CCNA R&S 6.0 Bridging Course часть 2

Сертификации R&S больше нет, но данная информация по-прежнему полезна.

CCNA R&S 6.0 Bridging Course часть 2, содержит урок 3 - для тех, кто готовился на сертификацию версии 3 и будет сдавать экзамены:

  • Interconnecting Cisco Networking Devices Part 2 exam (ICND2 200-105), which is associated with the CCNA Routing and Switching certification;
  • CCNA Routing and Switching composite exam (200-125), which can be taken instead of the ICND1 and ICND2 exams.

Вторая часть побольше, да и информация тут поинтереснее. По непонятной причине в последнем варианте CCNA версии 2 выкинуто всё про VTP. В версии 3 обратно вернули на место и здесь, в уроке 3, данный пробел восполняется.

Общая схема для курса:

CCNA R&S 6.0 Bridging Course часть 2

Урок 3 Scaling Networks (ScaN)

3.1: VTP, Extended VLANs, and DTP

Обзор VTP

VLAN trunking protocol (VTP) позволяет администратору управлять VLAN на коммутаторе, сконфигурированному как VTP-сервер. VTP-сервер распространяет и синхронизирует информацию о VLAN через транки на коммутаторах, где VTP включен. Это минимизирует проблемы с неверной конфигурацией VLAN в сети.

ПримечаниеVTP работает только на стандартном диапазоне VLAN (VLAN IDs 1 to 1005). Расширенный диапазон VLAN (IDs greater than 1005) не поддерживается VTP версии 1 и версии 2. VTP версии 3 поддерживает расширенный диапазон VLANs, но не рассматривается в этом курсе.

ПримечаниеVTP сохраняет VLAN конфигурацию в файле базы данных vlan.dat на флеш.

Компоненты VTP

Домен VTP:

  • Состоит из одного или нескольких соединенных коммутаторов;
  • Все коммутаторы в домене делятся конфигурацией VLAN, используя сообщения VTP;
  • Коммутаторы в различных доменах VTP не обмениваются сообщениями VTP;
  • Маршрутизатор или коммутатор уровня 3 определяет границы каждого домена.

Анонсы VTP:

  • Каждый коммутатор в VTP домене посылает периодические анонсы глобальной конфигурации через каждый свой транковый порт на зарезервированные для этого мультикастовые адреса;
  • Соседние коммутаторы получают эти анонсы и обновляют свои VTP и VLAN конфигурации, если это необходимо.

Режимы VTP - каждый коммутатор может быть сконфигурирован как сервер, клиент или прозрачный клиент (transparent).

Пароль VTP -  коммутаторы могут быть настроены на использование пароля для обмена сообщениями VTP.

Примечание. Коммутаторы не обмениваются сообщениями VTP, если транк неактивен.

Режимы VTP

Коммутатор может быть сконфигурирован в 1 из 3 режимов VTP.

VTP-сервер:

  • Рассылает анонсы о VLAN-конфигурации на все остальные коммутаторы, настроенные на работу с VTP, в пределах VTP домена;
  • Сервер хранит информацию о VLAN для всего домена в NVRAM;
  • На сервере VLAN могут быть созданы, удалены или переименованы для всего домена;
  • По умолчанию каждый коммутатор сконфигурирован в режиме VTP сервера с именем домена NULL.
VTP-клиент:
  • VTP-клиент функционирует так же как и сервер, но на клиенте нельзя менять информацию о VLAN;
  • VTP-клиент хранит информацию о VLAN только пока включен;
  • Перезагрузка клиента удаляет информацию о VLAN;
  • Нужно сконфигурировать коммутатор чтобы он работал как клиент.

VTP-transparent:

  • Прозрачный VTP коммутатор не принимает участие в VTP, за исключением форвардинга анонсов к клиентам и серверам;
  • VLAN создаваемые, удаляемые или изменяемые на прозрачном VTP коммутаторе являются локальными по отношению к этому коммутатору;
  • Для того чтобы сконфигурировать VLAN из расширенного диапазона коммутатор должен быть прозрачным VTP коммутатором.
CCNA R&S 6.0 Bridging Course часть 2

Суммарная информация в таблице:

CCNA R&S 6.0 Bridging Course часть 2

Тут требуется уточнение, во всех источниках указано, что VTP Server/Client хранят конфигурацию в файле vlan.dat на флеш, при этом данный официальный курс, видно из таблицы, напирает на NVRAM. Как же быть? Внимательно читаю все страницы курса и вот оно: The VTP configuration revision number is stored in NVRAM (or Flash on some platforms)..

