(Virtual Router Redundancy Protocol) Configuration de VRRP (Virtual Router Redundancy Protocol)
Sommaire • Introduction • Informations sur VRRP - Contenu • Restrictions pour VRRP • Informations sur VRRP - Fonctionnement de VRRP - Avantages de VRRP - Support de routeurs virtuels multiples - Priorité et préemption de routeur VRRP - Annonces VRRP - Supervision d'objet VRRP • Comment configurer VRRP - Personnaliser VRRP - Comment la supervision d'objet affecte la priorité d'un routeur VRRP - Validation de VRRP - Dévalidation de VRRP sur une interface - Configuration de la supervision d'objet VRRP - Configuration de l'authentification VRRP - Comment fonctionne l'authentification VRRP MD5 - Configuration de l'authentification VRRP MD5 en utilisant un chaîne de caractères de clés - Vérification de l'authentification VRRP MD5 - Configuration de l'authentification VRRP Texte - Valider l'émission de de notification SNMP VRRP par le routeur ● Exemples de configuration de VRRP - Configuration de VRRP - Vérification de la supervision d'objet VRRP - Configuration de l'authentification VRRP MD5 en utilisant un chaîne de caractères un chaîne de clés - Authentification VRRP Texte - Trap MIB VRRP
• Références additionnelles - Documents relatifs à VRRP - Standards - MIBs - RFCs • Informations sur les fonctionnalités de VRRP
Introduction Restrictions de VRRP Informations sur VRRP Le protocole VRRP (Virtual Router Redundancy Protocol) est un protocole d'élection qui affecte dynamiquement la responsabilité d'un ou plusieurs routeurs virtuels à des des routeurs VRRP d'un LAN permettant ainsi à plusieurs routeurs sur un ré- seau multi-accès d'utiliser la même adresse IP virtuelle. Un routeur VRRP est confi- guré pour opérer avec le protocole VRRP et en coopération avec un ou plusieurs au- tres routeurs attachés au LAN. Dans une configuration VRRP, un routeur est élu comme le routeur virtuel maître; les autres routeurs agissent comme secours en cas de défaillance du routeur virtuel maître. Contenu ● Restrictions de VRRP ● Informations sur VRRP ● Comment configurer VRRP ● Exemple de configuration de VRRP ● Références additionnelles ● Informations sur les fonctionnalités de VRRP Restrictions de VRRP VRRP est conçu pour être utilisé sur des LANs Ethernet Multi-accès, multicast ou broadcast. VRRP n'est pas prévu comme une substitution à des protocoles dynami- ques existants. VRRP est supporté sur des interfaces Ethernet, FastEthernet, Bridge Virtual Interface (BVI), Gigabit et sur des VPNs (Virtual Private Network) MPLS (Multi -Protocol Label Switching). Acause du délai d'acheminement qui est associé à l'initialisation d'une interface BVI, Il est nécessaire de fixer le timer d'annonce VRRP à une valeur égale ou supérieure au délai d'acheminement sur l'interface BVI. Ce paramètrage évite qu'un routeur VRRP de prendre inconditionnellement le rôle de maître sur une interface BVI récemment initialisée. Utilisez la commande bridge forward-time pour fixer le délai d'achemine- ment sur l'interface BVI. Utilisez la commande vrrp timers advertise pour fixer le ti- mer d'annonce VRRP. Informations sur VRRP Avant de configurer VRRP, vous devez comprendre les concepts suivants: ● Fonctionnement de VRRP ● Avantages de VRRP ● Supports de routeurs virtuels multiples ● Priorité et préemption de routeur VRRP ● Annonces VRRP ● Supervision d'objet VRRP
Fonctionnement de VRRP Il y a plusieurs façons pour un client LAN de déterminer quel routeur doît être le pre- mier saut vers une destination particulière. Le client peut utiliser un processus dyna- mique ou une configuration statique. Exemples de découverte dynamique de routeur: ● Proxy ARP : le client utilise ARP (Address Resolution Protocol) pour atteindre la destination qu'il souhaite et un routeur répond à la requête ARP avec sa propre adresse MAC. ● Protocole de routage : Le client exécute les mises à jour de protocoles de routage dynamique (par exemple RIP et remplit sa propre table de routage). ● IRDP (ICMP Router Discovery Protocol) / le client opère avec ICMP (Internet Con- trol Message Protocol) pour découvrir le routeur. L'inconvénient des protocoles de routage dynamique est qu'ils nécessitent de la con- figuration et de la bande passante sur le client LAN. Dans le cas d'une défaillance du routeur, le processus de commutation vers un autre routeur peut être lent. Une alter- native aux protocoles de découverte dynamique est de configurer le routeur par dé- faut statiquement sur le client. Cette approche simplifie la configuration du client et le traitement mais cré un point unique de problème possible. Si la passerelle par dé- faut est défaillante, le client LAN est isolé du reste du réseau et limité à la communi- cation sur le segment réseau IP local. VRRP peut résoudre le problème de la configuration statique. VRRP permet à un groupe de routeurs de former un routeur virtuel unique. Les clients LAN peuvent être ensuite configurés avec ce routeur virtuel comme passerelle par défaut. Le rou- teur virtuel, représentant un groupe de routeurs est également appelé groupe VRRP. VRRP est supporté sur des interfaces Ethernet, FastEthernet, Bridge Virtual Interface (BVI), Gigabit et sur des VPNs (Virtual Private Network) MPLS (Multi-Protocol Label Switching) et les VLANs. La figure de la page suivante montre une topologie LAN dans laquelle VRRP est con- figuré. Dans cet exemple, les routeurs A,B et C sont les routeurs VRRP qui consti- tuent un routeur virtuel. L'adresse IP du routeur virtuel est la même que celle confi- gurée sur l'interface Ethernet du routeur A (10.0.0.1).
