EdgeMAX - protocolo de redundancia de enrutador Virtual (VRRP)


Los lectores aprenderán a configurar el router para VRRP (Protocolo de redundancia de enrutador Virtual) mediante la CLI.

 
Diagrama de red de ejemplo antes de implementa VRRP.
 

Pasos


Configuración

 

La configuración a continuación utilizará el diagrama de red que se muestra en la imagen de arriba.

 

Nota: Estas son las direcciones IP de los host y dos routers:

  • Host dirección IP: 192.0.2.50/24
  • Dirección IP de R1: 192.0.2.10/24
  • Dirección IP de R2: 192.0.2.20/24

Para la configuración básica de VRRP, utilice los siguientes comandos para agregar una dirección virtual de VRRP 192.0.2.1/24 a R1 y R2:

 

Configuración de R1

 

Configurar la dirección IP del R1.

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address 192.0.2.1/24
ubnt@R1# commit
[edit] 
ubnt@R1# save
Saving configuration to '/config/config.boot'...
Done
[edit] 
ubnt@R1# exit

Configuración de R2

 

Configurar la dirección IP de R2.

ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address 192.0.2.1/24
ubnt@R2# commit
[edit] 
ubnt@R2# save
Saving configuration to '/config/config.boot'...
Done
[edit] 
ubnt@R2# exit

Mostrar comandos

 

  • Hay dos Estados primarios para una interfaz, Maestro y backup . Para ver que router es el Maestro y posee la dirección VIP (IP Virtual), uso del Mostrar vrrp comando:
ubnt@R1:~$ show vrrp 
Physical interface: eth2, Source Address 192.0.2.10
  Interface state: up, Group 100, State: master
  Priority: 1, Advertisement interval: 1, Authentication type: none
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24
  Master router: 192.0.2.10
  Last transition: 22s
              
  • Si R1 está disponible, entonces R2 asumirá la dirección virtual. Tráfico del host pasarán a través de R2 en lugar de R1:
ubnt@R2:~$ show vrrp                                                             
Physical interface: eth2, Source Address 192.0.2.20                             
  Interface state: up, Group 100, State: master                                 
  Priority: 1, Advertisement interval: 1, Authentication type: none             
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24                                
  Master router: 192.0.2.20                                                     
  Last transition: 11s     
  • Uso del Mostrar log comandos para mostrar los mensajes de registro para la transición de R1 a R2:

 

ubnt@R2:~$ show log Dec 6 12:41:56 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Transition to MASTER STATE Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Entering MASTER STATE Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) setting protocol VIPs. Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Sending gratuitous ARPs on eth2 for 192.0.2.1 

 

Consejos de depuración

 

  • El problema más común con configurar VRRP es que ambas partes piensan que son "master". Normalmente esto significa que las dos partes no son capaces de "ver" de otros paquetes, por lo que cada uno de ellos asumen que son maestros.  Cosas que pueden impedirles ver de otros paquetes de vrrp:
  1. Firewall local no permite que el destino 224.0.0.18.  Agregar una regla predeterminada-gota y compruebe el registro para las gotas.
  2. Algunos no adelante multicast o debe configurarse para permitir el multicast.
  3. VRRP configuración miss match.  Si el grupo de vrrp, VIP(s) y autenticación no coinciden entonces no se consideran en el mismo grupo.

Transición de la fuerza

 

  • A veces desea forzar una interfaz para cambiar su estado. Por ejemplo, al actualizar el software en el Maestro , utilizas fuerza transición para obligar a la Maestro para convertirse en el backup y luego actualizar el software en el nuevo backup .
ubnt@R2:~$ clear vrrp master interface eth2 group 100                           
Forcing eth2-100 to BACKUP...      
  • Uso del Mostrar vrrp comandos para mostrar la información de estado:
ubnt@R2:~$ show vrrp                                                            
Physical interface: eth2, Source Address 192.0.2.20                             
  Interface state: up, Group 100, State: backup                                 
  Priority: 1, Advertisement interval: 1, Authentication type: none             
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24                                
  Master router: unknown, Master Priority: unknown                              
  Last transition: 8s

Elegir el maestro

 

En el ejemplo anterior, no había prioridades asignadas, VRRP eligió el Maestro . A veces usted quiere elegir el Maestro , y puede hacerlo mediante la asignación de prioridades a los routers. La gama de valor de prioridad es de 1 a 254, con el mayor valor que designa una mayor prioridad. Utilice los siguientes comandos asignar prioridad 100 a R1 y prioridad 50 en R2:

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 priority 100
[edit]
ubnt@R1# commit    
[edit]
ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 priority 50        
[edit]                                                                          
ubnt@R2# commit        

Ahora R1 siempre será el Maestro si la interfaz está arriba y trabajando.

