Escolar Documentos
Profissional Documentos
Cultura Documentos
Parecer
Introdução
Desenvolvimento inicial
Setup básico
Setup com roteamento dinâmico
Explorando possibilidades
Configuração dos roteadores
Configuração dos elementos de acesso
Configuração dos computadores
Bateria de testes
Considerações Finais
Parecer
A tecnologia de redundância virtual de roteadores é de suma importância para aplicações críticas que
necessitam acesso L3 com o menor tempo parado possível. Os switches de rede DATACOM suportam
este protocolo, inclusive com utilização em redes complexas, como anéis Metro.
Introdução
O VRRP, Virtual Router Redundancy Protocol é descrito pela RFC 3768, e é desenhado para prover maior
disponibilidade em gateways de acesso em subredes. Neste documento veremos a utilização deste
protocolo nos switches DATACOM, bem como exemplos de configuração e soluções para possíveis erros
de configuração.
Os equipamentos da linha DmSwitch3000 (L3) e DM4000 estão aptos para operar este protocolo, sempre
recomendando a utilização de firmware mais recente. É pré-requisito a utilização de equipamentos com
capacidade de roteamento, como pode ser verificado através do comando show system.
TecnoPUC-NOC#show system
Product
-------
Model: DmSwitch3324F2
System capabilities: Bridge, Router
OID: 1.3.6.1.4.1.3709.1.2.19
Factory
-------
ID: 624592
User configurable
-----------------
Name: TecnoPUC-NOC
Location:
Contact:
TecnoPUC-NOC#
Note que a informação de System capabilities expressa que o equipamento é capaz de roteamento. Serão
necessários ao menos dois equipamentos com esta capacidade, pois o VRRP funciona em um sistema
mestre-escravo.
Este sistema mestre-escravo significa que um switch ficará ativo, comunicando com default gateway para
os hosts da rede. O outro switch ficará em espera, aguardando o momento em que o primeiro deixe de
operar. Existe um protocolo de comunicação para garantir que o escravo (ou escravos, é possível ter mais
de um) reconheça quando o mestre falhar.
Esta falha pode ser tanto física quanto lógica: queda de energia, desconfiguração, desconexão de link,
entre outros, são os erros imaginados neste setup.
Nas próximas seções será explicado o procedimento de configuração e utilização deste protocolo.
Desenvolvimento inicial
Conforme visto anteriormente, o VRRP necessita de pelo menos dois switches. A configuração destes é
praticamente idêntica, apenas variando os IPs deles e a condição de prioridade e mestre do VRRP.
É recomendado o uso de um terceiro switch, operando apenas em L2, para facilitar a agregação da rede.
Caso não se utilize este switch, e conectem-se os hosts diretamente aos L3, pode acontecer que uma falha
em um L3 faça com que os hosts conectados a ele percam acesso total à rede.
Setup básico
Considere a seguinte figura como topologia sugerida. Existem três níveis diferentes, representando os
elementos da topologia:
A conexão entre os dois roteadores é recomendada para aumentar a resiliência da solução em caso de
falhas individuais dos links. A explicação será detalhada em momento oportuno.
A configuração pode iniciar separando um conjunto de portas. A tabela abaixo reflete as escolhas. A
nomenclatura de portas seguirá o padrão do DmSwitch 3324, podendo sempre ser adaptada para outros
elementos da família.
Com base nestas portas escolhidas, a configuração de exemplo nos Roteadores L3 é explicada
passo-a-passo abaixo. Ajustar os endereços IP conforme cada roteador.
3. Habilitar a detecção de links em VLAN. Esta opção é importante para que as VLANs sejam
desligadas caso não exista nenhuma porta ativa naquela VLAN. Evita problemas de redes
inalcançáveis:
vlan link-detect
4. Configurar uma VLAN que servirá para comunicação com os clientes Utilizar um bloco IP de
tamanho adequado para a rede. Nesta VLAN será realizada a configuração de uma instância VRRP,
que pode ter uma chave de segurança. Atribuir já a porta correta:
interface vlan 2
name VLAN_clientes_L2
ip address 2.0.0.1/24
set-member untagged ethernet 1/26
vrrp 2 ip 2.0.0.254
vrrp 2 auth chaveSecreta
interface ethernet 1/26
switchport native vlan 2
5. Configurar a VLAN para comunicação entre os Roteadores L3. Para evitar o desperdício de
endereçamento IP recomenda-se a utilização de redes /30. Atribuir já a porta correta, e desligar STP
pois esta é uma porta L3:
6. A VLAN de configuração com os roteadores de uplink, que alcançam outras redes. Atribuir já a porta
correta, e desligar STP pois esta é uma porta L3:
interface vlan 10
ip address 10.0.0.1/24
set-member untagged ethernet 1/28
interface ethernet 1/28
switchport native vlan 10
no spanning-tree 1
7. É importante escolher um mestre VRRP, e definir sua prioridade. ATENÇÃO: podem existir
prioridades diferentes, porém apenas um mestre. E o mestre deve sempre ter o maior número na
prioridade. Em caso de empate, será escolhido através do maior IP na VLAN do VRRP.
interface vlan 2
vrrp 2 priority 123
9. Finalizar a configuração, colocando as rotas corretas para as redes. Importante colocar rotas
redundantes para a rede local e para o default-gateway através do link entre os roteadores,
aumentando assim a resiliência da solução.
ip default-gateway 10.0.0.254
ip route 2.0.0.0/24 5.0.0.2 distance 254
ip route 0.0.0.0/0 5.0.0.2 distance 254
10. Ao término desta configuração, e tendo os cabeamento já conectado, será possível comunicar entre os
dois roteadores com todos os IPs configurados.
