SWITCH Module 5 HAFHRPmonitoring

Vysoká dostupnosť a
protokoly pre
redundanciu brány
BCMSN Module 5 Implementing high availability in a

Campus Environments
1
RCNA Žilina
High Availability
2
RCNA Žilina
Komponenty HA
 HA je technológia ako aj organizačný cieľ so zámerom poskytnúť
dostupnosť IP siete a jej služieb
 Poskytnutie HA je komplexný problém a zahŕňa:
 Riešenie redundancie
 Implementácia vhodnej technológie
 Zahŕňa softvérové a hardvérové vlastnosti
 Vyškolený personál
 Procesy
 Použitie vhodných nástrojov
3
RCNA Žilina
Redundancia
 Redundantný dizajn eliminuje centrálne body chyby,
ktoré by pri výpadku mohli spôsobiť zlyhanie služby
 Mechanizmy redundancie
 Geografická diverzita zariadení a ciest
 Duálne zariadenia a linky
 Duálne WAN pripojenie (Dvaja ISP)
 Dual data centrá
 Bežné skôr vo veľkých spoločnostiach
 Dual PBX, duálne napájanie apod.
 Dizajn je boj medzi cenou a benefitmi
4
RCNA Žilina
Technológie
 Zamerané na výpadky
• Cisco Nonstop Forwarding (NSF), Stateful Switchover (SSO),
Graceful Restart
• Monitoring s object tracking, IP SLA,
• Konvergencia smerovania, server load balancing, Firewall Stateful
Failover
Ľudia
 Vyškolení ľudia sú dôležitým prvkom
 Musia mať prostriedky na testovanie, plánovanie, dizajn
 Definované role a zodpovednosť
 Dokumentáciu a spoluprácu s inými tímami
5
RCNA Žilina
Procesy
 Organizácia by mala rozvíjať opakované procesy v:
• Dokumentácia opakujúcich sa procesov (upgrades)
• Dokumentácia failover procesov a testovacích lab. procedúr
• Manažment a dokumentácia implementačných procedúr
• Vhodné používanie labákov (testovanie nových zariadení, upgradov,
failover mechanizmov, zmien)
• PPDIOO
Nástroje
 Dobrý monitoring dostupnosti a výkonnosti siete a služieb
 S adekvátnou dokumentáciou
• Aktuálnou, sieťové diagramy, adresovanie....
6
Resiliency for High
Availability
7
RCNA Žilina
Resiliency for
High Availability
 Zahŕňa
 Network-Level
Resiliency
 Fokus kurzu
 System level
Resiliency
 Z pohľadu kurzu
napájanie
 Network monitoring
 Byť informovaný
keď sa niečo udeje
8
RCNA Žilina
Network-Level Resiliency
 Vybudované pomocou
redundancie zariadení a
liniek
 Duplicita (dual Staff)
 Implementované
mechanizmy pre rýchlu
konvergenciu
 L2 (RSTP), L3 (routing),
 konfigurácia active/standby
 Spolieha sa na
monitoring
 NTP, SNMP, IP SLA
9
RCNA Žilina
Failover Times
 Je potrebné brať do úvahy vlastnosti daných technológií

• Optimalizovaný failover pri routing protokoloch je menší než 1 sek
• RSTP konverguje okolo 1 sekundy
• EtherChannel failover je tiež okolo 1 sekundy.
• HSRP bez ladenia má failover do 10 sekúnd.
• Stateful service moduly prepínačov majú failover do 3 až 5 sekúnd.
• TCP/IP stack má toleranciu do 9 sekúmd
10
RCNA Žilina
Redundancia
 Poskytuje alternatívne cesty
 Snaha vybudovať optimálnu
redundanciu pre dosiahnutie HA
 Nie príliš komplexnú
 Nie príliš drahú a zložitú
 Nie nezrozumiteľnú
 Nemajúcu centrálne body zlyhania
 Odporúčanie je
 Zdvojiť distro a core prepínače vo full
mesh zapojení
 Na distro a core sa odporúča použiť
prepínače s Cisco Nonstop Forwarding
(NSF), Stateful Switchover (SSO)
 Access prepínače majú zdvojené len
prepoje na distro
11
RCNA Žilina
Redundancia
Optimal redundancy vs. Too complex redundancy
 aaa
•Kde bude Root?

•Aký bude čas konvergencie?
•Ktoré linky zablokovať?
•Ako nájdem chybu ak niečo
nepôjde?
12
RCNA Žilina
Implementácia redundancie
 Otázka je kde umiestniť redundantné zariadenia
 Sú viaceré prístupy podľa požiadaviek
 Riešenie na core, distro a access vrstve
13
RCNA Žilina
Distributed VLANs on Access Switches

 Requirement: VLAN spred over multiple access switches
 Recommendations
• Use Rapid STP (RSTP) as the version of STP.
• Provide a Layer 2 trunk between the two distribution switches to avoid unexpected
traffic paths and multiple convergence events.
• Place the Hot Standby Router Protocol (HSRP) primary and the STP primary root on
the same distribution layer switch if you choose to load balance VLANs across uplinks.
• The HSRP and RSTP root should be colocated on the same distribution switches to
avoid using the interdistribution link for transit.
14
RCNA Žilina
Local VLANs on Access Switches

 No VLANs span between access layer switches across distribution
switches.
 Here a single voice VLAN and a single data VLAN are restricted to a
single access switch.
 Root for each VLAN aligned with active HSRP instance.
 Distribution-to-distribution L3 link required for route summarization in
this design.
15
RCNA Žilina
Layer 3 Access to the Distribution

Interconnection
 No VLANs span over access switches
 L3 or routed links connect distribution and access layer switches
in this design
• in the future this will be the standard (even the links to the end stations
will be L3 in the future as prices of RPs continue to decline).
• reusing power of routing protocols
 Recommended practice is to map the L2 VLAN number to the L3
subnet for ease of use and management.
16
RCNA Žilina
Riešenie Access vrstvy

Daisy Chaining Access Layer Switches (1)
 One VLAN over multiple access switches
 No links block from an STP perspective.
 Both uplinks are available to send and receive traffic.
 Issue 1
• If a link or node in the middle of the chain or stack fails, standby HSRP peer (Dist-B)
can go active as it loses connectivity to its primary peer (Dist-A).
17
RCNA Žilina
Daisy Chaining Access Layer Switches (2)

 Issue 2
• Here the core switch sees both distribution switches advertise the VLAN 2
subnet, doing equal cost load balancing for traffic destined to VLAN 2
between Dist-A and Dist-B.
• 50% chance that return traffic arrives on distribution switch that does not have
connectivity to half of stack where traffic destined. Solution: add A-a to A-c
connection.
18
RCNA Žilina
Solution = StackWise Access Switches

 Supports recommended practice of using L3 connection between
distribution switches without having to use loopback cable or perform
extra configuration.
 Uses Cisco Catalyst 3750 switches in the access layer.
 Much less complex than chains or stacks of other models.
 StackWise switches
• Appears as one node from network topology perspective.
19
RCNA Žilina
Issue of Too Little Redundancy (1)
 VLANs span multiple access layer switches.

 No L2 link between distribution switches.
 Design is looped in figure-8 topology.
 Once access layer uplink is blocking
 HSRP hellos exchanged by transiting access switches.
20
RCNA Žilina
Too Little Redundancy (2)

 When uplink from Access A to Distribution A fails, there are
3 convergence events.
1) Dist-B nemá prístup k Dist-A, stáva sa HSRP active
2) Dist B musí odblokovať port na Access B = STP konvergencia
3) HSRP konvergencia, Dist A sa stáva opäť jediný Active
21
First Hop
Redundancy
Protocols
/ mechanizmy
zálohovania brán
22
RCNA Žilina
 Ak A padne, dynamické
smerovanie začne využívať
L3 redundancia B
Stanica A  Stanica však nepoužíva
172.16.10.182
001a.efb3.d811
smerovací protokol
 Obykle používa len jednu
1 3 pridelenú IP brány
 Existujú viaceré pokusy
o riešenie tohto problému
Router A Router B  Proxy ARP
172.16.10.82 172.16.10.83
0010.efb3.d800 0010.efb3.d801  ICMP Router Discovery
2 Protocol
 Podpora smerovacieho
protokolu v OS stanice
Internet,
Backbone, etc.
 Buď však nie sú tieto
riešenia škálovateľné, alebo
si vyžadujú osobitnú
softvérovú podporu u klienta
 Problém:
Exspirácia ARP tabuľky
na hostovy (5min.)
23
RCNA Žilina
Riešenie redundancie cez virtual router

 Routery môžu vytvárať ilúziu
nového virtuálneho routera
 Tento virtuálny router má
svoju virtuálnu MAC a IP
Virtual Router
 Stanice budú používať túto
vIP ako svoju bránu
Forwarder
Backup in  Jeden z reálnych routerov
Standby
bude nositeľom vMAC a vIP
 Ak súčasný nositeľ
virtuálnej identity prestane
odpovedať, prevezme na
seba vMAC a vIP ďalší
Internet, router
Backbone, etc.
 Pre stanice nebude táto
zmena vôbec viditeľná, lebo
z ich pohľadu sa vMAC ani
vIP nezmenila
24
L3 redundancy – Hot
Standby Routing
Protocol
25
RCNA Žilina
Hot Standby Router Protocol (HSRP)

 HSRP poskytuje:
Zoskupovanie smerovačov do grúp tvoriacich virtuálny router
Redundanciu brán zdieľaním virtuálnej IP a MAC adresy
medzi redundantnými routrami v grupe
 Každý router má svoju reálnu IP a reálnu MAC adresu!!!!
Routre v grupe si nakonfigurované adresy prenášajú medzi
sebou pomocou HSRP protokolu na Mcast adrese 224.0.0.2 s
použitím UDP portu 1985
 Routre musia mať L2 vzájomnú konektivitu
 Koncové hosty sú nakonfigurované s IP adresou
Virtuálneho routra
 Počet grúp
Od 0 po 255
Reálne na Catalyst 16
Grupa má len lokálny význam per interface
 Grupa 1 na int vlan 1 ≠ Grupa 1 na int vlan 20 26
RCNA Žilina
Hot Standby Router Protocol (HSRP)

 HSRP definuje tzv. standby group, ktorá obsahuje:
 Active router
 Nositeľ identity virtuálneho routera (vMAC, vIP)
 Je zodpovedný za obsluhu paketov posielaných na identitu virtuálneho
router
 V HSRP grupe je vždy iba jeden Active router
 Standby router
 Záložný router pre Active (podobne ako DR a BDR v OSPF)
 Ak Active router prestane pracovať, Standby router preberie na seba vMAC
a vIP
 V HSRP grupe je vždy najviac jeden Standby router
 Other routers
 Ostatné routery v HSRP grupe, ktoré nie sú ani Active ani Standby.
Monitorujú dostupnosť Active a Standby routerov.
V prípade potreby vedia prejsť do roly Standby a následne Active.
 Virtual router
 Celá standby group
27
RCNA Žilina
Činnosť HSRP – Active router

