Embed Size (px)
Citation preview
1
Rouillon Cédric
Redondance et haute disponibilité des éléments d'interconnexion de StadiumCompany
(HSRP, VRRP, GLBP)
2
Sommaire 1) Contexte: ............................................................................................................................................. 3
1.1) Présentation du prestataire informatique: .................................................................................. 3
1.2) Renseignements sur le système informatique de l'organisation: ............................................ 3
2) Cahier des charges: ............................................................................................................................. 5
3) Couche 2: STP, Etherchannel............................................................................................................... 5
4) Couche 3: HSRP, VRRP, GLBP ............................................................................................................ 12
5) Comparaison entre HSRP, VRRP et GLBP: ......................................................................................... 21
3
1) Contexte: StadiumCompany est une société qui gère un grand stade. Lors de la construction de ce stade, le réseau qui prenait en charge ses bureaux commerciaux et des services de sécurité proposait des fonctionnalités de communication de pointe. Au fil des ans, la société a ajouté de nouveaux équipement et augmenté le nombre de connexions sans tenir compte des objectifs commerciaux généraux ni de la conception de l'infrastructure à long terme. Certain projets ont été menés sans souci de conditions de bande passante, de définition de priorités de trafic et autres, requises pour prendre en charge ce réseau critique de pointe. Pour le stade, StadiumCompany fournit l'infrastructure réseau et les installations sur le stade. StadiumCompany emploie 170 personnes à temps plein:
35 Dirigeants et Responsables 135 Employés Environ 80 intérimaires sont embauchés en fonction des besoins, pour des évènements
spéciaux dans les services d'installations et sécurité.
1.1) Présentation du prestataire informatique: Après quelques réunions, StadiumCompany charge NetworkingCompany, une société locale spécialisée dans la conception de réseaux et de conseil. NetworkingCompany est une société partenaire de Cisco Premier Partner. Elle emploie 20 ingénieurs réseau qui disposent de diverses certifications et d'une grande expérience dans ce secteur. Pour créer la conception de haut niveau, NetworkingCompany a tout d'abord interrogé le personnel du stade et décrit un profil de l'organisation et ses installations.
1.2) Renseignements sur le système informatique de l'organisation:
Equipe A: L’équipe A dispose de 15 bureaux dans le stade pour ses employés non joueurs. Cinq de ces bureaux sont partagés. 24 PC et 28 téléphones sont installés dans les bureaux. L’équipe A dispose également d’un vestiaire des joueurs, d’un grand salon pour les joueurs et d’une salle d’entraînement. Le vestiaire est équipé de 5 téléphones et le salon des joueurs de 15 téléphones. Des rumeurs indiquent que l’équipe A aurait récemment installé un concentrateur sans fil dans le salon des joueurs. Equipe B: L’équipe B dispose de 12 bureaux dans le stade pour ses employés autres que les joueurs. Trois de ces bureaux sont partagés. 19 PC et 22 téléphones sont installés dans les bureaux. Le vestiaire est équipé de 5 téléphones et le salon des joueurs de 15 téléphones. Equipe visiteuse: L’équipe visiteuse dispose d’un vestiaire et d’un salon équipés de 10 téléphones. Chaque équipe visiteuse demande des services provisoires le jour du match et quelques jours auparavant.
4
Les équipes visiteuses passent également un contrat avec StadiumCompany pour les bureaux et services au sein du stade. Fournisseur de concessions: Un fournisseur de concessions gère les services proposés lors des matchs et événements. Il compte 5 employés à temps plein. Ils occupent deux bureaux privés et deux bureaux partagés équipés de cinq PC et sept téléphones. Restaurant de luxe: Les quatre dirigeants ont chacun un bureau privé. Les deux employés en charge des questions financières et comptables partagent un bureau. Six PC et téléphones sont pris en charge. Deux téléphones supplémentaires sont utilisés en salle pour les réservations. Prise en charge des loges de luxe: Le stade compte 20 loges de luxe. StadiumCompany équipe chaque loge d’un téléphone permettant de passer des appels locaux et d’appeler le restaurant et le concessionnaire de services.
