Tentando testar uma configuração de VRRP do laboratório virtual para problemas de STP

9

Estou no meio da criação de um laboratório com uma configuração VRRP e estou tentando procurar por possíveis problemas que possam ocorrer na produção.

Um problema que estou ciente do VRRP é que parece que o tempo de convergência do STP (cerca de 45 segundos, acredito) às vezes pode fazer com que os nós do VRRP sejam alterados. De acordo com o meu diagrama, não consigo ver nenhum loop (ignorando os servidores com hospedagem múltipla na parte inferior), então suponho que posso simplesmente desativar o STP e esquecê-lo. Mas eu gostaria de ver o que acontece com o STP ativado, da mesma forma.

Estou usando o Vyatta Core 6.5 para os roteadores ISPA e ISPB. Estou executando as VMs na estação de trabalho VMWare.

O motivo pelo qual meu laboratório inclui comutadores entre o ISPA e o ISPB é que, na produção, os usamos para encerrar os uplinks de fibra para o nosso provedor. Então, tentei deixar meu laboratório o mais próximo possível da produção.

Minha configuração é assim:

Diagrama do laboratório VRRP

Meu problema é que, no momento, os comutadores não existem realmente no meu laboratório. Estou simplesmente usando segmentos de LAN na estação de trabalho VMWare para permitir que as VMs do Vyatta se comuniquem. Meu problema é que, como todas as conexões entre VMs são feitas dentro do Hyervisor, parece que não há possibilidade de testar coisas como esta.

Minha pergunta é: alguém pode pensar em uma maneira de conectar essas VMs de forma que simule máquinas físicas Vyatta conectadas por switches Cisco (ou outros), para que eu possa testar o STP (e qualquer outra coisa que eu possa imaginar) ?

O que eu tentei

Usando o GNS3 para interconectar VMs

Uma coisa que tentei fazer é que as VMs se comuniquem via GNS3 usando adaptadores VMNet Host-Only para integrar-se ao GNS3 e, em seguida, usando um Cisco 3745 com um módulo de comutação FastEthernet adicionado. Há alguns problemas aqui:

  • No meu laboratório, estou usando uma única sub-rede para conversar entre o ISPA e o ISPB (10.11.246.0/29).
  • O VMWare espera que um único adaptador VMNet use uma única sub-rede, portanto, não posso usar vários adaptadores VMNet separados com a única sub-rede 10.11.246.0/29.
  • Em qualquer caso em que duas VMs usam o mesmo adaptador VMNet, os pacotes são enviados diretamente um para o outro e, portanto, sem adaptadores VMNet separados, não vejo como forçar as VMs a se comunicarem por meio de um roteador GNS3.
  • Meu entendimento é que, com o VRRP, usar uma sub-rede menor do que o que poderia acomodar todos os nós + IPs virtuais seria considerado um hack e não aconselhável. Por exemplo, usar / 30s e vários adaptadores VMNet não é uma boa ideia.

Outras notas

  • Estou aberto a usar outras plataformas de máquinas virtuais, como a caixa virtual.
  • Eu tenho um Cisco Catalyst 2950 físico em minha mesa e a máquina host possui duas NICs físicas disponíveis.
Geekman
fonte
11
Eu posso ver um loop para não desativar o STP. ISPB-BDR-01, ISPB-BDR-02, switches Cisco é um loop. ISPB-BDR-01, ISPB-BDR-02 e ISPB-BDR-SW01 e ISPB-BDR-SW02 é outro. 45 segundos parece muito tempo, você tem o alcance rápido ativado (802.1w)? Isso diminuiria o tempo de convergência. Onde está a ponte raiz STP? É recomendável ter a raiz STP no dispositivo VRRP / HSRP ativo.
precisa
@ Epaphus Oh, sério? Devo estar compreendendo fundamentalmente o que consiste em um loop. Eu não têm actualmente rápido de abrangência habilitado, embora eu teria pensado que de qualquer forma o fato de que não é um meio tempo de convergência eu gostaria de teste para garantir que disse que o tempo de convergência ainda é baixo o suficiente. Com relação à raiz do STP, ainda não pensei na configuração do STP, pois ainda estou focado em montar o laboratório para testar essa configuração (e como você deve ter adivinhado, tenho uma experiência mínima com o STP).
Geekman
@ Epaphus Oh, eu acho que vejo agora. Isso ocorre porque, embora exista apenas uma conexão física entre cada combinação de switch do roteador <->, eles fazem parte do mesmo domínio de broadcast, portanto, isso ainda consiste em um loop. Direita?
Geekman
Por que essa preocupação? Você está preso apenas ao 802.1D? Você não pode executar o RSTP?
laf 01/07
A menos que você trabalhe duro e ative a ponte em seus roteadores (ou seu diagrama não esteja correto), não haverá loop porque 2 switches não estão interconectados.
Fredpbaker