 V grupe len ACTIVE router forwarduje dáta
Volí sa per HSRP group
 Na základe priority
Default je 100, čím vyššia vyhráva
 AK zhoda priorít vyhráva router s vyššou IP adresou
Vystupuje v mene virtual routra
 Posiela Hello správy
Default každé 3s
Odpovedá na ARP dotazy MAC adresou virtuálneho
routra
 000.0c07.acxx, kde 000.0c je vendor, 07.ac je HSRP a xx
je číslo grupy
 Forwarduje dáta
28
RCNA Žilina
Činnosť HSRP
Active a Standby oba posielajú hello na 224.0.0.2
 Za účelom
Monitoringu navzájom
Informovanie zvyšných routrov v grupe o ich existencii a
úlohách
Ak Standby zistí že Active neodpovedá, preberie
rolu
 Dané Holdown timerom (def. 10 sekúnd)
Ostatné routre v grupe len počúvajú Hello
 Forwardujú pakety len priamo určené im
 Pri zmiznutí Hello je vyhlásená voľba o nový Active a
Standby
29
RCNA Žilina
 Init or Disabled HSRP stavy

Router nie je schopný sa podieľať na činnosti grupy
Napr. interface je down
 Learn
Inicializácia HSRP, interface šiel do up, router ešte nedostal Hello
 Listen (10sec)
 Router začal dostávať Hello správy
 Monitoruje prítomnosť Active a Standby routra
 Ak existujú ostáva tu
 Speak (10sec)
Router posiela a prijíma Hello správy
Začína sa podieľať na voľbe Standby a Active
 Standby
Pri neexistencii standby routra sa router označí za Standby
Pri existencii Active routera ostáva v Standby stave
Posiela Hello správy
Monitoruje prítomnosť Active routra
 Active
Pri neexistencii Active routra sa router označí za Active
Posiela Hello správy 30
RCNA Žilina
HSRP stavy
State Definition
Active router
Initial The beginning state. The initial state indicates that HSRP
does not run. This state is entered via a configuration change Prechádza
or when an interface first comes up. všetkými stavmi
Listen The router knows the virtual IP address, but the router is
neither the active router nor the standby router. It listens for Standby router
hello messages from those routers.
Speak The router sends periodic hello messages and actively Ostáva v
participates in the election of the active or standby router. A
router cannot enter speak state unless the router has the standby, kým
virtual IP address. nepadne Active
Standby The router is a candidate to become the next active router
and sends periodic hello messages. With the exclusion of Ostatné
transient conditions, there is, at most, one router in the group
in standby state.
Ostávajú v
Active The router currently forwards packets that are sent to the
group virtual MAC address. The router sends periodic hello Listen
messages. With the exclusion of transient conditions, there
must be, at the most, one router in the active state in the
group.
31
RCNA Žilina
Voľba HSRP
33
RCNA Žilina
HSRP časovače
Časovač Popis
Active timer Monitoruje aktívny router. Časovač je
resetovaný vždy keď dostane Hello od Active
routra. Ak routre neuvidia Hello aktívneho
routra v čase Hold timera dochádza k zmene
stavu routrov, musí byť zvolený jeden Active.
Standby timer Monitoruje standby router. Časovač je
resetovaný vždy keď dostane Hello od
Standby routra. Ak routre neuvidia Hello
Standby routra v čase Hold timera dochádza
k zmene stavu routrov, musí byť zvolený
jeden Standby.
Hello timer Perióda posielania Hello paketov (1-255).
Default je 3s.
Hold time Je čas, počas ktorého platí prijaté Hello
(Failover time).
Default je 10s. Býva trojnásobok Hello. 34
RCNA Žilina
HSRP multicast správy

 Hello
Posiela Active a Standby
Doručujú routrom v HSRP grupe informácie o virtuálnej adrese, priorite a
stave odosielateľa
 Coup
Použité ak router chce prevziať úlohu active routra
Napr. pri preempt
 Resign
Active router posiela pri shutdown
Active router posiela keď router s vyššou prioritou preberá active rolu
 Preemption je schopnosť iného routera prevziať na seba úlohu Active
routera, aj keď Active stále žije, avšak jeho priorita je menšia než priorita
na Standby
 Štandardne je preempcia vypnutá, v takej situácii Standby preberie na seba
úlohu Active len vtedy, keď Active úplne odíde
35
RCNA Žilina
Virtuálna IP adresa HSRP grupy

 HSRP grupa vytvára jeden virtuálny router s virtuálnou
IP
 Pri konfigurácii HSRP bude mať každý člen HSRP grupy
nastavenú tú istú vIP adresu, lebo v ktoromkoľvek momente
môže začať plniť úlohu Active routera
 vIP adresa musí byť z priestoru IP adries rozhrania, na

ktorom HSRP spúšťame
 V HSRP však táto vIP nesmie byť rovnaká ako skutočná IP
adresa niektorého člena HSRP grupy
 Odporúčané použitie
 vIP je najnižšia, reálne routery majú najvyššie IP v sieti
 vIP je najvyššia, reálne routery majú najnižšie IP v sieti
36
RCNA Žilina
Verzie HSRP protokolu

 HSRP version 1  HSRP version 2
 Default verzia v Cisco IOS  V IOS od 12.2 46SE
 Podporuje do 255 grúp  Podporuje až 4095 virtuálnych
 Používa Virtual MAC adresu grúp
0000.0C07.ACXX (XX = HSRP  Používa MAC adresu
group), 0000.0C9F.FXXX (XXX=HSRP
 HSRPv1 hello packety posielané group),
na multicast address 224.0.0.2.  Hello packety posielané na
multicast adresu 224.0.0.102
 HSRPv2 má odlišný formát
paketu od HSRPv1.
 Musí byť v grupe
nakonfigurovaná rovnaká verzia
 Zmena verzie:
Switch(config-if)#
standby <hsrp group
number> version 2
37
RCNA Žilina
Konfigurácia a overenie HSRP

! Konfiguruje HSRP na rozhrani pre danu grupu identifikovanu
cislom
! Ip address je adresa virtualneho gatewaya
! Default group je 0
Router(config-if)#standby GROUP_NUMBER ip IP_ADDRESS
! Zrusi HSRP na rozhrani

Router(config-if)#no standby GROUP_NUMBER ip IP_ADDRESS
! Zobrazenie info o HSRP

Router#sh run

Router#sh standby

Router#sh standby [interface] [group] brief
38
RCNA Žilina
Sh standby brief
DL3# show standby brie
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Fa0/0.10 10 100 Active local 10.1.10.2 10.1.10.254
Sh standby
DL3# sh standby
FastEthernet0/0.10 - Group 10
State is Active
2 state changes, last state change 00:04:42
Virtual IP address is 10.1.10.254
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.940 secs
Preemption disabled
Active router is local
Standby router is 10.1.10.2, priority 100 (expires in 8.472 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0.10-10" (default) 39
RCNA Žilina
Debug HSRP
DLS1# debug standby ?
errors HSRP errors
events HSRP events
packets HSRP packets
terse Display limited range of HSRP errors, events and
packets
<cr>
DLS1# debug standby terse

HSRP:
HSRP Errors debugging is on
HSRP Events debugging is on
(protocol, neighbor, redundancy, track, ha, arp)
HSRP Packets debugging is on
(Coup, Resign)
40
RCNA Žilina
debug standby
- ukážka voľby active
DLS1# debug standby
HSRP debugging is on
DLS1#
*Mar 8 20:34:10.221: SB11: Vl11 Init: a/HSRP enabled

*Mar 8 20:34:10.221: SB11: Vl11 Init -> Listen
*Mar 8 20:34:20.221: SB11: Vl11 Listen: c/Active timer expired (unknown)
*Mar 8 20:34:20.221: SB11: Vl11 Listen -> Speak
*Mar 8 20:34:20.221: SB11: Vl11 Hello out 172.16.11.111 Speak pri 100 ip 172.16.11.115
*Mar 8 20:34:28.905: SB11: Vl11 Hello out 172.16.11.111 Speak pri 100 ip 172.16.11.115 10s
*Mar 8 20:34:30.221: SB11: Vl11 Speak: d/Standby timer expired (unknown)
*Mar 8 20:34:30.221: SB11: Vl11 Standby router is local
*Mar 8 20:34:30.221: SB11: Vl11 Speak -> Standby
*Mar 8 20:34:30.221: SB11: Vl11 Hello out 172.16.11.111 Standby pri 100 ip 172.16.11.115
*Mar 8 20:34:30.221: SB11: Vl11 Standby: c/Active timer expired (unknown)
*Mar 8 20:34:30.221: SB11: Vl11 Active router is local
*Mar 8 20:34:30.221: SB11: Vl11 Standby router is unknown, was local
*Mar 8 20:34:30.221: SB11: Vl11 Standby -> Active
*Mar 8 20:34:30.221: %STANDBY-6-STATECHANGE: Vlan11 Group 11 state Standby -> Active
*Mar 8 20:34:30.221: SB11: Vl11 Hello out 172.16.11.111 Active pri 100 ip 172.16.11.115
POZOR: množstvo hlásení 41

RCNA Žilina
debug standby events

*Mar 3 05:38:28.502: HSRP: Vl10 Interface UP
*Mar 3 05:38:28.502: HSRP: Vl10 Starting minimum interface delay (1 secs)
*Mar 3 05:38:29.458: HSRP: Vl10 Grp 1 Active router is 172.16.10.102
*Mar 3 05:38:29.458: HSRP: Vl10 Nbr 172.16.10.102 is no longer passive
*Mar 3 05:38:29.458: HSRP: Vl10 Nbr 172.16.10.102 active for group 1
*Mar 3 05:38:29.500: HSRP: Vl10 Interface min delay expired
*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Init: a/HSRP enabled
*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Init -> Listen
*Mar 3 05:38:29.500: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Init -> Backup
*Mar 3 05:38:29.500: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Init -> Backup
*Mar 3 05:38:30.507: %LINK-3-UPDOWN: Interface Vlan10, changed state to up
*Mar 3 05:38:30.515: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Listen: h/Hello rcvd from lower pri Active router
(100/172.16.10.102)
*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Active router is local, was 172.16.10.102
*Mar 3 05:38:32.260: HSRP: Vl10 Nbr 172.16.10.102 no longer active for group 1 (Listen)
*Mar 3 05:38:32.260: HSRP: Vl10 Nbr 172.16.10.102 Was active or standby - start passive holddown
*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Listen -> Active
*Mar 3 05:38:32.260: %HSRP-5-STATECHANGE: Vlan10 Grp 1 state Listen -> Active
*Mar 3 05:38:32.260: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Backup -> Active
*Mar 3 05:38:32.260: HSRP: Vl10 Added 172.16.10.1 to ARP (0000.0c07.ac01)
*Mar 3 05:38:32.268: HSRP: Vl10 Grp 1 Activating MAC 0000.0c07.ac01
*Mar 3 05:38:32.268: HSRP: Vl10 Grp 1 Adding 0000.0c07.ac01 to MAC address filter
*Mar 3 05:38:32.268: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Backup -> Active
*Mar 3 05:38:35.254: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Active -> Active
*Mar 3 05:38:42.913: HSRP: Vl10 Grp 1 Standby router is 172.16.10.102
*Mar 3 05:38:42.913: HSRP: Vl10 Nbr 172.16.10.102 is no longer passive
*Mar 3 05:38:42.913: HSRP: Vl10 Nbr 172.16.10.102 standby for group 1
43
RCNA Žilina
Konfigurácia a overenie HSRP

