Korporacyjne Sieci Bez Granic Corporate Borderless Networks dr inż. Łukasz Sturgulewski, luk@kis.p.lodz.pl, http://luk.kis.p.lodz.pl/ mgr inż. Marcin Bończyk Projektowanie i budowa lokalnych sieci komputerowych z redundancją urządzeń i połączeń pomiędzy nimi. KSBG (v2013) 1
Nadmiarowość, redundancja Zasadność wprowadzania nadmiarowości w sieciach lokalnych: Czas niedostępności Starty finansowe Urządzenia sieciowe są dobrej jakości (ponad standardowej), jednak nadal prawdopodobieństwo wystąpienia awarii któregoś z elementów sieci występuje. KSBG (v2013) 2
Nadmiarowość, redundancja Zasadność wprowadzania nadmiarowości w sieciach lokalnych: Czas niedostępności Starty finansowe Urządzenia sieciowe są dobrej jakości (ponad standardowej), jednak nadal prawdopodobieństwo wystąpienia awarii któregoś z elementów sieci występuje. KSBG (v2013) 3
Nadmiarowość, redundancja Aby określić jak długo urządzenie będzie działało, zanim wystąpi awaria, stosuje się termin MTBF (ang. Mean Time Before Failure), czyli średni czas między awariami podawany w godzinach. Prawdopodobieństwo F wystąpienia awarii w ciągu godziny można określić korzystając ze wzoru: F 1 MTBF KSBG (v2013) 4
Nadmiarowość, redundancja Aby wykazać, że redundancja wpływa pozytywnie na MTBF układu powodując jego wzrost, trzeba przedstawić układ dwóch równoległych urządzeń A i B w najprostszym przypadku oba urządzenia niech mają średni czas między awariami o wartości mtbf. F( A) 1 mtbf F = F(A) * F(B) MTBF _ ukladu 1 mtbf 1 F F( B) 2 mtbf 2 1 mtbf KSBG (v2013) 5
Redundancja bramy domyślnej Stacje robocze zazwyczaj potrafią przechowywać w swojej konfiguracji tylko jeden adres bramy domyślnej, a to potencjalny pojedynczy punkt awarii. Urządzenia sieciowe warstwy trzeciej modelu ISO/OSI, czyli routery, mają także swój MTBF. W przypadku routerów sposób zapewnienia niezawodności realizowany jest przez odpowiednie protokoły redundantnych routerów: Protokół HSRP Protokół VRRP Protokół GLBP KSBG (v2013) 6
Protokół HSRP Protokół firmy Cisco o nazwie HSRP (ang. Hot Standby Router Protocol) zapewnia stacji roboczej utrzymanie połączenia w sieci w sytuacji, gdy brama domyślna stanie się niedostępna. Do tego celu wykorzystywana jest nadmiarowość routerów (min. 2). Grupa routerów odpowiada za wirtualizację dodatkowego routera, zwanego routerem wirtualnym lub routerem symulowanym. Router wirtualny otrzymuje adres logiczny i adres fizyczny, tak więc dla n routerów używających HSRP potrzeba n+1 adresów logicznych IP. Pojedynczy router z grupy routerów HSRP jest odpowiedzialny za przekazywanie pakietów wysyłanych przez stację roboczą w kierunku routera wirtualnego - router aktywny / główny. Jeśli router główny zamilknie, jego rolę przejmuje router zapasowy. Router zapasowy, w razie niedostępności routera głównego, przejmuje jego funkcje. W przypadku, kiedy router zapasowy zmienia swój stan z zapasowego na główny lub ulegnie on awarii rolę routera zapasowego zaczyna pełnić inny z routerów z grupy HSRP. Aby zminimalizować obciążenie sieci, tylko router główny i router zapasowy wysyłają okresowe pakiety wiadomości HSRP. KSBG (v2013) 7
Połączenie fizyczne routerów do pracy z protokołem HSRP KSBG (v2013) 8
Brama domyślna "widziana" przez hosty po uruchomieniu protokołu HSRP KSBG (v2013) 9
Protokół HSRP Zalety wykorzystania protokołu HSRP: Niezawodność osiągana przez nadmiarowość, szybkie eliminowanie uszkodzonego routera z urządzeń dostępnych w sieci, bezpieczeństwo, osiągnięte przez stosowanie uwierzytelniania opartego na MD5, w celu ochrony m.in. przed spoofingiem HSRP. KSBG (v2013) 10
