barra de menu

martes, 2 de junio de 2015

7. REDUNDANCIA/ALTA DISPONIBILIDAD

Para asegurar el servicio existen protocolos de redundancia y disponibilidad. Estos protocolo están dentro del grupo de protocolos denominado: FIRST HOP REDUNDANCY PROTOCOLS (FHRP).

Veamos los que nos exige Cisco para el CCNP.


HSRP (HOT STANDBY PROTOCOL)


Protocolo propiedad de Cisco. 

Las puertas de enlace (gateways) se organizan en "grupos standby" (la versión 2 permite de 0  a 4095 grupos de standby).

Usa la dirección multicast 224.0.0.2  y el puerto UDP 1985 para la versión 1

Usa la dirección multicast 224.0.0.102  y el puerto UDP 1985 para la versión 2.  Le añade 6 bytes a los mensajes con la mac del routers. Los mensajes son TLV's. Los paquetes de la versión 1 son ignorados.

Mantiene un equipo en active y los otros en standby

Los paquetes "hello" se envían cada 3 segundos. El "dead time" es a los 10 segundos.

Se le puede añadir autenticación en texto plano o con MD5.

Emula una dirección ip y una dirección mac virtuales. La estructura de la mac cuando creamos el "standby group" es: 0000.0c07.ac01


         0000.0C à Cisco Vendor ID
         07ac à HSRP ID
         01 à Standby group number



Los PC's tienen configurada como puerta de enlace la dirección 192.168.0.1. Esta dirección es la ip virtual que hemos configurado. Los routers tienen configurada la .2 y la .3 respectivamente en las interfaces físicas. 

Configuramos el grupo y la dirección ip virtual que van a compartir:
                 
        (config-if)#standby 1 ip address 192.168.0.1 - En todos los equipos
                     

A través de la prioridad, que por defecto es 100, configuraremos el equipo que queramos que sea por donde pase el tráfico. Aumentamos,por ejemplo, R1 a una prioridad de 110 (va de 1 a 255). De esta manera los PC's apuntan a una dirección que el grupo standby sabe que tiene que responder R1. Si la interface ethernet de R1 falla, será R2 quien empiece a publicar la 192.168.0.1 y recibir el tráfico. Sin embargo, cuando R1 se recupera, no toma el rol de "active"; para ello tendrá que esperar a que falle R2 y que se repita el mismo proceso


              (config-if)#standby priority 110 - por defecto es 100


Tenemos la opción de Preempt. Esta opción sirve para hacer que el equipo sea siempre el activo cuando se recupere de un fallo. Cuando se recupera R1, tomaría el rol de "active". 


             (config-if)# standby 1 preempt - será el active cuando recupere

Se puede configurar más a fondo la opción preempt. Podemos necesitar que el equipo no tome el rol nada más recuperarse. Por ejemplo, podría tomar el rol active antes de que todos sus procesos hubieran arrancado y no poder enviar tráfico.


             (config-if)# standby 1 preempt delay (minimum, reload, sync)


También podemos configurar "timers" de los mensajes "hello" que se intercambian entre los equipos que hemos metido en el grupo. El hello por defecto es cada 1 segundo:


               (config-if)# standby 1 timers 1 (hello) 3 (hold)



Otra opción importante es el tracking. Esto nos sirve para establecer la prioridad de un equipo en base al tracking (seguimiento) que hacemos de otro objeto, normalmente, otra interface. En la topología de arriba imaginemos que R1 tiene una enlace WAN de 10 MB y R2 otra de 2Mb. La empresa quiere que R1 sea el principal pero si hay algún problema en el enlace WAN se debe pasar el tráfico a R2. Configuraramos un tracking a la WAN de R1 y le decimos que si se cae la conexión, la prioridad del grupos HSRP bajará lo suficiente como para estar debajo de la que tiene R2 haciendo a este tomar el rol de active y así pasar el tráfico por R2


        (config-if)# standby 1 track e0/0 20 à 20 es lo que baja la prioridad 

 
Cuando usemos el tracking hay que configurar el preempt en todos los equipos, pues si no, cuando el equipo en active fallara, sería el único con preempt y siempre sería el active. Hay que configurarlo en todos los equipos que queramos que pase a active si falla el principal.


Para configurar autenticación:


         (config-if)# standby 1 authentication md5 






VRRP (VIRTUAL ROUTER REDUNDANCY PROTOCOL)


VRRP es un protocolo de redundancia como HSRP pero es un estándar.