 Keď je spustené HSRP
Koncová stanica sa nesmie dozvedieť
fyzickú MAC adresu aktívneho routra
Každý protokol, ktorý by mohol informovať
koncovú stanicu o MAC adrese fyzického
routra musí byť vypnutý
 Spustenie HSRP spôsobí deaktiváciu ICMP
redirektov na HSRP rozhraní
44
RCNA Žilina
Optimalizácia HSRP
! Ovplyvnenie volby Active a standby routra
! nastavenim priority, router s najvyssou PRIO vyhrava volbu Active
! Default priority je 100
! Ak je zhoda priorit, vyhrava najvyssia IP Adresa
Router(config-if)#standby group-number priority priority-value
! Zrusenie priority spet na def hodnotu

Router(config-if)#no standby group-number priority
! Prebratie ulohy active routra ak local priority je lepsia ako

! momentalne aktivneho HSRP, pretoze po obnoveni povodneho Active sa ten
! Active automaticky nestava
Router(config-if)#standby group-number preempt

! Pockaj SECOND sekúnd kým sa pokúsiš prevziat Active rolu
! Od okamihu ako si toho schopný, aka HSRP enbled or int is up
Router(config-if)#standby group-number preempt delay minimum SECONDS

! Ale az po SECOND čase od reload
Router(config-if)#standby group-number preempt delay reload SECONDS
45
RCNA Žilina
Debug HSRP – aktívny preempt pre vlan 10

! Aktívny preempt pre int vlan 10
DLS1# debug standby terse
HSRP:
HSRP Errors debugging is on
HSRP Events debugging is on
(protocol, neighbor, redundancy, track, ha, arp)
HSRP Packets debugging is on
(Coup, Resign)
DLS1(config-if)#
*Mar 3 05:30:00.588: HSRP: Vl10 Interface UP
*Mar 3 05:30:00.588: HSRP: Vl10 Starting minimum interface delay (1 secs)
*Mar 3 05:30:01.586: HSRP: Vl10 Interface min delay expired
*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Init: a/HSRP enabled
*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Init -> Listen
*Mar 3 05:30:01.586: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Init -> Backup
*Mar 3 05:30:01.586: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Init -> Backup
*Mar 3 05:30:02.593: %LINK-3-UPDOWN: Interface Vlan10, changed state to up
*Mar 3 05:30:02.602: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up
*Mar 3 05:30:03.306: HSRP: Vl10 Grp 1 Active router is 172.16.10.102
*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 created
*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 active for group 1
*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Listen: h/Hello rcvd from lower pri Active router
(100/172.16.10.102)
*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Active router is local, was 172.16.10.102
*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 no longer active for group 1 (Listen)
*Mar 3 05:30:03.315: HSRP: Vl10 Nbr 172.16.10.102 Was active or standby - start passive holddown
*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Coup out 172.16.10.101 Listen pri 150 vIP 172.16.10.1
*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Listen -> Active
*Mar 3 05:30:03.315: %HSRP-5-STATECHANGE: Vlan10 Grp 1 state Listen -> Active
*Mar 3 05:30:03.315: HSRP: Vl10 Grp 1 Redundancy "hsrp-Vl10-1" state Backup -> Active
*Mar 3 05:30:03.315: HSRP: Vl10 Added 172.16.10.1 to ARP (0000.0c07.ac01)
*Mar 3 05:30:03.315: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Backup -> Active
*Mar 3 05:30:06.309: HSRP: Vl10 IP Redundancy "hsrp-Vl10-1" update, Active -> Active
*Mar 3 05:30:13.666: HSRP: Vl10 Grp 1 Standby router is 172.16.10.102
46
RCNA Žilina
Debug HSRP – odstúpenie z Active úlohy

DL3(config)#int fa 0/0.10
DL3(config-subif)#sh
DL3(config-subif)#
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Interface DOWN
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active: b/HSRP disabled
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Resign out 10.1.10.3 Active pri 140 vIP 10.1.10.254
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active router is unknown, was local
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Active -> Init
*Mar 1 01:53:01.787: %HSRP-5-STATECHANGE: FastEthernet0/0.10 Grp 10 state Active -> Init
*Mar 1 01:53:01.787: HSRP: Fa0/0.10 Grp 10 Redundancy "hsrp-Fa0/0.10-10" state Active -> Init
*Mar 1 01:53:01.799: HSRP: Fa0/0.10 Grp 10 Standby router is unknown, was 10.1.10.2
*Mar 1 01:53:01.799: HSRP: Fa0/0.10 Nbr 10.1.10.2 no longer standby for group 10 (Init)
*Mar 1 01:53:01.803: HSRP: Fa0/0.10 Nbr 10.1.10.2 Was active or standby - start passive holddown
*Mar 1 01:53:01.807: HSRP: Fa0/0.10 IP Redundancy "hsrp-Fa0/0.10-10" update, Active -> Init
*Mar 1 01:53:01.811: HSRP: Fa0/0.10 IP Redundancy "hsrp-Fa0/0.10-10" standby, 10.1.10.2 -> unknown
*Mar 1 01:53:01.827: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.10.2 (FastEthernet0/0.10) is
down: interface down
*Mar 1 01:53:01.831: %DUAL-5-NBRCHANGE: IP-EIGRP(0) 1: Neighbor 10.1.10.1 (FastEthernet0/0.10) is
down: interface down
47
RCNA Žilina
Optimalizácia HSRP
! Nastavenie casovacov
! Hello 3 sekund
! Hold time 10 sekund
! Hold je zvycajne tri krat dlhsi ako hello
! Musí byť rovnaký v celej HSRP grupe
Router(config-if)#standby group-number timers Hello_timer

Hold_down_timer
! Alebo v milisekundach
Router(config-if)#standby group-number timers msec Hello_timer

msec Hold_down_timer
48
RCNA Žilina
HSRP interface tracking

 Čo ak linka za aktívnym
routrom je down?
 ICMP redirect je zakázaný
Virtual Router default pre HSRP
 Zmena routingu nemusí
Active
dopadnúť optimálne
Standby
 Musí existovať možnosť

Aktívneho routra uvoľniť
svoju rolu ak kľúčové
rozhrnie je down.
Internet,
Backbone, etc.
 = INTERFACE TRACKING
Ak kľúčové rozhranie je
down, zníži sa HSRP
priorita routra
49
RCNA Žilina
HSRP interface tracking – prvý spôsob –

priamy tracking rozhrania
! Interface tracking
! [interface priority] = o kolko znizim prioritu routra ak
! Rozhranie je down, default je 10
! Musi byt v celej grupe zapnuty preempt
! Trackovat mozeme viacere rozhrania
Router(config-if)#standby group-number track int_type number

[interface priority]
DLS1(config-if)# standby 1 track fast 0/1 50
! Zrusenie Interface tracking

Router(config-if)# no standby group-number track
50
RCNA Žilina
Interface tracking – druhý spôsob -

object tracking
Switch#configure terminal
Switch(config)#track object-number interface type number {line-
protocol | ip routing}
Switch(config-track)#exit
Switch(config)# interface type number
Switch(config-if)# standby [group-number] track object-number
[decrement priority-decrement]
DLS1(config)# track 100 interface Port-channel 1 line-protocol

DLS1(config-track)#exit
DLS1(config)# int vlan 20
DLS1(config-if)# standby 1 track 100 ?
decrement Priority decrement
shutdown Shutdown group
<cr>
DLS1(config-if)# standby 1 track 100 decrement 60
51
RCNA Žilina
Interface tracking – tretí spôsob –

IP SLA
ena
conf t
ip sla 10
icmp-echo 3.0.0.2 source-interface vlan 20
frequency 5
exit
ip sla schedule 10 start-time now life forever
track 10 ip sla 10 reachability
int vlan 20
stand 1 track 10 decrement 25
End
sh ip sla statisti
Ss ip sla config
sh track 10
52
RCNA Žilina
HSRP autentifikácia
 Plain text autenfikácia
! Plain text autentifikácia
! Heslo ako clear text
! Default key string je cisco
Switch(config-if)# standby group-number authentication
string
Pozn. Použitie autentifikácia pri HSRP a VRRP pri rozdielnych

heslách spôsobí, že každý router považuje to svoje heslo
za správne a vyhlási sa za Active or Master pre danú grupu
53
RCNA Žilina
HSRP autentifikácia
 MD5 autentifikácia na string
! MD5 autenfikácia
! Posiela sa MD5 hash
md5 key-string [0 | 7] string
 MD5 autentifikácia na reťazec kľúčov

Switch(config)# key chain chain-name
Switch(config-keychain)# key key-number
Switch(config-keychain-key)# key-string [0 | 7] string
Switch(config)# interface type mod/num

md5 key-chain chain-name
54
RCNA Žilina
Diagnostika HSRP autentifikácie
switch# debug standby errors

*Mar 3 05:40:49.606: HSRP: Vl1 Grp 1 Auth failed for
Hello pkt from 10.1.1.102, Text auth failed
55
RCNA Žilina
HSRP load
balancing
56
RCNA Žilina
 Predpoklad konfigurácie
Príklad konfigurácie HSRP  Net:10.0.0.0/24

Lavy:10.0.0.1/24
- topo 
Pravy:10.0.0.2/24
Jedna domena VTP
Vlan 1:192.168.1.0/24
Vlan 2:192.168.2.0/24
 HSRP
Net  Group 1 pre vlan 1
Virtual IP:192.168.1.1
10.0.0.2/24
LavyR:
 IP 192.168.1.101
10.0.0.1/24
 Active
 Prio 150, Preempt
pravyR:
Fa 0/1 Fa 0/1  IP 192.168.1.102
Fa Fa  Standby
0/24 Gi 1/1 Gi 1/1 0/24
 Prio 100
Gi 1/2 Gi 1/2
Fa Fa  Group 2 pre vlan 2
0/21
Fa Fa 0/21 Fa Fa Virtual IP:192.168.2.1
0/23 0/22 Fa 0/22 0/23
Fa Lavy:
0/20
0/20
 IP 192.168.2.101
Fa Fa  Standby
Fa Fa Fa Fa
0/21 0/21  Prio 100
0/23 0/22 0/22 0/23
Fa Fa Pravy:
0/20 0/20
Gi 1/2 Gi 1/2  IP 192.168.2.102
 Active
Gi 1/1 Gi 1/1  Prio 150, Preempt
57
RCNA Žilina
Príklad konfigurácie HSRP loadbalance

