Você está na página 1de 61

MSTP Security HSRP VVRP GLBP

Ps-Graduao - Gerenciamento de
Redes de Computadores
Prof. Roberto Mendona, M.Sc

MSTP - Motivao

PVSTP - Prover uma instncia STP por VLAN configurada no switch.


PVSTP bom quando h condies de contigncia.
MST (IEEE 802.1s) - Motivao principal dar um grau de flexibilidade
maior.
2 Links 1000 VLANs 2 Instncias MST.
MST - Consome pouco recurso.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Instncias - MSTP

Necessrio 02 Instncias MST (500 por instncia).

Load-balancing trabalha porque metade das VLANs seguem cada instncia


separadas.
Utilizao do Switch baixa porque ele tem apenas que manipular duas
instncias.
MST a melhor soluo para este cenrio.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Com Configurar o MST


Ativar MST no switch.
Switch(config)#spanning-tree mode mst

Entrar no mode de configurao do MST.


Switch(config)#spanning-tree mst configuration

Exibir a configurao corrente do MST.


Switch(config-mst)#show current

Nomear uma instncia MST.


Switch(config-mst)#name name

Configurar o nmero de reviso.


Switch(config-mst)#revision revision_number

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Com Configurar o MST

Mapear as VLANs para a instncia MST.


Switch(config-mst)#instance instance_number vlan
vlan_range

Designar uma bridge raiz para a instncia MST. Esta


sintaxe faz o switch root primary ou secondary
(apenas se o primrio falhar). Ele configura o primary
priority para 24576 e secondary para 28672.
Switch(config)# spanning-tree mst instance_number root
primary | secondary

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Exemplo - MST

SwitchA(config)# spanning-tree mode mst


SwitchA(config)# spanning-tree mst configuration
SwitchA(config-mst)# name XYZ
SwitchA(config-mst)# revision 1
SwitchA(config-mst)# instance 1 vlan 11, 21, 31
SwitchA(config-mst)# instance 2 vlan 12, 22, 32
SwitchA(config)# spanning-tree mst 1 root primary
SwitchB(config)# spanning-tree mode mst
SwitchB(config)# spanning-tree mst configuration
SwitchB(config-mst)# name XYZ
SwitchB(config-mst)# revision 1
SwitchB(config-mst)# instance 1 vlan 11, 21, 31
SwitchB(config-mst)# instance 2 vlan 12, 22, 32
SwitchB(config)# spanning-tree mst 2 root primary
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Exemplo - MST
Switch#show spanning-tree mst
###### MST00 vlans mapped: 5-4094
Bridge
address 0009.e845.6480
priority 32768 (32768 sysid 0)
Root
this switch for CST and IST
Configured
hello time 2, forward delay 15, max age 20, max hops 20
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000
Fa3/32
Desg
FWD
200000
Fa3/42
Back
BLK
200000
###### MST01
vlans mapped: 1-2
Bridge
address 0009.e845.6480
Root
this switch for MST01
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000
Fa3/32
Desg
FWD
200000
Fa3/42
Back
BLK
200000
###### MST02 vlans mapped: 3-4
Bridge
address 0009.e845.6480
Root
this switch for MST02
Interface
Role
Sts
Cost
----------------------------Fa3/24
Desg
FWD
2000000

MSTP Security HSRP VVRP GLBP

Prio.Nbr
-------128.152
128.160
128.170

Type
------Shr
P2p
P2p

priority 32769 (32768 sysid 1)


Prio.Nbr
-------128.152
128.160
128.170

Type
------Shr
P2p
P2p

priority 32770 (32768 sysid 2)

Prio.Nbr
-------128.152

6 de fevereiro de 2014

Type
------Shr

Exemplo - MST

Switch#show spanning-tree mst 1


###### MST01
vlans mapped: 1-2
Bridge
address 0009.e845.6480 priority 32769 (32768 sysid 1)
Root
this switch for MST01
Interface
Role
Sts
Cost
Prio.Nbr
Type
---------------- ----------- -------- ----------------Fa3/24
Desg
FWD
2000000 128.152 Shr
Fa3/32
Desg
FWD
200000
128.160 P2p
Fa3/42
Back
BLK
200000
128.170 P2p