Komunikaty HSRP Hello wiadomość Hello wysyłana przez router grupy HSRP innym routerom tej grupy, by przekazać: informację o priorytecie HSRP, informację o stanie routera. Coup komunikat jest wysyłany, kiedy router zapasowy zamierza przejąć funkcję routera głównego (zamach stanu). Resign komunikat wysyłany przez router główny. Informacja jest wysyłana w momencie, kiedy router główny wyłączy swoje porty lub kiedy pojawił się w grupie HSRP inny router, który ma wyższy priorytet i wysłał wiadomość Hello lub Coup (rezygnacja). KSBG (v2013) 11
Kolejne stany routerów z grupy HSRP 1. Stan inicjalizacji wszystkie routery z grupy HSRP, po skonfigurowaniu ich do pracy w sieci jako routery nadmiarowe, korzystające z protokołu HSRP, rozpoczynają działanie w grupie wchodząc w stan inicjalizacji. Jest to moment po włączeniu interfejsów skonfigurowanych w HSRP. 2. Stan uczenia się w tym stanie router jeszcze nie zna adresu IP wirtualnego routera, nie odebrał też żadnego ogłoszenia Hello od routera głównego, który to manifestuje swoje działanie okresowym wysyłaniem pakietu Hello do routerów grupy HSRP. 3. Stan nasłuchu router w tym stanie zna już adres IP symulowanego routera. Sprawdza, czy nie nadszedł pakiet Hello od routera głównego. W tym stanie router nie pełni roli ani routera głównego, ani routera zapasowego. 4. Stan nadawania router w tym stanie wysyła w ustalonych odstępach czasu pakiety Hello. Uczestniczy też w wybieraniu routera zapasowego i routera głównego. 5. Stan roli routera zapasowego router określany jako zapasowy może zastąpić router główny w przypadku jego awarii. W tym stanie wysyłane są okresowo pakiety Hello. W grupie HSRP musi być jeden router działający w stanie routera zapasowego. 6. Stan aktywny router w stanie aktywnym odpowiada za przekazywanie pakietów nadchodzących na wirtualny adres logiczny. Wysyła w określonych odstępach czasu wiadomość Hello. W grupie HSRP musi być jeden router działający w stanie routera aktywnego, zwanego też głównym. KSBG (v2013) 12
Zegary HSRP routerów Każdy z routerów redundantnych, działających w ramach grupy HSRP podtrzymuje 3 zegary w ramach koordynacji działania tej grupy: Zegar komunikatu Hello jeżeli router jest w stanie nadawania, stanie routera zapasowego lub w stanie routera aktywnego to powinien wygenerować wiadomość Hello zanim odliczanie zegara komunikatu Hello dobiegnie końca. Zegar routera zapasowego zegar jest uruchamiany za każdym razem, kiedy zostanie zarejestrowany komunikat Hello z routera zapasowego. Jest używany do monitorowania działania routera zapasowego. Zegar routera aktywnego ten zegar jest używany do monitorowania działania routera aktywnego i uruchamiany jest w momencie zarejestrowania komunikatu Hello wyemitowanego z routera aktywnego. KSBG (v2013) 13
Adresowanie HSRP Routery grupy HSRP komunikują się ze sobą używając pakietów z komunikatami Hello. Pakiety z tymi komunikatami dla protokołu HSRP w wersji 1 rozsyłane są na adres IP multicast 224.0.0.2, natomiast dla tego protokołu w wersji 2 adres IP to 224.0.0.102. Adres ten jest zarezerwowany do wykorzystania dla routerów w sieci wykorzystującej protokół HSRP. Routery aktywne jako adres źródłowy w pakiecie Hello umieszczają swój logiczny adres IP i fizyczny adres MAC interfejsu routera wirtualnego. Router zapasowy natomiast, w pakiecie Hello umieszcza jako adres źródłowy swój adres logiczny i swój adres fizyczny. Stacja robocza z ustawioną bramą domyślną sieci