAC Redundancja w Switch Chassis Catalysty 4500 i 6500 mogą mieć 2 moduły supervisora w jednym chassis. 1szy moduł pracuje jako active, a drugi jest standby zabootowany do określonego poziomu: - Route Processor Redundancy (RPR) częściowo zabootowany failover time <2min - Route Processor Redundancy Plus (RPR+) zabootowany ale nie sa odpalone funkcje L2 i L3, -failover <30sek - Stateful Switchover (SSO) w pełni zabootowany i zinicjalizowany, start config i run config są zsynchronizowane z modułem Activ failover <1s IOS-y w obu modułach muszą być takie same Redundancja Zasilania Combined Mode-oba zasilacze pracują razem Pn=P1+P2 Redundant Mode Pn=P1 Pn=P2 - tryb defaultowy 2007 Copyright by 2