Versuch, eine VRRP-Konfiguration für ein virtuelles Labor auf STP-Probleme zu testen

9

Ich bin gerade dabei, ein Labor mit einer VRRP- Konfiguration einzurichten , und ich versuche, nach möglichen Problemen zu suchen, auf die wir in der Produktion stoßen könnten.

Ein Problem, das mir bei VRRP bekannt ist, ist, dass die STP- Konvergenzzeit (von etwa 45 Sekunden, glaube ich) manchmal dazu führen kann, dass die VRRP-Knoten flattern. Gemäß meinem Diagramm kann ich keine Schleifen sehen (ohne die Multi-Homed-Server unten), also kann ich STP einfach deaktivieren und vergessen. Aber ich würde trotzdem gerne sehen, was mit aktiviertem STP passiert.

Ich verwende Vyatta Core 6.5 sowohl für ISPA- als auch für ISPB-Router. Ich führe die VMs auf der VMWare-Workstation aus.

Der Grund, warum mein Labor zwischen ISPA und ISPB wechselt, ist, dass wir diese in der Produktion verwenden, um die Glasfaser-Uplinks zu unserem Anbieter zu beenden. Deshalb habe ich versucht, mein Labor so produktionsnah wie möglich zu gestalten.

Meine Konfiguration ist wie folgt:

VRRP-Labordiagramm

Mein Problem ist, dass die Schalter derzeit in meinem Labor nicht vorhanden sind. Ich verwende einfach LAN-Segmente in der VMWare-Workstation, damit die Vyatta-VMs miteinander kommunizieren können. Mein Problem ist, dass es anscheinend keine Möglichkeit gibt, solche Dinge zu testen, da alle Verbindungen zwischen VMs im Hyervisor hergestellt werden.

Meine Frage lautet: Kann sich jemand eine Möglichkeit vorstellen, diese VMs so miteinander zu verbinden, dass physische Vyatta-Maschinen simuliert werden, die über Cisco (oder andere) Switches verbunden sind, sodass ich STP testen kann (und alles andere, was mir einfällt)? ?

Was ich versucht habe

Verwenden von GNS3 zum Verbinden von VMs

Ich habe versucht, die VMs dazu zu bringen, über GNS3 mit VMNet Host-Only-Adaptern zu kommunizieren, um sie in GNS3 zu integrieren, und dann einen Cisco 3745 mit einem hinzugefügten FastEthernet-Switching-Modul zu verwenden. Hier gibt es einige Probleme:

  • In meinem Labor verwende ich ein einzelnes Subnetz, um zwischen ISPA und ISPB (10.11.246.0/29) zu sprechen.
  • VMWare erwartet, dass ein einzelner VMNet-Adapter ein einzelnes Subnetz verwendet, sodass ich nicht mehrere separate VMNet-Adapter mit dem einen 10.11.246.0/29-Subnetz verwenden kann.
  • In jedem Fall, in dem zwei VMs denselben VMNet-Adapter verwenden, werden Pakete direkt aneinander gesendet. Ohne separate VMNet-Adapter kann ich daher keine Möglichkeit erkennen, die VMs zur Kommunikation über einen GNS3-Router zu zwingen.
  • Mein Verständnis ist, dass mit VRRP die Verwendung eines Subnetzes, das kleiner ist als das, was alle Knoten + virtuellen IPs aufnehmen könnte, als Hack angesehen wird und nicht ratsam ist. Die Verwendung von / 30s und mehreren VMNet-Adaptern ist beispielsweise keine gute Idee.

Weitere Hinweise

  • Ich bin offen für die Verwendung anderer Virtual Machine-Plattformen wie Virtual Box.
  • Ich habe einen physischen Cisco Catalyst 2950 an meinem Schreibtisch, und auf dem Hostcomputer stehen zwei physische Netzwerkkarten zur Verfügung.
cisco switch spanning-tree lab Geekman
quelle
1
Ich kann eine Schleife sehen, damit ich STP nicht deaktiviere. ISPB-BDR-01, ISPB-BDR-02, Cisco-Switches sind eine Schleife. ISPB-BDR-01, ISPB-BDR-02 und ISPB-BDR-SW01 und ISPB-BDR-SW02 sind weitere. 45 Sekunden scheinen eine lange Zeit zu sein. Haben Sie Rapid-Spanning aktiviert (802.1w)? Dies würde die Konvergenzzeit verringern. Wo ist die STP-Root-Bridge? Es wird empfohlen, das STP-Stammverzeichnis auf dem aktiven VRRP / HSRP-Gerät zu haben.
Epaphus
@ Epaphus Oh, wirklich? Ich muss grundsätzlich falsch verstehen, was eine Schleife ausmacht. Ich habe keine Zeit schnell überspannt aktiviert, obwohl ich , dass so oder so die Tatsache , hätte gedacht , dass es ist eine Konvergenzzeit bedeutet , dass ich testen wollen würde , um sicherzustellen , daß die Konvergenzzeit noch niedrig genug ist. In Bezug auf STP-Root habe ich noch nicht über die STP-Konfiguration nachgedacht, da ich mich immer noch darauf konzentriere, das Labor zusammenzustellen, um diese Konfiguration zu testen (und wie Sie vielleicht vermutet haben, habe ich nur minimale Erfahrung mit STP).
Geekman
@ Epaphus Oh ich denke ich sehe jetzt. Dies liegt daran, dass zwar nur eine physische Verbindung zwischen jeder Router-<-> Switch-Kombination besteht, sie jedoch alle Teil derselben Broadcast-Domäne sind, sodass dies immer noch eine Schleife darstellt. Richtig?
Geekman
Warum ist diese Sorge? Sie stecken nur mit 802.1D fest? Können Sie RSTP nicht ausführen?
Laf
Wenn Sie nicht wirklich hart arbeiten und das Bridging in Ihren Routern aktivieren (oder Ihr Diagramm nicht stimmt), gibt es keine Schleife, da 2 Switches nicht miteinander verbunden sind.
Fredpbaker

