отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

GLBP и VRRP не работает

Здравствуйте.

У меня в организации есть несколько Cisco 2901, смотрящие в разные сети и которые я бы хотел объединить в один виртуальный шлюз и желательно с распределенной нагрузкой. Для этих целей я попробовал настроить GLBP на двух устройствах следующим образом:

R1:

GigabitEthernet 0/0/0

switchport mode access vlan100

interface vlan100

ip address 192.168.1.1 255.255.255.0

ip virtual-reassembly in

glbp 192 ip 192.168.1.1

glbp 192 preempt 

glbp 192 priority 110

glbp 192 authentication SEC

GigabitEthernet 0/0/1

switchport mode access vlan200

interface vlan200

ip address 10.10.1.1 255.255.255.0

ip virtual-reassembly in

glbp 10 ip 10.10.1.1

glbp 10 preempt 

glbp 10 priority 110

glbp 10 authentication SEC

R2:

GigabitEthernet 0/0/0

switchport mode access vlan100

interface vlan100

ip address 192.168.1.2 255.255.255.0

ip virtual-reassembly in

glbp 192 ip 192.168.1.1

glbp 192 authentication SEC

GigabitEthernet 0/0/1

switchport mode access vlan200

interface vlan200

ip address 10.10.1.2 255.255.255.0

ip virtual-reassembly in

glbp 10 ip 10.10.1.1

glbp 10 authentication SEC

В результате при обрыве линии на одном из интерфейсов R1, второй роутер не забирает на себя роль ведущего, т.е. пакеты продолжают пытаться идти через первый, хотя по логам R1 переходит в статус Init и должен передать управление второму. Пробовал менять таймеры, пробовал менять приоритеты. Результат тот же.

Далее попробовал убрать GLBP и поднять VRRP, чтобы хотя бы обеспечить отказоустойчивость. Настройка следующая:

R1:

GigabitEthernet 0/0/0

switchport mode access vlan100

interface vlan100

ip address 192.168.1.1 255.255.255.0

ip virtual-reassembly in

vrrp 192 ip 192.168.1.1

vrrp 192 authentication SEC

GigabitEthernet 0/0/1

switchport mode access vlan200

interface vlan200

ip address 10.10.1.1 255.255.255.0

ip virtual-reassembly in

vrrp 10 ip 10.10.1.1

vrrp 10 authentication SEC

R2:

GigabitEthernet 0/0/0

switchport mode access vlan100

interface vlan100

ip address 192.168.1.2 255.255.255.0

ip virtual-reassembly in

vrrp 192 ip 192.168.1.1

vrrp 192 authentication SEC

GigabitEthernet 0/0/1

switchport mode access vlan200

interface vlan200

ip address 10.10.1.2 255.255.255.0

ip virtual-reassembly in

vrrp 10 ip 10.10.1.1

vrrp 10 authentication SEC

Результат тот же. Если происходит обрыв связи на первом роутере, то второй по логам становится мастером, но при этом адрес .1.1 недоступен, в то время как .1.2 спокойно пингуется. Пакеты, соответственно, через .1.1 не ходят.

Вопрос: Что я делаю не так и как заставить GLBP или VRRP работать должным образом?

Теги (1)
10 ОТВЕТ.

Начнём с конца.

Начнём с конца.

Было бы полезно знать, что будет если вы задействуете virtual ip отличный от адреса интерфейса, напр. для группы vrrp 10 - 10.10.1.3.

Адреса 10.10.1.1 и 10.10.1.2 при этом будут доступны?

А можете привести сюда полную конфигурацию, а не выкладки типа:

GigabitEthernet 0/0/0

switchport mode access vlan100

New Member

Если я задействую ip отличный

Если я задействую ip отличный от интерфейса, то они оба прекрасно пингуются, но пакеты при этом всё равно не ходят через virtual ip. Через реальный ip на интерфейсах всё прекрасно маршрутизируется. 

Полный конфиг на оба роутера для VRRP (с учётом конфиденциальности):

R1

version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
no ip domain lookup
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
license udi pid CISCO2901/K9
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
arp timeout 180
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
arp timeout 180
!
interface GigabitEthernet0/0/0
switchport access vlan 400
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet0/1/0
switchport access vlan 100
no cdp enable
spanning-tree portfast
!
interface Vlan1
no ip address
!
interface Vlan100
ip address 192.168.1.120 255.255.255.0
ip virtual-reassembly in
vrrp 192 ip 192.168.1.122
vrrp 192 authentication SEC1
arp timeout 180
!
interface Vlan400
ip address 10.180.144.120 255.255.255.0
ip virtual-reassembly in
vrrp 10 ip 10.180.144.122
vrrp 10 authentication SEC2
arp timeout 180
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
control-plane
!
line con 0
login
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end