de la passerelle par défaut qui est 10.0.0.1. Routeur A Routeur Virtuel Maître Client 1 Routeur B Secours Routeur C Groupe Adresse IP = 10.0.0.1 10.0.0.1 10.0.0.2 10.0.0.3 Client 2 Client 3 Comme le routeur virtuel utilise l'adresse IP de l'interface physique Ethernet du rou- teur A, le routeur A assure le rôle de routeur virtuel maître et est également connu comme le propriétaire de l'adresse IP. En tant que routeur virtuel maître, le routeur A contrôle l'adresse IP du routeur virtuel et est responsable de l'acheminement des paquets transmis à cette adresse. Les clients 1 à 3 sont configurés avec l'adresse IP de la passerelle par défaut qui est 10.0.0.1. Les routeurs B et C fonctionnent comme routeurs virtuels de secours. Si le routeur virtuel maître est défaillant, le routeur configuré avec la priorité la plus élevée devient le routeur virtuel maître et fournit un service ininterrompu aux hosts du LAN. Quand le routeur A repasse en service, il redevient routeur virtuel maître à nouveau. Pour plus de détails sur les rôles joués par les routeurs VRRP et ce qui se passe si le rou- teur virtuel maître est défaillant, voir la section "Routeur VRRP, priorité et préemp- tion". La figure de la page suivante montre une topologie LAN dans laquelle VRRP est con- figuré pour que les routeurs A et B se partagent le trafic de et vers les clients 1 à 4 et et que les routeurs A et B agissent comme routeurs virtuels de secours l'un pour l'au- tre si un des deux est défaillant.
équitablement entre les routeurs disponibles. Routeur A Maître Routeur Virtuel 1 Secours pour Routeur Virtuel 2 Routeur B Maître Routeur Virtuel 2 Secours pour Routeur Virtuel 1 10.0.0.2 10.0.0.1 Client 1 Passerelle par défaut 10.0.0.1 Client 2 Passerelle par défaut 10.0.0.1 Client 3 Passerelle par défaut 10.0.0.2 Client 4 Passerelle par défaut 10.0.0.2 Dans cette topologie, deux routeurs virtuels sont configurés, ( pour plus d'informa- tions voir la section "Routeur virtuel Multiple"). Pour le routeur virtuel 1, le routeur A est propriétaire de l'adresse IP 10.0.0.1 et routeur virtuel maître. Le routeur B est le de secours du routeur A. Les clients 1 et 2 sont configurés avec l'adresse IP de passe- relle par défaut 10.0.01. Pour le routeur virtuel 2, le routeur B est propriétaire de l'adresse 10.0.0.2 et routeur virtuel maître. Le routeur A est le routeur virtuel de se- cours pour le routeur B. Les clients 3 et 4 sont configurés avec l'adresse IP de passe- relle par défaut 10.0.0.2. Avantages de VRRP Redondance VRRP vous permet de configurer de multiples routeurs comme routeurs passerelles par défaut ce qui élimine la présence d'un point de défaillance totale dans le réseau. Partage de charge Vous pouvez configurer VRRP de telle manière que le trafic de et vers les clients LAN puisse être partagé par plusieurs routeurs et ainsi partager la charge de trafic plus équitablement entre les routeurs disponibles. Routeurs Virtuels Multiples VRRP supporte jusqu'à 255 routeurs virtuels (groupe VRRP) sur l'interface physique d'un routeur selon la plateforme supportant de multiples adresses MAC. Le support de routeurs virtuels multiples vous permet d'implémenter la redondance et le parta- ge de charge dans votre topologie LAN.