Lavy(config)#interface FastEthernet0/0 Pravy(config)#interface FastEthernet0/0
Lavy(config)#no shut Pravy(config)#no shut
Lavy(config)#interface FastEthernet0/0.1 Pravy(config)#interface FastEthernet0/0.1
Lavy(config-if)#encapsulation dot1Q 1 native Pravy(config-if)#encapsulation dot1Q 1 native
Lavy(config-if)#ip address 192.168.1.101 Pravy(config-if)#ip address 192.168.1.102
255.255.255.0 255.255.255.0
Lavy(config-if)#standby 1 priority 150 Pravy(config-if)#standby 1 ip 192.168.1.1
Lavy(config-if)#standby 1 ip 192.168.1.1 Pravy(config-if)#standby 1 preempt
Lavy(config-if)#standby 1 preempt
Lavy(config-if)#standby 1 track fa 0/1 60
Lavy(config-if)#interface FastEthernet0/0.2 Pravy(config-if)#interface FastEthernet0/0.2
Lavy(config-if)#encapsulation dot1Q 2 Pravy(config-if)#encapsulation dot1Q 2
Lavy(config-if)#ip address 192.168.2.101 Pravy(config-if)#ip address 192.168.2.102
255.255.255.0 255.255.255.0
Lavy(config-if)#standby 2 ip 192.168.2.1 Pravy(config-if)#standby 2 ip 192.168.2.1
Lavy(config-if)#standby 2 preeempt Pravy(config-if)#standby 2 priority 150
Pravy(config-if)#standby 2 preempt
Pravy(config-if)#standby 2 track fa 0/1 60
Lavy(config-if)#interface FastEthernet0/1 Pravy(config-if)#interface FastEthernet0/1
Lavy(config-if)#ip address 10.0.0.1 255.0.0.0 Pravy(config-if)#ip address 10.0.0.2 255.0.0.0
Lavy(config-if)#exit Pravy(config-if)#exit
Lavy(config)#router rip Pravy(config)#router rip
Lavy(config-router)#network 10.0.0.0 Pravy(config-router)#network 10.0.0.0
58
RCNA Žilina
Overenie konfigurácie –
sh standby brief
Lavy#sh standby brief
|
Interface Grp Prio P State Active Standby Virtual IP
Fa0/0.1 1 150 P Active local 192.168.1.102 192.168.1.1
Fa0/0.2 2 100 P Standby 192.168.2.102 local 192.168.2.1
Pravy#sh standby brief

|
Interface Grp Prio P State Active Standby Virtual IP
Fa0/0.1 1 100 P Standby 192.168.1.100 local 192.168.1.1
Fa0/0.2 2 150 P Active local 192.168.2.100 192.168.2.1
59
RCNA Žilina
Overenie konfigurácie –
sh standby
Lavy#sh standby
State is Active
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Preemption enabled
Active router is local
Standby router is 192.168.1.102, priority 100 (expires in 9.788 sec)
Priority 150 (configured 150)
IP redundancy name is "hsrp-Fa0/0.1-1" (default)
State is Standby
Active virtual MAC address is 0000.0c07.ac02
Local virtual MAC address is 0000.0c07.ac02 (v1 default)
Preemption enabled
Active router is 192.168.2.102, priority 150 (expires in 7.796 sec)
Standby router is local
Priority 100 (default 100)
IP redundancy name is "hsrp-Fa0/0.2-2" (default)
60
RCNA Žilina
Overenie činnosti –
ping
C:\Documents and Settings\palo>ping -t 192.168.1.14
Pinging 192.168.1.14 with 32 bytes of data:
Reply from 192.168.1.14: bytes=32 time=1ms TTL=254

Request timed out.
Request timed out.
Request timed out.
61
Virtual Router
Redundancy Protocol
(VRRP)
62
RCNA Žilina
VRRP
 Štandardizovaná IETF RFC 2338 alternatíva k HSRP (Cisco™)

 VRR Group (na routri je možných až 255 grúp)
Reprezentovaná virtuálnou IP a MAC adresou
Jeden Virtual Master router (v HSRP Active)
 Môže mať takú istú reálnu IP ako sa použije virtuálna – vtedy vyhráva voľbu na
Master ten router, ktorého IP je použitá ako virtuálna
Priority 255 (def. 100, vyčlenenie z voľby 0)
 Ak sa používa len virtuálna IP
Prebieha voľba na základe priority
 MAC adresa virtual routra je 0000.5e00.01xx, kde xx je dvojčíselné hexa číslo VRRP
grupy
Jeden alebo viac backup routrov (v HSRP jeden Standby, zvyšok Listen)
63
RCNA Žilina
VRRP load sharing a VRRP činnosť
64
RCNA Žilina
 Master posiela advertisements o grupe

VRRP činnosť na multicast 224.0.0.18 port # 112 v
pravidelných intervaloch 1 sekundy
(default.)
 Ak sa korektne vypína
Zruší svoju úlohu poslaním správy s
prioritou 0
Backup preberie úlohu po skew time,
bez Master down interval timera
 Ak nekorektne
Použijú sa časovače
 Advertisement interval
Def. 1 sec.
 Master down interval
Čas po uplynutí ktorého sa master považuje
za down
3 x advertisement interval + skew time
 Skew time
(256 - priority) / 256 ms
Zabezpečí, že backup router s najvyššou
prioritou sa stane Master
 Preempt je default zapnutý

Obnovený router s lepšou PRIOR.
prebera master úlohu
65
RCNA Žilina
Porovnanie VRRP a HSRP

HSRP VRRP
HSRP is a Cisco proprietary protocol, VRRP is an IEEE standard (RFC 2338 in 1998; then RFC
created in 1994, and formalized with the 3768 in 2005) for router redundancy.
RFC 2281 in March 1998.
16 groups max. 255 groups max.
1 active, 1 standby, several candidates. 1 active, several backups.
Virtual IP is different from Active and Virtual IP can be the same as one of the
Standby real IP addresses. group members real IP address.
Uses 224.0.0.2 for hello packets. Uses 224.0.0.18 for hello packets.
Default timers: hello 3 s, holdtime 10 s. The default timers are shorter in VRRP than HSRP. This
often gave VRRP the reputation of being faster than HSRP.
Can track interfaces or objects. Can track only objects.
Uses authentication within each group by Supports plaintext and HMAC/MD5 authentication methods
default. When authentication is not (RFC 2338). The new VRRP RFC (RFC 3768) removes
configured, a default authentication, support for these methods. The consequence is that VRRP
using “cisco” as the password. does not support authentication anymore. Nevertheless,
current Cisco IOS still supports the RFC 2338
authentications mechanisms.
66
RCNA Žilina
Konfigurácia VRRP
Step Description
1. To enable VRRP on an interface. This makes the interface a member of
the virtual group identified with the IP virtual address:
Switch(config-if)# vrrp group-number ip virtual-
gateway-address
2. To set a VRRP priority for this router for this VRRP group: Highest value
wins election as active router. Default is 100. If routers have the same
VRRP priority, the gateway with the highest real IP address is elected to
become the master virtual router:
Switch(config-if)# vrrp group-number priority
priority-value
3. To change timer and indicate if it should advertise for master or just
learn for backup routers:
Switch(config-if)# vrrp group-number timers advertise
timer-value
Switch(config-if)# vrrp group-number timers learn
67
RCNA Žilina
Konfigurácia VRRP
! Switch A
SwitchA(config)#interface vlan10
SwitchA(config-if)#ip address 10.1.10.5 255.255.255.0
! Vloz popis (description)

SwitchA(config-if)# vrrp 10 description POPIS GRUPY
! Virtual IP pre grupu 10

SwitchA(config-if)#vrrp 10 ip 10.1.10.1
! Priority pre router a pre grupu 10

SwitchA(config-if)#vrrp 10 priority 150
! Preempt
SwitchA(config-if)#vrrp 10 preempt delay minimum 380
! Switch B
SwitchB(config)#interface vlan10
SwitchB(config-if)#ip address 10.1.10.6 255.255.255.0
SwitchB(config-if)#vrrp 10 ip 10.1.10.1
SwitchB(config-if)#vrrp 10 priority 100
68
RCNA Žilina
Overenie a diagnostika VRRP

CatalystA# show vrrp
CatalystA# show vrrp all
CatalystA# show vrrp brief
CatalystA# show vrrp interface INT X/Y
CatalystA # debug vrrp ?

all Debug all VRRP information
auth VRRP authentication reporting
errors VRRP error reporting
events Protocol and Interface events
packets VRRP packet details
state VRRP state reporting
track Monitor tracking
69
RCNA Žilina
Overenie a diagnostika VRRP

DL1# sh vrrp
State is Backup
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 110
Master Router is 10.1.10.3, priority is 130
Master Advertisement interval is 1.000 sec
Master Down interval is 3.570 sec (expires in 3.370 sec)
DL1# sh vrrp bri

Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0.10 1 110 3570 Y Backup 10.1.10.3 10.1.10.254
70
RCNA Žilina
Konfigurácia VRRP - timers

! “Hello timer”
SwitchA(config-if)# vrrp 10 timer advertise 4
! Switch B
SwitchB(config-if)# vrrp 10 timer advertise 1
!!! Ak nesedia timery, routre nesformuju virtualny vrrp router
!!! A kazdy sa vyhlasi za mastra
! Or nechat sa naucit timery od aktualneho Mastera

! Overit, nefunguje
SwitchB(config-if)# vrrp 10 timer learn
71
RCNA Žilina
Konfigurácia VRRP - timers

DL3(config-subif)# vrrp 1 timer advertise 2
DL3(config-subif)# do sh vrrp
State is Master
Preemption enabled
Priority is 130
Track object 1 state Up decrement 40
Master Router is 10.1.10.3 (local), priority is 130
Master Down interval is 6.492 sec
DL2(config-subif)# vrrp 1 timer learn

DL2(config-subif)#do sh vrrp
State is Backup
Preemption enabled
Priority is 120
Master Down interval is 6.531 sec (expires in 6.343 sec) Learning
72
RCNA Žilina
VRRP Príklad konfigurácie
RouterA# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# interface vlan 1
RouterA(config-if)# ip address 10.0.2.1 255.255.255.0
RouterA(config-if)# vrrp 1 ip 10.0.2.254
RouterA(config-if)# vrrp 1 timers advertise msec 500
RouterA(config-if)# end
RouterB# configure terminal

Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface vlan 1
RouterB(config-if)# ip address 10.0.2.2 255.255.255.0
RouterB(config-if)# vrrp 1 ip 10.0.2.254
RouterB(config-if)# vrrp 1 priority 90
RouterB(config-if)# vrrp 1 timers learn
RouterB(config-if)# end
73
RCNA Žilina
VRRP Príklad konfigurácie
RouterA# show vrrp interface vlan 1

Vlan1 - Group 1
State is Master
Preemption is enabled
min delay is 0.000 sec
Priority is 100
RouterB# show vrrp interface vlan 1

Vlan1 - Group 1
State is Backup
Priority is 90
Master Down interval is 2.109 sec (expires in 1.745 sec)
74
RCNA Žilina
Interface tracking (object tracking)

! Monitoruj stav serial rozhrania
track 1 interface Serial0/1 line-protocol
!
interface Ethernet1/0
ip address 10.0.0.2 255.0.0.0
vrrp 1 ip 10.0.0.3
vrrp 1 priority 120
vrrp 1 track 1 decrement 25
Interface tracking (sla object tracking)

