Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Interfaces Ethernet agregadas en un clúster de chasis

La agregación de vínculos IEEE 802.3ad permite agrupar interfaces Ethernet para formar una interfaz de capa de vínculo único, también conocida como grupo de agregación de vínculos (LAG) o paquete. Las interfaces LAG de Reth combinan características de las interfaces reth y de las interfaces LAG. Para obtener más información, consulte los temas siguientes:

Descripción de LACP en clústeres de chasis

Puede combinar varios puertos Ethernet físicos para formar un vínculo lógico punto a punto, conocido como grupo de agregación de vínculos (LAG) o paquete, de modo que un cliente de control de acceso a medios (MAC) pueda tratar el LAG como si fuera un único vínculo.

Los LAG se pueden establecer en todos los nodos de un clúster de chasis para proporcionar un mayor ancho de banda de interfaz y disponibilidad de vínculos.

El Protocolo de control de agregación de vínculos (LACP) proporciona funcionalidad adicional para los LAG. LACP se admite en implementaciones independientes, donde se admiten interfaces Ethernet agregadas, y en implementaciones de clúster de chasis, donde se admiten simultáneamente interfaces Ethernet agregadas e interfaces Ethernet redundantes.

LACP se configura en una interfaz Ethernet redundante estableciendo el modo LACP para el vínculo primario con la lacp instrucción. El modo LACP puede estar desactivado (predeterminado), activo o pasivo.

Este tema contiene las siguientes secciones:

Grupos de agregación de vínculos de interfaz Ethernet redundante del clúster de chasis

Una interfaz Ethernet redundante tiene vínculos activos y en espera ubicados en dos nodos de un clúster de chasis. Todos los vínculos activos se encuentran en un nodo y todos los vínculos en espera se encuentran en el otro nodo. Puede configurar hasta ocho vínculos activos y ocho vínculos en espera por nodo.

Cuando se incluyen al menos dos vínculos de interfaz secundaria físicos de cada nodo en una configuración de interfaz Ethernet redundante, las interfaces se combinan dentro de la interfaz Ethernet redundante para formar un LAG de interfaz Ethernet redundante.

Tener varios vínculos de interfaz Ethernet redundantes activos reduce la posibilidad de conmutación por error. Por ejemplo, cuando un vínculo activo está fuera de servicio, todo el tráfico de este vínculo se distribuye a otros vínculos de interfaz Ethernet redundantes activos, en lugar de desencadenar una conmutación por error Ethernet activa/en espera redundante.

Las interfaces Ethernet agregadas, conocidas como LAG locales, también se admiten en cualquiera de los nodos de un clúster de chasis, pero no se pueden agregar a interfaces Ethernet redundantes. Del mismo modo, ninguna interfaz secundaria de un LAG local existente no se puede agregar a una interfaz Ethernet redundante, y viceversa. El número máximo total de interfaces LAG (ae) de nodo individual combinadas e interfaces Ethernet redundantes (reth) por clúster es 128.

Sin embargo, las interfaces Ethernet agregadas y las interfaces Ethernet redundantes pueden coexistir, ya que la funcionalidad de una interfaz Ethernet redundante se basa en el marco Ethernet agregado de Junos OS.

Para obtener más información, consulte Descripción de los grupos de agregación de vínculos de interfaz Ethernet redundantes del clúster de chasis.

Enlaces mínimos

La configuración de interfaz Ethernet redundante incluye una minimum-links opción que permite establecer un número mínimo de vínculos secundarios físicos en un LAG de interfaz Ethernet redundante que debe estar funcionando en el nodo principal para que la interfaz esté activa. El valor predeterminado minimum-links es 1. Cuando el número de vínculos físicos en el nodo principal de una interfaz Ethernet redundante cae por debajo del minimum-links valor, es posible que la interfaz esté inactiva incluso si algunos vínculos siguen funcionando. Para obtener más información, consulte Ejemplo: Configuración de vínculos mínimos de clúster de chasis.

Sub-GAL

LACP mantiene un LAG punto a punto. Cualquier puerto conectado al tercer punto es denegado. Sin embargo, una interfaz Ethernet redundante se conecta a dos sistemas diferentes o a dos interfaces Ethernet agregadas remotas por diseño.

Para admitir LACP en vínculos activos y en espera de interfaz Ethernet redundantes, se crea automáticamente una interfaz Ethernet redundante que consta de dos subLAG distintos, donde todos los enlaces activos forman un subLAG activo y todos los enlaces en espera forman un subLAG en espera.

En este modelo, la lógica de selección de LACP se aplica y se limita a un subLAG a la vez. De esta manera, dos subLAG redundantes de interfaz Ethernet se mantienen simultáneamente, mientras que todas las ventajas de LACP se conservan para cada subLAG.

Es necesario que los conmutadores utilizados para conectar los nodos del clúster tengan un vínculo LAG configurado y 802.3ad habilitado para cada LAG en ambos nodos, de modo que los vínculos agregados se reconozcan como tales y pasen correctamente el tráfico.