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

Categorias de Ataques em Camada 2


Em se tratando de Segurana em Redes, muitas vezes as camadas
inferiores (1 e 2) so deixadas de lado.
Application Stream

Application

Session
Transport
Network

Data Link
Physical

MSTP Security HSRP VVRP GLBP

Presentation

Compromised

Presentation

Application

Session
Protocols and Ports

Transport

IP Addresses

Network

Initial
MACCompromise
Addresses

Data Link

Physical Links

6 de fevereiro de 2014

Physical

Categorias de Ataques em Camada 2

Access Points
Switches
Servers

Cuidado com as portas que esto disponveis no acesso.


MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

10

Categorias de Ataques em Camada 2

MAC Address Flooding


Switch Spoofing
VLAN Hopping
DHCP Spoofing

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

11

Categorias de Ataques em Camada 2


MAC Address Flooding O Switch inundado com uma
gama de MAC Address com o objetivo de atingir o limite da
tabela CAM.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

12

Categorias de Ataques em Camada 2


MAC Address Flooding

Mitigao: Port security. MAC


address VLAN Access Maps.

Um atacante habilita uma ferramenta hacking, com o objetivo de inundar


a Tabela CAM, causando um estouro na base de dados do Switch.
Quando a tabela CAM est cheia, o switch passa a funcionar como um
HUB e inunda todos os quadros unicast.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

13

Categorias de Ataques em Camada 2


Port Security

Port Security configurado, limitando ataques de MAC Flooding e

bloqueando portas.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

14

Categorias de Ataques em Camada 2


Configurando Port Security:
Passo 1. Ativar port security:
Switch(config-if)# switchport port-security
Passo 2. Definir o nmero mximo de MAC addresses que ser
permitido na porta. O default 01.
Switch(config-if)#switchport port-security maximum value
Passo 3. Especifica qual MAC addresses ser permitido na porta
(opcional):
Switch(config-if)#switchport port-security mac-address mac-address
Passo 4. Define qual ao a interface tomar se um MAC no
permitido tenta o acesso:
Switch(config-if)#switchport port-security violation
{shutdown | restrict | protect}
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

15

Exemplo de Configurao Port Security

4503(config)# interface FastEthernet 3/47


4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address
0000.0000.0008
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation restrict
4503(config)# interface FastEthernet 2/2
4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address
0000.0000.1118
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation shutdown
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

16

Exemplo de Configurao Port Security

switch# show running-config fastethernet 0/1


interface FastEthernet0/1
switchport access vlan 2
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 001b.d513.2ad2
switch# show port-security address
Secure Mac Address Table
-----------------------------------------------------------------------Vlan
Mac Address
Type

Ports

---2

Fa0/1

-------------001b.d513.2ad2

MSTP Security HSRP VVRP GLBP

----- ------------SecureSticky

6 de fevereiro de 2014

Remaining Age
(mins)
-

17

Categorias de Ataques em Camada 2


Switch Spoofing Atacante pluga sua mquina no Switch
da rede em produo e faz um trunk com dot1q, ou conecta
um Switch Rogue fazendo tambm um Trunk. Explora
vulnerabilidade do DTP.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

18

Categorias de Ataques em Camada 2


Switch Spoofing - Mitigao:

1. Desativar o Trunk em todas as portas que no


precisam ser trunk;
2. Desative auto trunking e manualmente ative
trunking
3. Colocar as portas no usadas em shutdown

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

19

Categorias de Ataques em Camada 2


VLAN Hopping Double Tagging
1

Atacante na
VLAN 1, mas insere um
tag 20 no quadro.

O primeiro switch retira o primeiro tag e


no remarca (trfego nativo no
remarcado). Ele encaminha o quadro
para o switch 2.

20

802.1Q, Frame

O segundo switch
recebe o quadro, na
vlan nativa.

