태그 보관물: FHRP

Network

[FHRP] GLBP에 대해

2021년 3월 12일 musketo 댓글 남기기

GLBP
GLBP 설정

1. GLBP

Gateway Load Balancing Protocol

Cisco에서 HSRP 기능을 강화하기 위해 GLBP를 개발했다.
게이트웨이 이중화는 물론, 별도의 설정없이도 부하 분산을 제공하는 것이다.

1-1. GLBP 역할

Group 당
AVG 라우터 1개, Standby 라우터 1개, 나머지 라우터는 Listen 상태.

만일, AVG 라우터가 Down 됐다면,
Standby 라우터 → AVG 라우터,
Listen 상태 라우터 중 하나 → Standby 라우터가 된다.

AVG ( Active Virtual Gateway) 역할
1. 각 라우터들(멤버들)에게 가상 MAC을 할당한다.
이 라우터들을 가상 MAC의 AVF(Active Virtual Forwarder)라고 한다.
2. 게이트웨이 주소에 대한 ARP 요청에 응답한다.
PC에서 게이트웨이 IP에 대한 ARP 요청을 하면, AVF에 할당했던 MAC들 중 하나로 응답한다. 즉, 자동으로 부한 분산이 되는 것이다.

AVG가 결정되는 우선순위
높은 GLBP Priority → 높은 인터페이스 IP

1-2. GLBP 특성

Group 당 단일 Virtual IP와 최대 4개의 MAC을 사용한다.
출발지 / 목적지 IP : 224.0.0.102 , Multicast
UDP 3222
3초 주기로 GLBP 정보 광고

1-3. GLBP 인증

공격자의 장비가 AVG 또는 AVF 되는 GLBP Spoofing 공격을 방지하고자 인증을 설정한다. 여타 FHRP처럼 Plain-Text, MD5 인증을 설정할 수 있다.

2. GLBP 설정

기본 설정 → GLBP 설정 → GLBP 설정 확인 → GLBP 인증 설정

[기본]
– IP 설정
각 장비의 인터페이스
(PC GW는 Virtual IP로 설정)

– OSPF 라우팅
R1 fa0/0, fa1/0
R2 fa0/1, fa1/0
SW2 fa0/0, fa0/1, loopback 0

[GLBP 설정]

-
R1(config)# track 1 int fa0/0 line-protocol
R1(config-track)# exit
R1(config)#
R1(config)# int fa1/0
R1(config-if)# glbp 1 ip 10.10.100.254
R1(config-if)# glbp 1 priority 105
R1(config-if)# glbp 1 timers 2 6
R1(config-if)# glbp 1 preempt delay minimum 60
R1(config-if)# glbp 1 forwarder preempt delay minimum 50
R1(config-if)# glbp 1 weighting 100 lower 90 upper 100
R1(config-if)# glbp 1 load-balancing round-robin
R1(config-if)# glbp 1 weighting track 1 decrement 20

R2(config)# track 1 int fa0/1 line-protocol
R2(config-track)# exit
R2(config)#
R2(config)#int fa1/0
R2(config-if)# glbp 1 ip 10.10.100.254
R2(config-if)# glbp 1 timers 2 6
R2(config-if)# glbp 1 weighting 100 lower 95
R2(config-if)# glbp 1 weighting track 1
R2(config-if)#
-