Los vínculos secundarios LAG de interfaz Ethernet redundante de cada nodo del clúster de chasis deben estar conectados a un LAG diferente en los dispositivos del mismo nivel. Si se utiliza un único conmutador par para terminar el LAG redundante de la interfaz Ethernet, se deben utilizar dos LAG independientes en el conmutador.

Compatibilidad con conmutación por error sin problemas

Con LACP, la interfaz Ethernet redundante admite conmutación por error sin problemas entre los vínculos activos y en espera en funcionamiento normal. El término sin aciertos significa que el estado de la interfaz Ethernet redundante permanece activo durante una conmutación por error.

El proceso lacpd gestiona los vínculos activos y en espera de las interfaces Ethernet redundantes. Un estado de interfaz Ethernet redundante permanece activo cuando el número de vínculos up activos es igual o superior al número de vínculos mínimos configurados. Por lo tanto, para admitir la conmutación por error sin fallas, el estado LACP en los vínculos en espera de la interfaz Ethernet redundante debe recopilarse y distribuirse antes de que se produzca la conmutación por error.

Administración de PDU de control de agregación de vínculos

Las unidades de datos de protocolo (PDU) contienen información sobre el estado del vínculo. De forma predeterminada, los vínculos Ethernet agregados y redundantes no intercambian PDU de control de agregación de vínculos.

Puede configurar el intercambio de PDU de las siguientes maneras:

  • Configurar vínculos Ethernet para transmitir activamente PDU de control de agregación de vínculos

  • Configure vínculos Ethernet para transmitir PDU de forma pasiva, enviando PDU de control de agregación de vínculos solo cuando se reciben desde el extremo remoto del mismo vínculo

El extremo local de un vínculo secundario se conoce como actor y el extremo remoto del vínculo se conoce como socio. Es decir, el actor envía PDU de control de agregación de vínculos a su socio de protocolo que transmiten lo que el actor sabe sobre su propio estado y el del estado del socio.

Para configurar el intervalo en el que las interfaces del lado remoto del vínculo, transmiten las PDU de control de agregación de vínculos, configure la periodic instrucción en las interfaces del lado local. Es la configuración en el lado local el que especifica el comportamiento del lado remoto. Es decir, el lado remoto transmite PDU de control de agregación de vínculos en el intervalo especificado. El intervalo puede ser fast (cada segundo) o slow (cada 30 segundos).

Para obtener más información, consulte Ejemplo: Configuración de LACP en clústeres de chasis.

De forma predeterminada, el actor y el socio transmiten PDU de control de agregación de vínculos cada segundo. Puede configurar diferentes tasas periódicas en interfaces activas y pasivas. Cuando se configuran las interfaces activas y pasivas a velocidades diferentes, el transmisor respeta la velocidad del receptor.

Ejemplo: configuración de LACP en clústeres de chasis

En este ejemplo, se muestra cómo configurar LACP en clústeres de chasis.

Requisitos

Antes de empezar:

Complete las tareas, como habilitar el clúster de chasis, configurar interfaces y grupos de redundancia. Consulte Descripción general de la configuración del clúster de chasis de la serie SRX y Ejemplo: Configuración de interfaces Ethernet redundantes de clúster de chasis para obtener más detalles.

Visión general

Puede combinar varios puertos Ethernet físicos para formar un vínculo lógico punto a punto, conocido como grupo de agregación de vínculos (LAG) o paquete. LACP se configura en una interfaz Ethernet redundante del firewall de la serie SRX en el clúster de chasis.

En este ejemplo, se establece el modo LACP para que la interfaz reth1 se active y se establezca el intervalo de transmisión de PDU de control de agregación de vínculos en lento, es decir, cada 30 segundos.

Cuando se habilita LACP, los lados local y remoto de los vínculos Ethernet agregados intercambian unidades de datos de protocolo (PDU), que contienen información sobre el estado del vínculo. Puede configurar vínculos Ethernet para transmitir PDU activamente, o puede configurar los vínculos para transmitirlos pasivamente (enviando PDU LACP solo cuando los reciben desde otro vínculo). Un lado del vínculo debe configurarse como activo para que el vínculo esté activo.

La figura 1 muestra la topología utilizada en este ejemplo.

Figura 1: Topología para LAG que conectan firewalls de la serie SRX en un clúster de chasis a un conmutador Topology for LAGs Connecting SRX Series Firewalls in Chassis Cluster to an EX Series Switch de la serie EX

En la Figura 1, se utilizan dispositivos SRX1500 para configurar las interfaces en el nodo 0 y el nodo 1. Para obtener más información sobre la configuración del conmutador de la serie EX, consulte Configuración de LACP de Ethernet agregada (procedimiento de la CLI).

Configuración

Configuración de LACP en clúster de chasis

Procedimiento paso a paso

Para configurar LACP en clústeres de chasis:

  1. Especifique el número de interfaces Ethernet redundantes.

  2. Especifique la prioridad de primacía de un grupo de redundancia en cada nodo del clúster. El número más alto tiene prioridad.