- Ako HSRP
75
RCNA Žilina
VRRP autentifikácia
 Plain text autenfikácia
! Plain text autentifikácia
! Heslo ako clear text
! Default key string je cisco
Switch(config-if)# vrrp group-number authentication text
text-string
Pozn. Použitie autentifikácia pri HSRP a VRRP pri rozdielnych

heslách spôsobí, že každý router považuje to svoje heslo
za správne a vyhlási sa za Active or Master pre danú grupu
76
RCNA Žilina
VRRP autentifikácia
 MD5 autentifikácia na string
! MD5 autenfikácia
! Posiela sa MD5 hash
Switch(config-if)# vrrp group-number authentication md5
key-string [0 | 7] string
 MD5 autentifikácia na reťazec kľúčov

Switch(config)# key chain chain-name
Switch(config-keychain)# key key-number
Switch(config-keychain-key)# key-string [0 | 7] string
Switch(config)# interface type mod/num

Switch(config-if)# vrrp group-number authentication md5
key-chain chain-name
77
RCNA Žilina
Diagnostika VRRP autentifikácie

Switch# show vrrp
Ethernet0/1 - Group 1
State is Master
Priority is 100
Authentication MD5, key-string, timeout 30 secs
78
RCNA Žilina
Diagnostika VRRP autentifikácie

Router1#: debug vrrp authentication
VRRP: Sent: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: B861CBF1B9026130DD34AED849BEC8A1
VRRP: Rcvd: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: B861CBF1B9026130DD34AED849BEC8A1
VRRP: HshR: C5E193C6D84533FDC750F85FCFB051E1
VRRP: Grp 1 Adv from 172.24.1.2 has failed MD5 auth
Router2#: debug vrrp authentication
VRRP: Sent: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: C5E193C6D84533FDC750F85FCFB051E1
VRRP: Rcvd: 21016401FE050000AC1801FE0000000000000000

VRRP: HshC: C5E193C6D84533FDC750F85FCFB051E1
VRRP: HshR: B861CBF1B9026130DD34AED849BEC8A1
VRRP: Grp 1 Adv from 172.24.1.1 has failed MD5 auth
79
GLBP
Gateway Load Balancing Protocol
80
RCNA Žilina
Gateway Load Balancing Protocol

 Vylepšenie HSRP a VRRP o lepší manažment zdrojov neaktívnych
routrov v grupe
 Ak chcem dosiahnúť lepšie vyťaženie viacerých routrov pri HSRP a VRRP =
manuálna konfigurácia load balance
 napr. rozložením Active routrov pre viaceré virtual IP
 GLBP umožňuje
Použitie viacerých “Forwarders”(GW) paralelne na smerovanie dát
Automatický výber GW
Automatický failover medzi použitými GW
Ľahšia konfigurácia využitia zdrojov ako pri HSRP a VRRP
Load sharing lepší ako pri HSRP a VRRP
 Redundantné linky využívané paralelne
 HSRP a VRRP používajú na smerovanie len jeden z uplinkov,
 ostatné nevyužité kým sa nepoužije nejaká Load Balance finta
 GLBP používa:
Jedna virtuálna IP adresa
Viaceré virtuálne MAC adresy
 Max. 4 per grupu
81
RCNA Žilina
GLBP - Základné bloky

 GLBP grupa
Active virtual gateway (AVG)
 Zvolený členmi GLBP grupy
Najvyššia priorita or najvyššia IP adresa
Def. Priorita je 100
 Jeden per GLBP grupu
 Ostatný mu robia backup
 Prideľuje virtuálne MAC adresy členom grupy
 Odpovedá na ARP requests na IP def. GW virtuálnymi MAC adresami
Active virtual forwarder (AVF)
 Max. 4 členovia GLBP grupy
 Zodpovedný za smerovanie paketov doručovaných na im pridelenú MAC
adresu
Ostatné routre = Backup AVF
Vnútorná komunikácia medzi členmi
 Každý AVG/AVF posiela hello messages každé 3 sekundy
 Na multicast adresu 224.0.0.102, User Datagram Protocol (UDP) port
3222.
82
RCNA Žilina
GLBP činnosť
83
RCNA Žilina
GLBP činnosť
 GLBP podporuje mechanizmy load - balance:

 Vážený round-robin (Weighted load-balancing algorithm)
 Objem prevádzky pripadajúci na AVF je úmerný váhe, ktorú tento
AVF ohlasuje
 Per-host (Host-dependent load-balancing algorithm)
 Konkrétna koncová stanica používa vždy ten istý AVF
 Round-robin load-balancing algorithm
 Na ARP otázky klientov AVG odpovedá cyklickým striedaním
pridelených vMAC
84
RCNA Žilina
Porovnanie HSRP a GLBP

HSRP GLBP
Cisco Proprietary, 1994 Cisco Proprietary, 2005
16 groups max. 1024 groups max.
1 active, 1 standby, several candidates. 1 AVG, several AVF, AVG load balances
traffic among AVF and AVGs
Virtual IP is different from Active and Virtual IP is different from AVG and AVF real
Standby real IP addresses. IP addresses
1 Virtual MAC address for each group 1 Virtual MAC address per AVF/AVG in each
group
Uses 224.0.0.2 for hello packets. Uses 224.0.0.102 for hello packets.
Default timers: hello 3 s, holdtime 10 s. The default timers are shorter in VRRP than
HSRP. This often gave VRRP the reputation
of being faster than HSRP.
Can track interfaces or objects. Can track only objects.
Default timers: hello 3 s, holdtime 10 s Default timers: hello 3 s, holdtime 10 s
Authentication supported Authentication supported
85
RCNA Žilina
Konfigurácia GLBP
Switch(config-if)# ip address ip-address mask [secondary]
! Ip adresa
Switch(config-if)# glbp group ip [ip-address [secondary]]
! Priorita pre volbu AVG

Switch(config-if)# glbp group priority level
! preempt
Switch(config-if)# glbp group preempt [delay minimum seconds]
! timery
Switch(config-if)# glbp group timers [msec] hellotime [msec]
holdtime
! Typ load-balance
Switch(config-if)# glbp group load-balancing [host-dependent
| round-robin | weighted]
86
RCNA Žilina
Redundancia
 Zálohovanie sa týka AVG a AVF
 Pri AVG
 Na základe priority
 Zmena AVG je až ak primárny úplne padne
 Na základe priority a nastaveného „preempt“
 Podobne ako pri HSRP
 Pri AVF
 AVF je def. považovaný vždy za „active“
 Ak padne, nahradí ho ďalší „čakateľ“
 Piaty router v grupe, resp. na základe voľby a nastavenej váhy
 Je vyberaný AVG podľa obslužného algoritmu
87
RCNA Žilina
GLBP Interface Tracking (1)
/ AVF
 GLBP podobne ako HSRP podporuje interface tracking

 Tracking znamená rozhodnutie, či daný router bude AVF or nie!
 Ak WAN linka z Router R1 padne, GLBP detekuje chybu, daný AVG/AVF
dekrementuje prioritu, AVF forwarding môžu byť presunutý na záložný AVF
• Pri preberaní je prevzatá aj virtuálna MAC adresa
• Z pohľadu klienta je prechod plynulý a transparentný
88
RCNA Žilina
GLBP Objekt tracking a weighting

 Rieši situáciu kedy a či sa má AVF vzdať svojej úlohy
Switch# configure terminal
Switch(config)# track object-number interface type number {line-protocol |
ip routing}
Switch(config-track)# exit
Switch(config-if)# glbp group weighting maximum [lower lower] [upper upper]
Switch(config-if)# glbp group weighting track object-number [decrement
value]
Switch(config-if)# glbp group forwarder preempt [delay minimum seconds]
Switch(config-if)# end
89
RCNA Žilina
GLBP Objekt tracking a weighting - príklad

 Rieši situáciu kedy sa má AVF vzdať svojej úlohy
Switch# configure terminal
Switch(config)# track 2 interface fa 0/23 line-protocol
Switch(config)# track 3 interface fa 0/24 line-protocol
Switch(config-track)# exit
Switch(config)# interface vlan 10
Switch(config-if)# glbp 10 weighting 110 lower 85 upper 105
Switch(config-if)# glbp 10 weighting track 2 decrement 20
Switch(config-if)# glbp 10 weighting track 3 decrement 10
Switch(config-if)# glbp 10 forwarder preempt delay minimum 60
Switch(config-if)# end
•Zníženie váhy pod lower znamená, že router prestáva byť AVF, jeho MAC je
pridelená na obsluhu inému AVF
•Ak sa router dostáva nad Upper jeho AVF roľa sa mu vracia
90
RCNA Žilina
Overenie a diagnostika GLBP

CatalystA# show glbp
CatalystA# show glbp brief
CatalystA# show glbp GROUP_NUM
CatalystA# debug glbp error
CatalystA# debug glbp events
CatalystA# debug glbp packets
CatalystA# debug glbp terse
91
RCNA Žilina
Konfigurácia GLBP
92
RCNA Žilina
Konfigurácia - príklad
CatalystA(config)# interface vlan 50
CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0
CatalystA(config-if)# glbp 1 priority 200
CatalystA(config-if)# glbp 1 preempt
CatalystA(config-if)# glbp 1 ip 192.168.1.1
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––-
CatalystB(config)# interface vlan 50
CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0
CatalystB(config-if)# glbp 1 priority 150
CatalystB(config-if)# glbp 1 preempt
CatalystB(config-if)# glbp 1 ip 192.168.1.1
––––––––––––––––––––––––––––––––––––––––––––––––––––––––––––-
CatalystC(config)# interface vlan 50
CatalystC(config-if)# ip address 192.168.1.12 255.255.255.0
CatalystC(config-if)# glbp 1 priority 100
CatalystC(config-if)# glbp 1 ip 192.168.1.1
93
RCNA Žilina
Overenie - príklad
94
RCNA Žilina
CatalystA# show glbp

Vlan50 - Group 1
State is Active
Redirect time 600 sec, forwarder time-out 14400 sec
a Preemption enabled, min delay 0 sec
v Active is local
g Standby is 192.168.1.11, priority 150 (expires in 9.632
sec)
Priority 200 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper
100
Load balancing: round-robin
There are 3 forwarders (1 active)
Forwarder 1
State is Active
a 3 state changes, last state change 03:27:37
v MAC address is 0007.b400.0101 (default)
f …
Forwarder ľ
.... 95
Implementing
Network Monitoring
96
RCNA Žilina
Čo je to sieťový manažment
 Net manažment je sada nástrojov, ktorá ponúka možnosť

• Verifikovať, že sieť pracuje v poriadku a podľa plánu
• Charakterizovať a definovať výkonnosť siete
• Porozumieť koľko, kade a aké toky tečú v sieti
• Lepšie diagnostikovať sieť
97
RCNA Žilina
Nástroje sieťového manažmentu

 Syslog
 SNMP
 IP SLA
98
syslog
99
RCNA Žilina
Syslog
 System Message Logging
 Umožňuje monitorovaným
zariadeniam reportovať chyby a
notifikačné správy
 Používa port UDP 514.
 Na cisco zariadeniach správa
obsahuje úroveň závažnosti
(severity) a zdroj (facility)
 Syslog je v súčasnosti
univerzálne podporovaný na
všetkých (solídnych) sieťových
prvkoch
 Možnosť logovať na
• Vty, konzolu, syslog server, buffer 100
RCNA Žilina
Syslog Severity Levels