wykorzystującej protokół HSRP, jako adres logiczny bramy ustawiony jest adres IP routera wirtualnego. Interfejs sieciowy hosta musi się komunikować z adresem fizycznym przypisanym do routera wirtualnego. Adres fizyczny MAC symulowanego routera dla protokołu HSRP w wersji 1 składa się z następujących oznaczeń jako 0000.0C07.ACxy, gdzie xy jest określonym konfiguracyjnie numerem grupy HSRP zapisanym w notacji szesnastkowej. Protokół HSRP w wersji drugiej rozszerza zakres grup HSRP umożliwiając na zaadresowanie szesnastkowo od 0 do 4095 grup, zatem od 0000.0C9F.F000 do 0000.0C9F.FFFF. KSBG (v2013) 14
Struktura pakietu HSRP w wersji 1 1 9 17 25 Version Operation Code State HelloTime HoldTime Priority Group Reserved Authentication Data Authentication Data Virtual IP Address KSBG (v2013) 15
Struktura pakietu HSRP w wersji 1 Version wersja, 8 bitowe pole wersji HSRP, w wersji pierwszej umieszczane tam jest 0. Operation Code pole długości 8 bitów, określa typ operacji zawarty w pakiecie HSRP. Dopuszczalne wartości: 0 Hello, wysłana aby poinformować inne routery, że ten router działa i może przejąć funkcje routera aktywnego, bądź zapasowego. 1 Coup, wysyłana, żeby poinformować, że ten router zamierza przejąć funkcje routera aktywnego. 2 Resign, wysyłana przez router aktywny. Informuje on o rychłym zaprzestaniu sprawowania funkcji routera aktywnego. State pole długości 8 bitów. Każdy router z grupy HSRP identyfikuje się określonym stanem, w jakim się aktualnie znajduje. Pole stanu akceptuje następujące wartości: 0 stan początkowy, inicjalizacji, 1 stan uczenia się, 2 stan nasłuchu, 4 stan nadawania, 8 stan roli routera zapasowego, 16 stan roli routera aktywnego. HelloTime przybliżony czas upływający pomiędzy wiadomościami Hello wysyłanymi przez router, podawany w sekundach. Czas Hello może być skonfigurowany administracyjnie, lub router może się go nauczyć otrzymując pakiety od routera aktywnego. Jeżeli żadna z metod pozyskania informacji dla tego pola nie powiodła się to przyjmowana jest wartość domyślna 3 sekundy. Pole 8 bitowej długości. HoldTime to 8 bitowe pole ma znaczenie dla pakietu z wiadomością typu Hello. Zawiera informację o ilości czasu, po upływie którego pakiet z wiadomością Hello nie powinien być akceptowany. Czas wstrzymania określany jest w sekundach. Czas wstrzymania powinien być ustawiony na co najmniej 3-krotną wartość czasu Hello i nie może być wartością mniejszą od czasu Hello. Podobnie jak czas Hello jeżeli nie został wcześniej skonfigurowany ręcznie przez administratora, może zostać nauczony od routera aktywnego. Router aktywny nie może natomiast kopiować tej wartości od routerów pozostałych z grupy HSRP. Jeżeli opisane próby wstawienia wartości Czasu wstrzymania zawiodą to domyślną wartością umieszczaną w tym polu jest 10. Priority to pole o długości 8 bitów jest używane, aby wybrać router aktywny i router zapasowy. Routery porównują wartości umieszczone w tym polu i router z wyższym priorytetem wygrywa rywalizację. W przypadku, kiedy priorytety routerów są identyczne to wygrywa ten, który ma wyższy numer adresu logicznego. Group 8 bitowe pole identyfikuje numer grupy HSRP. Akceptowane są wartości od 0 do 255. Authentication data 32 bitowe pole zawiera 8 znaków tekstowego hasła. Jeżeli uwierzytelnianie nie jest wykorzystywane to zalecane jest wstawienie wartości: 0x63 0x69 0x73 0x63 0x6F 0x00 0x00 Virtual IP Address adres routera symulowanego przez daną grupę HSRP. Jeżeli na danym routerze wirtualny adres nie został skonfigurowany, to router ten może się go nauczyć od routera aktywnego. Pole to jest długości 32 bitów. KSBG (v2013) 16
