CCNP-BCMSN Module 05 Implementing HSRP/VRRP/GLBP

Proxy ARP

Proxy ARP的機制: 1.預設啟動 2.當收到ARP Request的時候，滿足以下條件時會發生Proxy ARP:     (1)ARP Traget IP(目的地IP)與接收介面不在同一個Subnet上，會發生Proxy-ARP。     (2)ARP Traget IP(目的地IP)有Routing Info.，會發生Proxy-ARP 3.Proxy-ARP的動作會幫外部的設備代理回應ARP Reply的訊息給PC，告知PC 他知道往目的地的路由資訊。 3.建議關閉Proxy ARP   (config-if)#no ip proxy-arp 4.檢查Proxy-ARP的方法:    show ip int fa x/x

目前Windows ARP的機制: 1.當PC有設定Default Gateway時，網卡會發ARP去問Gateway的MAC，再往目的地送。 2.當沒有設定Default Gateway跨網段的封包會被Drop。

SW的機制: 不管有無設定Default Gateway都發ARP去詢問Gateway的MAC。

IRDP(ICMP Router Discovery Protocol)

1.預設關閉 2.使用(config-if)#ip irdp啟動 3.使用Broadcast的方式傳送給同網段的設備 4.Router定期告知Subnet 設備Router的存在。 5.使用在Router與PC之間的協定，PC要有支援才可以。 6.雙邊設備都要啟動才有效果。

HSRP(Hot Standby Router Protocol)

 

	HSRP v1	HSRP v2
Virtual MAC	0000:0C07:ACxx 0000:0C-OUI(廠商識別碼) 07:AC-表示HSRP v1 xx-表示Group(最多256個)	0000:0C9F:Fxxx 0000:0C – OUI(廠商識別碼) 9F:F – 表示HSRP v2 xxx – 表示Group編號(max 4096個)
Virtual IP	使用一個獨立的V-IP及V-MAC 是PC的Default Gateway	與HSRP v1一樣
HSRP 角色	角色 定義 Active Router 1.負責轉送資料     -Dest IP=VIP     -Dest MAC=VMAC 2.負責回應對VIP的Request 3.負責回應ARP Standby Router 當Active Router掛掉時，變成Active的角色，負責Atcive的工作 Speak Router 其他的Router都叫做Speak Router *更新角色的動作: Standby Router接手時會發一個ARP的廣播問自己，為了做全部MAC的更新，Src的MAC會是Virtual的MAC，告訴所有人誰是Virtual IP並自己回答是自己的網卡MAC，達到由Sandby並成Active的目的。	與HSRP v1一樣
Hello MSG	224.0.0.2(所有的IPv4的Router)(Multicast位址) Src & Dest都走1985/UDP	224.0.0.102Src & Dest都走1985/UDP
HSRP Hello	Active Hello 每3秒傳送一次(預設值) Standby Helo 每3秒傳送一次(預設值) *建議改為MS等級傳送一次	與HSRP v1一樣
HSRP Holdtime	Active Holdtime 10秒(為Hello time的3倍) Standby Holdtime 10秒(為Hello time的3倍)	與HSRP v1一樣
HSRP State	狀態 定義 1.Initial(進入) 1.介面剛UP 2.Router 不會送出Hello 2.Learn(學習) 1.已收到Hello的訊息 2.還不知道誰是Active Router 3.還不知道Virtual IP 4.Router不會送出Hello 3.Listen(頃聽) 1.已知道HSRP Group Vritual IP 2.自己的角色還未確定 (可以手動設定or自動學習) 3.Router不會送出Hello 4.Speak 1.主動送出HSRP Hello 2.參與Active / Standby的競選(利用PRI值) 5.Standby(備援) 1.唯一Active的候選人 2.Group只有一個Standby Router 3..開始送出Hello的訊息 6.Active(主要) 1.負責傳送Virtual IP及Virtual MAC 2.Group只有一個Active Router 3.開始送出Hello訊息	與HSRP v1一樣
HSRP 競選	1.必須要在同一個Group下 2.Highest Priority(越大越好)，PRI值預設為100。 3.Highest Interface IP(越大越好)	與HSRP v1一樣
Preempt	1.當A為Active Router，B是Standby Router。 當A設備掛掉時，會由B設備取代，若A Router恢復時，會把原來的B Router的Active角色搶回來。 2.建議都要設定Preempt
備註	1.在一個Group裡面最少要有一個Router，通常都是2個 2.Virtual IP與PC在同一個VLAN或同一個網段。 3.一個Virtual Router只能服務一個群組，也可以設定多個 4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。 5.Cisco 3750 3560 SW都只支援HSRP，要Router才支援VRRP/GLBP的協定 6.Cisco專屬協定 7.啟用HSRP時會自動關閉ICMP Redirect。	與HSRP v1一樣