Support de routeurs virtuels multiples Adresses IP Multiples Le routeur virtuel peut gérer de multiples adresses IP incluant les adresse IP secon- daires. Par conséquent si vous avez plusieurs sous-réseaux configurés sur une inter- face Ethernet, vous pouvez configurer VRRP dans chaque sous-réseau. Préemption Le système de redondance de VRRP vous permet de préempter un routeur virtuel de secours qui a pris la place d'un routeur virtuel maître défaillant avec une priorité de routeur virtuel de secours supérieure. Authentification L'algorithme d'authentification MD5 (Message Digest 5) protège contre les logiciels d'usurpation VRRP et utilise le standard MD5 de l'industrie pour une sécurité et une fiabilité améliorée. Protocole d'annonce VRRP uitlise une adresse multicast standardisée par l'IANA (Internet Assigned Num- bers Authority) 224.0.0.18 pour les annonces VRRP. Le système d'adressage minimi- se le nombre de routeurs qui doivent servir les multicast et permet à des équipements de test de reconnaître de manière précise les paquets VRRP sur un segment. L'IANA a affecté le numéro de protocole 112 à VRRP. Supervision d'objet VRRP La supervision d'objet par VRRP fournit un moyen d'assurer que le meilleur routeur VRRP est le routeur virtuel maître pour le groupe en modifiant les priorités VRRP par rapport à l'état d'objet supervisé tel l'état d'une interface ou l'état d'une route IP. Support de routeurs virtuels multiples Vous pouvez configurer jusqu'à 255 routeurs virtuels sur une interface physique de routeur. Le nombre de routeurs virtuels qu'une interface de routeur peut supporter dépend des facteurs suivants: ● Capacité de traitement du routeur ● Capacité mémoire du routeur ● Support de plusieurs adresses MAC par interface Pour une topologie dans laquelle de multiples routeurs virtuels sont configurés sur une interface du routeur, l'interface peut agir comme un maître pour un routeur vir- tuel et comme secours pour un ou plusieurs autres routeurs virtuels.
Priorité et préemption de routeur VRRP Un aspect important du système de redondance VRRP est la priorité du routeur VRRP. La priorité détermine le rôle joué par chaque routeur VRRP et ce qui se passe si le routeur virtuel maître est défaillant. Si un routeur VRRP possède l'adresse IP du routeur virtuel et l'adresse IP de l'inter- face physique alors ce routeur fonctionnera comme routeur virtuel maître. La priorité détermine également si un routeur VRRP fonctionne comme routeur vir- tuel de secours ainsi que l'ordre d'ascendance des priorités pour devenir routeur virtuel maître si le routeur virtuel maître actuel est défaillant. Vous pouvez configurer la priorité de chaque routeur virtuel de secours avec une valeur allant de 1 à 254 en utilisant la commande vrrp priority. Par exemple si le routeur A, le routeur virtuel dans la topologie LAN, est défaillant un processus d'élection se met en place pour déterminer si les routeurs virtuels de secours B et C doivent prendre la place. Si les routeurs B et C sont configurés avec la même priorité de 100, le routeur virtuel de secours avec l'adresse IP la plus élevée sera élu pour devenir routeur virtuel maître. Par défaut, un système de préemption est validé. Chaque fois qu'un routeur virtuel de secours de priorité plus élevée devient disponible, celui-ci prend la place du rou- teur virtuel de secours qui avait été élu routeur virtuel maître. Vous pouvez dévalider ce système de préemption en utilisant la commande no vrrp preempt. si la préemp- tion est dévalidée, le routeur virtuel de secours qui avait été élu routeur virtuel maî- tre reste routeur virtuel maître jusqu'à ce que le routeur virtuel maître d'origine soit de nouveau disponible et maître. Annonces VRRP Le routeur virtuel maître envoie des annonces VRRP aux autres routeurs VRRP du même groupe. Les annonces indiquent la priorité et l'état du routeur virtuel maître. Les annonces VRRP sont encapsulées dans des paquets IP et transmises avec l'adres- se IP multicast version 4 affectée au groupe VRRP. Les annonces sont transmises toutes les secondes par défaut; l'intervalle est configurable. Supervision d'objets VRRP La supervision d'objets VRRP est un processus indépendant qui gère la création, la supervision et le retrait d'objets supervisés tel que l'état du protocole de liaison d'une interface. Les clients tels que HSRP (Hot Standby Redundancy Protocol), GLBP (Ga- teway Load Balancing Protocol) et maintenant VRRP s'enregistrent auprès de la su- pervision d'objets pour superviser des objets particuliers et ensuite agir quand l'état de cet objet change. Chaque objet supervisé est identifié par un numéro unique qui est spécifié dans la commande de supervision de l'interface de ligne de commande. Les processus clients tels que VRRP utilisent ce numéro pour superviser un objet spécifique.