Trunk
(Native VLAN = 1)

Note: Este ataque trabalha apenas


se o trunk tem a mesma VLAN
nativa que o atacante.

4
O segundo switch
examina o quadro, ver a
VLAN 20 marcada e
encaminha.

Vtima
(VLAN 20)

Atacante (nativa VLAN 1) envia um frame com dois cabealhos 802.1Q para o Switch1.

Switch2 encaminha o quadro para todas as portas associadas com a VLAN 20, incluindo
portas trunk.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

20

Categorias de Ataques em Camada 2


VLAN Hopping Double Tagging - Mitigao:

Trunk
(Native VLAN = 400)

1. No use a VLAN Nativa para enviar trfego ao usurio.

2. Crie uma VLAN que no ter qualquer porta associada


a ela, apenas para VLAN Nativa. Ex. VLAN 400

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

21

Categorias de Ataques em Camada 2


DHCP

Spoofing

Uma mquina falsa responde requisies DHCP dos clientes.


Para mitigar se usa o DHCP Snooping, bloqueando falsos servidores
DHCP.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

22

Categorias de Ataques em Camada 2


CDP (Cisco Discovery Protocol)

- Protocolo de nvel 2 usado para obter informaes de hardware e


software de dispositivos vizinhos na sua rede.
- O comando no cdp run desabilita o CDP globalmente.
- O comando no cdp enable desabilita o CDP na interface.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

23

Telnet - SSH
Telnet

SSH

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

24

Configurando Acesso - SSH

line vty 0 15
login local
transport input telnet ssh
username posredes password posredes
ip domain-name example.com
crypto key generate rsa
( Switch Generates Keys)

MSTP Security HSRP VVRP GLBP

Private Key
Key

Key

SSH Client

Public Key

6 de fevereiro de 2014

25

Restringindo Acesso Telnet/SSH

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

26

VACL VLAN Acess Control Lists

VACLs: Aplica-se para todo trfego numa VLAN. VACLs suportam filtros baseados no Ethertype
e endereos MAC. Podem controlar o trfego fluindo dentro da VLAN ou controlar trfegos
comutados.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

27

VACL VLAN Acess Control Lists

As trs aes da VACL so:


Permit
Redirect
Deny

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

28

VACL VLAN Acess Control Lists


Uma VACL configurada para descartar todo trfego da rede 10.1.9.0/24 na
VLAN 10 e 20, e descartar todo trfego para o servidor de Backup com MAC
0000.1111.4444.

switch(config)#access-list 100 permit ip 10.1.9.0 0.0.0.255 any


switch(config)#mac access-list extended BACKUP_SERVER
switch(config-ext-mac)#permit any host 0000.1111.4444
switch(config)#vlan access-map XYZ 10
switch(config-map)#match ip address 100
switch(config-map)#action drop
switch(config-map)#vlan access-map XYZ 20
switch(config-map)#match mac address BACKUP_SERVER
switch(config-map)#action drop
switch(config-map)#vlan access-map XYZ 30
switch(config-map)#action forward
switch(config)#vlan filter XYZ vlan-list 10,20

Here a VACL is configured to drop all traffic from network 10.1.9.0/24 on VLAN 10 and 20 and drop all traffic to Backup Server 0000.1111.4444.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

29

Espelhamento de Portas SPAN (Switch


Port Analyzer)
Uma porta SPAN espelha o
trfego de uma porta para outra,
onde o dispositivo de
monitoramento est conectado.

Intruder
Alert!
F0/2

F0/1

Sem isto, pode ser difcil


identificar os hackers aps eles
terem entrado na rede.

Use SPAN para espelhar o trfego


in e out da porta F0/1 para porta F0/2.
Atacante

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

30

Configurando SPAN

Switch(config)#
monitor session session_number source {interface
interface-id [, | -] [both | rx | tx]} | {vlan vlan-id [,
| -] [both | rx | tx]}| {remote vlan vlan-id}
Switch(config)#
monitor session session_number destination {interface
interface-id [, | -] [encapsulation replicate] [ingress
{dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan
vlan-id}]} | {remote vlan vlan-id}

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

31

Espelhamento de Porta RSPAN


Intruder
Alert!