Примечание. Коммутатор в режиме сервера или клиента с номером ревизии конфигурации выше, чем в оставшейся части домена VTP, обновляет конфигурацию во всем домене VTP.

Анонсы VTP

VTP включает 3 типа анонсов:

  • Summary advertisements – Информирует смежные коммутаторы о имени VTP домена и номере ревизии конфигурации.
  • Advertisement request – Это ответ на summary advertisement сообщение в том случае, когда summary advertisement содержит номер ревизии конфигурации выше, чем текущее значение на коммутаторе.
  • Subset advertisements – Содержит VLAN информацию, включающую любые изменения VTP конфигурации.

По умолчанию коммутаторы Cisco отправляют summary анонсы каждые 5 минут. Эти анонсы информируют о имени VTP домена и о номере ревизии текущей конфигурации.

Номер ревизии конфигурации это 32-битный номер. Каждый коммутатор, участвующий в VTP домене, отслеживает номер ревизии конфигурации.

Процесс VTP

Когда коммутатор получает summary анонс он сравнивает имя VTP домена и если имя отличается, то отбрасывает пакет. Если имя домена совпадает, тогда коммутатор сравнивает номер ревизии конфигурации анонса со номером ревизии своей конфигурации, если номер анонса меньше или равен - пакет отбрасывается. Если собственный номер ниже, тогда коммутатор посылает requaest анонс, чтобы получить subset анонс с изменениями в конфигурации.

CCNA R&S 6.0 Bridging Course часть 2
Версии VTP

Коммутаторы в одном домене VTP должны иметь одну и ту же версию VTP.

CCNA R&S 6.0 Bridging Course часть 2

ПримечаниеVTPv2 мало отличается от VTPv1 и используется в основном, если нужна поддержка устаревшего Token Ring.

Default VTP Configuration
CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2

В таблице говорится о VTP Pruning, но дальше этот режим не объясняется в курсе. VTP Pruning нужен для экономии полосы пропускания, когда коммутатору не присылается трафик для VLANs, в которых у него нет портов.

Предостережение о VTP

Добавление в коммутатора с включенным VTP в существующий VTP домен, может затереть конфигурацию VTP домена, если номер ревизии конфигурации у нового коммутатора выше, чем у VTP-сервера. Это произойдет независимо от того в режиме клиента или сервера находится новый коммутатор.

Примечание. Перед добавлением нового коммутатора в существующий домен VTP, проверьте его номер ревизии конфигурации и скиньте его при необходимости.

CCNA R&S 6.0 Bridging Course часть 2

Существуют две возможности скинуть номер ревизии конфигурации:

  1. Сменить имя VTP домена на коммутаторе на несуществующее, а потом обратно;
  2. Сменить режим VTP коммутатора на прозрачный, а затем обратно к прежнему режиму.

Ну и конечно же можно стереть startup-configuration и удалить vlan.dat из flash-памяти.


Конфигурирование VTP

Используется следующая топология:

CCNA R&S 6.0 Bridging Course часть 2

Все коммутаторы используются с настройками по умолчанию во избежание случаев с номерами ревизий конфигурации.

Сервер

Конфигурирование в режиме сервера производится командой режима глобальной конфигурации:

vtp mode server
CCNA R&S 6.0 Bridging Course часть 2

Затем можно проверить настройку с помощью команды:

show vtp status
CCNA R&S 6.0 Bridging Course часть 2

Нужно обратить внимание, что configuration revision number всё ещё 0, а количество существующих VLAN равно 5. Так происходит потому что VLAN не сконфигурированы и коммутатор не принадлежит домену VTP. Существующие VLAN это 1 и 1002-1005.

Конфигурирование имени и пароля домена VTP

Имя домена конфигурируется в режиме глобальной конфигурации с помощью команды:

vtp domain domain-name
CCNA R&S 6.0 Bridging Course часть 2

Примечание. Имя домена VTP чувствительно к регистру вводимых символов.

