aula 05 - mstp_security_hsrp
TRANSCRIPT
-
MSTP Security HSRP VVRP GLBP
Ps-Graduao - Gerenciamento de
Redes de Computadores
Prof. Roberto Mendona, M.Sc
-
MSTP - Motivao
2 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
PVSTP - Prover uma instncia STP por VLAN configurada no switch. PVSTP bom quando h condies de contigncia. MST (IEEE 802.1s) - Motivao principal dar um grau de flexibilidade maior.
2 Links 1000 VLANs 2 Instncias MST. MST - Consome pouco recurso.
-
Instncias - MSTP
3 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Necessrio 02 Instncias MST (500 por instncia).
Load-balancing trabalha porque metade das VLANs seguem cada instncia separadas.
Utilizao do Switch baixa porque ele tem apenas que manipular duas instncias.
MST a melhor soluo para este cenrio.
-
Com Configurar o MST
4 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Ativar MST no switch. Switch(config)#spanning-tree mode mst
Entrar no mode de configurao do MST. Switch(config)#spanning-tree mst configuration
Exibir a configurao corrente do MST. Switch(config-mst)#show current
Nomear uma instncia MST. Switch(config-mst)#name name
Configurar o nmero de reviso. Switch(config-mst)#revision revision_number
-
5 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Mapear as VLANs para a instncia MST. Switch(config-mst)#instance instance_number vlan
vlan_range
Designar uma bridge raiz para a instncia MST. Esta sintaxe faz o switch root primary ou secondary
(apenas se o primrio falhar). Ele configura o primary
priority para 24576 e secondary para 28672. Switch(config)# spanning-tree mst instance_number root
primary | secondary
Com Configurar o MST
-
Exemplo - MST
6 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
SwitchA(config)# spanning-tree mode mst
SwitchA(config)# spanning-tree mst configuration
SwitchA(config-mst)# name XYZ
SwitchA(config-mst)# revision 1
SwitchA(config-mst)# instance 1 vlan 11, 21, 31
SwitchA(config-mst)# instance 2 vlan 12, 22, 32
SwitchA(config)# spanning-tree mst 1 root primary
SwitchB(config)# spanning-tree mode mst
SwitchB(config)# spanning-tree mst configuration
SwitchB(config-mst)# name XYZ
SwitchB(config-mst)# revision 1
SwitchB(config-mst)# instance 1 vlan 11, 21, 31
SwitchB(config-mst)# instance 2 vlan 12, 22, 32
SwitchB(config)# spanning-tree mst 2 root primary
-
Exemplo - MST
7 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch#show spanning-tree mst
###### MST00 vlans mapped: 5-4094
Bridge address 0009.e845.6480 priority 32768 (32768 sysid 0)
Root this switch for CST and IST
Configured hello time 2, forward delay 15, max age 20, max hops 20
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- -------
Fa3/24 Desg FWD 2000000 128.152 Shr
Fa3/32 Desg FWD 200000 128.160 P2p
Fa3/42 Back BLK 200000 128.170 P2p
###### MST01 vlans mapped: 1-2
Bridge address 0009.e845.6480 priority 32769 (32768 sysid 1)
Root this switch for MST01
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- -------
Fa3/24 Desg FWD 2000000 128.152 Shr
Fa3/32 Desg FWD 200000 128.160 P2p
Fa3/42 Back BLK 200000 128.170 P2p
###### MST02 vlans mapped: 3-4
Bridge address 0009.e845.6480 priority 32770 (32768 sysid 2)
Root this switch for MST02
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- --------- -------- -------
Fa3/24 Desg FWD 2000000 128.152 Shr
-
8 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch#show spanning-tree mst 1
###### MST01 vlans mapped: 1-2
Bridge address 0009.e845.6480 priority 32769 (32768 sysid 1)
Root this switch for MST01
Interface Role Sts Cost Prio.Nbr Type
---------------- ---- --- ------ -------- -----------------
Fa3/24 Desg FWD 2000000 128.152 Shr
Fa3/32 Desg FWD 200000 128.160 P2p
Fa3/42 Back BLK 200000 128.170 P2p
Exemplo - MST
-
Categorias de Ataques em Camada 2
9 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Em se tratando de Segurana em Redes, muitas vezes as camadas inferiores (1 e 2) so deixadas de lado.