  3. Cree una zona de seguridad y asigne interfaces a la zona.

  4. Enlazar interfaces físicas secundarias redundantes a reth1.

  5. Agregue reth1 al grupo de redundancia 1.

  6. Establezca el LACP en reth1.

  7. Asigne una dirección IP a reth1.

  8. Configure LACP en interfaces Ethernet agregadas (ae1).

  9. Configure LACP en interfaces Ethernet agregadas (ae2).

  10. Si ha terminado de configurar el dispositivo, confirme la configuración.

Resultados

Desde el modo de configuración, escriba los comandos , y show interfaces para confirmar la show chassisconfiguración. show security zones Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Configuración de LACP en un conmutador de la serie EX

Procedimiento paso a paso

Configure LACP en el conmutador de la serie EX.

  1. Establezca el número de interfaces Ethernet agregadas.

  2. Asocie interfaces físicas con interfaces Ethernet agregadas.

  3. Configure LACP en interfaces Ethernet agregadas (ae1).

  4. Configure LACP en interfaces Ethernet agregadas (ae2).

  5. Configure VLAN.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show chassis comandos y show interfaces . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Verificación

Verificación de LACP en interfaces Ethernet redundantes

Propósito

Muestra información de estado de LACP para interfaces Ethernet redundantes.

Acción

Desde el modo operativo, ingrese el show chassis cluster status comando.

Desde el modo operativo, ingrese el show lacp interfaces reth1 comando.

El resultado muestra información redundante de la interfaz Ethernet, como la siguiente:

  • El estado LACP: indica si el vínculo del paquete es un actor (local o del extremo próximo del vínculo) o un socio (remoto o extremo del vínculo).

  • El modo LACP: indica si ambos extremos de la interfaz Ethernet agregada están habilitados (activo o pasivo); al menos un extremo del paquete debe estar activo.

  • La velocidad de transmisión de PDU de control de agregación de vínculos periódicos.

  • El estado del protocolo LACP: indica que el vínculo está activo si está recopilando y distribuyendo paquetes.

Descripción del VRRP en firewalls de la serie SRX

Los firewalls de la serie SRX admiten el Protocolo de redundancia de enrutador virtual (VRRP) y VRRP para IPv6. En este tema se trata:

Descripción general de VRRP en firewalls de la serie SRX

La configuración de hosts finales en la red con rutas predeterminadas estáticas minimiza el esfuerzo y la complejidad de la configuración, y reduce la sobrecarga de procesamiento en los hosts finales. Cuando los hosts están configurados con rutas estáticas, el error de la puerta de enlace predeterminada normalmente produce un evento catastrófico, aislando todos los hosts que no pueden detectar rutas alternativas disponibles a su puerta de enlace. El uso del Protocolo de redundancia de enrutador virtual (VRRP) permite proporcionar dinámicamente puertas de enlace alternativas para los hosts finales si se produce un error en la puerta de enlace principal.

Puede configurar el Protocolo de redundancia de enrutador virtual (VRRP) o VRRP para IPv6 en interfaces Gigabit Ethernet, 10 Gigabit Ethernet e interfaces lógicas en firewalls serie SRX. VRRP permite a los hosts en una LAN hacer uso de dispositivos redundantes en esa LAN sin requerir más que la configuración estática de una sola ruta predeterminada en los hosts. Los dispositivos configurados con VRRP comparten la dirección IP correspondiente a la ruta predeterminada configurada en los hosts. En cualquier momento, uno de los dispositivos configurados por VRRP es el principal (activo) y los otros son copias de seguridad. Si el dispositivo principal falla, entonces uno de los dispositivos de copia de seguridad se convierte en el nuevo principal, proporcionando un dispositivo predeterminado virtual y permitiendo que el tráfico en la LAN se enrute sin depender de un solo dispositivo. Con VRRP, un firewall de la serie SRX de respaldo puede hacerse cargo de un dispositivo predeterminado fallido en unos pocos segundos. Esto se hace con una pérdida mínima de tráfico VRRP y sin ninguna interacción con los hosts. El Protocolo de redundancia de enrutador virtual no se admite en las interfaces de administración.

VRRP para IPv6 proporciona una conmutación mucho más rápida a un dispositivo predeterminado alternativo que los procedimientos de detección de vecinos (ND) de IPv6. VRRP para IPv6 no admite las authentication-type instrucciones or authentication-key .

Los dispositivos que ejecutan VRRP eligen dinámicamente dispositivos primarios y de respaldo. También puede forzar la asignación de dispositivos principales y de copia de seguridad con prioridades del 1 al 255, siendo 255 la prioridad más alta. En la operación VRRP, el dispositivo primario predeterminado envía anuncios al dispositivo de respaldo a intervalos regulares. El intervalo predeterminado es de 1 segundo. Si el dispositivo de copia de seguridad no recibe un anuncio durante un período determinado, el dispositivo de copia de seguridad con la prioridad más alta se convierte en principal y comienza a reenviar paquetes.