Prise en charge de la zone de presse: StadiumCompany propose un espace presse avec trois zones partagées: • La zone presse écrite accueille généralement 40 à 50 journalistes au cours d’un match. Cette zone partagée est équipée de 10 téléphones analogiques et de deux ports de données partagés. On sait qu’un journaliste stagiaire apporte un petit point d’accès sans fil lorsqu’il couvre un match. • La zone de presse pour les radios peut accueillir 15 à 20 stations de radio. Elle est équipée de 10 lignes téléphoniques analogiques. • La zone de presse télévisée accueille généralement 10 personnes. Elle est équipée de 5 téléphones.
Prise en charge de site distant: StadiumCompany compte actuellement deux sites distants : une billetterie en centre-ville et une boutique de souvenirs dans une galerie marchande locale. Les sites distants sont connectés via un service DSL à un FAI local. Le stade est connecté au FAI local à l’aide de FAI1, un routeur de services gérés qui appartient au FAI. Les deux sites distants sont connectés au même FAI par les routeurs FAI2 et FAI3, fournis et gérés par le FAI. Cette connexion permet aux sites distants d’accéder aux bases de données situées sur les serveurs dans les bureaux de StadiumCompany. StadiumCompany dispose également d’un routeur de périmètre, nommé Routeur de périphérie, connecté au routeur FAI 1 du stade.
5
2) Cahier des charges: Solution permettant la redondance des services, la tolérance de panne et l’équilibrage des charges des éléments d’interconnexions de niveau 2 et 3. - La durée de l’interruption de service doit être minimale - Solution permettant d’améliorer la continuité de service des services existants en cas de panne de commutateurs et liaisons d’accès (FAI) - Agrégation des liens entre les commutateurs et augmentation de la bande passante
3) Couche 2: STP, Etherchannel
STP: Le protocole STP (Spanning Tree Protocol) est un protocole réseau permettant de définir une topologie sans boucle dans un LAN composé de switchs. STP est activé par défaut sur les commutateurs Cisco, il crée un chemin sans boucle automatiquement entre eux. Election du Root Bridge: Le switch dont le Bridge ID (priorité+adresse MAC) est le plus petit devient le Root Bridge, il reçoit et envoie le trafic.
Dans le cas présent le Root Bridge est le Switch C. Vous pouvez le vérifier ci dessous.
6
7
Etherchannel: Etherchannel est une configuration qui permet au Spanning Tree de traiter plusieurs liens physiques comme un seul port logique. Avec deux liens redondants, le Spanning Tree bloque un port pour empêcher la formation de boucles.
Etherchannel permet au Spanning Tree de traiter les deux liens physiques comme un seul port logique. De ce fait, les deux ports peuvent fonctionner en mode de transfert intégral.
Terminologie d'Etherchannel:
Nous regroupons plusieurs ports Ethernet physiques à l’aide de la commande channel-group. Une seule interface logique appelée port-channel est créée.
Sur les commutateurs Cisco Catalyst, nous pouvons agréger jusqu’à huit ports 10/100 de sorte à créer une interface avec une bande passante de 800 Mbit/s (la documentation peut indiquer 1 600 Mbit/s car le bundle fonctionne en bidirectionnel simultané).
Si cette option est disponible, nous pouvons agréger jusqu’à huit ports gigabit.
L’état de fonctionnement et la configuration de tous les ports d’un bundle doivent être identiques.
Fonctionnement d'Etherchannel:
Si un lien physique du groupe est indisponible, Etherchannel perd uniquement la bande passante fournie par ce lien. Si le lien physique est rétabli, il est rajouté de manière dynamique à Etherchannel.
Spanning Tree traite le bundle Etherchannel comme un seul port de commutation logique et ajuste le coût du Spanning Tree pour refléter la bande passante.
Etherchannel peut ou non être configuré pour le trunking selon les impératifs de conception.
8
Equilibrage de charge avec Etherchannel:
Etherchannel équilibre la charge sur tous les ports physiques du groupe Etherchannel.
La méthode par défaut de partage de charge utilise l’adresse MAC source dans les trames. Les trames de différentes sources sont envoyées depuis différents ports, mais toutes les trames d’une seule source le sont du même port.
Nous pouvons modifier l’équilibrage de charge par défaut à l’aide de la commande globale: port-channel load-balance [dst-ip | dst-mac | srcdst-ip | src-dst-mac | src-ip | src-mac]. Protocoles d'agrégation de canaux:
Les commutateurs Catalyst peuvent utiliser un protocole pour établir et gérer dynamiquement le bundle Etherchannel.
