info_i_25x25.png See important information about Ubiquiti Devices and KRACK Vulnerability in this article. We will update this document as more information becomes available.

EdgeMAX - protocolo de redundância de roteador Virtual (VRRP)


Os leitores aprenderão como configurar o roteador para VRRP (protocolo de redundância de roteador Virtual) através do CLI.

 
Diagrama de rede de exemplo antes VRRP é implementado.
 

Passos


Configuração

 

A configuração abaixo irá usar o diagrama de rede, mostrado na imagem acima.

 

Nota: Estes são os endereços IP de host e dois roteadores:

  • Anfitrião de endereço IP: 192.0.2.50/24
  • Endereço IP de R1: 192.0.2.10/24
  • Endereço IP de R2: 192.0.2.20/24

Para a configuração básica do VRRP, use os comandos a seguir para adicionar um VRRP-endereço virtual 192.0.2.1/24 para R1 e R2:

 

Configuração de R1

 

Configure o endereço IP do R1.

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address 192.0.2.1/24
ubnt@R1# commit
[edit] 
ubnt@R1# save
Saving configuration to '/config/config.boot'...
Done
[edit] 
ubnt@R1# exit

Configuração de R2

 

Configure o endereço IP do R2.

ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address 192.0.2.1/24
ubnt@R2# commit
[edit] 
ubnt@R2# save
Saving configuration to '/config/config.boot'...
Done
[edit] 
ubnt@R2# exit

Comandos show

 

  • Existem dois principais Estados para uma interface, mestre e backup . Para ver qual roteador é o mestre e possui o endereço VIP (IP Virtual), uso o mostrar vrrp comando:
ubnt@R1:~$ show vrrp 
Physical interface: eth2, Source Address 192.0.2.10
  Interface state: up, Group 100, State: master
  Priority: 1, Advertisement interval: 1, Authentication type: none
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24
  Master router: 192.0.2.10
  Last transition: 22s
              
  • Se R1 ficar indisponível, em seguida, R2 vai assumir o endereço virtual. Tráfego do host atravessarão R2 ao invés de R1:
ubnt@R2:~$ show vrrp                                                             
Physical interface: eth2, Source Address 192.0.2.20                             
  Interface state: up, Group 100, State: master                                 
  Priority: 1, Advertisement interval: 1, Authentication type: none             
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24                                
  Master router: 192.0.2.20                                                     
  Last transition: 11s     
  • Uso o Mostrar log comando para exibir as mensagens de log para a transição de R1 para R2:

 

ubnt@R2:~$ show log Dec 6 12:41:56 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Transition to MASTER STATE Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Entering MASTER STATE Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) setting protocol VIPs. Dec 6 12:41:57 R2 Keepalived_vrrp: VRRP_Instance(vyatta-eth2-100) Sending gratuitous ARPs on eth2 for 192.0.2.1 

 

Dicas de depuração

 

  • O problema mais comum com a configuração VRRP é que ambos os lados pensam que são "mestre". Isso normalmente significa que os dois lados não são capazes de "ver" uns dos outros pacotes de saudação, então cada um assumir que eles são mestre.  Coisas que podem impedi-los de ver do outro vrrp pacotes:
  1. Firewall é um local, não permitindo que o destino 224.0.0.18.  Adicionar uma regra de padrão-gota e verifique o log para gotas.
  2. Um interruptor não encaminhar multicast ou devem ser configurados para permitir a difusão seletiva.
  3. Senhorita configuração VRRP-jogo.  Se o grupo vrrp, VIP(s) e autenticação não coincidirem, então eles não são considerados no mesmo grupo.

Transição de força

 

  • Às vezes você quer forçar uma interface para alterar seu estado. Por exemplo, quando você atualizar o software no mestre , você usar forçar transição para forçar o mestre para se tornar o backup e em seguida, atualizar o software do novo backup .
ubnt@R2:~$ clear vrrp master interface eth2 group 100                           
Forcing eth2-100 to BACKUP...      
  • Uso o mostrar vrrp comando para exibir as informações de status:
ubnt@R2:~$ show vrrp                                                            
Physical interface: eth2, Source Address 192.0.2.20                             
  Interface state: up, Group 100, State: backup                                 
  Priority: 1, Advertisement interval: 1, Authentication type: none             
  Preempt: true, VIP count: 1, VIP: 192.0.2.1/24                                
  Master router: unknown, Master Priority: unknown                              
  Last transition: 8s

Escolher o mestre

 

No exemplo acima, não havia nenhum prioridades atribuídas, então VRRP escolheu o mestre . Às vezes você quer escolher o mestre , e você pode fazer isso atribuindo prioridades para os roteadores. O intervalo de valores de prioridade é de 1 a 254, com o valor mais alto, designando a prioridade mais alta. Use os comandos a seguir para atribuir prioridade 100 para R1 e prioridade 50 para R2:

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 priority 100
[edit]
ubnt@R1# commit    
[edit]
ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 priority 50        
[edit]                                                                          
ubnt@R2# commit        

Agora R1 será sempre o mestre se a interface está acima e funcionando.