После этого S1 начнёт рассылать анонсы VTP на S2 и S3. S2 и S3 имеют настройки по умолчанию с именем домена VTP - NULL, оба эти коммутатора примут CCNA как новое имя домена VTP, так как они находятся в режиме сервера. Коммутаторы же в режиме клиента сначала должны получить правильное имя домена VTP и только затем начнут принимать анонсы VTP для этого домена.

По причинам безопасности пароль домена VTP должен быть сконфигурирован с помощью команды:

vtp password password

Все коммутаторы домена должны иметь одинаковый пароль.

CCNA R&S 6.0 Bridging Course часть 2

Проверить VTP пароль можно с помощью команды:

show vtp password
CCNA R&S 6.0 Bridging Course часть 2

Примечание. Установка пароля является опциональной.

Клиент
vtp mode client
vtp domain domain-name
vtp password password
CCNA R&S 6.0 Bridging Course часть 2
Конфигурирование VLAN на сервере VTP

Конфигурирование:

CCNA R&S 6.0 Bridging Course часть 2

Проверка:

CCNA R&S 6.0 Bridging Course часть 2

Следует обратить внимание, что номер ревизии конфигурации увеличился с 0 до 6, так получилось из-за того, что 3 новых,  именованных VLAN было добавлено. Каждый раз когда администратор делал изменение в базе данных VTP, номер ревизии конфигурации увеличивался на 1. Номер увеличивался на 1 когда добавлялась новая VLAN и на 1 когда VLAN присваивалось имя.

Проверка на клиентах

С помощью команд  show vlan brief и show vtp status нужно убедиться, что информация синхронизирована с сервером.

При попытке добавить VLAN на клиенте будет выдано сообщение о невозможности сделать это:

CCNA R&S 6.0 Bridging Course часть 2

Nolmal and Extended VLANs

Типы VLAN
CCNA R&S 6.0 Bridging Course часть 2

Примечание. Catalyst 2960 может поддерживать до 255 VLAN из нормального и расширенного диапазона. Однако, большое число VLAN влияет на производительность коммутатора. По умолчанию 2960 не поддерживает VLAN из расширенного диапазона.

CCNA R&S 6.0 Bridging Course часть 2

Если все же требуются VLAN именно из расширенного диапазона, то коммутатор должен быть переведен в режим VTP transparent.

CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2

DTP Trunking Modes

Dynamic Trunking Protocol (DTP) помогает коммутаторам устанавливать 802.1Q транковую связь. DTP проприетарный протокол CISCO. Порт коммутатора поддерживает несколько режимов DTP. Режим DTP определяет как порт устанавливает транковую связь с другим портом.

Режим DTP конфигурируется с помощью команды в режиме интерфейса порта:

switchport mode {access | dynamic {auto | desirable} | trunk}
CCNA R&S 6.0 Bridging Course часть 2

Режимы DTP:

CCNA R&S 6.0 Bridging Course часть 2

Комбинации режимов DTP:

CCNA R&S 6.0 Bridging Course часть 2

Следует обратить внимание на интересный момент, если с одной стороны линка режим Trunk, а с другой Access, то остаётся передача информации по VLAN 1, если VLAN 1 является Native VLAN для транкового порта (здесь номер 1 для примера, он может быть другим). Почему так происходит? Порт в режиме Access отбрасывает тегированные 802.1Q кадры, но в Native VLAN кадры передаются без тега.

Примечание. DTP также может быть отключен на транковом порте с помощью команды интерфейса:

switchport nonnegotiate

Просматривать информацию по порту и его режиму DTP можно с помощью команды:

show interfaces fa0/11 switchport
Защита от DTP атак

Порты на коммутаторах CISCO по умолчанию имеют режим Dynamic Auto (или Dynamic Desirable), что позволяет потенциальному злоумышленнику подключить своё оборудование и сформировать транковый порт. Это даёт возможность отправлять кадры в любой VLAN.

Меры защиты:

  • Перевести все пользовательские порты явно в режим Access;
  • Перевести все транковые порты явно в режим Trunk и отключить обработку DTP пакетов командой switchport nonnegotiate.
Защита от атак на Native VLAN

Атака с двойным тегированием: данная атака невозможна, если пользовательские порты на коммутаторе в режиме Access, поскольку в этом случает тегированный кадр будет отброшен на Access порту. Однако часто используется схема, когда к 1 порту подключен IP-телефон и к нему уже компьютер.