La commande channel-group mode permet d’indiquer si le groupe Etherchannel doit utiliser le protocole PAgP (Port Aggregation Protocol) ou le protocole LACP (Link Aggregation Protocol), ou bien forcer l’agrégation de canaux sur l’interface sans PAgP ni LACP.
Le fait de forcer l’agrégation de canaux sur les interfaces peut poser des problèmes si elles sont configurées différemment.
Protocole PAgP:
Le protocole PAgP permet aux commutateurs de connaître les fonctionnalités de chaque interface attribuée à un bundle Etherchannel et d’activer sans risque les interfaces dont la configuration est similaire pour former un port-channel.
PAgP transmet et reçoit des messages sur toutes les interfaces du bundle Etherchannel et limite le trafic PAgP au VLAN natif si les ports sont en mode trunking.
Le protocole LACP fonctionne comme le protocole PAgP, à la différence que le premier est normalisé et que le second est un protocole Cisco propriétaire.
Configuration d'Etherchannel: SW1(config)#interface range fa 0/20-21 SW1(config-if-range)#channel-group 1 mode auto SW1(config-if)#interface Port-channel 1 SW1(config-if)#switchport mode trunk SW2(config)#interface range fa 0/20-21 SW2(config-if-range)#channel-group 1 mode auto SW2(config-if)#interface Port-channel 1 SW2(config-if)#switchport mode trunk
9
SW2#show interface etherchannel ---- FastEthernet0/20: Port state = Up Sngl-port-Bndl Mstr Not-in-Bndl Channel group = 1 Mode = Automatic-Sl Gcchange = 0 Port-channel = null GC = 0x00010001 Pseudo por t-channel = Po1 Port index = 0 Load = 0x00 Protocol = PAgP Flags: S - Device is sending Slow hello. C - Device is in C onsistent state. A - Device is in Auto mode. P - Device learns on physical port. d - PAgP is down. Timers: H - Hello timer is running. Q - Quit timer is running. S - Switching timer is running. I - Interface time r is running. Local information: Hello Partner PAgP Le arning Group Port Flags State Timers Interval Count Priority M ethod Ifindex Fa0/20 A U2/S4 1s 0 128 Any 10020 Age of the port in the current state: 0d:00h:01m:59s ---- FastEthernet0/21: Port state = Up Sngl-port-Bndl Mstr Not-in-Bndl Channel group = 1 Mode = Automatic-Sl Gcchange = 0 Port-channel = null GC = 0x00010001 Pseudo por t-channel = Po1 Port index = 0 Load = 0x00 Protocol = PAgP Flags: S - Device is sending Slow hello. C - Device is in C onsistent state. A - Device is in Auto mode. P - Device learns on physical port. d - PAgP is down. Timers: H - Hello timer is running. Q - Quit timer is running. S - Switching timer is running. I - Interface time r is running. Local information: Hello Partner PAgP Le arning Group Port Flags State Timers Interval Count Priority M ethod Ifindex Fa0/21 A U2/S4 1s 0 128 Any 10021 Age of the port in the current state: 0d :00h:01m:59s
10
---- Port-channel1: Age of the Port-channel = 0d:00h:02m:19s Logical slot/port = 2/1 Number of ports = 0 GC = 0x00000000 HotStandBy port = null Port state = Port-channel Ag-Not-Inuse Protocol = PAgP Port security = Disabled SW2#show etherchannel Channel-group listing: ---------------------- Group: 1 ---------- Group state = L2 Ports: 2 Maxports = 8 Port-channels: 1 Max Port-channels = 1 Protocol: PAgP Minimum Links: 0 SW2#show etherchannel summary Flags: D - down P - bundled in port-channel I - stand-alone s - suspended H - Hot-standby (LACP only) R - Layer3 S - Layer2 U - in use f - failed to allocate aggregator M - not in use, minimum links not met u - unsuitable for bundling w - waiting to be aggregated d - default port Number of channel-groups in use: 1 Number of aggregators: 1 Group Port-channel Protocol Ports ------+-------------+-----------+----------------------------------------------- 1 Po1(SD) PAgP Fa0/20(I) Fa0/21(I) SW1#show run Building configuration... Current configuration : 1932 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SW1 ! ! no aaa new-model ip subnet-zero ! ! !