Uma porta RSPAN espelha o


trfego para outra porta em outro
switch, onde a probe ou o IDS
est conectado.

IDS

Isto permite mais switches serem


monitorados com uma simples
probe ou IDS.

Source VLAN
RSPAN VLAN

Source VLAN

Atacante

MSTP Security HSRP VVRP GLBP

Source VLAN

6 de fevereiro de 2014

32

Configurando RSPAN
1. Configure the RSPAN VLAN

2960-1(config)#vlan 100
2960-1(config-vlan)#remote-span
2960-1(config-vlan)#exit

2. Configure the RSPAN source ports and VLANs


2960-1(config)# monitor session 1 source interface FastEthernet 0/1
2960-1(config)# monitor session 1 destination remote vlan 100
2960-1(config)# interface FastEthernet 0/2
2960-1(config-if)#switchport mode trunk

3. Configure the RSPAN traffic to be forwarded


2960-2(config)# monitor session 2 source remote vlan 100
2960-2(config)# monitor session 2 destination interface FastEthernet 0/3
2960-2(config)# interface FastEthernet 0/2
2960-2(config-if)#switchport mode trunk

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

33

Formas de Redundncia de Primeiro Salto

Proxy ARP
Static Default Gateway
HSRP
VRRP
GLBP

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

34

Proxy ARP
Soluo Legada.
Habilitado por padro.
Usado antes que os
default gateways fossem
suportados pelos clientes
IPs.
Estaes Finais atuam
como se o destino fossem
no mesmo segmento de
rede.
Soluo no muito
recomendvel.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

35

Static Default Gateway

No dinmico.
No prover caminho
secundrio.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

36

HSRP (Hot Standby Routing Protocol)

Protocolo de redundncia de
gateway.
Os roteadores/Switches L3
participantes conversam entre
si e concordam com o IP do
roteador virtual o qual o
sistema usar como IP de
gateway.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

37

HSRP (Hot Standby Routing Protocol)

Quando o roteador ativo ou


links entre os roteadores
falhar o roteador standby
no mais visualiza
mensagens de hello do
roteador active. O roteador
standby assume a funo
de encaminhamento.
Para as estaes esse
processo transparente.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

38

Operao do HSRP
Mensagens de Hello so enviadas para o endereo de
multicast 224.0.0.2 , na porta UDP 1985.
Mensagens de Hello so utilizadas para comunicao em
um grupo HSRP.
Todos os roteadores do grupo HSRP precisam ter
adjacncia L2.
Todos os roteadores no grupo HSRP possuem regras
especficas e interagem de formas especficas:
Virtual router
Active router
Standby router
Other routers
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

39

HSRP MAC Address

Router A assume o active e encaminha todos os endereos de quadros para


serem designados ao endereo HSRP MAC address de 0000.0c07.acxx, onde xx
o identificador do grupo HSRP.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

40

HSRP Active Router e STP

No STP, alguns links so bloqueados.


O STP no est atento ao HSRP. No h uma relao automtica entre o HSRP
Active e o Root Bridge.
Quando usando STP e HSRP, importante ter certeza de que o roteador Active
tambm a Root Bridge, evitando assim caminhos sub-timo.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

41

Configurando HSRP na Interface

Switch(config-if)#
standby group-number ip ip-address

O nmero de grupo opcional e indica o grupo HSRP no qual a interface


pertence.
O Grupo default 0.
O endereo IP definido o endereo para o Grupo HSRP.
O nmero mximo de grupos ativos so 16.
Um router pode ser ativo para um grupo e standby para outro, fazendo um
load balancing.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

42

Configurando HSRP na Interface

standby group-number priority priority-value


standby [group-number] preempt [delay {minimum seconds
reload seconds sync seconds}]

Define a prioridade do roteador. Pode ir de 0 a 255. Default 100.