Le processus de supervision interroge périodiquement les objets supervisés et note tout changement de valeur. Les changements dans l'objet supervisé sont communi- qués au processus clients intéressés soit immédiatement ou après un délai spécifié. Les valeurs des objets sont rapportées comme "up" ou "down". La supervision d'ob- sus de supervision des objets individuels tels que létat du protocole de liaison d'une interface, l'état d'une route IP ou l'accessibilité d'une route. VRRP fournit une inter- face au processus de supervision. Chaque groupe VRRP peut superviser plusieurs objets qui peuvent affecter la priorité du routeur VRRP. Vous spécifiez le numéro de l'objet à superviser et VRRP sera averti de tout changement au sujet de cet objet. VRRP incrémente (ou décrémente) la priorité du routeur virtuel sur la base de l'objet supervisé. Comment configurer VRRP Cette section contient les procédures suivantes: ● Personnalisation de VRRP (Optionnel) ● Validation de VRRP (Requis) ● Dévalidation de VRRP sur une interface (Optionnel) ● Configuration de supervision d'objet VRRP (Optionnel) ● Configuration de l'authentification VRRP (Optionnel) ● Permettre au routeur d'émettre des notifications SNMP VRRP (Optionnel) Personnalisation de VRRP Exécutez cette tâche pour personnaliser VRRP. Personnaliser le comportement de VRRP est optionnel. Sachez que dès que vous avez validé un groupe VRRP, ce groupe est opérationnel. Il est possible que si vous validez d'abord le groupe VRRP avant de personnaliser VRRP, le routeur peut prendre le con- trôle du groupe et devenir le routeur virtuel maître avant que vous ayez fini la person- nalisation. Par colnséquent, si vous décidez de personnaliser VRRP, il est bon de le faire avant de valider VRRP. Comment la supervision d'objets affecte la priorité d'un routeur VRRP La priorité d'un équipement peut changer dynamiquement si celui-ci a été configuré pour la supervision d'objet et que l'objet supervisé passe à l'état "down". Le proces- sus de supervision interroge périodiquement les objets superviséset note tout chan- gement de valeur. Les changements d'état dans l'objet supervisé sont communiqués à VRRP soit immédiatement soit après un délai spécifié. Les valeurs de l'objet sont annoncées soit "up" soit "down". Les exemples d'objets qui peuvent être supervisés sont le protocole de liaison d'une interface ou l'accessibilité d'une route IP. Si l'objet spécifié passe à l'état "down", la priorité VRRP est diminuée. Le routeur avec la prio- rité la plus élevée peut maintenant devenir le routeur virtuel maître si la commande vrrp preempt a été configurée.
4. ip address ip-address mask 5. vrrp group-number description text Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask 5. vrrp group-number description text 6. vrrp group-number priority level 7. vrrp group-number preempt [delay seconds] 8. vrrp group-number timers advertise [msec] interval 9. vrrp group-number timers learn Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. interface type number Exemple: Routeur(config)# interface ethernet 0 Entrée en mode de configuration interface ip address ip-address mask Routeur(config-if)# ip address 172.16.6.5 255.255.255.0 Configure l'adresse IP de l'interface. vrrp group-number description text Routeur(config-if)# vrrp 10 description working-group Donne un nom au groupe VRRP. vrrp group-number priority priority-level Routeur(config-if)# vrrp 10 priority 110 Fixe la priorité du routreur dans un groupe VRRP. ● La priorité par défaut est 100. vrrp group-number preempt [delay seconds] Routeur(config-if)# vrrp 10 preempt delay 180 Configure le routeur pour qu'il prenne la place de routeur virtuel maître pour un groupe VRRP si sa priorité est plus élevée que celle du routeur virtuel maître courant. ● Le délai par défaut est 0 secondes. ● Le routeur qui est propriétaire de l'adresse IP préemptera sans tenir compte de cette commande.
Exécutez cette tâche pour valider VRRP. Résumé des étapes vrrp group-number timers advertise [msec] interval Exemple: Routeur(config-if)# vrrp 10 timers advertise 110 Configure l'intervalle entre les annonces suc-cessives du routeur virtuel maître dans un groupe VRRP. ● L'unité de l'intervalle est en secondes sauf si le mot-clé msec est spcifié. La valeur par défaut de l'intervalle est 1 seconde. vrrp group-number timers learn Routeur(config-if)# vrrp 10 timers learn Configure le routeur, quand il opère comme routeur virtuel de secours pour un groupe VRRP, pour qu'il apprenne l'intervalle d'an- nonce utilisé par le routeur virtuel maître. Validation de VRRP Exécutez cette tâche pour valider VRRP. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask 5. vrrp group-number ip ip-address [secondary] 6. end 7. show vrrp [brief | group] 8. show vrrp interface type number [brief] Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. interface type number Exemple: Routeur(config)# interface ethernet 0 Entrée en mode de configuration interface ip address ip-address mask Routeur(config-if)# ip address 172.16.6.5 255.255.255.0 Configure l'adresse IP de l'interface.