2: 감시할 인터페이스나 경로를 지정한다. line-protocol 옵션을 사용하면 해당 인터페이스의 Layer 2 상태에 따라 Up / Down 상태로 판단한다. 경로를 지정하고자 한다면, “track 2 ip route 10.10.0.1/32 reachability” 이렇게 할 수 있다.
6: GLBP 그룹 번호는 0-1023 사이 값를 넣을 수 있다. 여기까지의 설정만으로 GLBP가 동작한다.
7: GLBP 우선순위를 설정한다. 0 -255 사이 값을 넣을 수 있다.
8: 기본 Hello Timer 3초, Hold Timer 10초지만, Hello 2 Hold 6으로 설정했다. 2초 주기로 Hello를 전송하고, 6초동안 Hello를 받지못하면 상대에게 장애가 발생했다고 간주한다.
9: 장애 발생으로 인해 다른 라우터로 AVG 역할을 위임했다가 장애 복구 시 60초 후 다시 AVG 역할을 수행한다. 기본적으로 비활성화 되어있다.
10: 장애 발생으로 인해 다른 라우터로 AVF 역할을 위임했다가 장애 복구 시 50초 후 다시 AVF 역할을 수행한다. 기본 30초로 활성화되어있다.
11: 먼저, R1의 전송 가중치를 100으로 설정한다. 가중치가 90이 되면 AVF의 역할을 넘기고, 100이 되면 다시 AVF 역할을 수행한다.
12: 부하분산 방식을 round-robin으로 설정한다.
13: track 1이 Down되었을 때, 가중치 20을 감소한다.

[GLBP 설정확인]
– show glbp brief

[GLBP 인증]
– Plain-Text 인증

R1(config)# int fa1/0
R1(config-if)# glbp 1 authentication text <WORD>


R2(config)# int fa1/0
R2(config-if)# glbp 1 authentication text <WORD>

– MD5 인증 (Key-String)

R1(config)# int fa1/0
R1(config-if)# glbp 1 authentication md5 key-string <WORD>


R2(config)# int fa1/0
R2(config-if)# glbp 1 authentication md5 key-string <WORD>

– MD5 인증 (Key-Chain)

R1(config)# key chain <NAME>
R1(config-keychain)# key [0-2147483647]
R1(config-keychain-key)# key-string <WORD>
R1(config-keychain-key)# exit
R1(config-keychain)# exit
R1(config)#
R1(config)# int fa1/0
R1(config-if)# glbp 1 authentication md5 key-chain <NAME>


R2(config)# key chain <NAME>
R2(config-keychain)# key [0-2147483647]
R2(config-keychain-key)# key-string <WORD>
R2(config-keychain-key)# exit
R2(config-keychain)# exit
R2(config)#
R2(config)# int fa1/0
R2(config-if)# glbp 1 authentication md5 key-chain <NAME>

Network

[FHRP] VRRP에 대해

2021년 3월 4일 musketo 댓글 남기기

VRRP
VRRP 설정
VRRP 부하분산

1. VRRP

Virtual Router Redundancy Protocol

표준 게이트웨이 이중화 프로토콜이다. HSRP와 달리 여러 벤더 장비에서 사용할 수 있다.

VRRP 역할

Virtual Router Master :
게이트웨이 역할을 하는 라우터.
Master 라우터 선출은 ‘가상IP와 실제IP가 동일한 라우터’ → ‘VRRP의 우선순위가 높은 라우터’ → ‘인터페이스 IP가 높은 라우터’ 순이다.

Virtual Router Backup :
Master 라우터 장애 시 역할을 이어받는 라우터.

VRRP 특징

목적지 IP : 224.0.0.18 , Multicast.
IPv4 패킷 내 ‘Protocol’ 필드 : 112번
Master 라우터는 1초마다 VRRP 우선순위 와 상태를 광고한다.
실제 설정된 인터페이스 IP를 가상IP로 사용할 수 있다.

VRRP 인증

공격자가 Master 라우터로 선출되는 것을 방지하기 위해 Plain-Text, MD5 인증을 설정할 수 있다.