Konfiguracja HSRP Switch(config-if)# standby grupa ip adres_ip Switch(config-if)# standby grupa priority x Switch(config-if)# standby grupa preempt delay minimum y Switch(config-if)# standby grupa timers hellotime holdtime Switch# show standby Pojawił się ważniejszy (np. główny wstał po awarii): *Mar 1 00:40:52.770: %HSRP-5-STATECHANGE: Vlan10 Grp 0 state Active -> Speak *Mar 1 00:41:03.734: %HSRP-5-STATECHANGE: Vlan10 Grp 0 state Speak -> Standby Ważniejszy uległ awarii: *Mar 1 00:41:49.997: %HSRP-5-STATECHANGE: Vlan10 Grp 0 state Standby -> Active KSBG (v2013) 17
Protokół VRRP VRRP (ang. Virtual Router Redundancy Protocol) został opracowany dla wyeliminowania pojedynczego punktu awarii w sieci, w której występują trasy statyczne z określonym adresem logicznym np. w przypadku bramy domyślnej. Protokół VRRP tworzy router wirtualny, zwany również routerem symulowanym. Jeden z routerów nadmiarowych jest routerem głównym, z którego symulowany/wirtualny router korzysta. Router wirtualny wykorzystuje adres fizyczny 00-00-5E-00-01-XX, gdzie XX jest identyfikatorem tego wirtualnego routera, określanym skrótem VRID (ang. Virtual Router IDentifier). KSBG (v2013) 18
Priorytety w VRRP Każdy z routerów ma określany konfiguracyjnie priorytet. Zakres używanych priorytetów jest od 1 do 255. Routerem głównym staje się ten router, który ma najwyższy priorytet. Każda awaria powoduje przerwę w przekazywaniu danych przez routery z wykorzystaniem VRRP. Jest to spowodowane określonym czasem oczekiwania na aktywność routera dotychczas uważanego za główny, następnie wyborem nowego routera głównego. KSBG (v2013) 19
Wybór routera głównego w VRRP Router główny rozgłasza innym routerom komunikat Hello co 1 sekundę. Inne routery, będąc w stanie routera zapasowego, czekają 3 sekundy na komunikat ogłoszenia routera głównego. Jeśli po upływie tego czasu router główny nie ogłosi się routerom zapasowym, uznają one, że router główny lub połączenie z nim nie pracuje prawidłowo i rozpoczyna sie proces wyboru nowego routera głównego. Jest to jedyny moment, kiedy routery ze statusem zapasowych wysyłają pakiety typu multicast. Router zapasowy z najwyższym priorytetem zostaje uznany za router główny i ustawia swój priorytet na najwyższą dopuszczalną wartość, czyli 255. W przypadku, kiedy więcej niż jeden router pełniący funkcję zapasowego, ma taki sam priorytet routerem głównym zostaje ten z najwyższym adresem logicznym (IP). KSBG (v2013) 20
Host korzysta z bramy o wirtualnym adresie fizycznym KSBG (v2013) 21
Stany routerów w VRRP Podział na dwa rodzaje stanów routerów powoduje, że routery mają określone funkcje w zależności od tego czy są routerem głównym czy zapasowym. Router główny: musi przekazywać pakiety, w których adresem docelowym warstwy łączy danych, czyli adresem fizycznym, jest adres fizyczny wirtualnego routera, musi odpowiadać na żądania ARP dla adresów logicznych związanych z wirtualnym routerem, musi akceptować pakiety zaadresowane do adresu logicznego związanego z tym routerem wirtualnym, Router zapasowy: nie może odpowiadać na żądania ARP dla adresów logicznych związanych z wirtualnym routerem, nie może akceptować pakietów, w których adresem docelowym warstwy łączy danych, czyli adresem fizycznym, jest adres fizyczny wirtualnego routera, nie może akceptować pakietów zaadresowanych do adresu logicznego związanego z routerem wirtualnym. KSBG (v2013) 22