11
! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface Port-channel1 switchport mode trunk ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20 switchport mode access ! interface FastEthernet0/9 switchport access vlan 20 switchport mode access ! interface FastEthernet0/10 switchport access vlan 20 switchport mode access ! interface FastEthernet0/11 switchport access vlan 20 switchport mode access ! interface FastEthernet0/12 switchport access vlan 20 switchport mode access ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 !
12
interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 switchport mode trunk channel-group 1 mode auto ! interface FastEthernet0/21 switchport mode trunk channel-group 1 mode auto ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache ! ip http server ! control-plane ! ! line con 0 line vty 5 15 ! end
4) Couche 3: HSRP, VRRP, GLBP HSRP:
Le protocole HSRP (Host Standby Router Protocol) fournit de la redondance dans les réseaux IP:
Fait en sorte que le trafic utilisateur soit acheminé de manière transparente malgré la défaillance de la passerelle ou les équipements d'accès à un réseau.
Partage d'une adresse IP et d'une adresse MAC virtuelles, deux ou plusieurs routeurs peuvent opérer comme un seul routeur virtuel.
Les membres du groupe virtuel échangent continuellement des messages.
Un routeur peut assumer les responsabilités de routage d'un autre si celui est défaillant ou doit être arrêté pour une raison quelconque.
13
Fonctionnement de HSRP:
Dans un groupe Standby, un routeur est élu "Active Router".
Le routeur avec la priorité la plus élevée dans le groupe devient le routeur actif.
La valeur par défaut est 100 (Configurable).
Si un paquet est transmis vers l'adresse MAC virtuelle , "l'Active Router" reçoit et traite le paquet.
Si une requête ARP est faite avec l'adresse IP Virtuelle, "l'Active Router" répond avec l'adresse l'adresse MAC virtuelle.
Membres d'un groupe HSRP:
14
Configuration de HSRP: R1(config)#int fa 0/0.10 R1(config-subif)#standby 10 ip 172.20.0.3 R1(config-subif)#standby 10 priority 110 R1(config-subif)#standby 10 preempt R1(config-subif)#exit R1(config)#int fa 0/0.20 R1(config-subif)#standby 20 ip 172.20.1.3 R1(config-subif)#standby 20 priority 90 R2(config)#interface fa0/0.10 R2(config-subif)#standby 10 ip 172.20.0.3 R2(config-subif)#standby 10 priority 90 R2(config-subif)#exit R2(config)#interface fa0/0.20 R2(config-subif)#standby 20 ip 172.20.1.3 R2(config-subif)#standby 20 priority 110 R2(config-subif)#standby 20 preempt R2#show standby FastEthernet0/0.10 - Group 10 State is Active 2 state changes, last state change 00:19:49 Virtual IP address is 172.20.0.3 Active virtual MAC address is 0000.0c07.ac0a Local virtual MAC address is 0000.0c07.ac0a (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.528 secs Preemption disabled Active router is local Standby router is unknown Priority 90 (configured 90) Group name is "hsrp-Fa0/0.10-10" (default) FastEthernet0/0.20 - Group 20 State is Active 2 state changes, last state change 00:18:49 Virtual IP address is 172.20.1.3 Active virtual MAC address is 0000.0c07.ac14 Local virtual MAC address is 0000.0c07.ac14 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.736 secs Preemption enabled Active router is local R1#show standby FastEthernet0/0.10 - Group 10 State is Active 2 state changes, last state change 00:03:02 Virtual IP address is 172.20.0.3 Active virtual MAC address is 0000.0c07.ac0a Local virtual MAC address is 0000.0c07.ac0a (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 0.880 secs Preemption enabled Active router is local Standby router is unknown Priority 110 (configured 110) IP redundancy name is "hsrp-Fa0/0.10-10" (default) FastEthernet0/0.20 - Group 20 State is Active
15
2 state changes, last state change 00:03:02 Virtual IP address is 172.20.1.3 Active virtual MAC address is 0000.0c07.ac14 Local virtual MAC address is 0000.0c07.ac14 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 0.880 secs Preemption disabled Active router is local Standby router is unknown Priority 90 (configured 90) IP redundancy name is "hsrp-Fa0/0.20-20" (default) R1#sh run Building configuration... Current configuration : 1129 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R1 ! boot-start-marker boot-end-marker ! ! no aaa new-model ip cef ! ! ! ! ! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10