Los dispositivos de copia de seguridad no intentan tener preferencia sobre el dispositivo principal a menos que tenga mayor prioridad. Esto elimina la interrupción del servicio a menos que haya una ruta preferida disponible. Es posible prohibir administrativamente todos los intentos de preferencia, con la excepción de que un dispositivo VRRP se convierta en dispositivo principal de cualquier dispositivo asociado con direcciones de su propiedad.

VRRP no admite la sincronización de sesiones entre miembros. Si se produce un error en el dispositivo principal, el dispositivo de copia de seguridad con la prioridad más alta se convierte en principal y comenzará a reenviar paquetes. Cualquier sesión existente se eliminará en el dispositivo de copia de seguridad como fuera de estado.

No se puede establecer la prioridad 255 para las interfaces VLAN enrutadas (RVI).

VRRP se define en RFC 3768, Protocolo de redundancia de enrutador virtual.

Beneficios de VRRP

  • VRRP proporciona conmutación por error dinámica de direcciones IP de un dispositivo a otro en caso de falla.

  • Puede implementar VRRP para proporcionar una ruta predeterminada de alta disponibilidad a una puerta de enlace sin necesidad de configurar protocolos de enrutamiento dinámico o de descubrimiento de enrutador en hosts finales.

Ejemplo de topología VRRP

La figura 2 ilustra una topología VRRP básica con firewalls de la serie SRX. En este ejemplo, los dispositivos A y B ejecutan VRRP y comparten la dirección IP virtual 192.0.2.1. La puerta de enlace predeterminada para cada uno de los clientes es 192.0.2.1.

Figura 2: VRRP básico en conmutadores de la serie SRX Basic VRRP on SRX Series Switches

A continuación se ilustra el comportamiento básico del VRRP usando la Figura 2 como referencia:

  1. Cuando alguno de los servidores desea enviar tráfico fuera de la LAN, envía el tráfico a la dirección de puerta de enlace predeterminada de 192.0.2.1. Esta es una dirección IP virtual (VIP) propiedad de VRRP group 100. Dado que el dispositivo A es el principal del grupo, la VIP se asocia con la dirección "real" 192.0.2.251 en el dispositivo A, y el tráfico de los servidores se envía realmente a esta dirección. (El dispositivo A es el principal porque se ha configurado con un valor de prioridad más alto).

  2. Si se produce un error en el dispositivo A que le impide reenviar tráfico hacia o desde los servidores (por ejemplo, si falla la interfaz conectada a la LAN), el dispositivo B se convierte en el principal y asume la propiedad del VIP. Los servidores continúan enviando tráfico al VIP, pero debido a que el VIP ahora está asociado con la dirección "real" 192.0.2.252 en el dispositivo B (debido al cambio de principal), el tráfico se envía al dispositivo B en lugar del dispositivo A.

  3. Si se corrige el problema que causó el error en el dispositivo A, el dispositivo A vuelve a ser el principal y reafirma la propiedad del VIP. En este caso, los servidores reanudan el envío de tráfico al dispositivo A.

Tenga en cuenta que no se requieren cambios de configuración en los servidores para que cambien entre el envío de tráfico al dispositivo A y al dispositivo B. Cuando la VIP se mueve entre 192.0.2.251 y 192.0.2.252, el cambio es detectado por el comportamiento normal de TCP-IP y no se requiere ninguna configuración o intervención en los servidores.

Compatibilidad de firewalls de la serie SRX con VRRPv3

La ventaja de usar VRRPv3 es que VRRPv3 admite familias de direcciones IPv4 e IPv6, mientras que VRRP solo admite direcciones IPv4.

Habilite VRRPv3 en su red solo si VRRPv3 se puede habilitar en todos los dispositivos configurados con VRRP en su red, ya que VRRPv3 (IPv4) no interopera con las versiones anteriores de VRRP. Por ejemplo, si un dispositivo en el que está habilitado VRRPv3 recibe paquetes de anuncio IPv4 VRRP, el dispositivo pasa al estado de copia de seguridad para evitar la creación de varias fuentes principales en la red.

Puede habilitar VRRPv3 configurando la instrucción version-3 en el [edit protocols vrrp] nivel de jerarquía (para redes IPv4 o IPv6). Configure la misma versión de protocolo en todos los dispositivos VRRP de la LAN.

Limitaciones de las características de VRRPv3

A continuación se presentan algunas limitaciones de las características de VRRPv3.

Autenticación VRRPv3

Cuando VRRPv3 (para IPv4) está habilitado, no permite la autenticación.

  • Las authentication-type instrucciones y authentication-key no se pueden configurar para ningún grupo VRRP.

  • Debe usar autenticación que no sea VRRP.

Intervalos de publicidad VRRPv3

Los intervalos de anuncio VRRPv3 (para IPv4 e IPv6) deben establecerse con la instrucción fast-interval en el nivel jerárquico [edit interfaces-name unit 0 family inet address ip-address vrrp-group group-name].

  • No utilice la advertise-interval instrucción (para IPv4).

  • No utilice la inet6-advertise-interval instrucción (para IPv6).