MAC Addresses
Physical Links
IP Addresses
Protocols and Ports
Application Stream Application
Presentation
Session
Transport
Network
Data Link
Physical
Com
pro
mis
ed
Application
Presentation
Session
Transport
Network
Data Link
Physical
Initial Compromise
-
Categorias de Ataques em Camada 2
10 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Access Points
Switches
Servers
Cuidado com as portas que esto disponveis no acesso.
-
11 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
MAC Address Flooding
Switch Spoofing
VLAN Hopping
DHCP Spoofing
Categorias de Ataques em Camada 2
-
12 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
MAC Address Flooding O Switch inundado com uma gama de MAC Address com o objetivo de atingir o limite da
tabela CAM.
Categorias de Ataques em Camada 2
-
13 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
MAC Address Flooding
Um atacante habilita uma ferramenta hacking, com o objetivo de inundar a Tabela CAM, causando um estouro na base de dados do Switch.
Quando a tabela CAM est cheia, o switch passa a funcionar como um
HUB e inunda todos os quadros unicast.
Categorias de Ataques em Camada 2
Mitigao: Port security. MAC
address VLAN Access Maps.
-
14 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Port Security
Port Security configurado, limitando ataques de MAC Flooding e
bloqueando portas.
Categorias de Ataques em Camada 2
-
15 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Configurando Port Security:
Categorias de Ataques em Camada 2
Passo 1. Ativar port security:
Switch(config-if)# switchport port-security
Passo 2. Definir o nmero mximo de MAC addresses que ser permitido na porta. O default 01.
Switch(config-if)#switchport port-security maximum value
Passo 3. Especifica qual MAC addresses ser permitido na porta (opcional):
Switch(config-if)#switchport port-security mac-address mac-address
Passo 4. Define qual ao a interface tomar se um MAC no permitido tenta o acesso:
Switch(config-if)#switchport port-security violation
{shutdown | restrict | protect}
-
16 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Exemplo de Configurao Port Security
4503(config)# interface FastEthernet 3/47
4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address
0000.0000.0008
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation restrict
4503(config)# interface FastEthernet 2/2
4503(config-if)# switchport
4503(config-if)# switchport mode access
4503(config-if)# switchport port-security
4503(config-if)# switchport port-security mac-address
0000.0000.1118
4503(config-if)# switchport port-security maximum 1
4503(config-if)# switchport port-security aging time 2
4503(config-if)# switchport port-security aging static
4503(config-if)# switchport port-security violation shutdown
-
17 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
switch# show running-config fastethernet 0/1
interface FastEthernet0/1
switchport access vlan 2
switchport mode access
switchport port-security maximum 2
switchport port-security
switchport port-security violation restrict
switchport port-security mac-address sticky
switchport port-security mac-address sticky 001b.d513.2ad2
switch# show port-security address
Secure Mac Address Table
------------------------------------------------------------------------
Vlan Mac Address Type Ports Remaining Age
(mins)
---- -------------- ----- -------------
2 001b.d513.2ad2 SecureSticky Fa0/1 -
Exemplo de Configurao Port Security
-
18 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch Spoofing Atacante pluga sua mquina no Switch da rede em produo e faz um trunk com dot1q, ou conecta
um Switch Rogue fazendo tambm um Trunk. Explora
vulnerabilidade do DTP.
Categorias de Ataques em Camada 2
-
19 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Categorias de Ataques em Camada 2
1. Desativar o Trunk em todas as portas que no precisam ser trunk;
2. Desative auto trunking e manualmente ative trunking
3. Colocar as portas no usadas em shutdown
Switch Spoofing - Mitigao:
-
20 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
VLAN Hopping Double Tagging
Atacante (nativa VLAN 1) envia um frame com dois cabealhos 802.1Q para o Switch1. Switch2 encaminha o quadro para todas as portas associadas com a VLAN 20, incluindo portas trunk.