Dévalider VRRP sur une interface vrrp group-number ip ip-address [secondary] Exemple: Routeur(config-if)# vrrp 10 ip 172.16.6.1 Valide VRRP sur une interface. ● Après avoir identifié une adresse IP primai- re, vous pouvez utiliser de nouveau la com- mande vrrp ip avec le mot-clé secondary pour configurer les adresses IP additionnel- les supportées par ce groupe. end Routeur(config-if)# end Retour en mode EXEC privilégié. Routeur# show vrrp [brief | group] Routeur# show vrrp 10 (Optionnel) Affiche un état minimum ou détail-lé d'un ou de tous les groupes VRRP sur le routeur. Routeur# show vrrp interface type number [brief] Routeur# show vrrp interface ethernet 0 (Optionnel) Affiche les groupes VRRP et leurs états sur une interface donnée. Dévalider VRRP sur une interface Dévalider VRRP sur une interface permet de dévalider le protocole mais la configura- tion est maintenue. Cette possibilité a été ajoutée avec l'introduction de VRRP MIB RFC 2787, "Definition of managed Objects for the Virtual Router Redondancy Proto- col". Vous pouvez utiliser un outil SNMP (Simple Network Management Protocol) pour va- lider ou dévalider VRRP sur une interface. A cause des capacités de gestion SNMP, la commande vrrp shutdown a été introduite comme une méthode via la CLI pour VRRP de montrer l'état qui a été configuré en utilisant SNMP. Quand la commande show running-config est entrée, vous pouvez voir immédiate- ment si le groupe VRRP a été configuré et validé ou non. C'est la même fonctionna- lité qui est validée dans la MIB. La forme no de la commande valide la même opération que celle réalisée dans la MIB. Si la commande vrrp shutdown est spécifiée en utilisant l'interface SNMP, entrez en- suite la commande no vrrp shutdown en utilisant la CLI de l'IOS Cisco pour revali- der le groupe VRRP. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask 5. vrrp group-number shutdown
Configuration de la supervision d'objet Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé. configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. interface type number Exemple: Routeur(config)# interface ethernet 0 Entrée en mode de configuration interface. ip address ip-address mask Routeur(config-if)# ip address 172.16.6.5 255.255.255.0 Configure l'adresse IP de l'interface. vrrp group-number shutdown Routeur(config-if)# vrrp 10 shutdown Dévalide VRRP sur une interface. ● La commande est maintenant visible sur le routeur. Note: Vous pouvez avoir un groupe VRRP dé- validé tout en maintenant sa configuration et un autre groupe VRRP validé. Configuration de la supervision d'objet Exécutez cette tâche pour pour configurer la supervision d'objet VRRP. Résumé des étapes 1. enable 2. configure terminal 3. track object-number interface type number {line-protocol | ip routing} 4. interface type number 5. vrrp [group-number] ip ip-address 6. vrrp [group-number] priority level 7. vrrp [group-number] track object-number [decrement priority] 8. end 9. show track [object-number]
Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé. configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. track object-number interface type number {line-protocol | ip routing} Exemple: Routeur(config)# track 2 interface serial 6 line-protocol Configure une interface pour être supervisée lorsque des changements dans l'état de l'interface affectent la priorité d'un groupe VRRP. ● Cette commande configure l'interface et le numéro d'objet correspondant devant être utilisés avec la commande vrrp track. ● Le mot-clé line-protocol supervise l'état "up" de l'interface. Le mot-clé ip routing vérifie que le routage IP est validé et actif sur l'interface. ● Vous pouvez également utiliser la comman- de track ip route pour superviser l'accessi- bilité d'une route IP ou un objet de type métrique. interface type number Routeur(config)# interface Ethernet 2 Entrée en mode de configuration interface. vrrp [group-number] ip ip-address Routeur(config-if)# vrrp 1 ip 10.0.1.20 Valide VRRP sur une interface et identifie l'adresse IP du routeur virtuel. vrrp [group-number] priority level Router(config-if)# vrrp 1 priority 120 Fixe le niveau de priorité du routeur dans le groupe VRRP. vrrp [group-number] track object-number [decrement priority] Routeur(config-if)# vrrp 1 track 2 decrement 15 Configure VRRP pour superviser un objet. end Routeur(config-if)# end Retour en mode EXEC privilégié. show track [object-number] Routeur# show track 1 Affichage des informations de supervision.
Configuration de l'authentification VRRP VRRP ignore les messages de protocole VRRP non authentifiés. Le type d'authentifica- tion par défaut est l'authentification type texte. Les sections suivantes décrivent les tâches de configuration pour l'authentification VRRP. La tâche que vous réalisez dé- pend soit de l'authentification texte, d'une chaîne de caractères MD5 ou d'une chaîne de clés MD5 que vous désirez. ● Configuration de l'authentification VRRP MD5 en utilisant une clé chaîne de caractères. ● Configuration de l'authentification VRRP MD5 en utilisant une chaîne de clés. ● Vérification de l'authentificaton MD5. ● Configuration de l'authentification VRRP texte. Comment fonctionne l'authentification VRRP MD5 L'authentification VRRP MD5 fournit une sécurité plus élevée que le système d'au- thentification type texte. L'authentification MD5 permet à chaque membre d'un grou- pe VRRP d'utiliser une clé secrète pour générer un hash MD5 du paquet qui fait par- tie de ce même paquet émis. Un hash MD5 du paquet entrant est exécuté et si le hash MD5 généré n'est pas égal au hash MD5 contenu dans le paquet entrant alors le paquet est ignoré. La clé pour le hash MD5 peut être soit donnée directement dans la configuration en utilisant une clé chaîne de caractères ou fournie indirectement par une chaîne de clés. Un routeur ignorera les paquets entrants venant de routeurs qui n'ont pas la même configuration d'authentification pour le groupe VRRP. VRRP a trois systèmes d'au- thentification: ● Pas d'authentification ● Authentificaton mode texte ● Authentification MD5 Les paquets VRRP sont rejetés dans les cas suivants: ● Les systèmes d'authentification sont différents entre le routeur et le paquet entrant ● Les digests MD5 diffèrent entre le routeur et le paquet entrant. ● La chaîne de texte d'authentificatuon diffère entre le routeur et le paquet entrant. Restrictions L'interopérabilité avec des constructeurs qui ont implémenté la méthode du RFC2328 n'est pas assurée. L'authentification type texte ne paut pas être combinée avec l'au- thentification MD5 pour un groupe VRRP. Quand l'authentification MD5 est configu- rée, le champ "text athentication" dans les messages Hello VRRP est mis à zéro lors de l'émission et ignoré en réception en supposant également que le routeur récepteur a également l'authentification MD5 configurée.