• Čím nižšie číslo tým vyššia závažnosť (alarm)
• Vyššie čísla zahŕňajú hlášky nižších levelov
Syslog Severity Severity Level
Emergency Level 0, highest level
Alert Level 1
Critical Level 2
Error Level 3
Warning Level 4
Notice Level 5
Informational Level 6
Debugging Level 7
101
RCNA Žilina
Syslog Facilities
 Identifikuje službu, ktorá poslala hlášku na syslog.
 Využívané na identifikáciu a kategorizáciu hlásení
 Cisco IOS má aktuálne viac ako 500 „facilities“
 Najznámejšie:
 IP
 OSPF
 SYS operating system
 IP Security (IPsec)
 Route Switch Processor (RSP)
 Interface (IF)
102
RCNA Žilina
Formát Syslog správ
 Systémová správa začína so znakom percento (%)

 Facility
• Dve alebo viac písmen identifikujúci hw zariadenie, protocol, alebo sw modul
 Severity
• Kód od 0-7, ktorá indikuje úroveň závažnosti
 Mnemonic
• Kód jednoznačne identifikujúci správu
 Message-text
• Text popisujúci daný stav. Môže obsahovať detailnejší popis danej udalosti, zahŕňajúci
portové číslo, terminal, meno používateľa apod
103
RCNA Žilina
Sample Syslog Messages

08:01:13: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to up
08:01:23: %DUAL-5-NBRCHANGE: EIGRP-IPv4:(1) 1: Neighbor 10.1.1.1 (Vlan1) is up: new adjacency
08:02:31: %LINK-3-UPDOWN: Interface FastEthernet0/8, changed state to up
08:18:20: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/5, changed state to down
08:18:24: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/2, changed state to down
08:18:24: %ILPOWER-5-IEEE_DISCONNECT: Interface Fa0/2: PD removed
08:18:26: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to down
08:19:49: %ILPOWER-7-DETECT: Interface Fa0/2: Power Device detected: Cisco PD
08:19:53: %LINK-3-UPDOWN: Interface FastEthernet0/2, changed state to up
104
RCNA Žilina
Konfigurácia syslog (1)

 Konfigurácia syslog servera
! Nastav IP adresu syslog servera

Switch(config)# logging IP_ADDR
 Nastavenie úrovne hlášok (severity level)

Switch(config)# logging trap ?
<0-7> Logging severity level
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
Switch(config)# logging trap errors
105
RCNA Žilina
Konfigurácia syslog (2)

 Konfigurácia logovania do zásobníka (buffer)
• Správy budú držané lokálne
• Potrebné nastaviť level a veľkosť zásobníka
Switch(config)# logging buffered ?
<0-7> Logging severity level
<4096-2147483647> Logging buffer size
alerts Immediate action needed (severity=1)
critical Critical conditions (severity=2)
debugging Debugging messages (severity=7)
discriminator Establish MD-Buffer association
emergencies System is unusable (severity=0)
errors Error conditions (severity=3)
informational Informational messages (severity=6)
notifications Normal but significant conditions (severity=5)
warnings Warning conditions (severity=4)
xml Enable logging in XML to XML logging buffer
Switch(config)# logging buffered errors
! Velkost bufra
Switch(config)# logging buffered 8192
106
RCNA Žilina
Overenie konfigurácie Syslog

 Príkaz
• show logging
 Na filtráciu výpisov je vhodné používať pipe (|) s kľúčovým

slovom
• include or begin
Switch# show logging | include LINK-3

2d20h: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
Switch# show logging | begin %DUAL
2d22h: %DUAL-5-NBRCHANGE: EIGRP-IPv4:(10) 10: Neighbor 10.1.253.13
(FastEthernet0/11) is down: interface down
2d22h: %LINK-3-UPDOWN: Interface FastEthernet0/11, changed state to down
2d22h: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/11,
changed state to down
107
RCNA Žilina
Čas (najmä správny) je dôležitý!!!!

! Pridaj casovu znacku pre debug spravy
Router(config)# service timestamps debug datetime msec localtime show-
timezone
! Pridaj casovu znacku pre log spravy

Router(config)# service timestamps log datetime msec localtime show-
timezone
debug Indicates that the timestamp should be applied to debugging messages.

log Indicates that the timestamp should be applied to system logging
messages.
uptime Time stamp with the time since the system was rebooted. The time
stamp format for uptime is HHHH:MM:SS.
datetime Time stamp with the date and time. The time stamp format for datetime
is MMM DD HH:MM:SS.
msec (Optional) Include milliseconds in the time stamp.
localtime (Optional) Time stamp relative to the local time zone.
year Include the year in the datetime format.
show-timezone (Optional) Include the time zone name in the time stamp.
Predpokladá sa správny lokálny čas (NTP?) !!!!
108
RCNA Žilina
Ďalšie čítanie
 Troubleshooting and Fault Management
 http://www.cisco.com/c/en/us/td/docs/ios-
xml/ios/bsm/configuration/15-mt/bsm-15-mt-book/bsm-
troubleshooting.html
109
SNMP
110
RCNA Žilina
Simple Network Management Protocol

 Je de facto jediný štandard pre
manažment v IP sieťach
 SNMP má tri komponenty:
• Network Management Application
(SNMP Manager)
• SNMP Agents
• Pracuje vo vnútri riadeného zariadenia
• MIB Database
• Databáza objektov, ktoré popisujú
informáciu v definovanom formáte (SMI)
 SNMP definuje ako budú riadiace
správy manažmentu vymieňané cez
sieť medzi SNMP aplikáciou a
SNMP agentom
• Pull model
• Manažér sa opýta agenta
• Push model
• Agent sám pošle info manažérovy
 Existujú viaceré verzie SNMP
protokolu
111
RCNA Žilina
MIB – Management Information Base

 Objekty na agentovi majú iso(1)
svoje identifikátory OID 1

org(3)
(Object IDentifier) 3
 OID sú usporiadané v dod(6)
stromovej štruktúre 6
 Vrcholy majú číselný i internet(1)
slovný názov 1 private(4)
 Konkrétny objekt je directory(1) 4
adresovaný cestou od 1
koreňa stromu 2
mgmt(2) experimental(3)
3
 Príklad: .1.3.6.1.2.1.1
mib-2(1)
iso(1) org(3) dod(6) internet(1)
1 tcp(6)
mgmt(2) system(1)
6
mib-2 (1)
1
system (1) interfaces(2) ip(4)
2 4
112
RCNA Žilina
Porty a UDP
 SNMP ako transportný mechanizmus používa
User Datagram Protocol (UDP) s portami
 UDP Port 161 - SNMP Messages
• UDP Port 162 - SNMP Trap Messages
Ethernet
Frame IP CRC
Packet
SNMP Message
UDP
Datagram
113
RCNA Žilina
SNMP Verzia 1 (SNMPv1)

 Definovaná v RFC 1157  Set Request (Set)
 Použitá na nastavenie MIB
 Definuje päť základných správ
premennej na agentovi
 Get Request (Get)
 Get Response (Response)
 Požaduje načítanie hodnoty
 Použitá agentom na odoslanie
danej MIB premennej agenta
odpovede na Get Request a Get
 Get Next Request (GetNext)
Next request
 Použitá po počiatočnom „Get
 Trap
Request“ na získanie ďalšej
 Zasielanie nevyžiadanej správy z
položky z MIB
agenta na manažéra. Zvyčajne
nastanie udalosti, alarm a pod.
114
RCNA Žilina
SNMP Verzia 2 (SNMPv2)

 Definovaná v RFC 1441
 Problém s akceptáciou v IETF z dôvodu bezpečnosti a administratívy
 Má len experimentálne implementácie
 Community-based SNMPv2 (SNMPv2C)

 RFC 1901
 Najbežnejšia implementácia SNMP
 SNMPv2C používa administratívny framework definovaný v SNMPv1, ktorý
používa read/write komunitné reťazce (heslá) za účelom riadenia prístupu
 SNMPv2 pridáva dva nové druhy správ:

 Get Bulk Request:
 Umožňuje preniesť väčšie množstvo dát
 Zvyšuje výkonnosť obmedzením opakujúcich sa správ request/reply
 Inform Request:
 Umožňuje informovať manažéra o nastáti udalosti
 Príjem je potvrdzovaný
115
RCNA Žilina
SNMP Security
 SNMPv1 a v2 Community Strings (like
passwords)
 READ-ONLY
 Overenie zasielaných Get & GetNext na SNMP agenta
 Ak agent používa rovnaké reťaze odpovie na request
 READ-WRITE
 Overenie Get, GetNext, a Set.
 Ak daný MIB objekt má ACCESS hodnotu typu read-write,
Set správou môžeme zmeniť hodnotu premennej MIB
objektu
 TRAP
 Spájanie entít do komunitných skupín
116
RCNA Žilina
SNMP Verzia 3
 RFCs 3410 až 3415
 Pridáva metodiku na zabezpečenie prenosu kritických dát medzi
manažovanými zariadeniami
 SNMPv3 prináša tri úrovne zabezečenia
 noAuthNoPriv:
 Autentifikácia nie je vyžadovaná, šifrovanie nie je poskytované
 authNoPriv
 Využíva autentifikáciu postavenú nad Hash-based Message Authentication Code
with Message Digest 5 (HMAC-MD5) alebo Hash-based Message Authentication
Code with Secure Hash Algorithm (HMAC-SHA). šifrovanie nie poskytované
 authPriv
 K autentifikácii sa pridáva šifrovanie cez Cipher Block Chaining-Data Encryption
Standard (CBC-DES)
 Úroveň zabezpečenia definuje ku ktorému SNMP objektu môže používateľ

pristupovať, pre čítanie, zápis alebo nastavenie notifikácie
117
RCNA Žilina
Odporúčania pre používanie SNMP

 Komunitné reťazce v SNMPv1 a SNMPv2 sú
prenášané ako čistý text
 Komunitné reťazce by sa mali meniť v pravidelných
intervaloch podľa požiadaviek sieťovej politiky
 Napr. pri zmene admina 
 Ak cez SNMP len monitorujeme zariadenia, treba

používať len Read Only komunitu
 Na riadenie prístupu zo SNMP manažérov používaj
ACL.
 Nasadenie SNMPv3 je vysoko odporúčané kvôli
autentifikácii a šifrovaniu
118
RCNA Žilina
Konfigurácia SNMP
 Vytvorenie ACL pre limitovaný prístup k SNMP agentovi
 Nastavenie SNMP komunít
 Nastavenie cieľa pre zasielanie správ SNMP Trap
 Aktivácia konkrétnych SNMP Trap správ
Switch(config)# access-list 1 permit 10.1.1.0 0.0.0.255

Switch(config)# snmp-server community cisco RO 1
Switch(config)# snmp-server community xyz123 RW 1
Switch(config)# snmp-server host 10.1.1.50 xyz123
Switch(config)# snmp-server enable traps ?
119
RCNA Žilina
Voľne šíriteľné SNMP MIB broser-y