Aquí los roles son master y backup

El standby group es ahora vrrp group. 

El router master comparte la ip virtual que puede ser una ip real.

El hello es cada 1 segundo. El down time es 3 veces más que el hello más el skew timer. 

Usa la dirección multicast 224.0.0.18  y el puerto UDP 112.

La prioridad por defecto también es 100 ( de 1 a 254) -  Gana la más alta.

La opción preempt está habilitada por defecto.

También soporta autenticación de texto plano o con MD5.


Para configurarlo:


(config)# interface e0/0

(config-if)#vrrp 20 ip X.X.X.X

(config-if)#vrrp 20 preempt

                                           - advertise: en el master
(config-if)#vrrp 20 timers
                                           - learn: por defecto. El resto de equipos recibirán el timer

(config-if)#vrrp 20 priority X

(config-if)#vrrp 20 authentication X


Para verificar el vrrp:


       sw#show vrrp



GLBP (GATEWAY LOAD BALANCING PROTOCOL)


Ofrece la posibilidad de tener múltiples gateways para el mismo grupo GLBP que envía tráfico.

Los "hellos" entre los equipos son cada 3 segundos.

Usa la dirección multicast 224.0.0.102  y el puerto UDP 3222.

Preempt está deshabilitado.

A parte de configurar la prioridad para cada equipo, en GLBP podemos establecer el peso de tráfico que cada router aceptará.

Publica un dirección ip pero multiples direcciones mac. El AVG (Active Virtual gateway) será el encargado de dar la mac de un router o de otro a la petición ARP de los PC's sobre la dirección ip virtual. Es decir, contesta a todas las peticiones arp. estás macs son virtuales, pero todas asociadas a la misma ip virtual.

Usa el peso (weigth) para determinar la capacidad de tráfico que envía a un equipo u otro del grupo GLBP. El peso por defecto es 100.

El reparto de las mac por parte del AVG a los otros routers AVF (Active Virtual Forwarders) se puede hacer por 3 métodos:


               - Porcentaje

               - Round Robind: una vez cada uno. Por defect.

               - Host - Dependant: asignado a un host específico


Si el AVG fall, será uno de los AVF el que tome el rol y la capacidad de envío se redistribuirá entre los que quedan.


Usa la dirección multicast 224.0.0.102 para los "hello" cada 3 segundos.

También soporta autenticación de texto plano o con MD5.


Para configuarlo:


(config)# inter e0/0

(config-if)# glbp 1 ip X.X.X.X

(config-if)# glbp 1 priority 150 - por defecto es 100. Si se cae, la siguiente mejor prioridad.

(config-if)#glbp 1 timers X X

                                                          - host-dependent
(config-if)# glbp 1 load-balancing  - round-robin
                                                          - weighted

(config-if)#glbp 1 authentication md5 key-string X

Para verificarlo:


    
     Sw# sh glbp



IRDP (ICMP ROUTER DISCOVERY PROTOCOL)


Este protocolo sirve para que los host encuentren un gateway. Cuando un dispositivo que ejecuta IRDP está actuando como gateway envía un mensaje icmp de tipo 9 (router adverstisement y que es broadcast) periódicamente o como respuesta a mensaje icmp de tipo 10 que envía el host solicitando un gateway (router solicitation). Cuando el cliente (host) recibe el tipo 9, añade el gateway  a su tabla de rutas local.

Elimina la necesidad de configurar los gateways (puertas de enlace) manualmente en los equipos.

Si tenemos varios equipos que pueden hacer de router, también podemos configurar la prioridad y establecer que equipo toma el rol de principal y cual el de backup.



SNMP - SIMPLE NETWORK MANAGEMENT PROTOCOL


Es un protocolo de la capa de aplicación que se usa para intercambiar la información de equipos en formato de mensajes entre agentes (host) y los administradores (recolector).

Está estandarizado y tiene un uso muy extenso.

Usa UDP en el puerto 161 (request) y 162 (traps e inform request)

Se compone de 3 partes:


        - SNMP Manager: al que le llegan los mensajes (traps o inform request)

        - SNMP Agent: quien envía los mensajes

        - MIB: Management Information Base (la base de datos)



Los mensajes puede ser:


        - Traps: alertan al manager de algo en la red

        - Inform Request: son traps que incluyen una petición de confirmación de recibo del manager.


Se prefieren los traps porque generan menos tráfico.


Hay varias versiones de snmp: la 1, la 2c y la última es la 3 que le ha añadido encriptación y autenticación.