Config HSRP

1.設定群組 & V-IP 由此可知V-MAC為0000:0C07:AC01

2.最佳化的調整 (1)調整PRI值 確認那一台可以成為Active *預設值為100 *當PRI=0時不加入競選 (2)設定Preempt 確保封包繞送的路徑 *預設沒有啟動 *建議Router都要啟動 *可使用Delay去配合VTP / Routing收斂的時間 (3)調整Timer 加快收斂速度 *可依重要性使用msec等級的hellotime / holdtime *建議Holdtime為3倍的Hello (4)追蹤Tracing 外線發生未提的追蹤 *當外線有問題時，自動調整PRI值去調整路徑 *Cisco使用扣分制 *當線路恢復正常時會加回來 *可以定義多種物件來判斷

3.HSRP Authentication (1)Plain-text認證方法:*明文的方式較不安全     (2)MD5 key-string認證方法:*較安全的方式    (3)MD5 Key-chain認證方法:*最安全的方式 step1: 建立Key-chain(一串鑰匙)  step2: 建立key-string  step3: 套用到HSRP認證裡面

Show的觀察

1.Show standby brief

2.show standby

3.debug standby

Multiple HSRP Group

1.一個VLAN下可以設定多組Group，可以達到Load Sharing的機制

2.較少人使用，通常都是由一個Router當作Active，一個Router當作Standby

3.查修較不容易

4.設定在Route Port或SVI上

VRRP(Virtual Router Redundancy Protocol)

Virtual MAC	0000.5E00.01XX 0000:5E-OUI(廠商識別碼) 00:01-表示VRRP xx-表示Group(最多256個)
Virtual IP	使用一個獨立的V-IP及V-MAC 是PC的Default Gateway
VRRP 角色	角色 定義 Master Router 1.負責轉送資料     -Dest IP=VIP     -Dest MAC=VMAC 2.負責回應對VIP的Request 3.負責回應ARP 4.只有Master會送出Hello訊息 5.當V-IP被設定為實體Router的IP時，此Router馬上成為Master Backup Router 1.其他的Router都叫做Backup Router 2.當Master Router掛掉時，會看PRI高的Router成為Master 3.不會送出Hello的訊息
Hello MSG	224.0.0.18 直接封裝在IP封包裡面，Protocol號碼為112
VRRP Hello	1.Advertisement time 預設 1 Sec傳送一次 2.只有Master Router會送Hello
VRRP Holdtime	Down Interval = 3* Advertisement Timer + Skew time(傾斜的時間) 註:Skew Time = 256-priority/256
VRRP 競選	1.必須要在同一個Group下 2.當V-IP被設定成實體Router的IP時，此Router馬上成為Master Router。(PRI值會自動設成255) 3.Highest Priority(越大越好)，PRI值預設為100。 4.Highest Interface IP(越大越好) 5.當PRI值=0時表示永遠當做Backup角色
Preempt	1.當A為Master Router，B是Bakup Router。 當A設備掛掉時，會由B設備取代，若A Router恢復時，會把原來的B Router的Master角色搶回來。 2.建議都要設定Preempt
備註	1.在一個Group裡面最少要有一個Router，通常都是2個 2.Virtual IP與PC在同一個VLAN或同一個網段。 3.一個Virtual Router只能服務一個群組，也可以設定多個 4.IEEE (RFC 2338)標準，各家都支援(建議使用同一家設備) 5.啟用HSRP時會自動關閉ICMP Redirect。 6.使用tracertout時，會發現第一站為實體IP，非V-IP，是因為TTL的機制所以會出現此狀況。