Struktura pakietu protokołu VRRP 1 5 9 17 25 Version Type VRID Priority Count IP Address Authentication Type Advertisement Interval IP Address (1) Chceksum IP Address (n) Authentication Data Authentication Data KSBG (v2013) 23
Struktura pakietu protokołu VRRP Version 4 bitowe pole określa wersję protokołu VRRP obecnie wykorzystywana jest wersja 2 opisana w dokumencie RFC3768. Type 4 bitowe pole określa typ pakietu VRRP. W wersji drugiej znany jest tylko jeden typ: 1 ogłoszenie. Pakiety z inną liczbą będą odrzucane. VRID identyfikator wirtualnego routera, 8 bitów. Priority 8 bitowe pole określa priorytet routera. Dopuszczalne są wartości od 0 do 255. Router z wartością równą 255 jest routerem głównym. Specjalne znaczenie ma wartość priorytetu równa zero. Jest ona ustawiana wtedy, kiedy chcemy wyłączyć router pełniący rolę głównego z sieci VRRP. Jeśli priorytet zostanie zmieniony na 0 to routery zapasowe, nie czekając na odezwanie się dotychczasowego urządzenia głównego, rozpoczynają od razu wybór nowego routera głównego. IP Count Address 8 bitowe pole z liczbą adresów IP zawartych w tym ogłoszeniu. Authentication Type 8 bitowe pole określa typ użytego uwierzytelniania {0/1/2}. Możliwe typy uwierzytelniania: 1. brak oznacza brak zabezpieczeń, 2. proste hasło tekstowe obecnie nie jest używane, pozostawione jako kompatybilność wsteczna z wcześniejszą wersją protokołu VRRP opisaną w dokumencie RFC2338, 3. nagłówek IP obecnie nie jest używane, pozostawione jako kompatybilność wsteczna z wcześniejszą wersją protokołu VRRP opisaną w dokumencie RFC2338. Zarzucono używanie typów 1 i 2, ponieważ stwierdzone zostało, że ten typ uwierzytelniania nie wprowadza realnego zabezpieczenia VRRP. Advertisement Interval 8 bitowe pole, w którym jest umieszczana informacja o długości odstępu między jednym ogłoszeniem a kolejnym. Wartość jest podawana w sekundach, domyślnie 1 sekunda. Checksum pole 16 bitowe, wyliczona suma kontrolna służy do sprawdzania czy dane nie zostały uszkodzone. IP Address(es) pola 32 bitowe, służą do umieszczania w nich adresów logicznych związanych z routerem wirtualnym. Liczba tych adresów powinna się zgadzać z liczbą z pola o nazwie IP Count Address. Authentication Data pola 32 bitowe, pozostawione jako kompatybilność wsteczna z wcześniejszą wersją protokołu VRRP opisaną w dokumencie RFC2338. KSBG (v2013) 24
Protokół GLBP Protokół GLBP (ang. Gateway Load Balancing Protocol) opracowany przez firmę Cisco zapewnia utrzymanie komunikacji stacji roboczej z resztą sieci nawet w przypadku, kiedy brama domyślna stanie się niedostępna. Niezawodność realizowana przez ten protokół warstwy trzeciej modelu ISO/OSI opiera się na wykorzystaniu nadmiarowych routerów. Protokół ten jest podobny pod względem redundancji do protokołów VRRP i HSRP, jednak sposób jego działania różni się zasadniczym szczegółem. Protokoły VRRP i HSRP wykorzystują wiele routerów do działania w ramach niezawodnej topologii redundantnej, lecz przesyłanie pakietów z użyciem tych protokołów odbywa się przez jeden z routerów należących do grupy nadmiarowej. Reszta routerów z danej grupy redundantnej pozostaje rezerwowa na wypadek awarii routera aktywnego. Takie rozwiązanie ma pewne wady. Routery zapasowe mogą mieć dostęp do pasma, które jest marnowane do momentu wystąpienia problemu z routerem aktywnym. Chociaż może współistnieć wiele grup protokołów VRRP i HSRP, poprzez konfigurowanie tych samych urządzeń do pracy w więcej niż jednej grupie, to mimo że można ustawić je tak, aby obciążenie