2. VRRP 설정

기본설정 → VRRP 설정 → VRRP 설정 확인 → VRRP 인증

[기본]
– IP 설정
각 장비의 인터페이스
(PC GW는 Virtual IP로 설정)

– OSPF 라우팅
R1 fa0/0, fa1/0
R2 fa0/1, fa1/0
SW2 fa0/0, fa0/1, loopback 0

[VRRP 설정]

R1(config)# track 1 int fa1/0 line-protocol
R1(config-track)# exit
R1(config)#
R1(config)# int fa1/0
R1(config-if)# vrrp 1 ip 10.10.100.253
R1(config-if)# vrrp 1 priority 105
R1(config-if)# vrrp 1 preempt delay minimum 180
R1(config-if)# vrrp 1 timers advertise 1
R1(config-if)# vrrp 1 timers learn
R1(config-if)# vrrp 1 track 1


R2(config)# int fa1/0
R2(config-if)# vrrp 1 ip 10.10.100.253
R2(config-if)# vrrp 1 timers advertise 1
R2(config-if)# vrrp 1 timers learn

2: 감시할 인터페이스나 경로를 지정한다. line-protocol 옵션을 사용하면 해당 인터페이스의 Layer 2 상태에 따라 Up / Down 상태로 판단한다. 경로를 지정하고자 한다면, “track 2 ip route 10.10.0.1/32 reachability” 이렇게 할 수 있다.
6: vrrp 그룹은 1-255 사이로 지정할 수 있다.
7: 기본 Priority는 100이다. R1을 Master 라우터로 선정하기 위해 Priority 105로 설정했다.
8: Master 라우터가 장애로 인해 Backup 라우터로 변경되었을 때, 장애 복구 이후 다시 Master 라우터로 동작할 수 있게 한다. 기본적으로 인터페이스가 다시 활성화(장애복구)됐을 때, 바로 Master 라우터로 돌아가는데 라우팅 테이블 미완성으로 제대로 된 통신을 하지 못하는 경우가 발생할 수 있다. 그래서 인터페이스가 다시 활성화되고나서 180초 이후 Master로 동작되도록 설정했다.
9: vrrp 광고 주기를 1초로 지정한다. 사실 기본값이 1초이므로 광고 주기를 그대로 1초로 사용할거라면, 별도로 설정하지 않아도 된다. VRRP 라우터들끼리 광고 주기가 반드시 동일해야 한다. 서로 다르다면 VRRP가 동작하지 않는다.
10: Master 라우터에 설정된 VRRP 광고 주기 값을 배우도록 한다. 지금으로써는 추후 Master상태에서 Backup으로 변경될 때, 적용된다. 앞서 이야기한 광고 주기가 달라 VRRP가 동작하지 않는 상황을 방지하는 설정이다.

[VRRP 설정확인]
– show vrrp brief

R1이 Master 라우터 , R2가 Backup 라우터가 된 것을 확인할 수 있다.

– show vrrp

가상 IP, 라우터의 우선순위, Master 라우터 등을 확인할 수 있다.

[VRRP 인증]
– Plain-Text 인증

R1(config)# int fa1/0
R1(config-if)# vrrp 1 authentication text <WORD>


R2(config)# int fa1/0
R2(config-if)# vrrp 1 authentication text <WORD>

– MD5 인증 (Key-String)

R1(config)# int fa1/0
R1(config-if)# vrrp 1 authentication md5 key-string <WORD>


R2(config)# int fa1/0
R2(config-if)# vrrp 1 authentication md5 key-string <WORD>

– MD5 인증 (Key-Chain)

R1(config)# key chain <NAME>
R1(config-keychain)# key [0-2147483647]
R1(config-keychain-key)# key-string <WORD>
R1(config-keychain-key)# exit
R1(config-keychain)# exit
R1(config)#
R1(config)# int fa1/0
R1(config-if)# vrrp 1 authentication md5 key-chain <NAME>


R2(config)# key chain <NAME>
R2(config-keychain)# key [0-2147483647]
R2(config-keychain-key)# key-string <WORD>
R2(config-keychain-key)# exit
R2(config-keychain)# exit
R2(config)#
R2(config)# int fa1/0
R2(config-if)# vrrp 1 authentication md5 key-chain <NAME>

3. VRRP 부하 분산

MHSRP처럼 VRRP도 각 그룹별로 Master 라우터를 지정하여 부하 분산을 할 수 있다.

