Virtual Router Redundancy Protocol (VRRP)
VRRP birden çok yönlendiriciyi tek bir yönlendirici gibi davranmasına olanak sağlamaktadır.
VRRP IEEE standartında protokoldür HSRP ise Cisco’ya özel bir protokoldür.
Ana yönlendiricinin herhangi bir sebeple devre dışı kalması veya nexthopuna ulaşamadığı durumunda yedek yönlendiricilerden biri ana yönlendirici(master) görevini alır.
VRRP’de birden çok backup router tanımlanabilmektedir. HSRP’de ise sadece bir adet backup router olabilir.
VRRP grupları oluşturarak sanal ip’leri , priority değerlerini burada belirtmemiz gerekiyor. Priority değeri default olarak 100 olarak belirlenmiştir ama bu değeri manuel kendimiz belirleyebiliriz. Bu değer 1-254 arasında bir değer verebilirsiniz.
Localde farklı routerları faklı network subnetleri için master veya backup olarak seçebilirsiniz. Bu şekilde yük dengelemesi sağlayabilirsiniz.
VRRP 255 farklı grup oluşturulmasına olanak sağlar.
Bunun haricinde VRRP grubu içerisine “preemption” komutu belirlendiyse ana yönlendirici pasif durumda tekrar aktif olduğunda ana yönlendirici olarak görevi tekrar alacaktır. Bu testte huawei cihazlar kullanıldı ve varsayılan olarak açıktır.
Kendi topolojinize göre birden fazla vrrp senaryosu uygulanabilir. Bu yazıda aşağıdaki gibi bir topolojimiz olduğunu varsaydım.
R1 için;
interface GigabitEthernet0/0/0
description LOCAL
ip address 10.10.10.254 255.255.255.0
vrrp vrid 10 virtual-ip 10.10.10.1
vrrp vrid 10 priority 240
vrrp vrid 10 preempt-mode timer delay 10
R2 için;
interface GigabitEthernet0/0/0
description LOCAL
ip address 10.10.10.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.10.10.1
vrrp vrid 10 priority 200
Burada sadece vrrip ipler verildi priority ve timer değeleri girildi. Bu şekilde R1 master olarak kendisini gösterecek ve gelen isteklere cevap verecek.
VRRP protokolünün kendisine ait şeması olan bir mac adresi üretme mekanizması vardır.
0000-5E00-01(VRID)
Bu tabloda şuan R1 portundan vrrp mac adresi gözükmektedir test için R2 master olursa eğer aynı mac bu sefer gig 0/0/2 portundan öğrendiğini söyleyecektir.
Peki R1 için sorun olması durumunda priority nasıl değişecek. Cihazın sadece fiziksel olarak sorun yaşaması durumunda cevap vermeyi bırakacak bu şekilde R2 master olacak. Eğer R1’in sadece WAN bağlantısı erişim sorunu yaşarsa o zaman?
Bu senaryomuzda R1 ve R2 için 2 farklı next-hop bulunuyor.2 farklı ISP olarak düşünebiliriz. Bizde sadece R1’in fiziksel olarak değil aynı zamanda erişim sorunu yaşaması durumunda da master görevini bırakmasını istiyoruz.
Burada huawei için NQA (Network Quality Analysis) kullanabiliriz. R1 için istiyoruz ki kendi WAN bağlantısını kaybettiği zamanda priority düşürüp backup olsun. Bunun için R1’de aşağıdaki nqa komutları bize yardımcı olacaktır.
Test için isimlendirme yapıyoruz ki sonradan vrrp’ye bağlayalım.
nqa test-instance WAN icmp
test-type icmp
destination-address ipv4 1.1.1.1
frequency 5
probe-count 1
start now
Yapmasını istediğimiz testin tipini öncelikle belirtiyoruz. Burada test type olarak birçok seçenek sunulmaktadır. Kendi network topolojinize göre herhangi birini uygulayabilirsiniz.
Biz icmp seçip hedefimizi, tekrarlama ve başlayacağı zamanı belirledikten sonra vrrp grubumuzun içerisine tanımlıyoruz.
interface GigabitEthernet0/0/0
description LOCAL
ip address 10.10.10.254 255.255.255.0
vrrp vrid 10 virtual-ip 10.10.10.1
vrrp vrid 10 priority 240
vrrp vrid 10 preempt-mode timer delay 10
vrrp vrid 10 track nqa WAN icmp reduced 150
Ek olarak source belirleyip seçeneklerden adres, port veya interface opsiyonlarını kendi senayonuza uygun olarak kullanabilirsiniz.
Bu test başarısız olursa priority 150 düşür olarak tanımlamasını yaptık. Eğer R1’in WAN erişimi giderse yeni master R2 olacaktır.
VRRP güvenlik için aynı zamanda “authentication-mode” kullanılabilir. Eğer vrrp grupların keyleri eşleşmezse vrrp aktif olmayacaktır.
R1;
interface GigabitEthernet0/0/0
description LOCAL
ip address 10.10.10.254 255.255.255.0
vrrp vrid 10 virtual-ip 10.10.10.1
vrrp vrid 10 priority 240
vrrp vrid 10 preempt-mode timer delay 10
vrrp vrid 10 track nqa WAN icmp reduced 150
vrrp vrid 10 authentication-mode md5 ^,`rN|5{*7ani^>”qh^;p-_#
R2;
interface GigabitEthernet0/0/0
description LOCAL
ip address 10.10.10.253 255.255.255.0
vrrp vrid 10 virtual-ip 10.10.10.1
vrrp vrid 10 priority 200
vrrp vrid 10 authentication-mode md5 ^,`rN|5{*7@X,k6.E\Z,C-{#
#
R1’în WAN erişimi gittiğini düşünürsek;
Ve R2 artık yeni masterımız ve yeni bir rotamız mevcut.