Categorias de Ataques em Camada 2
O segundo switch recebe o quadro, na vlan nativa.
Atacante na VLAN 1, mas insere um tag 20 no quadro.
Vtima (VLAN 20)
Note: Este ataque trabalha apenas se o trunk tem a mesma VLAN nativa que o atacante.
O primeiro switch retira o primeiro tag e no remarca (trfego nativo no remarcado). Ele encaminha o quadro para o switch 2.
20
Trunk (Native VLAN = 1)
802.1Q, Frame
1
2
3
4
O segundo switch examina o quadro, ver a VLAN 20 marcada e encaminha.
-
21 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Categorias de Ataques em Camada 2
Trunk (Native VLAN = 400)
1. No use a VLAN Nativa para enviar trfego ao usurio.
2. Crie uma VLAN que no ter qualquer porta associada a ela, apenas para VLAN Nativa. Ex. VLAN 400
VLAN Hopping Double Tagging - Mitigao:
-
22 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
DHCP Spoofing
Uma mquina falsa responde requisies DHCP dos clientes.
Para mitigar se usa o DHCP Snooping, bloqueando falsos servidores DHCP.
Categorias de Ataques em Camada 2
-
23 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
CDP (Cisco Discovery Protocol)
- Protocolo de nvel 2 usado para obter informaes de hardware e software de dispositivos vizinhos na sua rede.
- O comando no cdp run desabilita o CDP globalmente.
- O comando no cdp enable desabilita o CDP na interface.
Categorias de Ataques em Camada 2
-
Telnet - SSH
24 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Telnet
SSH
-
Configurando Acesso - SSH
25 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
line vty 0 15
login local
transport input telnet ssh
username posredes password posredes
ip domain-name example.com
crypto key generate rsa
( Switch Generates Keys)
Public Key Private Key
Key
Key
SSH Client
-
Restringindo Acesso Telnet/SSH
26 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
-
VACL VLAN Acess Control Lists
27 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
VACLs: Aplica-se para todo trfego numa VLAN. VACLs suportam filtros baseados no Ethertype e endereos MAC. Podem controlar o trfego fluindo dentro da VLAN ou controlar trfegos
comutados.
-
VACL VLAN Acess Control Lists
28 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
As trs aes da VACL so:
Permit
Redirect
Deny
-
29 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Here a VACL is configured to drop all traffic from network 10.1.9.0/24 on VLAN 10 and 20 and drop all traffic to Backup Server 0000.1111.4444.
Uma VACL configurada para descartar todo trfego da rede 10.1.9.0/24 na VLAN 10 e 20, e descartar todo trfego para o servidor de Backup com MAC
0000.1111.4444.
switch(config)#access-list 100 permit ip 10.1.9.0 0.0.0.255 any
switch(config)#mac access-list extended BACKUP_SERVER
switch(config-ext-mac)#permit any host 0000.1111.4444
switch(config)#vlan access-map XYZ 10
switch(config-map)#match ip address 100
switch(config-map)#action drop
switch(config-map)#vlan access-map XYZ 20
switch(config-map)#match mac address BACKUP_SERVER
switch(config-map)#action drop
switch(config-map)#vlan access-map XYZ 30
switch(config-map)#action forward
switch(config)#vlan filter XYZ vlan-list 10,20
VACL VLAN Acess Control Lists
-
Espelhamento de Portas SPAN (Switch Port Analyzer)
30 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Uma porta SPAN espelha o trfego de uma porta para outra, onde o dispositivo de monitoramento est conectado.
Sem isto, pode ser difcil identificar os hackers aps eles terem entrado na rede.
Intruder Alert!
Atacante
Use SPAN para espelhar o trfego in e out da porta F0/1 para porta F0/2.