Config VRRP

1.設定群組 & V-IP   由此可知V-MAC為0000.5E00.0110

2.最佳化的調整 (1)調整PRI值 確認那一台可以成為Active *預設值為100 *當PRI=0時不加入競選   (2)設定Preempt 確保封包繞送的路徑 *預設啟動 *建議Router都要啟動 *可使用Delay去配合VTP / Routing收斂的時間 與HSRP設定的方法相同 (3)調整Timer 加快收斂速度 *可依重要性使用msec等級的hellotime / holdtime (4)追蹤Tracing 外線發生未提的追蹤 *當外線有問題時，自動調整PRI值去調整路徑 *Cisco使用扣分制 *當線路恢復正常時會加回來 *可以定義多種物件來判斷 *預設使用Line Protocol / Routing資訊 step1:建立Track的Profile (1)track Line Protocol的方式 (2)track路由資訊的方式 step2:套用到VRRP裡面

3.VRRP Authentication (1)Plain-text認證方法:*明文的方式較不安全 *設定方法與HSRP相同   (2)MD5 key-string認證方法:*較安全的方式 *設定方法與HSRP相同  (3)MD5 Key-chain認證方法:*最安全的方式 *步驟皆與設定HSRP相同

Show的觀察

1.Show vrrp brief

2.show vrrp

GLBP(Gateway Load Balancing Protocol)

Virtual MAC	0007:B4yy:yyyy 0007:B4-OUI(廠商識別碼) yy:yyyy-表示AVF Group最多1024個 ex:若有一個第一群組的第3個Router，他的V-MAC為0007:B400:01(群組)03(Router)
Virtual IP	使用一個獨立的V-IP及多個V-MAC V-IP是PC的Default Gateway *作法第一台PC來詢問就給第一台Router的MAC，第2台來詢問就給第2台Router的MAC…
GLBP角色	角色 定義 AVG (Active Virtual Gateway) 1.負責Assing V-MAC給Forwarder     -Dest IP=VIP     -Dest MAC=AVF MAC 2.負責回應對VIP的Request 3.負責回應ARP 4.會選出Active 及 Standby AVG AVF (Active Virtual Forwarder) 1.負責轉送Data的Router 2.再同一個Group裡最多4台AVF 3.每一個Router都是AVF *GLBP可以達到Load Blance的目標 *GLBP裡同一個Router可以是AVG又是AVF
Hello MSG	224.0.0.102 Src & Dest都走3222/UDP
GLBP Hello	Active Hello 每3秒傳送一次(預設值) Standby Helo 每3秒傳送一次(預設值) *建議改為MS等級傳送一次
GLBP Holdtime	Active Holdtime 10秒(為Hello time的3倍) Standby Holdtime 10秒(為Hello time的3倍)
GLBP 競選	1.必須要在同一個Group下 2.Highest Priority(越大越好)，PRI值預設為100。 3.Highest Interface IP(越大越好) 4.PRI最大的會成為AVG 5.PRI=0表示永遠都不成為AVG Router
GLBP Load Blance	1.Weight(權重) *設定權重的方式 2.Host-Dependant *建議值 *同一個Client詢問時，都會回同一個AVF Router 3.Round-Rabai *不建議使用 *第一個Client就給他第一個AVF，第2個就給他第2個AVF
Preempt	1.當A為Active AVG Router，B是Standby AVG Router。 當A設備掛掉時，會由B設備取代，若A Router恢復時，會把原來的B Router的Active角色搶回來。 2.建議都要設定Preempt
備註	1.GLBP要達到的目標為，一個Group裡面的Router都可以轉送Data，不像HSRP與VRRP，都只有一台Active的Router轉送Data。 2.Virtual IP與PC在同一個VLAN或同一個網段。 3.多個Router服務一個群組。 4.PC也可以設定真實Router但是要是真實Router 掛掉就無法傳送資料。 5.Cisco 3750 3560 SW都只支援HSRP，要Router才支援VRRP/GLBP的協定 6.Cisco專屬協定 7.啟用HSRP時會自動關閉ICMP Redirect。