Agora, os hosts da sub-rede podem começar a configurar o IP do VRRP como seu destino
padrão, e conseguirão atingir as redes destino. Pode-se apontar como caminho para a rede
2.0.0.0/24 ambos os Roteadores L3: ambos são capazes de encaminhar o tráfego de retorno até a
rede.
2. No passo final, onde eram configurado o ip route para cada destino, pode-se ativar o OSPF:
ip default-gateway 10.0.0.254
router ospf
redistribute connected
network 5.0.0.0/30 area 5.0.0.0
3. Se for necessário comunicar com outras redes OSPF, ajustar corretamente a configuração de network
e area conforme a topologia a ser seguida.
4. Se for utilizado BGP para comunicar com as outras redes remotas, pode-se fazer da forma a seguir.
Lembrando que a configuração BGP está fora do escopo deste documento.
router bgp 5000
redistribute connected
neighbor 10.0.0.254 remote-as 5000
Explorando possibilidades
A solução apresentada na seção anterior é muito poderosa, mas não apresenta todas as possibilidades que o
VRRP possui no DmSwitch. Abaixo segue uma topologia mais complexa, com uso de múltiplas instâncias
e um número maior de roteadores protegendo diferentes sub-redes.
Será criada uma topologia muito parecida com a anterior, porém com os seguintes adicionais:
A utilização de dois switches de acesso com duas VLANs também alterará o modo de comunicação
entre os equipamentos. Agora as VLANs devem ser enviadas tagged entre cada um, mesmo que
continuem untagged para os clientes finais (computadores).
Mesmo com existência de duas redes IP na VLAN (A), os computadores desta deverão utilizar o
gateway correto de cada rede para atingir as outras. Inclusive, se um computador da rede (A.1) tentar
comunicar com outro na (A.2), acontecerá roteamento IP através do roteador.
Nota importante sobre múltiplas instâncias VRRP em mesma VLAN: atualmente, na versão 7.6.2 do
firmware, não é possível configurar múltiplas instâncias do VRRP em uma mesma VLAN. Estes passos
devem ser ignorados ao longo do caderno.
Este roteador será o mestre da instância 20 do VRRP (rede A.1). Será o primeiro escravo na rede B.
Será o segundo escravo na rede A.2.
config
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.1/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.1/24
ip address 2.1.0.1/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 30
name VLAN_clientes_L2_VLAN_B
ip address 3.0.0.1/24
set-member tagged ethernet 1/26
vrrp 30 ip 3.0.0.254
vrrp 30 auth chaveSecreta
interface vlan 10
ip address 10.0.1.1/24
set-member untagged ethernet 1/28
interface vlan 20
vrrp 20 priority 300
vrrp 21 priority 100
interface vlan 30
vrrp 30 priority 100
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.1.254
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.2/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.2/24
ip address 2.1.0.2/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 10
ip address 10.0.2.1/24
set-member untagged ethernet 1/28
interface vlan 20
vrrp 20 priority 100
vrrp 21 priority 300
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.2.254
Este roteador será o mestre da instância 30 do VRRP (rede B). Será o primeiro escravo nas redes A.1
e A.2.
config
ip routing
vlan link-detect
interface vlan 5
name VLAN_roteadores
ip address 5.0.0.3/29
set-member untagged ethernet 1/25
set-member untagged ethernet 1/27
interface vlan 20
name VLAN_clientes_L2_VLAN_A
ip address 2.0.0.3/24
ip address 2.1.0.3/24 secondary
set-member tagged ethernet 1/26
vrrp 20 ip 2.0.0.254
vrrp 20 auth chaveSecreta
vrrp 21 ip 2.1.0.254
vrrp 21 auth chaveSecreta
interface vlan 30
name VLAN_clientes_L2_VLAN_B
ip address 3.0.0.3/24
set-member tagged ethernet 1/26
vrrp 30 ip 3.0.0.254
vrrp 30 auth chaveSecreta
interface vlan 10
ip address 10.0.3.1/24
set-member untagged ethernet 1/28
interface vlan 20
interface vlan 30
vrrp 30 priority 200
interface vlan 1
no set-member ethernet all
exit
ip default-gateway 10.0.3.254
1. PC 1
ifconfig eth0 2.0.0.100 netmask 255.255.255.0 up
route add default gw 2.0.0.254
2. PC 2
ifconfig eth0 3.0.0.100 netmask 255.255.255.0 up
route add default gw 3.0.0.254
3. PC 3
ifconfig eth0 2.1.0.100 netmask 255.255.255.0 up
route add default gw 2.1.0.254
Agora, todos os computadores devem conseguir se pingar e realizar troca de tráfego normalmente.
Por exemplo, para pingar o PC1 a partir dos PCs 2 e 3:
ping -i .1 2.0.0.100
Bateria de testes
Todos os computadores devem conseguir acesso um ao outro, porém sempre através do seu gateway.
Realizar um ICMP PING entre os PCs, por exemplo, devem mostrar apenas a entrada MAC do roteador.
Um PC não pode e não vai aprender o MAC do outro diretamente, mesmo que na mesma VLAN.
É possível utilizar roteamento estático ou dinâmico com o VRRP, aumentando a gama de soluções
atendidas. Para maiores informações sobre o roteamento dinâmico, recomenda-se a leitura dos Application
Notes específicos sobre este assunto.