F0/2
F0/1
-
Configurando SPAN
31 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch(config)#
Switch(config)#
monitor session session_number source {interface
interface-id [, | -] [both | rx | tx]} | {vlan vlan-id [,
| -] [both | rx | tx]}| {remote vlan vlan-id}
monitor session session_number destination {interface
interface-id [, | -] [encapsulation replicate] [ingress
{dot1q vlan vlan-id | isl | untagged vlan vlan-id | vlan
vlan-id}]} | {remote vlan vlan-id}
-
Espelhamento de Porta RSPAN
32 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Uma porta RSPAN espelha o trfego para outra porta em outro switch, onde a probe ou o IDS est conectado.
Isto permite mais switches serem monitorados com uma simples probe ou IDS.
Intruder Alert!
Atacante
IDS
RSPAN VLAN
Source VLAN
Source VLAN
Source VLAN
-
Configurando RSPAN
33 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
2960-1(config)#vlan 100
2960-1(config-vlan)#remote-span
2960-1(config-vlan)#exit
2960-1(config)# monitor session 1 source interface FastEthernet 0/1
2960-1(config)# monitor session 1 destination remote vlan 100
2960-1(config)# interface FastEthernet 0/2
2960-1(config-if)#switchport mode trunk
1. Configure the RSPAN VLAN
2. Configure the RSPAN source ports and VLANs
3. Configure the RSPAN traffic to be forwarded
2960-2(config)# monitor session 2 source remote vlan 100
2960-2(config)# monitor session 2 destination interface FastEthernet 0/3
2960-2(config)# interface FastEthernet 0/2
2960-2(config-if)#switchport mode trunk
-
Formas de Redundncia de Primeiro Salto
34 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Proxy ARP Static Default Gateway HSRP VRRP GLBP
-
Proxy ARP
35 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Soluo Legada.
Habilitado por padro.
Usado antes que os default gateways fossem suportados pelos clientes IPs.
Estaes Finais atuam como se o destino fossem no mesmo segmento de rede.
Soluo no muito recomendvel.
-
Static Default Gateway
36 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
No dinmico.
No prover caminho secundrio.
-
HSRP (Hot Standby Routing Protocol)
37 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Protocolo de redundncia de gateway.
Os roteadores/Switches L3 participantes conversam entre
si e concordam com o IP do
roteador virtual o qual o
sistema usar como IP de
gateway.
-
38 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Quando o roteador ativo ou links entre os roteadores
falhar o roteador standby
no mais visualiza
mensagens de hello do
roteador active. O roteador
standby assume a funo
de encaminhamento.
Para as estaes esse processo transparente.
HSRP (Hot Standby Routing Protocol)
-
Operao do HSRP
39 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Mensagens de Hello so enviadas para o endereo de multicast 224.0.0.2 , na porta UDP 1985.
Mensagens de Hello so utilizadas para comunicao em um grupo HSRP.
Todos os roteadores do grupo HSRP precisam ter adjacncia L2.
Todos os roteadores no grupo HSRP possuem regras especficas e interagem de formas especficas:
Virtual router
Active router
Standby router
Other routers
-
HSRP MAC Address
40 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Router A assume o active e encaminha todos os endereos de quadros para serem designados ao endereo HSRP MAC address de 0000.0c07.acxx, onde xx
o identificador do grupo HSRP.
-
HSRP Active Router e STP
41 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
No STP, alguns links so bloqueados. O STP no est atento ao HSRP. No h uma relao automtica entre o HSRP Active e o Root Bridge.
Quando usando STP e HSRP, importante ter certeza de que o roteador Active tambm a Root Bridge, evitando assim caminhos sub-timo.
-
Configurando HSRP na Interface
42 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch(config-if)#
standby group-number ip ip-address
O nmero de grupo opcional e indica o grupo HSRP no qual a interface pertence.
O Grupo default 0. O endereo IP definido o endereo para o Grupo HSRP. O nmero mximo de grupos ativos so 16. Um router pode ser ativo para um grupo e standby para outro, fazendo um load balancing.
-
Configurando HSRP na Interface
43 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Define a prioridade do roteador. Pode ir de 0 a 255. Default 100. O roteador com mais alto valor de prioridade se torna o ativo. Caso haja um empate, o roteador com o mais alto endereo IP se torna o ativo.
O Preempt faz com que sempre a prioridade seja respeitada, evitando que um roteador d boot primeiro que outro e se torne o roteador ativo.
standby group-number priority priority-value
standby [group-number] preempt [delay {minimum seconds
reload seconds sync seconds}]
-
Exemplo - HSRP
44 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Roteadores A e B so configurados com as prioridades 110 e 90, respectivamente. A configurao do Roteador A mostrada.
A palavra preempt certifica que o Roteador A ser o HSRP active to logo a
interface esteja ativa.
RouterA(config)# interface vlan 10
RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
-
Autenticao com HSRP
45 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
RouterA(config)# interface vlan 10
RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
RouterA(config-if)#standby 10 authentication xyz123
Evita que roteadores falsos possam fazer parte do grupo HSRP.
-
Exemplo HSRP Tracking
46 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
SW4(config)# interface vlan 10
SW4(config-if)# ip address 10.1.1.2 255.255.255.0
SW4(config-if)# standby 10 ip 10.1.1.1
SW4(config-if)# standby 10 priority 110
SW4(config-if)# standby 10 preempt
SW4(config-if)# standby 10 track fastethernet0/23 20
SW4(config-if)# standby 10 track fastethernet0/24
-
47 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
standby [group-number] track interface-type interface-number [interface-
priority]
Interface-type a interface que ser acompanhada (Tracking). Priority define o valor no qual a prioridade do roteador ser decrementada no HSRP se a interface se tornar down. Default 10.
HSRP Interface Tracking
-
Mltiplos Grupos HSRP
48 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Mltiplos Grupos HSRP habilita os switches a simultaneamente prover
redundncia e fazer um balanceamento atravs de diferentes subnets.
-
Exemplo de Mltiplos Grupos HSRP
49 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
-
Monitorando o HSRP
50 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Switch#show standby
Vlan10 - Group 10
State is Active
Virtual IP address is 10.1.10.1
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.248 secs
Preemption enabled
Active router is local
Standby router is 10.1.10.3, priority 90 (expires in 10.096 sec)
Priority 120 (configured 120)
Track interface Port-channel31 state Up decrement 30
Track interface Port-channel32 state Up decrement 30
Group name is hsrp-Vl10-10 (default) Vlan20 - Group 20
State is Standby
Virtual IP address is 10.1.20.1 Active virtual MAC address is 0000.0c07.ac14
Local virtual MAC address is 0000.0c07.ac14 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.064 secs
Preemption enabled
Active router is 10.1.10.3, priority 120 (expires in 10.032 sec)
Standby router is local
Priority 90 (configured 90)
Group name is hsrp-Vl20-20 (default)
-
51 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Roteadores A, B e C so membros de um grupo VRRP. O endereo IP do roteador virtual o mesmo que o endereo da interface LAN do Roteador A (10.0.0.1). Roteador A responsvel
por encaminhar pacotes enviados para esse IP.
Os clientes possuem um endereo de gateway de 10.0.0.1. Roteadores B e C so rotedores
de backup. Se o roteador Master falhar, o roteador de backup com a maior prioridade se
torna o roteador Master. Quando o roteador A volta, ele volta a ser o Master.
VRRP (Virtual Router Routing Protocol)
-
Redundncia com VRRP
52 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Uma LAN na qual o VRRP configurado. Os roteadores so configurados de forma que os roteadores A e B compartilham a carga de ser o default gateway para os Clientes 1 a 4. Routers A e
B atuam como backup virtual routers um para o outro se um deles falhar.
Dois grupos virtuais de roteadores so configurados. Para o roteador virtual 1, o roteador A o proprietrio do endereo IP 10.0.0.1 e portanto o Master Virtual router para os clientes
configurados com este endereo de default gateway. O roteador B o roteador de backup para o
roteador A.
J para o roteador virtual 2 o roteador B o proprietrio do IP 10.0.0.2 e o Master Virtual router para clientes configurados com IP 10.0.0.2. Roteador A o backup virtual router para o roteador B.