Configuration de l'authentification VRRP MD5 avec une clé chaîne de caractères Exécutez cette tâche pour configurer l'authentification VRRP MD5 avec une clé chaîne de caractères. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask [secondary] 5. vrrp [group-number] priority priority 6. vrrp [group-number] authentication md5 key-string [0 | 7] key [timeout seconds] 7. vrrp [group-number] ip [ip-address [secondary]] 8. Répétez les étapes 1 à 7 sur chaque routeur qui va communiquer. 9. end Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. interface type number Exemple: Routeur(config)# interface ethernet 0 Entrée en mode de configuration interface ip address ip-address mask [secondary] Example: Routeur(config-if)# ip address 10.0.0.1 255.255.255.0 Spécifie une adresse IP primaire ou secondaire pour l'interface. vrrp [group-number] priority priority Routeur(config-if)# vrrp 1 priority 110 Spécifie la priorité VRRP.
vrrp [group-number] authentication md5 key-string [0 |7] key [timeout seconds] Exemple: Routeur(config-if)# vrrp 1 authentication md5 key-string d00b4r987654321a timeout 30 Configure une chaîne d'authentification pour l'authentification VRRP MD5. ● L'argument key peut avoir 64 caractères de long et il est recommandé d'utiliser au moins 16 caractères. ● Pas de préfixe ou spécifier 0 pour l'argument key signifie que la clé n'est pas cryptée. ● Spécifier 7 signifie que la clé sera cryptée. La clé d'uthentification key-string sera automa- tiquement cryptée si la commande service password encryption est validée en mode de configuration global. ● La valeur timeout est la période pendant laquelle l'ancienne chaîne clé sera acceptée pour permettre la configuration de tous les routeurs d'un groupe avec une nouvelle clé. vrrp [group-number] ip [ip-address [secondary]] Routeur(config-if)# vrrp 1 ip 10.0.0.3 Valide VRRP sur une interface et identifie l'adresse IP du routeur virtuel. Répétez les étapes 1 à 7 sur chaque routeur qui va communiquer. - end Routeur(config-if)# end Retour en mode EXEC privilégié.
Configuration de l'authentification VRRP MD5 avec une chaîne de clés Exécutez cette tâche pour configurer l'authentification VRRP MD5 avec une chaîne de clés. Les chaînes de clés vous permettent d'allouer une clé chaîne de caractères différente pour être utilisée à différents moments selon la configuration de la chaîne de clés. VRRP demandera la chaîne de clés appropriée pour obtenir la clé courante valide et l'ID de clé pour la chaîne de clés spécifiée. Résumé des étapes 1. enable 2. configure terminal 3. key chain name-of-chain 4. key key-id 5. key-string string 6. exit 7. interface type number 8. ip address ip-address mask [secondary] 9. vrrp [group-number] priority priority 10. vrrp [group-number] authentication md5 key-chain key-chain-name 11. vrrp [group-number] ip [ip-address [secondary]] 12. Répétez les étapes 1 à 11 sur chaque routeur qui va communiquer. 13. end Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. key chain name-of-chain Exemple: Routeur(config)# key chain vrrp1 Valide l'authentification pour les protocoles de routage et identifie un groupe de clés pour l'authentification. key key-id Routeur(config-keychain)# key 100 Identifie une clé dans la chaîne de clés. ● Le key-id doit être un nombre. key-string string Routeur(config-keychain-key)# key-string mno172 Spécifie la chaîne d'authentification pour une clé. ● string prut avoir 80 caractères alphanumé- riques; le premier caractère ne peut pas être un chiffre.
exit Exemple: Routeur(config-keychain-key)# exit Retour en mode de configuration global. interface type number Routeur(config)# interface Ethernet0/1 Entrée en mode de configuration interface ip address ip-address mask [secondary] Routeur(config-if)# ip address 10.21.8.32 255.255.255.0 Spécifie une adresse IP primaire ou secon-daire pour l'interface. vrrp [group-number] priority priority Routeur(config-if)# vrrp 1 priority 110 Spécifie la priorité VRRP. vrrp [group-number] authentication md5 key-chain key-chain-name Routeur(config-if)# vrrp 1 authentication md5 key-chain vrrp1 Configure une authentification chaîne de clés MD5 pour une authentification MD5 VRRP. ● Le nom de la chaîne de clés doit être identique à celui spécifié à l'étape 3. vrrp [group-number] ip [ip-address [secondary]] Routeur(config-if)# vrrp 1 ip 10.21.8.12 Valide VRRP sur une interface et identifie l'adresse IP du routeur virtuel. Répétez les étapes 1 à 11 sur chaque routeur qui va communiquer. -- end Routeur(config-if)# end Retour en mode EXEC privilégié.