Para configurarlo tendremos que asignar una comunidad, un servidor (syslog) a donde llegará la información. Syslog es un protocolo de envío de mensajes de registro que usa UDP en el puerto 514.


(config)#snmp-server community X RO/RW - Read-only/Read and Write

(config)#snmp-server host X.X.X.X traps version (1,2c,3)|(auth,noauth)


Podemos añadir líneas de información local, contactos, localización, versiones, etc.


Para verificar:


       sw#show snmp







NETFLOW


Netflow es una característica que podemos configurar en los equipos y que recoge información del tráfico y lo envía proactivamente a un equipo central.

Con Netfow podemos medir la cantidad de tráfico de la red. 

Cada paquete enviado es examinado. Netflow mira una serie de atributos:
  • Ip de origen/destino
  • Puerto origen/destino
  • Protocolo de capa 3
  • Clase de servicio
  • Interface 



Podemos exportar los datos recogidos a un "collector" que se encargará de ensamblarlos y presentarlos. Para configurarlo tenemos que hacerlo a nivel de interface:


 (config-if)#ip flow ingress


 (config-if)#ip route-cache flow
 
 (config-if)#ip flow-export version X

 (config-if)#ip flow-export destination X.X.X.X 39541 - número de puerto











 


También podemos configurarlo a nivel local y ver tanto el tráfico de entrada como de salida. Es bastante útil para hacer troubleshooting.


 (config-if)#ip flow ingress


 (config-if)#ip flow egress



Para verlo en el router usamos:


show ip cache flow

show ip cache verbose flow

show ip flow interface



IP SLA (INTERNET PROTOCOL SERVICE LEVEL AGREEMENT)


Este protocolo sirve también para monitorizar, verificar y analizar los acuerdos de servicio que se hacen entre las compañías y los ISP. También se puede usar para solo la LAN. Y desde luego incluso a nivel de aplicación. 

Se basa en el concepto de fuente (source) y objetivo (target)

La fuente recibira la información del objetivo (target o responder) y esta enviará la información a un equipo que analiza la información. 

También podemos darle otro uso que combinado con el tracking nos hará mejorar la redundancia en nuestros enlaces. Lo veremos en el laboratorio.


REDUNDANCIA FÍSICA

Los equipos grandes de Cisco para servicios críticos suelen llevar una tarjeta controladora que se encarga de la adminsitración de las demás y otros proceso. Está tarjeta se puede redundar.

En el examen de CCNP, Cisco quiere que sepamos que es el Logical Switching, donde encontramos el CISCO STACKWISE y el VSS (Virtual Switching System)



CISCO STACKWISE

El stackwise es una agrupación de dispositivos conectados físicamente por un cable. las conexiones se hacen de forma escalonada para asegurar la redundancia. hace que el grupo sea como un solo equipo compartiendo las tablas de capa 2 y capa 3, dependiendo de los equipos que usemos. El tráfico es siempre bidireccional. Compartirán una dirección ip para el stack, que podremos administrar.




Una característica importante es que podemos quitar y añadir equipos sin tener que configurar nada y sin que afecten al rendimiento, porque podemos hacerlo sin tener que apagar el resto.

Hay una elección de Master basado primero en la prioridad configurada, si no, dependerá de la prioridad del hardware, después decidirá si tiene configuración, aunque sea la de por defecto, frente a los equipos que no tienen nada configurado. Si no, el equipo que más tiempo lleve en funcionamiento y, por último, la mac más baja.

El master se encargará de abrir las sesiones telnet, responder a los ping, la línea de comandos, etc.

Se pueden agrupar hasta 9 equipos.


VSS (Virtual Switching System)

Soportado por equipos Cisco 6500 y 6700 con la supervisora 720.




La mejora es que a través de un VSL (Virtual Switch Link) que usará un etherchannel juntamos dos switches físicos y los convertimos en uno lógico. Podemos crear hasta 8 VSL. 






Incrementa la eficiencia. Ahora solo administramos 1 equipo.

Elimina la necesidad de crear un FHRP (HSRP, VRRP, GLBP)

Uno de los dos siempre será el que tenga el control plane activo. Se sincronizarán los chasis a través de los protocolos SSO (Stateful Switchover) y el NSF (Non-Stop Forwarding) para asegurar las comunicaciones y que no haya ningún corte de servicio en caso de falla.



Se puede hacer en todas las capas de la estructura: acceso, distribución y core.







No hay comentarios:

Publicar un comentario