Respostas:

1

Minha pergunta é: alguém pode pensar em uma maneira de conectar essas VMs de forma que simule máquinas físicas Vyatta conectadas por switches Cisco (ou outros), para que eu possa testar o STP (e qualquer outra coisa que eu possa imaginar) ?

Você pode usar o hipervisor ESXi para executar as VMs gratuitas e adicionar o switch virtual Cisco NEXUS 1000. Download do switch Nexus

Jeff Vincent
fonte
0

Não entendo sua preocupação com o VRRP.

Observando a topologia, nenhum dos comutadores está conectado um ao outro. A menos que você esteja fazendo algo louco, como ativar a ponte nos servidores, não vê como você cria um loop.

Mais interessante, se o ISP-BDR-01 estiver conectado à LAN 2 e o ISP-BDR-01 estiver conectado à LAN 1, eles não se encontrarem na camada 2, os roteadores Cisco não permitirão a mesma sub-rede em várias interfaces, portanto, sugiro que você A topologia conforme documentada não funciona. Agora, adicionar um link entre os comutadores corrige isso: conectar os comutadores juntos também não cria um loop.

A maioria dos roteadores oferece suporte a ajustes nos timers para que você possa, se desejar que o failover do VRRP seja maior que a convergência STP, mas, dada a topologia simples, você está preocupado com a coisa errada

fredpbaker
fonte
Pelo que entendi, o loop é causado porque, por exemplo, você pode ir do roteador ISPB-BDR-01 ao ISPB-BDR-02 via ISPB-BDR-SW01 ou SW02, portanto, existem dois caminhos possíveis no mesmo domínio de broadcast, então aí está o laço. Não estou 100% nisso, mas faz sentido. Em referência ao seu segundo parágrafo, vou assumir que você está falando do ISP_B_-BDR-01/02. Onde meu digram mostra que eles estão em LANs separadas? Ambos os roteadores compartilham a mesma LAN nas NICs voltadas para o público (diz LAN1 à esquerda e à direita) e outra (LAN2) no lado privado.
Geekman
Acho que meu problema não é tanto como resolver esse problema em potencial, porque vi que há um parâmetro de atraso de antecipação no Vyatta que, suponho, resolveria quaisquer problemas em potencial. Mas o problema é mais - como posso testar isso com o mínimo de hardware físico? Particularmente coisas de STP, mas provavelmente há muito mais coisas em que não pensei.
Geekman
Na lista em Cisco Land, você NÃO PODE configurar a mesma sub-rede em 2 interfaces no mesmo roteador. então sim, a sub-rede A pode passar de ISPB-BDR-01 para ISPB-BDR-02 via ISPB-BDR-SW01, mas uma sub-rede DIFERENTE passaria por SW01 também para ter um loop L2 que os roteadores precisam encaminhar em L2 e não ISPB-BDR-01 NUNCA vai encaminhar uma ARP de SW01 a SW02
fredpbaker
0

ok, você precisa ter o stp ativado, algum usuário tem um laptop? cabos Ethernet longos? adaptadores de duas portas? hehe, regras do usuário! e o farm de servidores? nenhum potencial de loop lá eh?

Dru
fonte