Порт в этом случае будет транковым, злоумышленник посылает кадр с двумя тегами (двойной тег). По прибытии на коммутатор первый тег срезается, а второй остаётся нетронутым. Почему так происходит? Коммутаторы обрабатывают трафик аппаратно с помощью микросхем ASICs, которые в большинстве случаев оптимизированы для просмотра 1 тега.

Далее кадр распространяется через Native VLAN, поскольку целевой MAC назначения находится в другой VLAN, то коммутатор рассылает кадр через все порты, принадлежащие Native VLAN, а также через восходящий транк к другому коммутатору. Поскольку кадр пересылается через транк для Native VLAN, то он пересылается без дополнительного тегирования.

По прибытии на второй коммутатор, коммутатор видит несрезанный второй тег, обрабатывает кадр и кадр попадает в нужную злоумышленнику VLAN (атакуемая VLAN). Таким способом можно отсылать кадры для VLAN, даже если она не разрешена для пересылки между коммутаторами.

Меры защиты:

  • Native VLAN не должен совпадать ни с 1 из пользовательских VLANs.

3.2: Troubleshoot Multi-VLAN Issues

Удаление VLAN

Возникают случаи когда нужно удалить VLAN. Если VLAN удаляется на коммутаторе, который является сервером VTP домена, то эта VLAN автоматически удаляется со всех остальных коммутаторов в домене. Если же VLAN удаляется на прозрачном коммутаторе, то удаление происходит только на этом коммутаторе либо на стеке из коммутаторов.

Примечание. Нельзя удалить VLAN 1, 1002-1005.

VLAN 99 присвоены порты с F0/18 до F0/24:

CCNA R&S 6.0 Bridging Course часть 2

Для удаления VLAN нужно ввести команду:

no vlan vlan_number

После удаления VLAN 99, присвоенные ей порты становятся неактивными и не присутствуют в списке.

CCNA R&S 6.0 Bridging Course часть 2

Эти порты остаются ассоциированными с удаленной VLAN, пока их вручную не присвоят другой VLAN. В таком состоянии порты называются осиротевшими (orphaned) и не могут нормально функционировать, поэтому прежде чем удалять VLAN нужно назначить порты другой VLAN.

Troubleshoot DTP Issues
CCNA R&S 6.0 Bridging Course часть 2

Основные команды:

show interfaces fa0/11 switchport
show interfaces fa0/11 trunk

Первая позволяет посмотреть режим DTP (Administrative Mode) и состояние (Operational Mode).

Пример. Если режим DTP для порта Trunk, а состояние Down, значит с другой стороны линка порт в режиме Access.

Вторая команда позволяет просмотреть Native VLAN и VLANs, разрешённые на транке.

Troubleshoot VTP Issues
CCNA R&S 6.0 Bridging Course часть 2

3.3: STP

Концепция соединения коммутаторов в стек

Для соединения коммутаторов в стек используется порт StackWise, можно соединить до 9 коммутаторов. Один из коммутаторов в стеке выступает в роли master и контролирует функционирование стека. Стек работает на уровнях 2 и 3 как единое устройство.

CCNA R&S 6.0 Bridging Course часть 2

Каждый коммутатор имеет в стеке уникальный номер stack member number. Все коммутаторы стека доступны для выбора в качестве master. Если master становится недоступен, то запускается автоматический процесс по выбору нового master. Один из критериев выбора - stack member priority value, коммутатор с самым высоким значением становится master. Одним из преимуществ стека - это управление через единый IP-адрес, адрес является системным значением и не относится ни к master-коммутатору, ни к другим коммутаторам стека. Доступность стека через этот адрес сохраняется после удаления любого коммутатора стека, включая master.

Master хранит running-config и startup-config, таким образом управляется все через одну конфигурацию, как на одиночном коммутаторе. Конфигурация включает настройки уровня system - для всего стека и настройки уровня interface - для каждого коммутатора в стеке. Каждый member стека хранит конфигурацию в целях бэкапа.

Стек управляется как единое устройство, включая VLAN's, пароли и интерфейсы.