Descripción general de la demora por conmutación por error de VRRP

La conmutación por error es un modo operativo de copia de seguridad en el que un dispositivo secundario asume las funciones de un dispositivo de red cuando el dispositivo principal deja de estar disponible debido a un error o a un tiempo de inactividad programado. La conmutación por error suele ser una parte integral de los sistemas de misión crítica que deben estar constantemente disponibles en la red.

VRRP no admite la sincronización de sesiones entre miembros. Si se produce un error en el dispositivo principal, el dispositivo de copia de seguridad con la prioridad más alta se convierte en principal y comenzará a reenviar paquetes. Cualquier sesión existente se eliminará en el dispositivo de copia de seguridad como fuera de estado.

Una conmutación por error rápida requiere un breve retraso. Por lo tanto, el retraso de conmutación por error configura el tiempo de retraso de conmutación por error, en milisegundos, para VRRP y VRRP para operaciones IPv6. Junos OS admite un intervalo de 50 a 100000 milisegundos para retrasos en el tiempo de conmutación por error.

El proceso VRRP (vrrpd) que se ejecuta en el motor de enrutamiento comunica un cambio de rol principal de VRRP al motor de reenvío de paquetes para cada sesión de VRRP. Cada grupo VRRP puede activar dicha comunicación para actualizar el motor de reenvío de paquetes con su propio estado o el estado heredado de un grupo VRRP activo. Para evitar sobrecargar el motor de reenvío de paquetes con tales mensajes, puede configurar un retraso de conmutación por error para especificar el retraso entre las comunicaciones posteriores del motor de enrutamiento al motor de reenvío de paquetes.

El motor de enrutamiento comunica un cambio de rol principal de VRRP al motor de reenvío de paquetes para facilitar el cambio de estado necesario en el motor de reenvío de paquetes, como la reprogramación de filtros de hardware del motor de reenvío de paquetes, sesiones VRRP, etc. En las secciones siguientes se detalla la comunicación del motor de enrutamiento al motor de reenvío de paquetes en dos escenarios:

Cuando la demora por conmutación por error no está configurada

Sin retraso de conmutación por error configurado, la secuencia de eventos para las sesiones VRRP operadas desde el motor de enrutamiento es la siguiente:

  1. Cuando el primer grupo VRRP detectado por el motor de enrutamiento cambia de estado y el nuevo estado es principal, el motor de enrutamiento genera los mensajes de anuncio de VRRP adecuados. Se informa al motor de reenvío de paquetes sobre el cambio de estado, de modo que los filtros de hardware para ese grupo se reprograman sin demora. Luego, la nueva primaria envía un mensaje ARP gratuito a los grupos VRRP.

  2. Se inicia el retraso en el temporizador de conmutación por error. De forma predeterminada, el temporizador de retraso de conmutación por error es:

    • 500 milisegundos: cuando el intervalo de anuncio de VRRP configurado es inferior a 1 segundo.

    • 2 segundos: cuando el intervalo de anuncio de VRRP configurado es de 1 segundo o más y el número total de grupos de VRRP en el enrutador es 255.

    • 10 segundos: cuando el intervalo de anuncio de VRRP configurado es de 1 segundo o más y el número de grupos de VRRP en el enrutador es superior a 255.

  3. El motor de enrutamiento realiza un cambio de estado uno por uno para los grupos VRRP posteriores. Cada vez que hay un cambio de estado y el nuevo estado para un grupo VRRP determinado es principal, el motor de enrutamiento genera mensajes de anuncio VRRP adecuados. Sin embargo, la comunicación con el motor de reenvío de paquetes se suprime hasta que expire el temporizador de retraso de conmutación por error.

  4. Después de que expira el temporizador de retraso de conmutación por error, el motor de enrutamiento envía un mensaje al motor de reenvío de paquetes acerca de todos los grupos VRRP que lograron cambiar el estado. Como consecuencia, los filtros de hardware para esos grupos se reprograman, y para aquellos grupos cuyo nuevo estado es primario, se envían mensajes ARP gratuitos.

Este proceso se repite hasta que se complete la transición de estado para todos los grupos VRRP.

Por lo tanto, sin configurar el retraso por conmutación por error, la transición de estado completa (incluidos los estados en el motor de enrutamiento y el motor de reenvío de paquetes) para el primer grupo VRRP se realiza inmediatamente, mientras que la transición de estado en el motor de reenvío de paquetes para los grupos VRRP restantes se retrasa al menos 0,5-10 segundos, dependiendo de los temporizadores de anuncio VRRP configurados y el número de grupos VRRP. Durante este estado intermedio, la recepción de tráfico para grupos VRRP para cambios de estado que aún no se completaron en el motor de reenvío de paquetes podría perderse en el nivel del motor de reenvío de paquetes debido a la reconfiguración diferida de los filtros de hardware.

