Sunteți pe pagina 1din 19

ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES


CCNP SWITCH
➢ Total Horas: 90 Horas
➢ Créditos: 10

Víctor Araneda Serrano


Ing. En Telecomunicaciones, Conectividad y Redes – Instructor ITQ
Certificado CCNP R&S - CCDA - CCNA Security - CCNA R&S
Huawei HCIA – MTA Microsoft Networking
varaneda@duoc.cl
ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES

CCNP SWITCH

Unidad 2: Configuración y Optimización


de Redes Corporativas

Clase 10: Configuración de VRRP y GLBP en Redes Empresariales

Objetivos: - Conocer las características y funcionamiento de VRRP.


- Configurar VRRP en redes empresariales en ambiente IPv4 e IPv6.
- Conocer las características y configuración de GLBP. 2
Introducción a VRRP
VRRP es una alternativa de estándar abierto para HSRP. VRRP es similar a la solución
propietaria Cisco, tanto en operación y configuración. El VRRP Maestro es el análogo al
HSRP Activo y el VRRP Backup es el análogo al HSRP Stand-By. Un grupo VRRP tiene un
dispositivo maestro y uno o varios dispositivos de respaldo. Un dispositivo con la prioridad
más alta es el maestro. La prioridad puede ser entre el número 0 y 255. El valor de
prioridad 0 tiene un significado especial, indica que el maestro actual ha dejado de
participar en VRRP. Este ajuste se utiliza para activar los dispositivos de copia de seguridad
para la transición rápida de dominio sin tener que esperar al maestro, según el tiempo de
espera.

El maestro es el único dispositivo que envía anuncios (análogo de Hello HSRP). Los
anuncios se envían a la dirección multicast 224.0.0.18, y utiliza el protocolo número 112.
El anuncio tiene un intervalo predeterminado de 1 segundo. El tiempo de espera es de 3
segundos.

3
VRRP vs HSRP
Al igual que con HSRP, el balanceo de carga está disponible con VRRP. Múltiples grupos de
routers virtuales se pueden configurar. Por ejemplo, se pueden configurar los clientes 3 y 4
para utilizar una puerta de enlace diferente a los que los clientes 1 y 2 utilizan. De allí
tendría que configurar los tres switch de Capa 3 con otro grupo de VRRP y designar el switch
B para ser dispositivo VRRP Maestro para el segundo grupo. Se muestra tabla comparativa
entre HSRP y VRRP.

4
Configuración de VRRP
A continuación, se muestra ejemplo de implementación de VRRP en red redundante.

5
Verificación de VRRP
A continuación se muestra comandos para comprobar el funcionamiento de VRRP en una
red redundante.

6
Autenticación de VRRP
El estándar VRRP se ha definido en el RFC 2338 donde utiliza texto plano y autenticación
MD5, que luego fueron revocadas en el RFC 3768 y RFC 5798m. Sin embargo, los dispositivos
Cisco siguen apoyando los mecanismo de autenticación, por tal motivo aún es configurable.

De acuerdo con el RFC 5798, la experiencia operacional y posterior análisis, determinó


que la autenticación VRRP no proporcionaba la seguridad suficiente para superar la
vulnerabilidad de los “secret” mal configurados, causando múltiples maestros. Pero debido a
la naturaleza de VRRP, aunque los mensajes estén protegidos criptográficamente, no impide
que los nodos hostiles se comporten como VRRP maestros. Pero autenticar si impide algunos
inconvenientes que pueden originar los hosts hostiles.

7
Tracking de VRRP
Sin el seguimiento configurado, el maestro VRRP solo perderá su estatus si una interfaz
VRRP habilitada falla o si el router VRRP mismo falla. Mientras VRRP no tenga mecanismo
de seguimiento de la interfaz, no tiene la capacidad de rastrear objetos.

El seguimiento de objetos en un proceso independiente que gestiona la creación,


seguimiento y eliminación de los mismos, como el estado del protocolo de línea de una
interfaz. Esto permite utilizar para modificar el funcionamiento del mismo. Cada objeto de
seguimiento se identifica con un número único que se especifica en la línea de comandos
de seguimiento. Este proceso sondea periódicamente los objetos rastreados y detecta
cualquier cambio de valor. Los cambios en el objeto de seguimiento se comunican a los
procesos que el administrador define, ya sea de manera inmediata o después de un
retraso especifico. Los valores de objetos se presentan hacia arriba o abajo. La prioridad
de un dispositivo puede cambiar drásticamente si se ha configurado un seguimiento de
objeto y el objeto disminuye.

8
Tracking de VRRP
A continuación, se muestra ejemplo de tracking de VRRP, para evitar enrutamientos
suboptimos.

9
GLBP
Es una solución propietaria Cisco, que permite la selección automática y el uso
simultáneo de múltiples puertos de enlaces disponibles, además de la conmutación
automáticas de esas interfaces con las puertas de enlaces. Varios routers comparten la
carga de paquetes, desde la perspectiva de un cliente, se envía a una sola dirección de
puerta de enlace predeterminada.