-
Exemplo - VRRP
53 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
RouterA# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterA(config)# interface vlan 1
RouterA(config-if)# ip address 10.0.2.1 255.255.255.0
RouterA(config-if)# vrrp 1 ip 10.0.2.254
RouterB# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
RouterB(config)# interface vlan 1
RouterB(config-if)# ip address 10.0.2.2 255.255.255.0
RouterB(config-if)# vrrp 1 ip 10.0.2.254
RouterB(config-if)# vrrp 1 priority 90
-
Visualizando - VRRP
54 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
RouterA# show vrrp interface vlan 1
Vlan1 - Group 1
State is Master
Virtual IP address is 10.0.2.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 0.500 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 100
Master Router is 10.0.2.1 (local), priority is 100
Master Advertisement interval is 0.500 sec
Master Down interval is 2.109 sec
RouterB# show vrrp interface vlan 1
Vlan1 - Group 1
State is Backup
Virtual IP address is 10.0.2.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 0.500 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 90
Master Router is 10.0.2.1, priority is 100
Master Advertisement interval is 0.500 sec
Master Down interval is 2.109 sec (expires in 1.745 sec)
-
55 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
GLBP (Gateway Load Balancing Protocol)
GLBP active virtual gateway (AVG): Membros do grupo GLBP elegem um gateway para
ser o AVG daquele grupo. Outro membro do grupo prover backup para o AVG se o AVG se
tornar indisponvel. O AVG designa um MAC virtual para cada membro do grupo GLBP. Faz
todo o Controle.
GLBP active virtual forwarder (AVF): Cada gateway assume responsabilidade para
encaminhar pacotes que so enviados para o endereo MAC virtual designado para aquele
gateway pelo AVG. Este gateways so conhecidos como AVFs para os endereos MAC
virtuais deles.
GLBP communication: Membros GLBP se comunicam entre si atravs de mensagens de
hello enviadas a cada 3 segundos para o endereo de multicast 224.0.0.102, UDP Porta
3222.
-
56 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
GLBP (Gateway Load Balancing Protocol)
Roteador A est atuando como AVG. Roteador A tem um MAC virtual 0007.b400.0101.
Roteador B est atuando como um AVF para o MAC virtual 0007.b400.0102 designado para ele pelo roteador A.
Cliente 1 default gateway o roteador A. Cliente 2 default gateway o roteador B baseado no MAC virtual designado.
-
57 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
GLBP (Gateway Load Balancing Protocol)
Por default, GLBP tenta fazer um balanceamento por hosts usando o algoritmo de round-robin.
Quando o cliente envia uma requisio ARP para o endereo de gateway, o AVG retorna o endereo do virtual MAC address de um dos AVFs.
Quando um segundo cliente envia uma requisio ARP, o AVG retorna o endereo do prximo endereo virtual MAC da lista.
-
58 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
GLBP (Gateway Load Balancing Protocol)
Tendo cada Host resolvido um MAC address diferente para o default gateway, Clientes A e B enviam o trfego para roteadores separados, embora eles tenham
o mesmo default gateway configurado.
Cada roteador GLBP um AVF para o virtual MAC address para o qual ele tem sido designado.
-
59 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Vantagens do GLBP
Balanceamento de Carga. Mltiplos Roteadores Virtuais. Preempo. Utilizao Eficiente de Recursos.
-
60 6 de fevereiro de 2014 MSTP Security HSRP VVRP GLBP
Referncias
Catalyst 3560 Command Reference www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/command/reference/3560_cr.html
Configuring NSF with SSO: www.cisco.com/en/US/partner/docs/switches/lan/catalyst6500/ios/12.2SXF/native/configuration/guide/nsfsso.html
Configuring HSRP: www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/swhsrp.html
Configuring VRRP: www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_vrrp.html
Configuring GLBP: www.cisco.com/en/US/partner/docs/ios/ipapp/configuration/guide/ipapp_glbp.htm
Configuring Enhanced Object Tracking: www.cisco.com/en/US/partner/docs/switches/lan/catalyst3560/software/release/12.2_55_se/configuration/guide/sweot.html
-
Perguntas
61 6 de fevereiro de 2014
Roberto Mendona
STP Spanning-Tree Protocol