Cuando se configura la interrupción de la conmutación por error

Cuando se configura el retraso de conmutación por error, la secuencia de eventos para las sesiones VRRP operadas desde el motor de enrutamiento se modifica de la siguiente manera:

  1. El motor de enrutamiento detecta que algunos grupos VRRP requieren un cambio de estado.

  2. El retraso de conmutación por error se inicia durante el período configurado. El intervalo permitido del temporizador de retardo de conmutación por error es de 50 a 100000 milisegundos.

  3. El motor de enrutamiento realiza cambios de estado uno por uno para los grupos VRRP. Cada vez que hay un cambio de estado y el nuevo estado para un grupo VRRP determinado es principal, el motor de enrutamiento genera mensajes de anuncio VRRP adecuados. Sin embargo, la comunicación con el motor de reenvío de paquetes se suprime hasta que expire el temporizador de retraso de conmutación por error.

  4. Después de que expira el temporizador de retraso de conmutación por error, el motor de enrutamiento envía un mensaje al motor de reenvío de paquetes acerca de todos los grupos VRRP que lograron cambiar el estado. Como consecuencia, los filtros de hardware para esos grupos se reprograman, y para aquellos grupos cuyo nuevo estado es primario, se envían mensajes ARP gratuitos.

Este proceso se repite hasta que se complete la transición de estado para todos los grupos VRRP.

Por lo tanto, cuando se configura el retraso de conmutación por error, incluso el estado del motor de reenvío de paquetes para el primer grupo VRRP se aplaza. Sin embargo, el operador de red tiene la ventaja de configurar un valor de retraso de conmutación por error que mejor se adapte a las necesidades de la implementación de red para garantizar una interrupción mínima durante el cambio de estado de VRRP.

El retraso de conmutación por error solo influye en las sesiones de VRRP operadas por el proceso VRRP (VRRPD) que se ejecuta en el motor de enrutamiento. Para las sesiones VRRP distribuidas al motor de reenvío de paquetes, la configuración de retraso de conmutación por error no tiene ningún efecto.

Ejemplo: configuración de VRRP/VRRPv3 en interfaces Ethernet redundantes de clúster de chasis

Cuando se configura el Protocolo de redundancia de enrutador virtual (VRRP), el VRRP agrupa varios dispositivos en un dispositivo virtual. En cualquier momento, uno de los dispositivos configurados con VRRP es el principal (activo) y los otros dispositivos son copias de seguridad. Si se produce un error en el principal, uno de los dispositivos de copia de seguridad se convierte en el nuevo dispositivo principal.

En este ejemplo se describe cómo configurar VRRP en una interfaz redundante:

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Junos OS versión 18.1 R1 o posterior para firewalls de la serie SRX.

  • Dos firewalls de la serie SRX conectados en un clúster de chasis.

  • Un firewall de la serie SRX conectado como dispositivo independiente.

Visión general

VRRP se configura configurando grupos VRRP en interfaces redundantes en dispositivos de clúster de chasis y en interfaz Gigabit Ethernet en dispositivo independiente. Una interfaz redundante de dispositivos de clúster de chasis y una interfaz Gigabit Ethernet de dispositivo independiente pueden ser miembros de uno o más grupos VRRP. Dentro de un grupo VRRP, se debe configurar la interfaz redundante principal de los dispositivos de clúster de chasis y la interfaz Gigabit Ethernet de respaldo del dispositivo independiente.

Para configurar el grupo VRRP, debe configurar el identificador de grupo y la dirección IP virtual de las interfaces redundantes y las interfaces Gigabit Ethernet que son miembros del grupo VRRP. La dirección IP virtual debe ser la misma para todas las interfaces del grupo VRRP. A continuación, configure la prioridad para las interfaces redundantes y las interfaces Gigabit Ethernet para que se conviertan en la interfaz principal.

Puede forzar la asignación de interfaces redundantes principales y de respaldo, así como de interfaces Gigabit Ethernet con prioridades del 1 al 255, donde 255 es la prioridad más alta.

Topología

La figura 3 muestra la topología utilizada en este ejemplo.

Figura 3: VRRP en interfaz VRRP on Redundant interface redundante

Configuración VRRP

Configuración de VRRPv3, grupos VRRP y prioridad en interfaces Ethernet redundantes de clúster de chasis

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar VRRPv3, grupos VRRP y prioridad en dispositivos de clúster de chasis:

  1. Configure un nombre de archivo para las traceoptions para rastrear el tráfico del protocolo VRRP.

  2. Especifique el tamaño máximo del archivo de seguimiento.

  3. Habilite vrrp traceoptions.

  4. Establezca la versión vrrp en 3.

  5. Configure este comando para que admita el cambio correcto del motor de enrutamiento (GRES) para VRRP y para el enrutamiento activo sin interrupciones cuando hay conmutación por error de reth VRRP. Usando vrrp, un nodo secundario puede hacerse cargo de un nodo primario fallido en unos pocos segundos y esto se hace con un tráfico VRRP mínimo y sin ninguna interacción con los hosts