(walkers)
 Free SNMP MIB Browser Tools
 http://www.manageengine.com/products/mibbrowser-free-tool/
 SnmpB
 http://sourceforge.net/projects/snmpb/
120
IP Service Level
Agreement
121
RCNA Žilina
IP Service Level Agreement

 IP SLA je kontrakt medzi poskytovateľom služby a
zákazníkom
• Môže špecifikovať rôzne položky kontraktu
• Napr. zahŕňa garantovanú úroveň dostupnosti konektivity,
výkonnosť siete (oneskorenie, RTT), odozvy
(oneskorenie, jitter, straty) a pod.
122
RCNA Žilina
IP SLA Measurements
 Cisco IP SLA je nástroj vhodný na overenie prostredia pre nasadenie

služby, dodržiavanie kontraktu, monitorovanie prostredia, daignostika,
QoS parametrov, kontrola výpadkov a mnoho iných ...
 Cisco IP SLA je vlastnosť IOS ktorá umožňuje vykonávať merania
• Vykonávané zasielaním umelej prevádzky na hosta alebo smerovač, ktorý sú
nastavený naň odpovedať
 IP SLA podporuje veľké množstvo testov
• Protokoly
• UDP, TCP, ICMP, HTTP, DNS, DHCP, FTP,…
• Testovane konektivity
• ICMP or UDP
• Testovanie chvenia (Jitter)
• A zozbierať množstvo parametrov, dostupných cez SNMP MIB or CLI
123
RCNA Žilina
Cisco IOS IP SLAs nasadenie a metriky

*DATA *SERVICE LEVEL
*VoIP **STREAMING
TRAFFIC AGREEMENT *AVAILABILITY
VIDEO
• Minimize • Minimize • Measure Delay, Connectivity • Minimize

REQUIREMENT
Delay, Packet Delay, Packet Loss, testing Delay,

Loss Packet Jitter Packet Loss
• Verify QoS Loss, Jitter • One-way
IP SLA MEASURMENT
• Jitter
• Jitter
• Packet loss
• Jitter • Packet loss • Jitter
• Latency • Connectivity
• Packet loss • Latency • Packet loss
• One-way tests to IP
• Latency • MOS Voice • Latency
• Enhanced devices
• per QoS Quality
accuracy
Score
• NTP
124
RCNA Žilina
Súčasti IP SLA
 IP SLA zdroj (source)
 Posiela testovaciu prevádzku na stanovený cieľ
 Všetky testy sú konfigurované na SLA zdroji (CLI or GUI)
 SLA zdroj využíva samostatný riadiaci protokol pre komunikáciu s
responderom ešte pred začiatkom testu
 Najmä pre časové charakteristiky je nutné, aby zdroj a respondent
boli časovo synchronizovaní (NTP)
 IP SLA respondent (responder)

 je súčasťou IOSu,
 je komponent na cieli testovacej prevádzky, ktorý slúži na
koordináciu prebiehajúceho testu s IP SLA zdrojom
 IP SLA operácia (operation)

 je meranie, ktorého súčasťou je protokol, frekvencia a prahové
(treshold) hodnoty parametrov
125
RCNA Žilina
IP SLAs meranie (operácia)

 IP SLA merania je možné
realizovať: Generated ICMP traffic to measure network
IP SLAs response
• voči zariadeniu, na ktorom Source
nebeží SLA respondent (web DNS

Serve
R1 R2 r
server alebo IP stanica)
 Obvykle sú to testy bežného
aplikačného protokolu alebo ping
IP SLAs IP SLAs
• voči zariadeniu, na ktorom beží Source
Generated traffic to measure the network
Responder
SLA respondent (napr. Cisco
R1 R2
router)
 Je možné realizovať dodatočné MIB data retrieved via SNMP
testy, prípadne získavať presnejšie

výsledky
126
RCNA Žilina
IP SLA riadiací protokol
 Na IP SLA zdroji sa zadefinuje pre každú IP SLA operáciu

• Cieľové zariadenie (probe), protokol a UDP or TCP port číslo
 Pred započatím testu prebehne kontrolná fáza
• IP SLA zdroj následne pred poslaním test paketu použije na komunikáciu s responderom riadiaci
protokol (port 1967), ak všetko v poriadku Responder odpovie OK
• Info o trvaní testu, protokole a porte
• Riadiace správy môžu byť overované MD5 hashom
 Test začne posielaním sady testovacích paketov medzi IP SLA zdrojom a

responderom za periódu času
 Keď skončí test, výsledok je uložený v SNMP IP SLA MIB
127
RCNA Žilina
IP SLA Responder Timestamps
 IP SLA responder timestamps je využité pri kalkulácii

round-trip time (RTT)
 IP SLA source posiela paket v čase T1.
 IP SLA responder zahrnie v odpovedi čas príjmu (T2) a čas
odoslania (T3).
 Je vhodné mať zdroj aj cieľ synchronizovaný cez NTP
128
RCNA Žilina
Konfigurácia IP SLA s object tracking

1. Definovať aspoň jednu SLA operáciu (test, tzv. probe)
2. Definovať dobu trvania operácie
3. Definovať aspoň jeden tzv. tracking object, ktorý bude

reprezentovať úspech alebo neúspech SLA operácie
4. Definovať akciu asociovanú s tracking object-om
 Pozor:
 Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa
príkaz ip sla monitor nahrádza príkazom ip sla
129
RCNA Žilina
Vytvorenie IP SLA operácie

 Vytvorenie IP SLA operácie
Router(config)#
ip sla operation-number ! alebo: ip sla monitor operation-number
 Parameter operation-number je ID operácie (ľubovoľné)

R1(config)# ip sla 1 ! Alebo: ip sla monitor 1
R1(config-ip-sla)# ?
IP SLAs entry configuration commands:
dhcp DHCP Operation
dns DNS Query Operation
exit Exit Operation Configuration
icmp-echo ICMP Echo Operation ! alebo: type echo protocol ipIcmpEcho
icmp-jitter ICMP Jitter Operation
! Skrátené kvôli stručnosti
R1(config-ip-sla)#
131
RCNA Žilina
Defining an IP SLAs ICMP Echo Operation

 Definovanie ping operácie voči non-responder cieľu
Router(config-ip-sla)#
icmp-echo {destination-ip-address | destination-hostname} [source-
ip {ip-address | hostname} | source-interface interface-name]
Parameter Popis
destination-ip-address |
Cieľová IPv4/IPv6 adresa
destination-hostname
source-ip {ip-address |
(Nepovinné) Stanovuje zdrojovú IPv4/IPv6 adresu
hostname}
source-interface (Nepovinné) Stanovuje rozhranie, z ktorého sa požičia

interface-name zdrojová IPv4/IPv6 adresa
Pozor:
 Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa príkaz
type echo protocol ipIcmpEcho nahrádza príkazom icmp-echo
132
RCNA Žilina
icmp-echo – nastavenie detailov

R1(config-ip-sla)# icmp-echo 209.165.201.30
R1(config-ip-sla-echo)# ?
IP SLAs echo Configuration Commands:

default Set a command to its defaults
exit Exit operation configuration
frequency Frequency of an operation
history History and Distribution Data
no Negate a command or set its defaults
owner Owner of Entry
request-data-size Request data size
tag User defined tag
threshold Operation threshold in milliseconds
timeout Timeout of an operation
tos Type Of Service
verify-data Verify data
vrf Configure IP SLAs for a VPN Routing/Forwarding in-stance
R1(config-ip-sla-echo)#
 Existuje množstvo parametrov, avšak pre nás sú teraz

podstatné len parametre frequency a timeout
133
RCNA Žilina
icmp-echo – nastavenie detailov

Router(config-ip-sla-echo)#
frequency seconds
 Stanovuje, ako často sa operácia bude opakovať

 Parameter seconds udáva počet sekúnd medzi dvomi behmi tejto
operácie. Štandardná hodnota je 60 sekúnd.
Router(config-ip-sla-echo)#
timeout milliseconds
 Stanovuje čas, do ktorého SLA operácia očakáva odpoveď na

odoslanú žiadosť
134
RCNA Žilina
Naplánovanie SLA operácie – doba trvania

 IP SLA operáciu je potrebné naplánovať
Router(config)#
ip sla schedule operation-number [life {forever | seconds}]
[start-time {hh:mm[:ss] [month day | day month] | pending |
now | after hh:mm:ss}] [ageout seconds] [recurring]]
Pozor:
 Počnúc verziou IOSu 12.4(4)T, 12.2(33)SB a 12.2(33)SXI sa príkaz
ip sla monitor schedule nahrádza príkazom
ip sla schedule
135
RCNA Žilina
Voľby príkazy ip sla schedule Parameters

Parameter Description
operation-number Number of the IP SLAs operation to schedule.
life forever (Optional) Schedules the operation to run indefinitely.
(Optional) Number of seconds the operation actively collects information.

life seconds
The default is 3600 seconds (one hour).
start-time (Optional) Time when the operation starts.
Specifies an absolute start time using hour, minute, and (optionally) second.
hh:mm[:ss]
Use the 24-hour clock notation.
(Optional) Name of the month to start the operation in.

month
If month is not specified, the current month is used.
(Optional) Number of the day (in the range 1 to 31) to start the operation on.
day
If a day is not specified, the current day is used.
pending (Optional) No information is collected. This is the default value.
now (Optional) Indicates that the operation should start immediately.
(Optional) Indicates that the operation should start this amount of time after this command was
after hh:mm:ss
entered.
(Optional) Number of seconds to keep the operation in memory when it is not actively collecting
ageout seconds
information (default is 0 seconds which means it never ages out).
(Optional) Indicates that the operation will start automatically at the specified time and for the
recurring
specified duration every day.
136
RCNA Žilina
Vytvorenie tracking object-u

 Vytvoriť tracking object, ktorý bude vyhodnocovať výsledok IP
SLA operácie
Router(config)#
track object-number ip sla operation-number {state |
reachability}
Parameter Popis
object-number Číslo tracking object-u od 1 do 500 (ľubovoľné)
Číslo SLA operácie, ktorej stav bude tento tracking object

operation-number
uchovávať.
state Uchováva návratový kód (OK, OverThreshold, ...)
reachability Uchováva všeobecnú úspešnosť
Pozor:
 Počnúc verziou IOSu 12.4(20)T, 12.2(33)SXI1 a 12.2(33)SRE je príkaz
track rtr nahradený príkazom track ip sla
137
RCNA Žilina
Overenie IP SLA
Command Description
Display configuration values including all defaults for all
show ip sla Cisco IOS IP SLAs operations, or for a specified operation.
configuration
[operation] The operation parameter is the number of the IP SLAs
operation for which the details will be displayed.
show ip sla statistics

Display the current operational status and statistics of all
[operation-number |
Cisco IOS IP SLAs operations, or of a specified operation.
details]
Sh ip sla application Display global information about Cisco IOS IP SLAs.
138
RCNA Žilina
Príklad použitia ISP 1