Vérification de la configuration de l'authentification MD5 VRRP Pour vérifier l'authentification VRRP MD5, exécutez les étapes suivantes: Résumé des étapes 1. show vrrp 2. debug vrrp authentication Etapes détaillées Utilisez cette commande pour vérifier que l'authentification est correctement configurée. Routeur# show vrrp Ethernet0/1 - Group 1 State is Master Virtual IP address is 10.21.0.10 Virtual MAC address is 0000.5e00.0101 Advertisement interval is 1.000 sec Preemption is enabled min delay is 0.000 sec Priority is 100 Authentication MD5, key-string “f00d4s”, timeout 30 secs Master Router is 10.21.0.1 (local), priority is 100 Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec Cette sortie montre que l'authentification MD5 est configurée et que la chaîne clé f00d4s est utilisée. La valeur du timeout est fixée à 30 secondes. 2. debug vrrp authentication Utilisez cette commande pour vérifier que les deux routeurs ont l'authentification configurée, que le key ID MD5 est le même sur chaque routeur et que les clés sont identiques sur chaque routeur. Routeur# debug vrrp authentication VRRP: Grp 1 Advertisement from 10.24.1.1 has incorrect authentication type 0 expected 254 !MD5 key IDs differ on each router. VRRP: Grp 1 recalculate MD5 digest: “3n};oHp8_)_7 C” VRRP: Grp 1 Advertisement from 10.24.1.1 has FAILED MD5 authentication !The MD5 key strings differ on each router. VRRP: Grp 1 received MD5 digest: “_M_^uMiWo^|t?t2m” !The text authentication strings differ on each router. VRRP: Grp 1 Advertisement from 172.24.1.1 has FAILED TEXT authentication
Configuration de l'authentification VRRP texte Exécutez cette tâche pour configurer l'authentification VRRP texte. Résumé des étapes 1. enable 2. configure terminal 3. interface type number 4. ip address ip-address mask [secondary] 5. vrrp group-number authentication text string 6. vrrp [group-number] ip ip-address 7. Repeat Steps 1 through 6 on each router that will communicate. 8. end Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. interface type number Exemple: Routeur(config)# interface ethernet 0 Entrée en mode de configuration interface ip address ip-address mask [secondary] Routeur(config-if)# ip address 10.0.0.1 255.255.255.0 Spécifie une adresse IP primaire ou secondaire pour l'interface. vrrp [group-number] authentication text string Routeur(config-if)# vrrp 1 authentication text sanjose Authentifie les paquets VRRP reçus des autres routeurs dans le groupe. ● Si vous configurez l'authentification, tous les routeurs dans le groupe VRRP doivent utili- ser la même chaîne pour l'authentification. ● La chaîne par défaut est cisco. vrrp [group-number] ip ip-address Routeur(config-if)# vrrp 1 ip 10.0.1.20 Valide VRRP sur une interface et identifie l'adresse IP du routeur virtuel.
Valider l'émission de notification SNMP VRRP sur le routeur Répétez les étapes 1 à 6 sur chaque routeur qui va communiquer. -- end Exemple: Routeur(config-if)# end Retour en mode EXEC privilégié. Valider l'émission de notification SNMP VRRP sur le routeur La MIB VRRP supporte les opérations SNMP Get ce qui permet aux équipements de réseau d'obtenir des rapports au sujet des groupes VRRP dans un réseau à partir de la station de gestion. La validation du support de Trap MIB VRRP est réalisée au travers de la CLI et la MIB est utilisée pour obtenir les rapports. Un trap est notifié à la station de gestion du ré- seau quand un routeur entre ou quitte l'état actif ou secours. Quand une entrée est configurée à partir de la CLI, le "RowStatus" pour ce groupe dans la MIB passe immé- diatement à l'état actif. Résumé des étapes 1. enable 2. configure terminal 3. snmp-server enable traps vrrp 4. snmp-server host host community-string vrrp Etapes détaillées Commande ou Action But enable Exemple: Routeur> enable Entrée en mode EXEC privilégié. ● Entrez le mot de passe si celui-ci est demandé. configure terminal Exemple: Routeur# configure terminal Entrée en mode de configuration global. snmp-server enable traps vrrp Exemple: Routeur(config)# snmp-server enable traps vrrp Permet au routeur de transmettre des notifi- cations (traps et informs). snmp-server host host community-string vrrp Routeur(config)# snmp-server host myhost.comp.com public vrrp Spécifie le récepteur des notifications SNMP.