 

Solicitud de preferencia

 

Puede haber situaciones cuando el router de mayor prioridad no debe volver a tomar del mastership cuando esté listo para hacerlo. En este caso podemos desactivar la preferencia. Utilice los comandos siguientes para desactivar la preferencia en R1 y R2:

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 preempt false
[edit]
ubnt@R1# commit
[edit]
ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 preempt false         
[edit]                                                                          
ubnt@R2# commit; save; exit

Autenticación de

 

Le recomendamos que utilice autenticación para evitar que miembros VRRP no autorizados del Maestro . CLI compatible con ambos texto y ah los modos, pero texto modo ofrece muy poca protección, por lo que recomendamos ah modo.

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 authentication type ah
[edit]
ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 authentication password mysecret
[edit] 
ubnt@R1# commit
[edit]

Grupos de sincronización

 
 

En este ejemplo, tenemos dos grupos VRRP:

 

  • Grupo de VRRP 100 para interfaces en la red 192.0.2.0/24
  • Grupo 200 de VRRP para interfaces en la red 203.0.113.0/24

Uso del Mostrar vrrp Resumen comandos para mostrar los detalles:

ubnt@R1:~$ show vrrp summary 
                VRRP    Addr                    Interface       VRRP            
Interface       Group   Type    Address         State           State           
---------       -----   ----    -------         -----           -----           
eth1            200     vip     203.0.113.1/24  up              master          
eth2            100     vip     192.0.2.1/24    up              master        

Si VRRP grupo 100 transiciones del Maestro desde R1 a R2, entonces probablemente queremos VRRP grupo 200 también transición de R1 a R2 incluso si no hay nada de malo. Para lograr esto, podemos añadir dos grupos VRRP para un grupo sync .

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 sync-group Foo
[edit]
ubnt@R1# set interfaces ethernet eth1 vrrp vrrp-group 200 sync-group Foo
[edit] 
ubnt@R1# commit
[edit]

Uso del Mostrar vrrp comandos para mostrar la información de estado:

ubnt@R1:~$ show vrrp 
 Physical interface: eth1, Source Address 203.0.113.10
   Interface state: up, Group 200, State: master
   Priority: 100, Advertisement interval: 1, Authentication type: none
   Preempt: true, VIP count: 1, VIP: 203.0.113.1/24
   Master router: 203.0.113.10
   Sync-group: Foo
   Last transition: 9m5s

 Physical interface: eth2, Source Address 192.0.2.10
   Interface state: up, Group 100, State: master
   Priority: 100, Advertisement interval: 1, Authentication type: none
   Preempt: true, VIP count: 1, VIP: 192.0.2.1/24
   Master router: 192.0.2.10
   Sync-group: Foo
   Last transition: 9m11s

Nota : grupos de VRRP en un grupo de sincronización deben tener configuraciones similares en términos de prioridad y preferencia.  Antes de activar a un grupo de sincronización se debe verificar que un router es el maestro de ambos grupos y la otra es copia de seguridad de ambos grupos.  Si ambos lados piensan que son maestros de un mismo grupo, entonces, lo que permite a un grupo de sincronización puede causar transición interminable conseguir en sincronía.

 

Secuencias de comandos de transición

 

A veces hay otras acciones que queremos ejecutar cuando se produce una transición (un administrador de correo electrónico, cambiar una ruta, etc.). Un buen lugar para guardar estas secuencias de comandos está en / config/scripts , por lo que los scripts se copiarán al actualizar el software.

 

Nota: Los scripts de transición deben ser ejecutables (chmod + x <file>).

 

Utilice el siguiente comando para agregar una secuencia de comandos de transición:

 

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 run-transition-scripts backup /config/scripts/my_vrrp_script
[edit]
ubnt@R1# commit
[edit]

Este ejemplo agrega un script a ejecutar cuando la transición se va a backup , pero también puede tener secuencias de comandos para Maestro y falla (el falla Estado ocurre si el enlace de interfaz va abajo). Cuando se llama a los script(s), pasan tres parámetros:

 

  • Estado de transición de VRRP
  • interfaz de
  • Grupo

Recursos

 

Un libro muy informativo sobre VRRP y su uso está disponible aquí: http://www.Redbooks.IBM.com/redpapers/pdfs/redp3657 pdf