Antworten:

1

Meine Frage lautet: Kann sich jemand eine Möglichkeit vorstellen, diese VMs so miteinander zu verbinden, dass physische Vyatta-Maschinen simuliert werden, die über Cisco (oder andere) Switches verbunden sind, sodass ich STP testen kann (und alles andere, was mir einfällt)? ?

Sie können den ESXi-Hypervisor verwenden, um die kostenlosen VMs auszuführen und den virtuellen NEXUS 1000 Cisco-Switch hinzuzufügen. Nexus Switch herunterladen

Jeff Vincent
quelle
0

Ich verstehe Ihre Sorge um VRRP nicht.

In der Topologie ist keiner der Schalter miteinander verbunden. Wenn Sie nichts Verrücktes tun, wie das Aktivieren der Überbrückung auf den Servern, sehen Sie nicht, wie Sie eine Schleife erstellen.

Interessanterweise, wenn ISP-BDR-01 an LAN 2 angeschlossen ist und ISP-BDR-01 an LAN 1 angeschlossen ist, sehen sie sich auf Schicht 2 nicht. Cisco-Router erlauben nicht dasselbe Subnetz auf mehreren Schnittstellen, daher würde ich Ihre vorschlagen Die dokumentierte Topologie funktioniert nicht. Durch Hinzufügen einer Verknüpfung zwischen den Switches wird behoben, dass durch das Verbinden der Switches auch keine Schleife erstellt wird.

Die meisten Router unterstützen Adjustmets in Timern, sodass Sie, wenn Sie möchten, dass das VRRP-Failover größer als die STP-Konvergenz ist, angesichts der einfachen Topologie jedoch über das Falsche besorgt sind

Fredpbaker
quelle
Meines Wissens nach wird die Schleife verursacht, weil Sie beispielsweise über ISPB-BDR-SW01 oder SW02 vom Router ISPB-BDR-01 zum ISPB-BDR-02 gelangen können. Das sind also zwei mögliche Pfade innerhalb derselben Broadcast-Domäne. Da ist also die Schleife. Ich bin nicht zu 100% dabei, aber es macht Sinn. In Bezug auf Ihren zweiten Absatz gehe ich davon aus, dass Sie über ISP_B_-BDR-01/02 sprechen. Wo zeigt mein Digramm, dass sie sich in separaten LANs befinden? Beide Router teilen sich das gleiche LAN auf den öffentlich zugänglichen Netzwerkkarten (links und rechts LAN1) und auf der privaten Seite ein anderes (LAN2).
Geekman
Ich denke, mein Problem ist nicht so sehr, wie dieses potenzielle Problem gelöst werden kann, da ich gesehen habe, dass es in Vyatta einen Preempt-Delay-Parameter gibt, von dem ich vermute, dass er potenzielle Probleme lösen würde. Das Problem ist jedoch mehr - wie kann ich dies mit minimaler physischer Hardware testen? Besonders STP-Sachen, aber es gibt wahrscheinlich noch ein paar Dinge, an die ich nicht gedacht habe.
Geekman
Bei der Liste in Cisco Land können Sie nicht dasselbe Subnetz auf 2 Schnittstellen im selben Router konfigurieren. Ja, Subnetz A kann ISPB-BDR-01 über ISPB-BDR-SW01 an ISPB-BDR-02 senden, aber ein VERSCHIEDENES Subnetz würde über SW01 auch eine L2-Schleife haben, die die Router an L2 weiterleiten müssen, und das ist nicht der Fall ISPB-BDR-01 wird NIEMALS einen ARP von SW01 an SW02 weiterleiten
Fredpbaker
0

ok, du musst stp an haben, hat einer der Benutzer einen Laptop? lange Ethernet-Kabel? Zwei-Port-Adapter? hehe, Benutzerregeln! Was ist mit der Serverfarm? kein schleifenpotential da was?

Dru
quelle