Spanning Tree и стек коммутаторов

Другим преимуществом стека является возможность добавить больше коммутаторов в один экземпляр STP без увеличения диаметра STP. Диаметр STP - это максимальное количество коммутаторов, которые вы пересекаете, если вести линию на схеме включения между двумя любыми коммутаторами. IEEE рекомендует максимальный диаметр STP в 7 коммутаторов для таймеров STP по умолчанию. На рисунке диаметр 9 коммутаторов, что нарушает рекомендации IEEE.

CCNA R&S 6.0 Bridging Course часть 2

Соединение в стек уменьшает диаметр STP. В стеке все коммутаторы используют единый Bridge ID, таким образом на рисунке диаметр STP равен 3.

CCNA R&S 6.0 Bridging Course часть 2

Рекомендованный диаметр STP базируется на таймерах STP по умолчанию:

  •  Hello Timer (2 seconds) - The interval between BPDU updates;
  •  Max Age Timer (20 seconds) - The maximum length of time a switch saves BPDU information;
  • Forward Delay Timer (15 seconds) - The time spend in the listening and learning states.

Дополнительную информацию по расчету таймеров в зависимости от диаметра STP в нестандартных ситуациях можно найти:

  • //www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/19120-122.html

3.4: Implement HSRP

HSRP Operation

Hot Standby Router Protocol (HSRP) был разработан CISCO чтобы обеспечить избыточность шлюза по умолчанию без какой-либо дополнительного конфигурирования на конечных устройствах. Маршрутизаторы, сконфигурированные с HSRP, представляют собой единый виртуальный шлюз по умолчанию для конечных устройств. Один из маршрутизаторов выбирается в качестве активного. Он выполняет роль шлюза по умолчанию. Второй маршрутизатор находится в режиме standby, если активный маршрутизатор откажет, то standby маршрутизатор автоматически становится активным. На конечных устройствах никакой настройки не требуется.

CCNA R&S 6.0 Bridging Course часть 2

Active и standby маршрутизаторы предоставляют единый адрес шлюза по умолчанию. Это виртуальный IP адрес и виртуальный MAC адрес, который разделен между обоими маршрутизаторами. Именно этот адрес используют конечные устройства как адрес шлюза по умолчанию. Виртуальный IP адрес назначается администратором. Виртуальный MAC создается автоматически. Независимо от того, какой физический маршрутизатор используется, конечные устройства отправляют пакеты всегда на виртуальный адрес. Однако только активный маршрутизатор может обрабатывать трафик, отправленный на шлюз по умолчанию. Если активный маршрутизатор откажет или же связь с активным маршрутизатором пропадёт, то standby маршрутизатор возьмёт на себя роль активного.

Версии HSRP

Версия по умолчанию для IOS 15 это версия 1. Версия 2 имеет следующие улучшения:

  • HSRPv2 расширяет число поддерживаемых групп. HSRP version 1 поддерживает номера групп с 0 до 255. HSRP version 2 с 0 до 4095;
  •  HSRPv1 использует мультикастовый адрес 224.0.0.2. HSRP version 2 использует IPv4 мультикастовый адрес 224.0.0.102 или IPv6 мультикастовый адрес FF02::66 для рассылки hello пакетов;
  •  HSRPv1 использует диапазон виртуальных MAC адресов с 0000.0C07.AC00 до 0000.0C07.ACxx, где последние две шестнадцатеричные цифры это HSRP номер группы. HSRP v2 использует диапазон MAC адресов с 0000.0C9F.F000 до 0000.0C9F.Fxxx для IPv4 и с 0005.73A0.0000 до 0005.73A0.0xxx для IPv6 адресов. Для обоих IPv4 и IPv6, последние три шестнадцатеричные цифры в MAC адресе это HSRP номер группы;
  • В HSRPv2 добавлена поддержка для MD5 аутентификации, которая вне пределов данного курса.

Примечание. Номера группы используются для расширенного конфигурирования HSRP и не изучаются в данном курсе. Для данного курса используется номер группы 1.

HSRP Priority and Preemption

Роль активного и резервного маршрутизатора определяется в результате выборов HSRP. По умолчанию маршрутизатор с более высоким IP адресом становится активным. Однако всегда лучше знать как заставить вашу сеть будет функционировать в нужных вам параметрах, чем оставлять это на волю случая.