R2

version 15.1
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
boot-start-marker
boot-end-marker
!
no aaa new-model
!
no ipv6 cef
ip source-route
ip cef
!
no ip domain lookup
multilink bundle-name authenticated
!
crypto pki token default removal timeout 0
!
license udi pid CISCO2901/K9
!
interface GigabitEthernet0/0
no ip address
shutdown
duplex auto
speed auto
arp timeout 180
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
arp timeout 180
!
interface GigabitEthernet0/0/0
switchport access vlan 400
no cdp enable
spanning-tree portfast
!
interface GigabitEthernet0/1/0
switchport access vlan 100
no cdp enable
spanning-tree portfast
!
interface Vlan1
no ip address
!
interface Vlan100
ip address 192.168.1.121 255.255.255.0
ip virtual-reassembly in
vrrp 192 ip 192.168.1.122
vrrp 192 authentication SEC1
arp timeout 180
!
interface Vlan400
ip address 10.180.144.121 255.255.255.0
ip virtual-reassembly in
vrrp 10 ip 10.180.144.122
vrrp 10 authentication SEC2
arp timeout 180
!
ip forward-protocol nd
!
no ip http server
no ip http secure-server
!
control-plane
!
line con 0
login
line aux 0
line vty 0 4
login local
transport input telnet ssh
!
scheduler allocate 20000 1000
end

Можете пояснить, что имеется

Можете пояснить, что имеется ввиду? У вас vlan 100 и vlan 400 это сегменты оконечных хостов, т.е. пользователей? Если выставляете шлюз по-умолчанию = virtual-ip, то вы не видите другие сегменты?

show vrrp all

show glbp detail

что говорят?

ping 224.0.0.18 и 224.0.0.102 с маршрутизаторов и оконечных хостов что даёт?

но пакеты при этом всё равно не ходят через virtual ip.

Через реальный ip на интерфейсах всё прекрасно маршрутизируется

New Member

Сеть такая:

Сеть такая:

Users+Server1 - Hub - Cisco2901 - Hub - Users+Server2

Сервера обмениваются служебной информацией между собой через Циско. На серверах указан маршрут друг к другу. Если на циске оставить только адреса Vlan и не прописывать VRRP или GLBP, то всё прекрасно работает - Сервера пингуют друг друга и спокойно обмениваются своей инфой. 

Если поднять GLBP на обоих Циско и на серверах указать маршрут через virtual ip, то при обрыве связи на одном из Циско Сервера не видят друг друга, хотя virtual ip пингуется. 

Если же поднять VRRP, то при обрыве связи Сервера уже не видят даже virtual ip, но Vlan ip продолжает пинговаться.

sh vrrp all
Vlan400 - Group 10
State is Master
Virtual IP address is 10.180.144.122
Virtual MAC address is 0000.5e00.010a
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 100
Authentication text, string "PVD-KSA"
Master Router is 10.180.144.120 (local), priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec

Vlan100 - Group 192
State is Master
Virtual IP address is 192.168.1.122
Virtual MAC address is 0000.5e00.01c0
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 100
Authentication text, string "KSA-PVD"
Master Router is 192.168.1.120 (local), priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec

sh glbp detail
Vlan100 - Group 121
State is Active
11 state changes, last state change 00:01:35
Virtual IP address is 192.168.1.121
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.592 secs
Redirect time 600 sec, forwarder timeout 14400 sec
Authentication text, string "KSA-PVD"
Preemption enabled, min delay 0 sec
Active is local
Standby is unknown
Priority 110 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin
Group members:
4055.39cf.c143 (192.168.1.120) local
There is 1 forwarder (1 active)
Forwarder 1
State is Active
11 state changes, last state change 00:01:35
MAC address is 0007.b400.7901 (default)
Owner ID is 4055.39cf.c143
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Client selection count: 3

Vlan400 - Group 11
State is Active
11 state changes, last state change 00:01:34
Virtual IP address is 10.180.144.121
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.240 secs
Redirect time 600 sec, forwarder timeout 14400 sec
Authentication text, string "PVD-KSA"
Preemption enabled, min delay 0 sec
Active is local
Standby is unknown
Priority 110 (configured)
Weighting 100 (default 100), thresholds: lower 1, upper 100
Load balancing: round-robin
Group members:
4055.39cf.c143 (10.180.144.120) local
There is 1 forwarder (1 active)
Forwarder 1
State is Active
11 state changes, last state change 00:01:33
MAC address is 0007.b400.0b01 (default)
Owner ID is 4055.39cf.c143
Redirection enabled
Preemption enabled, min delay 30 sec
Active is local, weighting 100
Client selection count: 7

Пинги по 224... с маршрутизаторов не дают ответа, а с Серверов ответ дают.

А с другого маршрутизатора

А с другого маршрутизатора можете тот же вывод показать? И смотрите сразу какой интересный вывод, из output похоже, что устройства не видят друг друга. Что с ping на указанные multicast-адреса? Маршрутизаторы друг друга то "пингуют" по 192.168.1.120 и 192.168.1.121 адресам?

New Member

Прикрепил выводы:

Прикрепил выводы:

show run

show vrrp all

show glbp detail

для каждого роутера в текстовом файле.

Пинги по мультикасту 224... проходят и от роутеров, и от серверов.

Вот теперь, по крайней мере

Вот теперь, по крайней мере на первый взгляд, с выводами все ок.

Тогда просьба пояснить, что значит "В результате при обрыве линии на одном из интерфейсов R1". Какой именно линии? Может быть вы хотите переключить активный маршрутизатор в случае выхода из строя uplink'а основного маршрутизатора?

New Member

Попробую объяснить по-другому

Попробую объяснить по-другому:

К каждому из двух маршрутизаторов подсоединены два патч-корда: один идет в сеть vlan100, другой в vlan400. При отключении одного из патч-кордов (имитация "обрыва линии") от R1, R2 не забирает на себя роль ведущего и сети друг друга не видят. Также не происходит переключение и при полном выключении R1. Таким образом, пакеты ходят только через R1.

При этом если настроить сначала маршрутизацию через R2 по физическим интерфейсам, а потом настроить виртуальную маршрутизацию, то получаем схожую проблему - пакеты ходят только через R2 и при его отключении не ходят через R1.

Тем не менее, пинг маршрутизаторов проходит успешно, т.е. машины видят резервный маршрутизаторов по адресу, являющемся шлюзом по умолчанию, но другую сеть видеть отказывается.

Если Вы во втором сообщении

Если Вы во втором сообщении привели полную конфигурацию, то все абсолютно правильно работает.

Представим ситуацию:

отключаете кабель - svi 400 уходит в down на R1. При этом svi 100  на R1 остаётся в up. Хосты в vlan 100 продалжают отправлять пакеты на свой основной шлюз, которым является R1 (он в данный момент активен).

Фактически, одна из VRRP групп остаётся активной на одном из маршрутизаторов для своего svi, в то время как вторая - на втором, при этом только маршрутизатор R2 знает, куда ему перенаправлять пакеты из vlan 100 в vlan 400. R1 же не знает, как передать из vlan 400 в vlan 100 в таком случае.

Вариантов решения проблемы сходу вижу два. 1 - иметь какую-либо транспортную сеть между маршрутизаторами и настроить динамическую маршрутизацию между ними, включив в протокол оба SVI. 

2 - переключать обе группы одновременно, например, понижая priority по track, если упал один из SVI интерфейсов (interface vlan).

Пожалуйста, не забывайте отмечать мои сообщения как полезные, если они Вам помоги, спасибо.

New Member

Проблема была найдена опытным

Проблема была найдена опытным путем и заключалась она в следующем:

Хосты в сети vlan100 работают под управлением WinXP и не обновляют сразу arpcache, а только спустя 10 минут. Это довольно долго, учитывая что инженер может вручную переключить маршрутизаторы в течении 1-2 минут. Спустя 10 минут или после принудительного обновления АРП-кэша на WinXP Сервера из разных сетей прекрасно друг друга видят. 

Непонятно, почему при физическом переключении между роутерами (без VRRP или GLBP) АРП-кэш обновляется почти сразу, в то время как при виртуальном переключении (VRRP или GLBP) таблица мак-адресов на WinXP обновляется по дефолту через 10мин. Можно переправить реестр в ОС, но это костыли.

Насчет предложенных вами вариантов:

1. Транспортная сеть между роутерами просто меняет использование протоколов доступности роутеров на протокол динамической маршрутизации. Вопрос именно в том, чтобы использовать протокол GLBP.

2. Tracking решает проблему переключения AVG, но не решает проблему обновления АРП-кэша.

В общем, протоколы GLBP и VRRP работали исправно, проблема в АРП-кэше WinXP. Если у вас или кого-то ещё есть мысли почему переключение svi не обновляет arp-запись в WinXP, то буду очень признателен. В противном случае, тему можно будет закрывать

111
Просмотры
3
Полезный материал
10
Ответы