O roteador com mais alto valor de prioridade se torna o ativo.
Caso haja um empate, o roteador com o mais alto endereo IP se torna
o ativo.
O Preempt faz com que sempre a prioridade seja respeitada, evitando
que um roteador d boot primeiro que outro e se torne o roteador ativo.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

43

Exemplo - HSRP
Roteadores A e B so configurados com as prioridades 110 e 90, respectivamente.
A configurao do Roteador A mostrada.
A palavra preempt certifica que o Roteador A ser o HSRP active to logo a
interface esteja ativa.

RouterA(config)# interface vlan 10


RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

44

Autenticao com HSRP


Evita que roteadores falsos possam fazer parte do grupo HSRP.

RouterA(config)# interface vlan 10


RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
RouterA(config-if)#standby 10 authentication xyz123
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

45

Exemplo HSRP Tracking

SW4(config)# interface vlan 10


SW4(config-if)# ip address 10.1.1.2 255.255.255.0
SW4(config-if)# standby 10 ip 10.1.1.1
SW4(config-if)# standby 10 priority 110
SW4(config-if)# standby 10 preempt
SW4(config-if)# standby 10 track fastethernet0/23 20
SW4(config-if)# standby 10 track fastethernet0/24
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

46

HSRP Interface Tracking

standby [group-number] track interface-type interface-number [interfacepriority]

Interface-type a interface que ser acompanhada (Tracking).


Priority define o valor no qual a prioridade do roteador ser
decrementada no HSRP se a interface se tornar down. Default 10.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

47

Mltiplos Grupos HSRP

Mltiplos Grupos HSRP habilita os switches a simultaneamente prover

redundncia e fazer um balanceamento atravs de diferentes subnets.


MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

48

Exemplo de Mltiplos Grupos HSRP

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

49

Monitorando o HSRP
Switch#show standby
Vlan10 - Group 10
State is Active
Virtual IP address is 10.1.10.1
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.248 secs
Preemption enabled
Active router is local
Standby router is 10.1.10.3, priority 90 (expires in 10.096 sec)
Priority 120 (configured 120)
Track interface Port-channel31 state Up decrement 30
Track interface Port-channel32 state Up decrement 30
Group name is hsrp-Vl10-10 (default)
Vlan20 - Group 20
State is Standby
Virtual IP address is 10.1.20.1 Active virtual MAC address is 0000.0c07.ac14
Local virtual MAC address is 0000.0c07.ac14 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.064 secs
Preemption enabled
Active router is 10.1.10.3, priority 120 (expires in 10.032 sec)
Standby router is local
Priority 90 (configured 90)
Group name is hsrp-Vl20-20 (default)

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

50

VRRP (Virtual Router Routing Protocol)

Roteadores A, B e C so membros de um grupo VRRP. O endereo IP do roteador virtual o


mesmo que o endereo da interface LAN do Roteador A (10.0.0.1). Roteador A responsvel
por encaminhar pacotes enviados para esse IP.
Os clientes possuem um endereo de gateway de 10.0.0.1. Roteadores B e C so rotedores
de backup. Se o roteador Master falhar, o roteador de backup com a maior prioridade se
torna o roteador Master. Quando o roteador A volta, ele volta a ser o Master.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

51

Redundncia com VRRP

Uma LAN na qual o VRRP configurado. Os roteadores so configurados de forma que os


roteadores A e B compartilham a carga de ser o default gateway para os Clientes 1 a 4. Routers A e
B atuam como backup virtual routers um para o outro se um deles falhar.
Dois grupos virtuais de roteadores so configurados. Para o roteador virtual 1, o roteador A o
proprietrio do endereo IP 10.0.0.1 e portanto o Master Virtual router para os clientes
configurados com este endereo de default gateway. O roteador B o roteador de backup para o
roteador A.