GLBP puede utilizar los recursos sin la carga administrativa de la configuración de varios
grupos y gestionar múltiples configuraciones de puerta de enlace predeterminada, como se
requiere en HSRP y VRRP. Tampoco hay necesidad de configurar una dirección de puerta de
enlace específica en un host individual. Todos los equipos finales pueden utilizar la misma
puerta de enlace predeterminada. A continuación se dan a conocer dos modos de GLBP:

• GLBP AVG (puerta de enlace virtual activa): Los miembros de un grupo GLBP eligen una
puerta de enlace, que es el AVG para este grupo. Otro miembros del grupo serán los
backup para el AVG cuando este no se encuentre disponible.

• GLBP AVF (Activo Virtual de Reenvío): Cada puerta de entrada se hace responsable de
reenviar los paquetes que se envían con la dirección MAC virtual que se asigna en la
interfaz de entrada por el AVG. No pueden existir más de cuatro agentes dentro de un
grupo GLBP.
10
GLBP vs HSRP
HSRP y GLBP son protocolo propietarios de Cisco. VRRP es un protocolo estándar de la
industria. Con HSRP, un router virtual es activo y uno está sirviendo como backup en modo
de espera, donde no reenvía tráfico. GLBP tiene dos papeles diferentes, la puerta de enlace
y de reenvío, cada uno con sus propios estados. El Gateway virtual comparte sus estados
con HSRP. Hay un Gateway activo y respaldo. Por grupo GLBP, no puede haber más de
cuatros agentes activos (uno por MAC virtual). Todos los demás están en el estado de
escuchar.

Miembros de GLBP se comunican entre sí a través de mensajes de saludo que se envían


de manera predeterminada cada 3 segundos a la dirección multicast 224.0.0.102, con
puerto UDP de origen y destino 3222.

11
Estados de GLBP
GLBP tiene un comportamiento distinto si se utiliza como protocolo de alta
disponibilidad, tal como HSRP y VRRP, en comparación al modo de reenvío virtual, tal
como se muestra en la siguiente tabla.

12
Configuración de GLBP
A continuación, se muestra ejemplo de configuración de GLBP es una red de alta
disponibilidad.

13
Verificación de GLBP
A continuación, se muestra comando para comprobar el funcionamiento de GLBP.

14
Balanceo de Carga en GLBP
El AVG dentro del grupo GLBP es el que garantiza que el tráfico será que equilibre la
carga entre los dispositivos finales y el primer salto. AVG reparte direcciones MAC virtuales
a los clientes de una manera determinística. Cada dirección MAC virtual pertenece a una
AVG y es asignado por el AVG. Hasta cuatro direcciones MAC (es decir, cuatro AVFs) pueden
ser usados en el grupo GLBP. Este protocolo soporta los siguientes modos de
funcionamiento de equilibro de carga.

• Algoritmo de Balanceo de Carga Ponderado: La cantidad de carga que se dirige a un


router depende de la ponderación que es anunciado por el router.

• Algoritmo de Balanceo de Carga Dependiente de Host: Un host garantiza el uso de la


misma MAC virtual ponderando el uso de la MAC virtual que ha participado en el grupo
GLBP.

• Algoritmo de Balanceo de Carga Round-Robin: Como los clientes envían peticiones ARP
para resolver la dirección MAC de la puerta de enlace predeterminada, la respuesta a
cada cliente contiene la dirección del router siguiente. Las direcciones MAC de todos los
routers se turnas para ser incluidos en la resolución de direcciones de respuesta para la
dirección IP de la puerta de enlace predeterminada.

15
Autenticación de GLBP
La autenticación MD5 proporciona mayor seguridad que el esquema de autenticación de
texto plano, donde se protege contra la suplantación. La autenticación MD5 permite que
cada miembro del grupo GLBP utilice una clave secreta para generar un hash MD5 con
clave que forma parte del paquete de salida. Se genera una clave hash con un paquete
entrante, y si el hash dentro del paquete entrante no coincide con el hash generado, el
paquete es ignorado.

La clave para el hash MD5 se puede dar directamente en la configuración mediante una
cadena de llave o se suministra independientemente a través de un llavero. La cadena clave
no puede exceder los 100 caracteres de longitud.

El siguiente ejemplo muestra la configuración para la autenticación GLBP:

16
GLBP y STP
Con algunas topologías de conmutación, el funcionamiento de STP se traduce en rutas de
tráfico ineficientes. En tales casos, la aplicación de HSRP podría ser preferible a GLBP por que
es más fácil de entender, mientras que GLBP no ofrece ventajas. Topologías con loops de capa
2, donde la capa de distribución de 3 switch están interconectados, al ejecutar STP, bloquea
algunos enlaces de acceso-distribución. Por tal motivo, los equipos finales tienen solo una
conexión directa a un switch, según ejemplo, SW1.

Con GLBP configurado, SW1, sirve como un AVF para algunos equipos finales, el tráfico de
enrutamiento hacia el núcleo, mientras que la otra mitad del tráfico se reenvía a SW2, que
sirve como el otro AVF. Mientras que los enlaces de distribución-núcleo están ahora
equilibrados, la mitad del tráfico está tomando una ruta suboptima, pasando por SW1 y SW2.

17
Tracking de GLBP
Al igual que VRRP, en GLBP también se puede implementar grupos de objetos de
seguimiento para garantizar un funcionamiento óptimo de GLBP en caso de experimentar
caídas de enlaces.

18
Preguntas ¿?

19

S-ar putea să vă placă și