R1과 R2를 VRRP 1, 2 그룹으로 나누고,
각각 10.10.100.253 / 10.10.100.254를 할당한다.
PC의 GW도 각각 지정한다.
이렇게 VRRP 부하 분산을 할 수 있다.

[VRRP 부하 분산 설정]

R1(config)# track 1 int fa1/0 line-protocol
R1(config-track)# exit
R1(config)#
R1(config)# int fa1/0
R1(config-if)# vrrp 1 ip 10.10.100.253
R1(config-if)# vrrp 1 priority 105
R1(config-if)# vrrp 1 preempt delay minimum 180
R1(config-if)# vrrp 1 timers advertise 1
R1(config-if)# vrrp 1 timers learn
R1(config-if)# vrrp 1 track 1
R1(config-if)# 
R1(config-if)# vrrp 2 ip 10.10.100.254
R1(config-if)# vrrp 2 timers advertise 1
R1(config-if)# vrrp 2 timers learn

R2(config)# track 1 int fa1/0 line-protocol
R2(config-track)# exit
R2(config)#
R2(config)# int fa1/0
R2(config-if)# vrrp 1 ip 10.10.100.253
R2(config-if)# vrrp 1 timers advertise 1
R2(config-if)# vrrp 1 timers learn
R2(config-if)# 
R2(config-if)# vrrp 2 ip 10.10.100.254
R2(config-if)# vrrp 2 priority 105
R2(config-if)# vrrp 2 preempt delay minimum 180
R2(config-if)# vrrp 2 timers advertise 1
R2(config-if)# vrrp 2 timers learn
R2(config-if)# vrrp 2 track 1

Network

[FHRP] HSRP에 대해

2021년 3월 3일 musketo 댓글 남기기

First Hop Redundancy Protocol

게이트웨이 이중화 프로토콜이다.
동작 중인 게이트웨이가 Down됐을 때, 다른 장비가 게이트웨이 역할을 위임받는 것이다.

단, FHRP로 이중화하는 것보다 라우팅을 통해 이중화 구성하는 것이 더 효율적일 수 있으므로 잘 선택해서 사용해야한다.

FHRP에는 크게 3가지 프로토콜이 있다. 오늘은 HSRP에 대해 알아보자.
┌ ─ HSRP
├ ─ VRRP
└ ─ GLBP

HSRP
HSRP 패킷 구조
HSRP 설정
MHSRP

1. HSRP

Hot Standby Router Protocol

Cisco 에서 개발한 게이트웨이 이중화 프로토콜이다.

1-1. HSRP 역할

HSRP를 사용하는 장비 중 하나가 Active 라우터, 나머지 하나는 Standby 라우터로 지정된다.

Active 라우터
게이트웨이 역할을 하는 장비. 내부 클라이언트/장비들은 가상 IP로 접근할 수 있다.

Standby 라우터
Active 라우터가 잘 동작하는 지 감시하는 장비. Active 라우터가 제대로 동작하지 않을 때, Active 라우터 역할을 이어 받는다.

1-2. HSRP 버전

HSRP 버전은 1, 2가 있다. 버전 1과 버전 2는 서로 호환할 수 없다.
인터페이스마다 각 다른 버전을 사용할 수 있다.

HSRP version 1
– 기본으로 동작하는 버전.
– 목적지 IP : 224.0.0.2 , Multicast , UDP 1985
– 기본 MAC : 0000.0c07.acNN
– HSRP 그룹번호 : 0 – 255
시스코 그룹 관리 프로토콜과 멀티캐스트 IP가 중복되어 같이 사용할 수 없다. MAC 뒤 2자리는 그룹 번호이다.