HSRP Priority используется чтобы определить активный маршрутизатор. Маршрутизатор с более высоким приоритетом станет активным. По умолчанию приоритет равен 100. Если приоритеты равны активным будет выбран маршрутизатор с более высоким IP. Для того, чтобы сконфигурировать приоритет нужно использовать команду режима интерфейса:

standby [group-number] priority number

Диапазон приоритета от 0 до 255.

HSRP Preemption

По умолчанию активный маршрутизатор остаётся активным даже если другой маршрутизатор был выключен и включается с более высоким приоритетом.

Для того, чтобы включить preemption и принудительно запустить процесс перевыборов HSRP нужно использовать команду интерфейса:

standby [group-number] preempt

HSRP Preemption - это способность HSRP маршрутизатора запускать процесс перевыборов активного маршрутизатора. С включённым preemption, маршрутизатор с более высоким приоритетом, после загрузки получит роль активного маршрутизатора HSRP и заменит текущий активный.

Preemption позволяет только маршрутизатору с более высоким приоритетом становиться активным. Если приоритеты равны, то даже при наличии боле высокого IP адреса маршрутизатор не заменит текущий активный.

CCNA R&S 6.0 Bridging Course часть 2

Пример. R1 был сконфигурирован с приоритетом 150, в то время как R2 имеет приоритет по умолчанию 100. Preemption включен на R1. С более высоким приоритетом, в процессе выборов, R1 становится активным и R2 standby. После сбоя электричества R1 становится недоступным и роль активного маршрутизатора принимает R2. После восстановления питания R1 снова online, поскольку preemption на R1 включён и R1 имеет более высокий приоритет, принудительно запускается процесс перевыборов. R1 снова получает роль активного маршрутизатора и R2 снова становится резервным.

Примечание. С выключенным preemption маршрутизатор, который первым загрузится - становится активным, если нет других маршрутизаторов online в процессе выборов.

Состояния HSRP

Маршрутизатор может быть или активным, передающим трафик для сегмента сети, или же резервным, находящимся в режиме ожидания на случай, если активный откажет. Когда интерфейс маршрутизатора сконфигурирован с HSRP или впервые активирован для уже существующей HSRP конфигурации - маршрутизатор отсылает и принимает hello пакеты для того чтобы запустить процесс, определяющий его роль в  HSRP группе. В таблице представлены состояния HSRP, которые принимает маршрутизатор в процессе определения своей роли:

CCNA R&S 6.0 Bridging Course часть 2

Когда выборы Active маршрутизатора закончены, все маршрутизаторы находятся в 3 состояниях:

  • Active - 1 маршрутизатор;
  • Standby - 1 маршрутизатор;
  • Listen - все остальные маршрутизаторы.
CCNA R&S 6.0 Bridging Course часть 2
Таймеры HSRP

Активный и резервный маршрутизаторы отсылают hello пакеты на мультикастовый адрес группы HSRP каждые 3 секунды по умолчанию (hellotime). Резервный маршрутизатор становится активным, если он не получает hello пакеты от активного маршрутизатора после истечении 10 секунд (holdtime). Можно уменьшить эти интервалы чтобы ускорить процесс перевыборов и повысить отказоустойчивость. Однако, чтобы избежать излишней нагрузки на CPU маршрутизатора и излишней смены ролей, не нужно устанавливать hello таймер менее 1 секунды и таймер удержания менее 4 секунд.

Значение таймеров для всех маршрутизаторов в одной группе должно быть одинаковое. Значения таймеров маршрутизатор может получить от active маршрутизатора.

Изменение таймеров HSRP на интерфейсе:

standby [group-number] timers hellotime holdtime

Параметры команды:

  • hellotime - по умолчанию 3 секунды. Значение в секундах, диапазон значений от 1 до 255;
  • holdtime - по умолчанию 10 секунд. Значение в секундах, диапазон значений от 1 до 255.

HSRP Configuration Commands

Для того чтобы выполнить конфигурацию HSRP, выполните следующие шаги:

  • Step 1. Сконфигурируем версию 2 для HSRP;
  • Step 2. Сконфигурируем виртуальный IP адрес для группы;
  • Step 3. Сконфигурируем приоритет желаемого активного маршрутизатора со значением выше чем 100;
  • Step 4. Сконфигурируем на активном маршрутизаторе preempt для случаев, когда активный маршрутизатор загружается позже резервного маршрутизатора.