 

Preempção

 

Pode haver situações quando o roteador de maior prioridade não deve re-tomar maestria quando ele está pronto para fazê-lo. Neste caso podemos desabilitar preempção. Use os comandos a seguir para desabilitar a preempção em R1 e R2:

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 preempt false
[edit]
ubnt@R1# commit
[edit]
ubnt@R2# set interfaces ethernet eth2 vrrp vrrp-group 100 preempt false         
[edit]                                                                          
ubnt@R2# commit; save; exit

Autenticação

 

Recomendamos que você use autenticação para impedir que não autorizados Membros VRRP tornando-se o mestre . A CLI oferece suporte tanto texto simples e ah modos, mas texto simples modo oferece muito pouca proteção, então recomendamos ah modo.

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 authentication type ah
[edit]
ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 authentication password mysecret
[edit] 
ubnt@R1# commit
[edit]

Grupos de sincronização

 
 

Neste exemplo, temos dois grupos VRRP:

 

  • Grupo do VRRP 100 para interfaces na rede 192.0.2.0/24
  • Grupo do VRRP 200 para interfaces na rede 203.0.113.0/24

Uso o mostrar vrrp Resumo comando para exibir os detalhes:

ubnt@R1:~$ show vrrp summary 
                VRRP    Addr                    Interface       VRRP            
Interface       Group   Type    Address         State           State           
---------       -----   ----    -------         -----           -----           
eth1            200     vip     203.0.113.1/24  up              master          
eth2            100     vip     192.0.2.1/24    up              master        

Se VRRP grupo 100 transições o mestre de R1 para R2, provavelmente nós queremos VRRP grupo-200 também transição de R1 para R2 mesmo se não há nada de errado. Para fazer isso, nós podemos adicionar a ambos os grupos VRRP para uma grupo de sincronização .

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 sync-group Foo
[edit]
ubnt@R1# set interfaces ethernet eth1 vrrp vrrp-group 200 sync-group Foo
[edit] 
ubnt@R1# commit
[edit]

Uso o mostrar vrrp comando para exibir as informações de status:

ubnt@R1:~$ show vrrp 
 Physical interface: eth1, Source Address 203.0.113.10
   Interface state: up, Group 200, State: master
   Priority: 100, Advertisement interval: 1, Authentication type: none
   Preempt: true, VIP count: 1, VIP: 203.0.113.1/24
   Master router: 203.0.113.10
   Sync-group: Foo
   Last transition: 9m5s

 Physical interface: eth2, Source Address 192.0.2.10
   Interface state: up, Group 100, State: master
   Priority: 100, Advertisement interval: 1, Authentication type: none
   Preempt: true, VIP count: 1, VIP: 192.0.2.1/24
   Master router: 192.0.2.10
   Sync-group: Foo
   Last transition: 9m11s

Nota : grupos VRRP em um grupo de sincronização devem ter configurações similares em termos de prioridade e a preempção.  Antes de habilitar um grupo de sincronização, você deve verificar que um roteador é mestre de ambos os grupos, e o outro é o backup de ambos os grupos.  Se ambos os lados, acho que eles são mestre do mesmo grupo, permitir então um grupo de sincronização pode causar interminável transição obter em sincronia.

 

Scripts de transição

 

Às vezes, existem outras ações que gostaríamos de executar quando ocorre uma transição (administrador de e-mail, mudar a rota, etc.). Um bom local para salvar esses scripts é em / config/scripts , para que os scripts serão copiados quando você atualizar o software.

 

Nota: Os scripts de transição devem ser executáveis (chmod + x <file>).

 

Use o seguinte comando para adicionar um script de transição:

 

ubnt@R1# set interfaces ethernet eth2 vrrp vrrp-group 100 run-transition-scripts backup /config/scripts/my_vrrp_script
[edit]
ubnt@R1# commit
[edit]

Este exemplo adiciona um script para executar quando a transição vai backup , mas você também pode ter scripts para mestre e culpa (a culpa estado ocorre se o link interface vai para baixo). Quando o script é chamado, eles passam três parâmetros:

 

  • Estado de transição do VRRP
  • interface de
  • Grupo

Recurso

 

Um artigo muito informativo sobre VRRP e seu uso está disponível aqui: http://www.redbooks.IBM.com/Redpapers/PDFs/redp3657. pdf