16
ip address 172.20.0.1 255.255.255.0 ip nat inside ip virtual-reassembly standby 10 ip 172.20.0.3 standby 10 priority 110 standby 10 preempt ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.1 255.255.255.0 ip nat inside ip virtual-reassembly standby 20 ip 172.20.1.3 standby 20 priority 90 ! interface FastEthernet0/1 ip address dhcp duplex auto speed auto ! interface Serial0/2/0 no ip address shutdown clock rate 2000000 ! interface Serial0/2/1 no ip address shutdown clock rate 2000000 ! ip route 0.0.0.0 0.0.0.0 172.20.95.253 ! ! ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
17
R2#sh run Building configuration... Current configuration : 1105 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R2 ! boot-start-marker boot-end-marker ! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.20.0.2 255.255.255.0 ip nat inside ip virtual-reassembly standby 10 ip 172.20.0.3 standby 10 priority 90 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.2 255.255.255.0 ip nat inside ip virtual-reassembly standby 20 ip 172.20.1.3 standby 20 priority 110 standby 20 preempt
18
! interface FastEthernet0/1 ip address dhcp duplex auto speed auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.20.95.253 no ip http server no ip http secure-server ! ! ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end
VRRP: VRRP (Virtual Router Redundancy Protocol) est un standard pour la redondance de routeur.
Les routeurs A, B et C sont membres du groupe VRRP. L'adresse IP du routeur virtuel est la même que celle de l'interface LAN du routeur A(10.0.0.1). Le routeur A est responsable de l'acheminement des paquets transmis vers cette adresse IP.
Les clients ont une adresse de passerelle 10.0.0.1. Les routeurs B et C sont des routeurs de secours. Si le routeur maître est défaillant, le routeur de secours avec la priorité la plus élevée devient le routeur maître. Quand le routeur A a récupéré, il reprend son rôle de routeur maître.
19
Configuration de VRRP:
GLBP: GLBP (Gateway Load Balancing Protocol) est un protocole propriétaire Cisco dans lequel plusieurs routeurs agissent comme passerelles par défaut de secours.
Fonctions de GLBP:
GLBP Active Virtual Gateway (AVG): Les membres d'un groupe GLBP élisent une passerelle pour être l'AVG du groupe. Les autres membres du groupe fournissent un AVG de secours si l'AVG devient indisponible. L'AVG affecte une adresse MAC virtuelle à chaque membre du groupe GLBP.
20
GLBP Active Virtual Forwarder (AVF): Chaque passerelle assume la responsabilité d'acheminement des paquets qui sont transmis vers l'adresse MAC virtuelle par l'AVG. L'adresse MAC virtuelle affectée à cette passerelle par l'AVG. Ces passerelles sont connues comme AVFs pour leurs adresses MAC virtuelles.
GLBP communication: Les membres GLBP communiquent au travers de messages hello transmis toutes les 3 secondes vers l'adresse multicast 224.0.0.102, port UDP (User Datagram Protocol) 3222.
Caractéristiques de GLBP:
Partage de charge: Vous pouvez configurer GLBP de manière à ce que plusieurs routeurs puissent partager le trafic des clients LAN, et par conséquent partager la charge de trafic plus équitablement parmi les routeurs disponibles.
Routeurs virtuel multiples: GLBP supporte 1024 routeurs virtuels (groupes GLBP) sur chaque interface physique d'un routeur et jusqu'à quatre achemineurs virtuels par groupe.
Préemption: Le système de redondance de GLBP vous permet de préempter un AVG avec une passerelle de virtuelle de secours de priorité plus élevée qui est devenue disponible. La préemption de l'achemineur fonctionne de manière similaire, excepté que la préemption de l'achemineur utilise des poids au lieu de priorité et elle est validée par défaut.
Utilisation efficace de ressources: GLBP rend cela possible pour tout routeur dans un groupe de servir de secours ce qui élimine le besoin d'un routeur de secours dédié car tout routeur disponible peut supporter le trafic réseau.
Configuration de GLBP:
21
5) Comparaison entre HSRP, VRRP et GLBP:
