IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

Web: www.vrrp.com
Desenvolupadors: www.mikrotik.com
Tipus: router
Sistema operatiu: Unix-like
Creadors: Julià Adell

Christian Carranza Joan B. Zaragoza

Introducció

Virtual Router Redundancy Protocol (VRRP) és un protocol de redundància no propietari definit en el RFC 3768. Aquest proporciona una solució que permet combinar múltiples routers físics en una agrupació lògica de routers anomenada VR o simplement router virtual (Virtual Router).

En paraules mes simples és com tenir un router mestre i un o més routers esclaus estant atents en cas que el mestre falli.

Vrrrp exemple1.png

En aquest gràfic tenim una petita LAN amb 2 estacions i 1 servidor i veiem que els 2 routers (mestre i esclau) estan connectats al switch principal .

Història

RRP es basa en els conceptes de HSRP propietat de Cisco. VRRP és realment una versió estandarditzada del HSRP de Cisco. Aquests protocols, similars en el concepte, no són compatibles. Per tant, en noves instal·lacions es recomana implementar VRRP posat que és l'estàndard.

Que és exactament el protocol VRRP?

El funcionament del protocol VRRP es basa en l'ús del que es diu un Router Virtual. Aquest router virtual ho simulen el conjunt de routers reals que tinguem en la instal·lació (i que disposin del protocol VRRP) i serà també la IP d'aquest router virtual la que tinguin configurats els equips de la xarxa com gateway de sortida cap a Internet.

Al router virtual se li associa una adreça IP virtual i una MAC virtual. Aquesta IP i aquesta MAC mai canvien amb independència del router real que s'estigui utilitzant en un moment determinat. El sistema ho forma un router màster (el router real que estan utilitzant en un moment donat els dispositius de la LAN) i un conjunt routers de reserva anomenats routers de backup.

Com funciona el protocol VRRP?

El funcionament del protocol VRRP és el següent: el router màster envia periòdicament a l'adreça IP 224.0.0.18 (assignada per la IANA, Internet Assigned Number Authority) i utilitzant el protocol IP 112 (també establert per la IANA) un paquet de dades en el qual indica el seu estat (si és correcte, el nº de prioritat del router, etc).

Si durant un temps determinat els routers de backup deixen de rebre aquest paquet del router màster, llavors el router de backup de major prioritat passa a convertir-se en el nou router màster del router virtual, és a dir, tot el tràfic cap a Internet serà enrutat per un router de backup reconvertit en router màster.

Finalment dir que el protocol VRRP permet, si es desitja, que el router de major prioritat pugui expropiar de la funció de router màster a un router de menor prioritat. Per exemple, això pot ser molt útil per al cas d'una instal·lació que disposi d'un router ADSL convencional i d'un router UMTS/HSDPA de backup. En cas que la línia ADSL caigui per una avaria, el router de backup UMTS/HSDPA pren el control. Quan l'avaria se solucioni, automàticament el router ADSL, que ho tindríem configurat amb major prioritat, prendria el control de la instal·lació i tot el tràfic deixaria de sortir via UMTS per sortir per la línia telefònica. Això suposa un estalvi, doncs el cost de la línia UMTS és per volum de tràfic i només hauria d'utilitzar-se quan anés necessari.

Avantatges e Inconvenients

Avantatges

  • Redundància
  • VRRP permet configurar diversos encaminadors com la passarel · la predeterminada, el que redueix la possibilitat d'un punt únic de fallada en la xarxa.
  • Compartir la càrrega
  • Podeu configurar VRRP de tal manera que el trànsit cap i des dels clients LAN poden ser compartits per diversos encaminadors, compartint així la càrrega de trànsit de manera més equitativa entre els routers disponibles.
  • Diversos encaminadors virtuals
  • VRRP suporta fins a 255 routers virtuals (grups VRRP) en una interfície del router físic, subjecte a la plataforma que suporta múltiples adreces MAC. Suport per a múltiples router virtual li permet implementar la redundància i la distribució de la càrrega en la topologia de la LAN.
  • Diverses adreces IP
  • El router virtual pot administrar diverses adreces IP, incloent les adreces IP secundària. Per tant, si vostè té diverses subxarxes configurat en una interfície Ethernet, es pot configurar VRRP en cada subxarxa.
  • Preferència
  • L'esquema de redundància de VRRP permet avançar-se a una còpia de seguretat del router virtual que s'ha fet càrrec d'un mestre del router no virtual amb una còpia de seguretat del router de major prioritat virtual que s'ha convertit en disponible.
  • Autenticació
  • VRRP resum del missatge 5 (MD5) d'autenticació algorisme de protecció contra programari VRRP-spoofing i utilitza l'estàndard de la indústria algorisme MD5 per millorar la fiabilitat i la seguretat.
  • Publicitat Protocol
  • VRRP utilitza Internet dedicat Assigned Numbers Authority (IANA) d'adreces estàndard multicast (224.0.0.18) per als anuncis de VRRP. Aquest esquema d'adreçament minimitza el nombre de routers que ha d'atendre el multicast i permet als equips de prova per identificar amb precisió els paquets VRRP en un segment. La IANA assigna el número de protocol VRRP IP 112.
  • VRRP seguiment d'objectes
  • Seguiment VRRP objecte proporciona una manera d'assegurar el millor encaminador VRRP és amo router virtual per al grup mitjançant l'alteració de les prioritats de VRRP per l'estat dels objectes rastrejats com la interfície o els estats IP ruta.


Inconvenients

  • VRRP, ja que és un estàndard, es pot utilitzar per proporcionar redundància mitjançant un concentrador i no concentrador de productes (per exemple, els routers de Cisco), però, VRRP no suporta la càrrega de redundància "balancingonly".

RouterOS

La implementació a RouterOS de VRRP és d'acord als RFC 3768 (VRRPv2) i RFC 5798 (VRRPv3).

El principal producte de Mikrotik és el sistema operatiu conegut com Mikrotik RouterOS basats en Linux. Permet als usuaris convertir un ordinador personal PC en un router, el que permet funcions com firewall, VPN Server i Client, Gestor d'ample de banda, QoS, punt d'accés sense fils i altres característiques comunament utilitzat per l'enrutament i la connexió de xarxes . El sistema operatiu és llicenciada en l'escalada de nivells, cada un d'ells en llibertat més dels disponibles RouterOS característiques com el nivell nombre s'eleva. La concessió de llicències és la base i la taxa augmenta amb els elements posats en llibertat. Hi ha un programari anomenat Winbox que ofereix una sofisticada interfície gràfica per al sistema operatiu RouterOS. El programari també permet connexions via FTP i Telnet, SSH i accés shell. També hi ha una API que permet crear aplicacions personalitzades per a la gestió i supervisió

Implementacions lliures

Qüestions a tenir en compte

VRRP utilitza multicast. El multicast pot no funcionar per diferents raons:

  • Commutadors que no ho suporten
  • Normes del firewall. Important, cal consultar també les normes de NAT, m'he trobat en casos amb NAT que no anava (tot i que va ser activar i desactivar la norma NAT i ja funciona! potser cal posar primer VRRP i després el NAT?)
rang multicast: 224.0.0.18

VRRP crear una interfície virtual sobre una interfície física. La interfície físisca s'utilitza per a la comunicació entre els dos encaminadors i cal tenir en compte que els dos encaminador han d'estar al amteix segment de xarxa.

Dit això però no cal que la IP assignada a tots dos routers (la IP del gateway virtual) estigui al mateix rang que les adreces IP utilitzades per a les interfícies físiques. Això pot ser útil per tal de barrejar IPs privades (a les interfícies reals) amb IPs públiques (IP del gateway virtual) i així no malgastar adreces IP.

Un altre qüestió a tenir en compte és vigilar amb les interfícies físiques si tenen diferents IPs lògiques (per exemple un routerOS amb adreces IP per DNAT o altres o IP Aliasing). Pot ser que el sistema VRRP estigui utilitzant una adreça IP que no sigui la esperada per a fer la comunicació en un dels dos dispositius i que per aquesta raó no es vegin els dos routers (normalment això porta a que tots dos esiguin en mode master)

IMPORTANT: No és correcte! Si que sembla que funcioni però sense una Ip de la xarxa a la interfície física no hi haurà ruta cap a aquella xarxa i no es podrà utilitzar la IP com a Ip del gateway!

Exemples

Configuració bàsica

Aquest és l'exemple bàsic de configuració VRRP.

Vrrp.png

D'acord amb aquesta configuració, sempre que el mestre, R1, està en funcionament, tot el trànsit destinat a la xarxa externa es dirigeix ​​a R1. Però tan bon punt R1 falli, R2 passa a ser el mestre i comença la manipulació de paquets enviats de la interfície associada a IP (R1). En aquesta configuració, el router R2 està completament inactiu mentre es realitza la còpia de seguretat.

Seguir els passos de:

http://wiki.mikrotik.com/wiki/VRRP-examples#Basic_Setup

Comprovar que tot continua funcionant quan cau un router.

Configuració pas a pas

Per defecte, els trastos routerOS tenen la IP 192.168.88.1.

A la classe tenim les IP de la xarxa 192.168.202.0 llavors per poder connectar-nos hem de fer un IP Aliasing amb la xarxa del trasto. Per exemple:

$ sudo ifconfig ethx:1 192.168.88.3

I podem provar de fer ping a veure si contesta a la IP 192.168.88.1:

$ ping 192.168.88.1

Si no trobem el trasto i té una IP diferent a la que té per defecte hi ha dos opcions:

  • Fem un reset al trasto per tenir la IP per defecte.
  • Podem també buscar-la per la xarxa amb la comanda tcpdump:
sudo tcpdump -i ethx

NOTA: En el cas que ethx sigui la targeta que tinguem, on la x és el número de la targeta.

Una vegada trobem la IP del trasto entrem via web amb el navegador a:

http://192.168.88.1

Aquí hi ha diverses accions per a connectar-nos al trasto.

RouterOS-alex.png

Utilitzarem la eina Winbox.exe

RouterOS1-alex.png

Assignem les IPs dels dos Routers en la mateixa subxarxa 192.168.7.1 i 192.168.7.2 respectivament. No és necessari que estigui a la mateixa subxarxa és només per a tenir un accés des de la mateixa per a un control més pràctic.

Router Mestre

  • Una volta connectats al winbox podem veure les address list.
Vrrp1 alex.png


  • La interfície ether1-gateway serà utilitzada per a connectar-nos a Internet, per tant, li assignarem una IP de la xarxa local.
Vrrp gateway alex.png


  • Podem veure que s'ha afegit una nova adreça IP.
Vrrp gateway list alex.png


  • Agreguem una VRRP a la interfície ether2 per a tindre-la com a interfície virtual.
Vrrp4.png


  • Assignem la prioritat més alta al router mestre: 255.
Vrrp5.png


  • Assignem la IP a la interfície vrrp1. En aquest cas: 192.168.7.1
Vrrp6.png


  • Aquestes són les interfícies del router mestre i també les IPs utilitzades.
Vrrp8.png

Router Esclau

  • Assignem una IP que no sigui la porta d'enllaç predeterminada.
Vrrp11.png


  • Agreguem una interfície VRRP a la nostra interfície eth1.
Vrrp12.png


  • Assignem una prioritat mes baixa que la del router mestre.
Vrrp13.png


  • Assignem la IP a la interfície vrrp1. En aquest cas: 192.168.7.1.
Vrrp14.png


  • Aquí també les IPs usades i les interfícies.
Vrrp21.png

Prova VRRP

  • Comprovem les MACs.
Vrrp15.png


  • Fem ping a la porta d'enllaç predeterminada.
Vrrp16.png


  • Fem ping al router mestre.
Vrrp17.png


  • Fem ping al router esclau.
Vrrp18.png


  • Comprovació amb la comanda:
$ traceroute
  • A l'esquerra podem veure el moment en que tenim tota la infraestructura operativa. El traceroute passa pel router mestre ( IP: 192.168.7.2 ).
  • A la dreta, amb el router mestre desconnectat de la infraestructura, podem veure que el traceroute passa pel router esclau ( IP: 192.168.7.3 ).
Marcgrau-vrrp23.png



  • I aquí hi ha la mostra de que si desconnectem el nostre router mestre al cap de uns pocs segons es connecta automàticament al nostre router esclau.
Vrrp19.png
Vrrp22.png


  • I aquí ho mostrem amb pings.
Vrrp20.png


Script avís per email quant hi ha errors

Script proporcionat per Miquel Martos.

Les interfícies i adreces que s'aixequen, son aquelles que fan de GW ja sigui per cable o per tunels. Tambe es te en compte els peerings o les instàncies BGP. Les adreces assignades a una interfície VRRP, no calen que els scripts les habiliti o no, doncs al passar de mode màster a esclau a o a la inversa, ja ho fa automàticament.

S'ha de configurar l'opció Email Settings de l'apartat tools de la següent manera:


Alexcastella email.png


/tool e-mail
set address=109.69.9.9 from=incidencies-routers@guifi.net
password=XXXXXXXXXXXx port=25 user=incidencies-routers@guifi.net
( l'adreça existeix esta donada d'alta al servidor de correu i alhora
aprovada a les llistes glir)
On Master:
----
:log warning "WARNING, VRRP_GESTIO_POP ha passat a mode MASTER. Es possible que el servidor principal hagi caigut!!";
:log info "ROU-GURB-01 esta aturat, procedim a activar el mode BACKUP complet";
:log warning "Activant interficies, adreces IP i sessions BGP!";
/routing bgp instance set [find name="default"] disabled=yes;
:log warning "MODE MASTER ACTIVAT!";
/tool e-mail send to="kenobi@iesebre.com" tls=yes \
body="ATENCIÓ el trasto $[/system identity get name] ha entrat en mode MASTER automàticament! \
S'ha iniciat el procés automàtic per habilitar $[/system identity get name] com a router principal. \
Això passa perquè el servidor principal HA PERDUT la connectivitat o s'ha aturat! \
subject="ATENCIÓ: $[/system identity get name] $[/system clock get date] $[/system clock get time]";
----

On Backup:

-----
:log warning "WARNING, VRRP_GESTIO_POP ha passat a mode SLAVE. S'ha
recuperat el servidor principal!!";
:log warning "Desactivant interfícies, adreces IP i sessions BGP!";
:log warning "MODE BACKUP ACTIVAT!";
/tool e-mail send to="guifi-glir@lists.guifi.net" tls=yes\
body="ATENCIÓ el trasto $[/system identity get name] ha entrat en mode
ESCLAU automàticament! \
Si s'ha activat és perquè el servidor principal HA RECUPERAT la connectivitat \
i ha passat a mode backup correctament. \
Si no es tracta d'un moviment controlat, si us plau inicieu el
protocol per intervencions/incidents adequat amb la màxima brevetat
possible.
https://castello.guifi.net/dokuwiki/doku.php?id=public:?id=public:protocols_de_gestio
\
" \
subject="ATENCIÓ: $[/system identity get name] $[/system clock get
date] $[/system clock get time]";
----

Fitxers de configuració

Els fitxers de configuració es carreguen arrossegant-los fins a l'apartat Files de la interfície de configuració del router.

Router Mestre

Router Esclau

IPv6

NOTA: La interfície vrrp amb vrrp versio3+ipv6 no necessita 3 adreces com passa amb ipv4.

TODO

Pagines d'interés

Vegeu també

Enllaços externs