Config GLBP

1.設定群組 & V-IP     由此可知V-MAC為0007:B400:0701

2.最佳化的調整 (1)調整PRI值 確認那一台可以成為Active *預設值為100 *當PRI=0時不加入競選     (2)設定Preempt 確保封包繞送的路徑 *預設啟動 *建議Router都要啟動 *可使用Delay去配合VTP / Routing收斂的時間 與HSRP設定的方法相同 (3)調整Timer 加快收斂速度 *可依重要性使用msec等級的hellotime / holdtime   (4)load balance 分流的方法 (5)追蹤Tracing 外線發生未提的追蹤 *當外線有問題時，自動調整PRI值去調整路徑 *Cisco使用扣分制 *當線路恢復正常時會加回來 *可以定義多種物件來判斷 *預設使用Line Protocol / Routing資訊 step1:建立Track的Profile (1)track Line Protocol的方式 (2)track路由資訊的方式 step2:套用到GLBP裡面

3.GLBP Authentication (1)Plain-text認證方法:*明文的方式較不安全 *設定方法與HSRP相同   (2)MD5 key-string認證方法:*較安全的方式 *設定方法與HSRP相同  (3)MD5 Key-chain認證方法:*最安全的方式 *步驟皆與設定HSRP相同

Show的觀察

1.Show glbp brief*Active Router    *Standby Router

2.showglbp

3.showip int fa x/x

HSRP/VRRP/GLBP比較表

	HSRP v1	HSRP v2	VRRP	GLBP
標準	Cisco Proprietary	Cisco Proprietary	IEEE (RFC 2338)	Cisco Proprietary
Hello Message (IP)	224.0.0.2	224.0.0.102	224.0.0.18	224.0.0.102
Port # / Pro. #	1985 /UDP (both src & dest Port)	1985 /UDP (both src & dest Port)	Proto. # 112	3222 /UDP (both src & dest Port)
Virtual Router #	256 (GID 0~255)	4096 (GID=0~4095)	256 (GID= 0~255)	1024 Groups 4 AVF per Group
	Single VIP Single V-MAC	Single VIP Single V-MAC	Single VIP Single V-MAC	Single VIP Multiple V-MAC
Virtual MAC #	0000.0c07.acXY	0000.0c9F.FXXX	0000.5e00.01XX	0007.b4yy.yyyy where lower 24-bits: 000000-Group ID-Forwarder # (6 bits) (10 bits) (8 bits)
角色	1 Active/ 1 Standby/ others: Speak	1 Active/ 1 Standby/ others: Speak	1 Master / Others : Backup	AVG: Assign V-MAC / Reply ARP Request for VIP AVF: Forward packets destinated for V-MAC
Router Election	1. Highest Priority 2. Highest Interface IP	1. Highest Priority 2. Highest Interface IP	1. Highest Priority 2. Highest Interface IP	1. Highest Priority 2. Highest Interface IP
Hello Timer	3 Sec (Active/Standby/Speak都會送)	3Sec (Active/Standby/Speak 都會送)	Advertisement Interval: 1 Sec (只有Master會送)	3 Sec. (learnedn form AVG)
Hold-Down Timer	Active Timer: 10 Sec Standby Timer: 10 Sec	Active Timer: 10 Sec Standby Timer: 10 Sec	Down Interval = 3* Advertisement Timer + Skew time Skew Time = 256-priority/256	10 Seconds (learnedn form AVG)
State	1.initial(進入) 2.Learn(學習) 3.Listen(頃聽) 4.Speak (競選active or standby) 5.Standy(備援) 6.Active(主要)
Load Blance				1.Weighted load-balacning 2. Host-dependent load-balacning 3. Round-Robin load-balancing