Вся конфигурация происходит в режиме конфигурации интерфейса:

CCNA R&S 6.0 Bridging Course часть 2
Пример конфигурации
CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2
Проверка

Чтобы убедиться в правильности настройки HSRP, введите команду:

show standby
CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2

Также можно использовать команду:

show standby brief
CCNA R&S 6.0 Bridging Course часть 2

Примечание. Можно сменить имя группы по умолчанию с помощью команды режима конфигурации интерфейса:

standby [group-number] name group-name

HSRP Troubleshooting

Основные причины сбоев
  • Сбой успешного выбора активного маршрутизатора, который контролирует виртуальный IP группы;
  • Сбой резервного маршрутизатора в отслеживании активного маршрутизатора;
  • Сбой при определении момента когда роль активного маршрутизатора должна быть передана резервному;
  • Неправильное конфигурирование виртуального IP группы на конечных устройствах.
HSRP Debug Commands

Команды отладки HSRP позволяют просмотреть текущие операции HSRP, в то время как маршрутизатор дал сбой или же производится административная настройка. Варианты команд отладки HSRP можно просмотреть так:

debug standby ?
CCNA R&S 6.0 Bridging Course часть 2

Используйте команду debug standby packets для того чтобы посмотреть отправляемые и получаемые каждые 3 секунды пакеты hello. HSRP маршрутизатор мониторит эти пакеты и затем инициирует смену состояния, если не получено пакетов hello за 10 секунд от соседнего маршрутизатора.

CCNA R&S 6.0 Bridging Course часть 2

Примечание. Поведение HSRP отличается в зависимости от того, был  ли активный маршрутизатор выключен администратором или же дал сбой.

Используйте команду debug standby terse, для того чтобы посмотреть события HSRP во время сбоя активного маршрутизатора. R1 дал сбой и R2 принимает на себя роль активного маршрутизатора.

CCNA R&S 6.0 Bridging Course часть 2

Теперь R1 снова online и поскольку на нём настроено standby 1 preempt,  он инициирует смену ролей. R2 активно прослушивает пакеты hello, он теперь в режиме Speak, пока не выясняется, что R1 новый активный маршрутизатор, а R2 новый резервный маршрутизатор.

CCNA R&S 6.0 Bridging Course часть 2

Теперь интерфейс G0/1 маршрутизатора R1 административно погашен. R1 посылает сообщение сообщение показывающее всем маршрутизаторам HSRP на этом линке, что R1 складывает с себя полномочия активного маршрутизатора. Через 10 секунд R2 принимает на себя роль активного маршрутизатора.

CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2

Запомните, что R2 начинает отсчет таймера для R1 (172.16.10.2). По истечении 3 минут таймера 172.16.10.2 destroyed, это означает, что R1 удаляется из конфигурации HSRP.

Наиболее частые вопросы конфигурирования HSRP

Команды debug были приведены чтобы просмотреть операции HSRP. Также возможно использовать эти команды чтобы решить следующие проблемы конфигурирования HSRP:

  1. HSRP маршрутизатор не подсоединён к тому же сегменту сети. Хотя это может быть проблемой физического уровня, это также может быть вопросом конфигурирования VLAN для подынтерфейса.
  2. HSRP маршрутизатор сконфигурирован с IP адресом из другой подсети. HSRP hello пакеты - локальные. Они не маршрутизируются между сегментами сети. Таким образом, резервный маршрутизатор не может узнать, что активный маршрутизатор дал сбой.
  3. HSRP маршрутизаторы сконфигурированы с разными виртуальными IP адресами. А виртуальный IP адрес - шлюз по умолчанию для конечных устройств.
  4. HSRP маршрутизаторы сконфигурированы с разным номером группы HSRP. Каждый маршрутизатор при этом становится активным.
  5.  Конечные устройства не сконфигурированы с правильным IP адресом шлюза по умолчанию. Хотя это напрямую не связано с HSRP, настройка DHCP сервера с реальным IP адресом одного из HSRP маршрутизаторов, будет означать, что конечные устройства смогут обмениваться пакетами с удаленными сетями только когда этот HSRP маршрутизатор находится в роли активного.