HSRP version 2
– 기본으로 동작하는 버전.
– 목적지 IP : 224.0.0.102 , Multicast , UDP 1985
– 기본 MAC : 0000.0c9f.fNNN
– HSRP 그룹번호 : 0 – 4095
version 1에서 시스코 그룹 관리 프로토콜 동시에 사용할 수 없었으나, version 2에서는 멀티캐스트 IP가 변경되어 동시에 할 수 있게 되었다.

1-3. HSRP 상태

① Initial State
아직 HSRP가 동작하지 않는 상태이다.

② Learn State
아직 가상 IP가 결정되지 않은 상태이다.
Active 라우터로부터 Hello Message를 대기한다.

③ Listen State
가상 IP가 결정된 상태이다.
Active / Standby 라우터로부터 Hello Message를 대기한다.

④ Speak State
주기적으로 Hello Message를 전송한다.
Active / Standby 라우터 선출에 참여한다.

⑤ Active State / Standby State

1-4. HSRP 인증

HSRP Spoofing(공격자의 장비가 HSRP Active 라우터가 되는 것)을 막기 위해 인증을 추가할 수 있다.

Plain-text 또는 MD5로 인증을 설정할 수 있다.

2. HSRP 패킷 구조

Version (1 Byte) : HSRP 버전.
Op Code (1 Byte) : 패킷 종류.
- 0 – Hello packet
- 1 – Coup packet
  자신이 Active 역할을 하고자할 때.
- 2 – Resign packet
  Active 역할을 다른 라우터로 넘겨줄 때.
State (1 Byte) : HSRP 상태.
Hello Time (1 Byte) : Hello Message 주기 (초 단위)
Hold Time (1 Byte) : Hold Time 내 Hello Message를 수신하지 못하면, 해당 장비는 Down된 것으로 간주. (초 단위)
Priority (1 Byte) : Active / Standby 라우터를 선출할 때 사용. 높은 우선순위 장비가 Active로 선출.
Group (1 Byte) : HSRP 그룹 번호.
Authentication Data (8 Byte) : HSRP에서 사용되는 암호.
Virtual IP Address (4 Byte) : HSRP 그룹의 가상 IP 주소.

3. HSRP 설정

기본설정 → HSRP 설정 → HSRP 설정 확인 → HSRP 인증 설정

[기본]
– Access 포트 설정
SW1 fa2/1
SW2 fa2/3
SW3 fa2/0, fa2/1, fa2/3
SW4 fa2/1, fa2/10, fa2/11

– IP 설정
각 장비의 인터페이스
(PC GW는 Virtual IP로 설정)

– OSPF 라우팅
SW1 fa0/0
SW2 fa0/0
R1 fa0/0, fa1/0, loopback 0

[HSRP 설정]

SW1(config)# int vlan 120
SW1(config-if)# standby 1 ip 10.10.100.254
SW1(config-if)# standby 1 track f0/0
SW1(config-if)# standby 1 priority 105
SW1(config-if)# standby 1 preempt delay minimum 180


SW2(config)# int vlan 120
SW2(config-if)# standby 1 ip 10.10.100.254
SW2(config-if)# standby 1 preempt

3: 버전을 별도로 설정하지 않으면, Version 1이므로 그룹번호는 0 -255 사이 수를 사용할 수 있다.
4: f0/0 이 Down될 경우 우선순위를 10 낮춘다.
5: 기본 Priority는 100이다. SW1을 Active 라우터로 설정하기 위해 105로 설정했다. 또한, 6번째 줄 설정에 의해 f0/0이 Down되면, 우선순위 10이 감소되어 95가 된다. 이 때, Standby 라우터는 계속 우선순위가 100이므로 Standby 라우터가 Active로 동작하게 되는 것이다. 따라서 우선순위는 101-109 사이의 값을 사용하는 것이 편리하다고 한다.
6: Active 라우터가 Standby 라우터로 변경되었을 때, 다시 Active 라우터 역할로 수행하게 한다. 기본적으로는 인터페이스가 살아났을 때 바로 Active 역할을 수행하지만, 라우팅 테이블이 완성되지 못해 특정 목적지로 라우팅이 안될 수 있다. 그래서 인터페이스가 다시 활성화되어도 180초 후 Active 라우터로 동작하게끔 설정한다.