było rozkładane na całe pasmo należy wówczas stacje robocze skonfigurować na różne bramy domyślne. To z kolei pociąga za sobą konieczność marnotrawienia kolejnych adresów logicznych tej podsieci, nie wspominając o dodatkowym obciążeniu administracyjnym. Takiej wady pozbawiony jest protokół GLBP, który zapewnia wyrównywanie obciążenia przez nadmiarowe routery pracujące w danej grupie. Wykorzystywany jest do tego tylko jeden dodatkowy adres logiczny, wykorzystywany do celów wirtualizacji routera. Każda stacja robocza może mieć więc ustawiony ten sam wirtualny adres IP bramy domyślnej i wszystkie routery z grupy wykorzystującej protokół GLBP biorą udział w przekazywaniu pakietów. Każdy z routerów tej grupy ma przypisany osobny wirtualny adres fizyczny MAC. To daje możliwość odpowiadania na żądania ARP różnymi dostępnymi fizycznymi adresami wirtualnymi i dzięki temu każdy z routerów może brać udział w podziale obciążenia. KSBG (v2013) 25
Zalety protokołu GLBP Niezawodność, osiągana poprzez redundantność routerów. Bezpieczeństwo przesyłanych danych, których wiarygodność potwierdzana jest poprzez zastosowanie algorytmu MD5. Wyrównywanie obciążenia, które osiągane jest poprzez równoczesne używanie wszystkich dostępnych nadmiarowych routerów do przekazywania pakietów. KSBG (v2013) 26
Aktywna wirtualna brama AVG (ang. Active Virtual Gateway) Routery działające w ramach jednej grupy protokołu GLBP wybierają jeden router, aby był AVG dla tej grupy GLBP. Ten router jest odpowiedzialny za operacje protokołu GLBP. Ma najwyższy priorytet lub najwyższy numer IP jeżeli brak routera wirtualnej bramy z najwyższym priorytetem. Z pozostałych członków grupy zostaje wyłonione urządzenie pełniące funkcję zapasowej bramy wirtualnej na wypadek, kiedy aktywna brama wirtualna stanie się niedostępna. AVG zajmuje się: przydzielaniem wirtualnego adresu fizycznego każdemu routerowi z grupy, odpowiadaniem na zapytania protokołu ARP o wirtualne adresy IP. AVG odpowiada na takie zapytania za każdym razem innym wirtualnym adresem fizycznym MAC. To, jakim adresem z puli dostępnych wirtualnych adresów MAC AVG odpowie zależy od algorytmu balansu obciążenia, jaki został ustawiony dla AVG, mianuje AVF (ang. Active Virtual Forwarder) aktywne wirtualne urządzenie do przesyłania danych, czyli router z grupy który otrzymał od AVG wirtualny adres fizyczny MAC. AVF jest odpowiedzialny za przekazywanie pakietów dla określonych adresów wirtualnych fizycznych. KSBG (v2013) 27
Wyznaczanie wirtualnego adresu fizycznego MAC W grupie GLBP może być do 4 wirtualnych adresów fizycznych. AVG jest odpowiedzialny za przydział tych adresów między routery z grupy. AVG wysyła wiadomości z informacją typu Hello do routerów. Routery z grupy wysyłają żądania otrzymania wirtualnego adresu MAC, jak tylko otrzymają pakiet Hello od AVG. Routery otrzymują wirtualne adresy fizyczne sekwencyjnie. KSBG (v2013) 28
AVG dla grupy GLBP otrzymuje żądanie o adres fizyczny dla wirtualnego adresu IP bramy domyślnej KSBG (v2013) 29
AVG odpowiada na żądanie adresami wirtualnymi MAC - na każde żądanie innym adresem MAC KSBG (v2013) 30