10.1.3.3
Customer
A Primary Path
R2
10.1.1.0 .1
Internet
R1 172.16.1.0 ISP 2 172.16.3.3
.1
Backup Path
R3
R1(config)# ip sla 11
R1(config-ip-sla-echo)# frequency 10
R1(config-ip-sla-echo)# exit ! 2x
R1(config)# ip sla 22
R1(config-ip-sla-echo)# frequency 10
R1(config-ip-sla-echo)# exit ! 2x
R1(config)# track 1 ip sla 11 reachability
R1(config-track)# delay down 10 up 1
R1(config-track)# exit
R1(config)# track 2 ip sla 22 reachability
R1(config-track)# delay down 10 up 1
R1(config-track)# exit
R1(config)# ip sla schedule 11 life forever start-time now
R1(config)# ip sla schedule 22 life forever start-time now
R1(config)# ip route 0.0.0.0 0.0.0.0 10.1.1.1 2 track 1
R1(config)# ip route 0.0.0.0 0.0.0.0 172.16.1.1 3 track 2
139
RCNA Žilina
Tracking VRRP master na základe IP SLA

ena
conf t
ip sla 10
icmp-echo 3.0.0.2 source-interface vlan 20
frequency 5
exit
ip sla schedule 10 start-time now life forever
track 10 ip sla 10 reachability
int vlan 20
stand 1 track 10 decrement 25
End
sh ip sla statisti
Ss ip sla config
sh track 10
140
RCNA Žilina
Viac o SLA
 SLA Book
 http://www.cisco.com/en/US/docs/ios/ipsla/configuration/guide/
sla_overview_support_TSD_Island_of_Content_Chapter.html
141
Cisco IOS Server
Load Balancing
142
RCNA Žilina
Cisco IOS SLB Benefits
 Cisco IOS Server Load Balance (SLB) rozkladá záťaž medzi viaceré servery
• Zavádza virtuálnu IP adresu servera
• Cisco IOS SLB potom reprezentuje skupinu sieťových serverov (serverová farma v dátovom centre)
ako jednu inštanciu
 SLB vykonáva balancing
• Podľa informácii z L4 až L7
• Sofvérovo
• Hardvérovo
• Je vyžadovaný modul Cisco Application Control Engine (ACE)
 Dostupné len na prepínači Cat6500

 Výhody
• Zvýšená výkonnosť/priepustnosť
• Administrácie serverov je jednoduchšia
• Zvýšená bezpečnosť, lebo reálna IP adresa serverov nie je distribuovaná von
• Zníženie času nedostupnosti pri nasadení viac serverov
• Prepínač deteguje servery, ktoré sú nedostupné a neposielajú im prevádzku
143
RCNA Žilina
Cisco IOS SLB pracovné režimy

 Dispatched mode
 Každý server vo farme má svoju reálnu adresu a naviac virtuálnu
adresu celej farmy – konfigurovaná na Loopbacku alebo ako
sekundárna IP
 Presmerovanie sa deje vložením paketu idúceho na virtuálnu IP do
rámca adresovaného MAC adrese konkrétneho reálneho servera
 V tomto režime musia byť servery spolu so SLB v spoločnej sieti
 Directed mode
 Každý server vo farme má iba svoju reálnu adresu
 Virtuálna adresa celej farmy je serverom neznáma
 SLB realizuje NAT tak, že prepisuje cieľovú virtuálnu IP na adresu
konkrétneho reálneho servera
144
RCNA Žilina
Konfigurácia serverovej farmy v dátovom

centre s reálnymi servermi
 Krok 1. Definuje serverovú farmu:
Switch(config)# ip slb serverfarm SERVERFARM-NAME
 Krok 2. Pridá reálny server do serverovej farmy:

Switch(config-slb-sfarm)# real A.B.C.D
 Krok 3. Povolí používanie reálneho servera vo farme:

Switch(config-slb-real)# inservice
145
RCNA Žilina
Konfigurácia serverovej farmy v dátovom centre

s reálnymi servermi (2)
 Dve farmy v dátovom centre,
PUBLIC a RESTRICTED
 PUBLIC serverová farma
asociované tri reálne servery:
10.1.1.1, 10.1.1.2, a 10.1.1.3.
 RESTRICTED serverová farm má
dva reálne servery: 10.1.1.20 and
10.1.1.21.
Swítch(config)# ip slb serverfarm PUBLIC
Switch(config-slb-sfarm)# nat server ! Len pre Directed Mode
Switch(config-slb-sfarm)# real 10.1.1.1
Switch(config-slb-real)# real 10.1.1.2
!
Swítch(config)# ip slb serverfarm RESTRICTED
Switch(config-slb-sfarm)# nat server ! Len pre Directed Mode
Switch(config-slb-sfarm)# real 10.1.1.20
146
RCNA Žilina
Diagnostika SLB
 Zobrazenie stavu a konfigurácie
serverových fariem
 Asociované reálne servery
 Stav reálnych serverov
 Systém rozkladania záťaže
 Počet obsluhovaných spojení
Switch# show ip slb real
real farm name weight state cons
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
10.1.1.1 PUBLIC 8 OPERATIONAL 0
10.1.1.20 RESTRICTED 8 OPERATIONAL 0
10.1.1.21 RESTRICTED 8 OPERATIONAL 0
Switch# show ip slb serverfarm

server farm predictor nat reals bind id
– – – – – – – – – – – – – – – – – – – – – – – – – - - - - -
PUBLIC ROUNDROBIN none 3 0
RESTRICTED ROUNDROBIN none 2 0
147
RCNA Žilina
Konfigurácia serverovej farmy v dátovom centre

s virtuálnymi servermi (1)
 Krok1. Definuje virtuálny server:
Switch(config)# ip slb vserver vserver-name
 Krok 2. Nastaví IP adresu virtuálneho servera:

Switch(config-slb-vserver)# virtual ip-address [network-mask] {tcp
| udp} [port-number | wsp | wsp-wtp | wsp-wtls | wsp-wtp-wtls]
[service service-name]
 Krok 3. Asociuje serverovú farmu k virtuálnemu serveru:

Switch(config-slb-vserver)# serverfarm primary-serverfarm-name
[backup backup-serverfarm-name [sticky]]
 Krok 4. Povolí virtuálny server
Switch(config-slb-vserver)# inservice
 Krok 5. Špecifikuje klientov, ktorí majú prístup na virtuálny server:

Switch(config-slb-vserver)# client ip-address network-mask
148
RCNA Žilina
Konfigurácia serverovej farmy v dátovom

centre s virtuálnymi servermi (2)
Switch(config)# ip slb vserver PUBLIC_HTTP

Switch(config-slb-vserver)# virtual 10.1.1.100 tcp www
Switch(config-slb-vserver)# serverfarm PUBLIC
Switch(config)# ip slb vserver RESTRICTED_HTTP
Switch(config-slb-vserver)# virtual 10.1.1.200 tcp www
Switch(config-slb-vserver)# client 10.4.4.0 255.255.255.0
Switch(config-slb-vserver)# serverfarm RESTRICTED
149
RCNA Žilina
Overenie
! Verifikacia konfiguracie
Switch# show ip slb vserver
slb vserver prot virtual state cons
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – –
PUBLIC_HTTP TCP 10.1.1.100:80 OPERATIONAL 0
RESTRICTED_HTTP TCP 10.1.1.200:80 OPERATIONAL 0
! Stav spojenia
Switch# show ip slb connections
vserver prot client real state nat
– – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – – - - - - - - - - -
RESTRICTED_HTTP TCP 10.4.4.0:80 10.1.1.20 CLOSING none
150
RCNA Žilina
Overenie
 Zobrazenie detailných info o stave omedzeného prístupu klienta
restricted
show ip slb connections client
 Zobrazenie štatistík
show ip slb stats
Switch# show ip slb connections client 10.4.4.0 detail

VSTEST_UDP, client = 10.4.4.0:80
state = CLOSING, real = 10.1.1.20, nat = none
v_ip = 10.1.1.200:80, TCP, service = NONE
client_syns = 0, sticky = FALSE, flows attached = 0
Switch# show ip slb stats

Pkts via normal switching: 0
Pkts via special switching: 6
Connections Created: 1
Connections Established: 1
Connections Destroyed: 0
Connections Reassigned: 0
Zombie Count: 0
Connections Reused: 0
151

SWITCH Module 5 HAFHRPmonitoring

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

SWITCH Module 5 HAFHRPmonitoring

Uploaded by

Copyright:

Available Formats

Vysoká dostupnosť a

BCMSN Module 5 Implementing high availability in a

 Dizajn je boj medzi cenou a benefitmi

 Je potrebné brať do úvahy vlastnosti daných technológií

•Kde bude Root?

Distributed VLANs on Access Switches

Local VLANs on Access Switches

Layer 3 Access to the Distribution

Riešenie Access vrstvy

Daisy Chaining Access Layer Switches (2)

Solution = StackWise Access Switches

Issue of Too Little Redundancy (1)

 VLANs span multiple access layer switches.

Too Little Redundancy (2)

Riešenie redundancie cez virtual router

Hot Standby Router Protocol (HSRP)

Hot Standby Router Protocol (HSRP)

Činnosť HSRP – Active router

 Init or Disabled HSRP stavy

HSRP multicast správy

Virtuálna IP adresa HSRP grupy

 vIP adresa musí byť z priestoru IP adries rozhrania, na

Verzie HSRP protokolu

Konfigurácia a overenie HSRP

! Zrusi HSRP na rozhrani

! Zobrazenie info o HSRP

! Zobrazenie info o HSRP

! Zobrazenie info o HSRP

DLS1# debug standby terse

*Mar 8 20:34:10.221: SB11: Vl11 Init: a/HSRP enabled

POZOR: množstvo hlásení 41

debug standby events

Konfigurácia a overenie HSRP

! Zrusenie priority spet na def hodnotu

! Prebratie ulohy active routra ak local priority je lepsia ako

! Prebratie ulohy active routra ak local priority je lepsia ako

! Prebratie ulohy active routra ak local priority je lepsia ako

Debug HSRP – aktívny preempt pre vlan 10

Debug HSRP – odstúpenie z Active úlohy

Router(config-if)#standby group-number timers Hello_timer

Router(config-if)#standby group-number timers msec Hello_timer

HSRP interface tracking

 Musí existovať možnosť

HSRP interface tracking – prvý spôsob –

Router(config-if)#standby group-number track int_type number

DLS1(config-if)# standby 1 track fast 0/1 50

! Zrusenie Interface tracking

Interface tracking – druhý spôsob -

DLS1(config)# track 100 interface Port-channel 1 line-protocol

DLS1(config-if)# standby 1 track 100 decrement 60

Interface tracking – tretí spôsob –

Pozn. Použitie autentifikácia pri HSRP a VRRP pri rozdielnych

 MD5 autentifikácia na reťazec kľúčov

Switch(config)# interface type mod/num

Diagnostika HSRP autentifikácie

switch# debug standby errors

Príklad konfigurácie HSRP  Net:10.0.0.0/24

Príklad konfigurácie HSRP loadbalance

Pravy#sh standby brief

Reply from 192.168.1.14: bytes=32 time=1ms TTL=254

 Štandardizovaná IETF RFC 2338 alternatíva k HSRP (Cisco™)

VRRP load sharing a VRRP činnosť

 Master posiela advertisements o grupe

 Preempt je default zapnutý