[HSRP 확인]
– show standby brief

SW1은 Active , SW2는 Standby 상태인 것을 확인할 수 있다.

– show standby

그룹 1 , Virtual IP , 상대 HSRP 라우터에 대한 정보 , 우선순위를 확인할 수 있다.

[HSRP 인증 설정]

– Plain-text 인증

SW1(config)# int vlan 120
SW1(config-if)# standby 1 authentication text <WORD>


SW2(config)# int vlan 120
SW2(config-if)# standby 1 authentication text <WORD>

– MD5 인증 (Key-String 사용)

SW1(config-if)# standby 1 authentication md5 key-string <WORD>

SW2(config-if)# standby 1 authentication md5 key-string <WORD>

– MD5 인증 (Key-Chain 사용)

SW2(config)# key chain <NAME>
SW2(config-keychain)# key [0-2147483647]
SW2(config-keychain-key)# key-string <WORD>
SW2(config-keychain-key)# exit
SW2(config-keychain)# exit
SW2(config)#
SW2(config)# int vlan 120
SW2(config-if)# standby 1 authentication md5 key-chain <NAME>


SW1(config)# key chain <NAME>
SW1(config-keychain)# key [0-2147483647]
SW1(config-keychain-key)# key-string <WORD>
SW1(config-keychain-key)# exit
SW1(config-keychain)# exit
SW1(config)#
SW1(config)# int vlan 120
SW1(config-if)# standby 1 authentication md5 key-chain <NAME>

4. MHSRP

Multiple HSRP

HSRP = Interface 1 개 — HSRP Group 1 개
MHSRP = Interface 1 개 — HSRP Group 여러 개

기존 HSRP를 사용하게 되면, Active 라우터로만 라우팅이 된다.
이러한 문제를 해결하고자 MHSRP를 사용한다.

SW1과 SW2를 HSRP 두 그룹으로 나누고,
각각 10.10.100.253 / 10.10.100.254를 할당한다.
PC의 GW도 각각 지정한다.
이렇게 MHSRP를 사용할 수 있다.

[MHSRP 설정]

SW1(config)# int vlan 120
SW1(config-if)# standby 1 ip 10.10.100.253
SW1(config-if)# standby 1 priority 105
SW1(config-if)# standby 1 preempt delay minimum 180
SW1(config-if)# standby 1 track f0/0
SW1(config-if)#
SW1(config-if)# standby 2 ip 10.10.100.254
SW1(config-if)# standby 2 preempt


SW2(config)# int vlan 120
SW2(config-if)# standby 1 ip 10.10.100.253
SW2(config-if)# standby 1 preempt
SW2(config-if)#
SW2(config-if)# standby 2 ip 10.10.100.254
SW2(config-if)# standby 2 priority 105
SW2(config-if)# standby 2 preempt delay minimum 180
SW2(config-if)# standby 2 track f0/0

Musket-o

태그 보관물: FHRP

[FHRP] GLBP에 대해

1. GLBP

1-1. GLBP 역할

1-2. GLBP 특성

1-3. GLBP 인증

2. GLBP 설정

[FHRP] VRRP에 대해

1. VRRP

VRRP 역할

VRRP 특징

VRRP 인증

2. VRRP 설정

3. VRRP 부하 분산

[FHRP] HSRP에 대해

First Hop Redundancy Protocol

1. HSRP

1-1. HSRP 역할

1-2. HSRP 버전

1-3. HSRP 상태

1-4. HSRP 인증

2. HSRP 패킷 구조

3. HSRP 설정

4. MHSRP

🚀 To Infinity and Beyond 🚀