Ссылка на материал, который показывает почему должен использоваться HSRP версии 2 с включенным MD5. В материале есть ошибки конфигурирования, но всё равно он полезен.


3.5: Troubleshoot OSPF

OSPF сложная и объемная тема, перед тем как изучать устранение неполадок OSPF, необходимо обладать следующими знаниями и умениями:

  • Понимать как процесс OSPF хранит, выбирает и распространяет информацию о маршрутизации;
  • Знать как передается информация внутри области OSPF и между областями;
  • Знать команды Cisco IOS покрывающие данную тему.
Структура данных OSPF с несколькими областями

OSPF хранит данные в четырёх основных таблицах:

  • Interface table - Эта таблица включает в себя список всех активных интерфейсов, которые добавлены для работы с OSPF. LSA типа 1 содержит все подсети ассоциированные с каждым активным интерфейсом;
  • Neighbor table - Эта таблица используется для управления смежными соседями через hello и dead таймеры. Сосед добавляется или обновляется когда hello-сообщение получено. Сосед удаляется когда dead таймер истекает;
  • Link-state database - Это главная таблица, используемая OSPF для того чтобы сохранять топологию сети. Она включает полную информацию о топологии каждой области, к которой OSPF-роутер подключен, также как и другие пути, которые доступны для того чтобы достигнуть другие сети или автономные системы;
  • Routing table - После того как SPF алгоритм рассчитан, лучший маршрут для каждой сети представлен в таблице маршрутизации.
Сценарий

Используется следующий сценарий:

CCNA R&S 6.0 Bridging Course часть 2
CCNA R&S 6.0 Bridging Course часть 2

Основные моменты неполадок в OSPF для нескольких областей сводятся к следующим:

OSPFv2
  • Ошибка при указании номера области когда вводится команда network, в результате сеть указывается для области, в которой этой сети нет. Решение - исправить номер области;
R3(config)# router ospf 1
R3(config-router)# no network 172.16.1.64 0.0.0.31 area 0
R3(config-router)# network 172.16.1.64 0.0.0.31 area 2
  • Указание интерфейса как пассивного, в результате нет отношений смежности на этом интерфейсе. Решение - отключить команду passive-interface для интерфейса;
R1(config)# router ospf 1
R1(config-router)# no passive-interface G0/0
  • При изменении настроек они не вступают в силу или неправильное поведение процесса OSPF. Решение - удалить процесс OSPF, затем заново его добавить:
R3(config)# no router ospf 1
R3(config)# router ospf 1
R3(config-router)# router-id 3.3.3.3
R3(config-router)# network 172.16.1.32 0.0.0.31 area 2
R3(config-router)# network 172.16.1.64 0.0.0.31 area 2
  • Различаются таймеры hello и dead интервалов для нескольких маршрутизаторов, в результате нет отношений смежности. Решение - выставить одинаковые (а лучше стандартные) интервалы для всех маршрутизаторов;
R3(config)# router ospf 1
R3(config-router)# router-id 3.3.3.3
R3(config-router)# ip ospf hello-interval 10
R3(config-router)# ip ospf dead-interval 40
  • Не передаётся маршрут по умолчанию. Решение - на роутере (обычно это ASBR) ввести команду default-information originate;
ASBR2(config)# router ospf 10
ABR2(config-router)# default-information originate
OSPFv3

Для OSPFv3 учитывается всё вышесказанное для OSPFv2. Также нужно помнить, что процесс OSPFv3 работает через link-local IPv6 адреса.

  • Не включена IPv6 маршрутизация. Решение - включить;
R2(config)# ipv6 unicast-routing
  • В отличие от OSFPv2 - OSPFv3 настраивается на интерфейсах. Решение - произвести настройку на соответствующем интерфейсе;
R2(config)# interface g0/0
R2(config-router)# ipv6 ospf hello-interval 10
R2(config-router)# ipv6 ospf dead-interval 40
  • Если нет IPv4 интерфейсов Loopback или активных физических интерфейсов IPv4 , то маршрутизатор не получит идентификатор роутера для OSPFv3. Решение - всегда указывать вручную router-id для OSPFv3;
ABR2(config)# ipv6 router ospf 10
ABR2(config-router)# router-id 6.6.6.6

Leave a Comment

Scroll to Top