Nadmiarowość AVG Nadmiarowość wirtualnej bramy domyślnej realizowana jest w podobny sposób, jak w podobnych protokołach zapewniających niezawodność poprzez nadmiarowość, tj. HSRP i VRRP: Pośród routerów grupy wybierana jest wirtualna brama GLBP oraz urządzenie pełniące funkcję zapasowej AVG. Pozostałe routery pozostają w stanie nasłuchu. Jeżeli AVG ulegnie uszkodzeniu to funkcję jej przejmuje zapasowa AVG. Zapasową bramą zostaje jeden z routerów pozostających do tej pory w stanie nasłuchu. Uzyskanie niezawodności poprzez nadmiarowość urządzeń pełniących funkcję AVF działa na podobnej zasadzie jak dla AVG. Jeśli przestanie działać główny AVF, to jeden z zapasowych routerów pełniących również funkcję AVF, przejmuje odpowiedzialność za przydział wirtualnych adresów MAC stając się głównym urządzeniem tego typu. KSBG (v2013) 31
Nadmiarowość AVF Protokół GLBP używa komunikatów Hello aby ustalić czy router pełniący funkcję AVF otrzymuje i przekazuje dalej pakiety hosta, czy może już nie. Stosuje do tego dwa zegary: czas przekierowania (ang. redirect time) to okres czasu, w którym AVG nadal przekierowuje pakiety hostów do adresów wirtualnych dla dotychczasowego AVF. Wraz z końcem odliczania czasu przekierowania, AVG przestaje przekazywać pakiety stacji roboczych do tego AVF. czas wstrzymania drugorzędny (ang. secondary holdtime) czas który jest odliczany w przypadku kiedy AVF jest sprawny. Jeżeli odliczanie tego czasu się zakończy to dany AVF zostaje usunięty z grupy GLBP. Stany obu liczników czasu są kontrolowane przez komunikaty Hello i zegary są odliczane do końca tylko w przypadku kiedy router pełniący funkcję AVG nie otrzyma na czas odpowiedzi od danego urządzenia pełniącego funkcję AVF. KSBG (v2013) 32
Każdy z hostów korzysta z bramy o tym samym wirtualnym IP, lecz innych wirtualnych MAC adresach KSBG (v2013) 33
W razie awarii jednego routera, zmiana topologii następuje niezauważalnie, zostają przydzielone kolejne adresy MAC KSBG (v2013) 34
Priorytet GLBP W grupie GLBP priorytet każdego z urządzeń odgrywa ważną rolę. W przypadku awarii aktualnej AVG decyduje, które z urządzeń je zastąpi. Kiedy jest nadmiarowy tylko jeden router wtedy ten router zostaje AVG. Jeśli routerów grupy GLBP jest więcej to router bramy o najwyższym priorytecie przejmuje wtedy funkcje AVG. Jeżeli więcej niż jedno urządzenie ma taki sam priorytet to wybierane jest urządzenie z najwyższym adresie logicznym. Wartości priorytetu można określać administracyjnie właściwym poleceniem pamiętając, że dopuszczalna wartość zmiennej jest z zakresu od 1 do 255. Istnieje możliwość zastosowania tzw. wywłaszczenia (ang. preemption). W normalnym trybie zapasowe AVG przejmuje funkcję głównego AVG tylko wtedy kiedy główne AVG będzie miało awarię. Komenda wywłaszczenia umożliwia przejęcie funkcji AVG przez zapasowe urządzenie AVG, jeżeli urządzenie będące zapasową bramą domyślną ma ustawiony wyższy priorytet aniżeli aktualna AVG. Domyślnie możliwość wywłaszczania jest wyłączona. KSBG (v2013) 35
Balans obciążenia GLBP Grupa routerów GLBP uczestniczy w balansowaniu obciążenia łączy. Możliwe jest jednak doprecyzowanie metody, jaka jest stosowana dla równoważenie obciążenia między dostępne routery z grupy. Rodzaje balansu obciążenia GLBP: round robin ta metoda jest domyślnie ustawiona dla grupy GLBP. Polega na przekazywaniu kolejno w kółko (stąd angielska nazwa metody oznaczająca karuzelę) każdemu z dostępnych routerów z wirtualnymi adresami MAC, pakietów od hostów. host dependent metoda zależna od hosta. Bazuje na adresach fizycznych stacji roboczych. W metodzie tej ten sam router przekazujący (ang. forwarder) zawsze jest używany dla określonych hostów. weighted metoda, w której można określić jaka część pakietów hostów ma być przekazywana przez dane routery przekazujące. KSBG (v2013) 36