  6. Configure las interfaces Ethernet redundantes (reth) y asigne la interfaz redundante a una zona.

  7. Configure la dirección inet de familia y la dirección virtual para la interfaz redundante 0 unidad 0.

  8. Configure la dirección inet de familia y la dirección virtual para la interfaz redundante 1 unidad 0.

  9. Establezca la prioridad de la interfaz redundante 0 unidad 0 en 255.

  10. Establezca la prioridad de la interfaz redundante 1 unidad 0 a 150.

  11. Configure la interfaz redundante 0 unidad 0 para aceptar todos los paquetes enviados a la dirección IP virtual.

  12. Configure la interfaz redundante 1 unidad 0 para aceptar todos los paquetes enviados a la dirección IP virtual.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfaces reth0 comandos y show interfaces reth1 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración de grupos VRRP en un dispositivo independiente

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red, copie y pegue los comandos en la CLI en el nivel de jerarquía y, a continuación, ingrese commit desde el [edit] modo de configuración.

Procedimiento paso a paso

Para configurar grupos VRRP en un dispositivo independiente:

  1. Establezca la versión vrrp en 3.

  2. Configure la dirección inet de familia y la dirección virtual para la unidad de interfaz 0 de Gigabit Ethernet.

  3. Establezca la prioridad de la unidad de interfaz Gigabit Ethernet de 0 a 50.

  4. Configure la unidad de interfaz 0 de Gigabit Ethernet para aceptar todos los paquetes enviados a la dirección IP virtual.

Resultados

Desde el modo de configuración, confirme la configuración introduciendo los show interfaces xe-5/0/5 comandos y show interfaces xe-5/0/6 . Si el resultado no muestra la configuración deseada, repita las instrucciones de configuración en este ejemplo para corregirla.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Verificación

Confirme que la configuración funciona correctamente.

Verificación del VRRP en dispositivos de clúster de chasis

Propósito

Compruebe que el VRRP en los dispositivos de clúster de chasis se haya configurado correctamente.

Acción

Desde el modo operativo, escriba el show vrrp brief comando para mostrar el estado de VRRP en los dispositivos de clúster de chasis.

Significado

El resultado de ejemplo muestra que los cuatro grupos VRRP están activos y que las interfaces redundantes han asumido las funciones principales correctas. La dirección lcl es la dirección física de la interfaz y la dirección vip es la dirección virtual compartida por interfaces redundantes. El valor del temporizador (A 0,149, A 0,155, A 0,445 y A 0,414) indica el tiempo restante (en segundos) en el que las interfaces redundantes esperan recibir un anuncio VRRP de las interfaces Gigabit Ethernet. Si un anuncio de los grupos 0, 1, 2 y 3 no llega antes de que caduque el temporizador, los dispositivos de clúster de chasis se afirman como los principales.

Verificación del VRRP en un dispositivo independiente

Propósito

Compruebe que VRRP se haya configurado correctamente en un dispositivo independiente.

Acción

Desde el modo operativo, ingrese el show vrrp brief comando para mostrar el estado de VRRP en un dispositivo independiente.

Significado

El resultado de ejemplo muestra que los cuatro grupos VRRP están activos y que las interfaces de Gigabit Ethernet han asumido las funciones de copia de seguridad correctas. La dirección lcl es la dirección física de la interfaz y la dirección vip es la dirección virtual compartida por las interfaces Gigabit Ethernet. El valor del temporizador (D 3,093, D 3,502, D 3,499 y D 3,282) indica el tiempo restante (en segundos) en el que las interfaces Gigabit Ethernet esperan recibir un anuncio VRRP de las interfaces redundantes. Si un anuncio de los grupos 0, 1, 2 y 3 no llega antes de que caduque el temporizador, el dispositivo independiente seguirá siendo un dispositivo de reserva.

Ejemplo: configuración de VRRP para IPv6

En este ejemplo se muestra cómo configurar las propiedades VRRP para IPv6.

Requisitos

En este ejemplo se utilizan los siguientes componentes de hardware y software:

  • Tres enrutadores

  • Junos OS versión 11.3 o posterior

    • Este ejemplo se ha actualizado y revalidado recientemente en Junos OS versión 21.1R1.
    • Para obtener más información sobre la compatibilidad de VRRP con combinaciones específicas de plataformas y versiones de Junos OS, consulte el Explorador de características.

Visión general

En este ejemplo se utiliza un grupo VRRP, que tiene una dirección virtual para IPv6. Los dispositivos de la LAN utilizan esta dirección virtual como puerta de enlace predeterminada. Si el enrutador principal falla, el enrutador de respaldo se hace cargo de él.

Configuración de VRRP

Configuración del enrutador A

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Procedimiento paso a paso

Para configurar este ejemplo:

  1. Configure las interfaces.

  2. Configure el identificador de grupo VRRP IPv6 y la dirección IP virtual.

  3. Configure la prioridad del enrutador A superior al enrutador B para que se convierta en el enrutador virtual principal. El enrutador B utiliza la prioridad predeterminada de 100.

  4. Configure track interface para realizar un seguimiento de si la interfaz conectada a Internet está activa, inactiva o no presente para cambiar la prioridad del grupo VRRP.