J para o roteador virtual 2 o roteador B o proprietrio do IP 10.0.0.2 e o Master Virtual router


para clientes configurados com IP 10.0.0.2. Roteador A o backup virtual router para o roteador B.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

52

Exemplo - VRRP

RouterA# configure terminal


Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# interface vlan 1
RouterA(config-if)# ip address 10.0.2.1 255.255.255.0
RouterA(config-if)# vrrp 1 ip 10.0.2.254
RouterB# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface vlan 1
RouterB(config-if)# ip address 10.0.2.2 255.255.255.0
RouterB(config-if)# vrrp 1 ip 10.0.2.254
RouterB(config-if)# vrrp 1 priority 90

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

53

Visualizando - VRRP

RouterA# show vrrp interface vlan 1


Vlan1 - Group 1
State is Master
Virtual IP address is 10.0.2.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 0.500 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 100
Master Router is 10.0.2.1 (local), priority is 100
Master Advertisement interval is 0.500 sec
Master Down interval is 2.109 sec
RouterB# show vrrp interface vlan 1
Vlan1 - Group 1
State is Backup
Virtual IP address is 10.0.2.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 0.500 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 90
Master Router is 10.0.2.1, priority is 100
Master Advertisement interval is 0.500 sec
Master Down interval is 2.109 sec (expires in 1.745 sec)
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

54

GLBP (Gateway Load Balancing Protocol)

GLBP active virtual gateway (AVG): Membros do grupo GLBP elegem um gateway para
ser o AVG daquele grupo. Outro membro do grupo prover backup para o AVG se o AVG se
tornar indisponvel. O AVG designa um MAC virtual para cada membro do grupo GLBP. Faz
todo o Controle.
GLBP active virtual forwarder (AVF): Cada gateway assume responsabilidade para
encaminhar pacotes que so enviados para o endereo MAC virtual designado para aquele
gateway pelo AVG. Este gateways so conhecidos como AVFs para os endereos MAC
virtuais deles.
GLBP communication: Membros GLBP se comunicam entre si atravs de mensagens de
hello enviadas a cada 3 segundos para o endereo de multicast 224.0.0.102, UDP Porta
3222.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

55

GLBP (Gateway Load Balancing Protocol)

Roteador A est atuando como AVG. Roteador A tem um MAC virtual


0007.b400.0101.
Roteador B est atuando como um AVF para o MAC virtual 0007.b400.0102
designado para ele pelo roteador A.
Cliente 1 default gateway o roteador A.
Cliente 2 default gateway o roteador B baseado no MAC virtual designado.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

56

GLBP (Gateway Load Balancing Protocol)

Por default, GLBP tenta fazer um balanceamento por hosts usando o algoritmo de
round-robin.
Quando o cliente envia uma requisio ARP para o endereo de gateway, o AVG
retorna o endereo do virtual MAC address de um dos AVFs.
Quando um segundo cliente envia uma requisio ARP, o AVG retorna o
endereo do prximo endereo virtual MAC da lista.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

57

GLBP (Gateway Load Balancing Protocol)

Tendo cada Host resolvido um MAC address diferente para o default gateway,
Clientes A e B enviam o trfego para roteadores separados, embora eles tenham
o mesmo default gateway configurado.
Cada roteador GLBP um AVF para o virtual MAC address para o qual ele tem
sido designado.
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

58

Vantagens do GLBP

Balanceamento de Carga.
Mltiplos Roteadores Virtuais.
Preempo.
Utilizao Eficiente de Recursos.

MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

59

Referncias
Catalyst 3560 Command Reference
www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/rele
ase/12.2_55_se/command/reference/3560_cr.html

Configuring NSF with SSO:


www.cisco.com/en/US/partner/docs/switches/lan/catalyst6500/ios/12.2SXF/
native/configuration/guide/nsfsso.html

Configuring HSRP:
www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/rele
ase/12.2_55_se/configuration/guide/swhsrp.html

Configuring VRRP:
www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_vrr
p.html

Configuring GLBP:
www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_glb
p.htm

Configuring Enhanced Object Tracking:


www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/rele
ase/12.2_55_se/configuration/guide/sweot.html
MSTP Security HSRP VVRP GLBP

6 de fevereiro de 2014

60

Perguntas

Roberto Mendona
professor@robertomendonca.com.br
STP Spanning-Tree Protocol

6 de fevereiro de 2014

61