Stany routerów GLBP Urządzenie bramy wirtualnej (AVG) może przyjmować następujące stany działania: Wyłączony określa router bramy, w którym nie został jeszcze skonfigurowany wirtualny adres logiczny IP. Część konfiguracji GLBP już jednak w tym urządzeniu została ustawiona. Inicjalizacji adres wirtualny IP został już skonfigurowany lub nauczony, lecz konfiguracja bramy wirtualnej nie została jeszcze ukończona. Interfejs routera pełniącego bramę wirtualną musi zostać włączony, powinien zostać przydzielony adres logiczny do interfejsu i skonfigurowany routing IP. Nasłuchu brama wirtualna odbiera już pakiety z komunikatem Hello. Jeśli tylko aktywna lub zapasowa brama wirtualna stanie się niedostępna to urządzenie bramy domyślnej w stanie nasłuchu jest w stanie w każdej chwili przejąć zadania bramy aktywnej lub zapasowej. Nadawania brama wirtualna w tym stanie próbuje przejąć funkcję bramy wirtualnej zapasowej lub bramy wirtualnej aktywnej. Zapasowy określa bramę wirtualną, która jest obecnie bramą zapasową i w razie awarii bramy aktywnej przejmie jej zadania. Aktywny brama w tym stanie nosi miano wirtualnej bramy aktywnej (AVG). Jest odpowiedzialna za odpowiadanie na zapytania ARP o adresy. Odpowiada na nie adresami wirtualnymi. KSBG (v2013) 37
Stany routerów GLBP Urządzenie wirtualnego routera przekazującego (AVF) może przyjmować następujące stany działania: Wyłączony określa urządzenie, któremu nie jest przydzielony wirtualny adres fizyczny MAC. Ten stan jest przejściowy, ponieważ wirtualny router przekazujący zmieniający stan na opisywany, jest usuwany z grupy tych urządzeń. Inicjacji konfiguracja urządzenia nie jest jeszcze kompletna, lecz wirtualny adres fizyczny został mu już przydzielony. W tym stanie adres interfejsu logiczny musi być już skonfigurowany, powinien być znany adres logiczny wirtualny, interfejs musi być włączony i skonfigurowany tak żeby mógł przekazywać pakiety IP. Nasłuchu wirtualna brama jest już w pełni skonfigurowana. Otrzymuje pakiety z komunikatami Hello i może w każdej chwili przejąć zadania aktywnego wirtualnego urządzenia przekazującego AVF, jeżeli ten stanie się niedostępny dla grupy GLBP. Aktywny określa router przekazujący pełniący już funkcję AVF. W tym stanie urządzenie jest odpowiedzialne za właściwe przekazywanie pakietów skierowanych do określonych wirtualnych adresów fizycznych MAC. KSBG (v2013) 38
Zestawienie najważniejszych cech protokołów nadmiarowości bramy domyślnej Cecha HSRP VRRP GLBP Ilość routerów 1 (reszta jest 1 (reszta jest wszystkie aktywnych rezerwowa) rezerwowa) Balans obciążenia łączy Sposób przydziału adresów Domyślne interwały i czasy oczekiwania komunikatów hello Można wymusić przypisując routery do dwóch grup, konfigurując priorytety w taki sposób aby w jednej grupie był routerem aktywnym a w drugiej zapasowym Router aktywny symuluje router wirtualny z jego adresem fizycznym i logicznym Licznik hello: 3 sekundy Czas oczekiwania: 10 sekund Można wymusić przypisując routery do dwóch grup, konfigurując priorytety w taki sposób aby w jednej grupie był routerem aktywnym a w drugiej zapasowym Router aktywny symuluje router wirtualny z jego adresem logicznym i adresem fizycznym który jest ustalany na podstawie identyfikatora aktywnego routera Licznik hello: 1 sekunda Czas oczekiwania: 3 sekundy Wspierany natywnie, protokół przydziela interfejsy routerów po kolei Router główny zwany aktywną wirtualną bramą AVG odpowiada żądaniom ARP jednym z adresów fizycznych aktywnych urządzeń przesyłania danych AVF Licznik hello: 3 sekundy Czas oczekiwania: 10 sekund KSBG (v2013) 39
KSBG KONIEC KSBG (v2013) 40