  5. Configure accept-data para permitir que el enrutador principal acepte todos los paquetes destinados a la dirección IP virtual.

  6. Configure una ruta estática para el tráfico a Internet.

  7. Para VRRP para iPv6, debe configurar la interfaz en la que VRRP está configurado para enviar anuncios de enrutador IPv6 para el grupo VRRP. Cuando una interfaz recibe un mensaje de solicitud de enrutador IPv6, envía un anuncio de enrutador IPv6 a todos los grupos VRRP configurados en ella.

  8. Configure los anuncios del enrutador para que se envíen solo para grupos VRRP IPv6 configurados en la interfaz si los grupos están en el estado principal.

Resultados

Desde el modo de configuración, escriba los comandos y show protocols router-advertisement show routing-options para confirmar show interfacesla configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del enrutador B

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Procedimiento paso a paso

Para configurar este ejemplo:

  1. Configure las interfaces.

  2. Configure el identificador de grupo VRRP IPv6 y la dirección IP virtual.

  3. Configure accept-data para permitir que el enrutador de copia de seguridad acepte todos los paquetes destinados a la dirección IP virtual en caso de que el enrutador de copia de seguridad se convierta en principal.

  4. Configure una ruta estática para el tráfico a Internet.

  5. Configure la interfaz en la que está configurado VRRP para enviar anuncios de enrutador IPv6 para el grupo VRRP. Cuando una interfaz recibe un mensaje de solicitud de enrutador IPv6, envía un anuncio de enrutador IPv6 a todos los grupos VRRP configurados en ella.

  6. Configure los anuncios del enrutador para que se envíen solo para grupos VRRP IPv6 configurados en la interfaz si los grupos están en el estado principal.

Resultados

Desde el modo de configuración, escriba los comandos y show protocols router-advertisement show routing-options para confirmar show interfacesla configuración. Si el resultado no muestra la configuración deseada, repita las instrucciones de este ejemplo para corregir la configuración.

Si ha terminado de configurar el dispositivo, ingrese commit desde el modo de configuración.

Configuración del enrutador C

Configuración rápida de CLI

Para configurar rápidamente este ejemplo, copie los siguientes comandos, péguelos en un archivo de texto, elimine los saltos de línea, cambie los detalles necesarios para que coincidan con su configuración de red y, a continuación, copie y pegue los comandos en la CLI en el nivel de [edit] jerarquía.

Verificación

Verificar que VRRP funciona en el enrutador A

Propósito

Compruebe que VRRP esté activo en el enrutador A y que su función en el grupo VRRP sea correcta.

Acción

Utilice los siguientes comandos para comprobar que VRRP está activo en el enrutador A, que el enrutador es el principal para el grupo 1 y que se está realizando un seguimiento de la interfaz conectada a Internet.

Significado

El show vrrp comando muestra información fundamental sobre la configuración de VRRP. Este resultado muestra que el grupo VRRP está activo y que este enrutador ha asumido la función principal. La lcl dirección es la dirección física de la interfaz y la vip dirección es la dirección virtual compartida por ambos enrutadores. El Timer valor (A 0.690) indica el tiempo restante (en segundos) en el que este enrutador espera recibir un anuncio VRRP del otro enrutador.

Verificar que VRRP funciona en el enrutador B

Propósito

Verifique que VRRP esté activo en el enrutador B y que su función en el grupo VRRP sea correcta.

Acción

Utilice el siguiente comando para comprobar que VRRP está activo en el enrutador B y que el enrutador es una copia de seguridad para el grupo 1.

Significado

El show vrrp comando muestra información fundamental sobre la configuración de VRRP. Este resultado muestra que el grupo VRRP está activo y que este enrutador ha asumido la función de copia de seguridad. La lcl dirección es la dirección física de la interfaz y la vip dirección es la dirección virtual compartida por ambos enrutadores. El Timer valor (D 2.947) indica el tiempo restante (en segundos) en el que este enrutador espera recibir un anuncio VRRP del otro enrutador.

Comprobación de que el enrutador C llega al enrutador de tránsito A de Internet

Propósito

Verifique la conectividad a Internet desde el enrutador C.

Acción

Utilice los siguientes comandos para comprobar que el enrutador C puede llegar a Internet.

Significado

El ping comando muestra la capacidad de acceso a Internet y el comando muestra que el traceroute enrutador A está en tránsito.

La verificación del enrutador B se convierte en principal para VRRP

Propósito

Compruebe que el enrutador B se convierte en el principal para VRRP cuando la interfaz entre el enrutador A e Internet deja de funcionar.

Acción

Utilice los siguientes comandos para comprobar que el enrutador B es el principal y que el enrutador C puede llegar al enrutador B en tránsito por Internet.

Significado

El show vrrp track detail comando muestra que la interfaz rastreada está inactiva en el enrutador A, que la prioridad se ha reducido a 90 y que el enrutador A ahora es la copia de seguridad. El show vrrp comando muestra que el enrutador B es ahora el principal para VRRP y el comando muestra que el traceroute enrutador B ahora se está transitando.