Exemples de configuration de VRRP Cette section fournit les exemples de configuration suivants: ● Exemple de configuration de VRRP ● Exemple de supervision d'objet VRRP ● Exemple de vérification de supervision d'objet VRRP ● Configuration de l'authentification MD5 VRRP en utilisant une clé chaîne de caractères ● Configuration de l'authentification MD5 VRRP en utilisant une clé chaîne de clés ● Exemple d'authentification VRRP texte ● Dévalidation d'un groupe VRRP sur une interface ● Exemple de Trap MIB VRRP Exemple de configuration de VRRP Dans l'exemple suivant, le routeur A et le routeur B appartiennent chacun à trois groupes VRRP. Dans la configuration, chacun des groupes a les propriétés suivantes: ● Groupe 1 - Adresse IP virtuelle 10.1.0.10 - Le routeur A sera le maître pour ce groupe avec une priorité de 120. - Intervalle d'envoi des annonces: 3 secondes - Préemption validée ● Groupe 5 - Le routeur B sera le maître pour ce groupe avec une priorité de 200. - Intervalle d'envoi des annonces: 30 secondes ● Groupe 100 - Le routeur A sera le maître pour ce groupe car il a une adresse IP plus élevée. - Intervalle d'envoi des annonces: 1 seconde - Préemption dévalidée Routeur A interface ethernet 1/0 ip address 10.1.0.2 255.0.0.0 vrrp 1 priority 120 vrrp 1 authentication cisco vrrp 1 timers advertise 3 vrrp 1 timers learn vrrp 1 ip 10.1.0.10 vrrp 5 priority 100 vrrp 5 timers advertise 30 vrrp 5 timers learn vrrp 5 ip 10.1.0.50 vrrp 100 timers learn no vrrp 100 preempt vrrp 100 ip 10.1.0.100
Routeur B interface ethernet 1/0 ip address 10.1.0.1 255.0.0.0 vrrp 1 priority 100 vrrp 1 authentication cisco vrrp 1 timers advertise 3 vrrp 1 timers learn vrrp 1 ip 10.1.0.10 vrrp 5 priority 200 vrrp 5 timers advertise 30 vrrp 5 timers learn vrrp 5 ip 10.1.0.50 vrrp 100 timers learn no vrrp 100 preempt vrrp 100 ip 10.1.0.100 Exemple de supervision d'objet VRRP Dans l'exemple suivant, le processus de supervision est configuré pour superviser l'état du protocole de liaison sur l'interface Serial 0/1. VRRP sur l'interface Ethernet 1/0 s'enregistre auprès du processus de supervision pour être informé de tout chan- gement dans l'état du protocole de liaison de l'interface Serial0/1. Si le protocole de liaison de l'interface Serial0/1 passe à l'état "down" alors la priorité du groupe VRRP est réduite de 15. track 1 interface Serial0/1 line-protocol ! interface Ethernet1/0 ip address 10.0.0.2 255.0.0.0 vrrp 1 ip 10.0.0.3 vrrp 1 priority 120 vrrp 1 track 1 decrement 15 Exemple de vérification de supervision d'objet VRRP Les exemples suivants vérifient la configuration montrée dans la section "Exemple de supervision d'objet VRRP". Routeur# show vrrp Ethernet1/0 - Group 1 State is Master Virtual IP address is 10.0.0.3 Virtual MAC address is 0000.5e00.0101 Advertisement interval is 1.000 sec Preemption is enabled min delay is 0.000 sec Priority is 105 Track object 1 state Down decrement 15 Master Router is 10.0.0.2 (local), priority is 105 Master Advertisement interval is 1.000 sec Master Down interval is 3.531 sec
Configuration de l'authentification MD5 VRRP en utilisant une Routeur# show track Track 1 Interface Serial0/1 line-protocol Line protocol is Down (hw down) 1 change, last change 00:06:53 Tracked by: VRRP Ethernet1/0 1 Configuration de l'authentification MD5 VRRP en utilisant une clé chaîne de caractères Cet exemple montre comment configurer l'authentification VRRP MD5 en utilisant une clé chaîne de caractères et un timeout de 30 secondes. interface Ethernet0/1 description ed1-cat5a-7/10 vrrp 1 ip 10.21.0.10 vrrp 1 priority 110 vrrp 1 authentication md5 key-string f00c4s timeout 30 chaîne de clés une chaîne de clés. key chain vrrp1 key 1 key-string f00c4s ! interface ethernet0/1 vrrp 1 authentication md5 key-chain vrrp1 Dans cet exemple, VRRP fait une requête sur la chaîne de clés pour connaître la clé courante en usage et l'ID de clé spécifié pour la chaîne de clés. Exemple d'authentification VRRP texte L'exemple suivant montre comment configurer l'authentification VRRP texte en utili- sant du texte. interface fastethernet 0/0 ip address 10.21.8.32 255.255.255.0 vrrp 10 authentication text stringxyz vrrp 10 ip 10.21.8.10
Références additionnelles Dévalider un groupe VRRP sur une interface Cet exemple montre comment dévalider un groupe VRRP sur l'interface Ethernet0/1 tout en gardant VRRP pour le groupe 2sur l'interface Ethernet 0/2. interface ethernet0/1 ip address 10.24.1.1 255.255.255.0 vrrp 1 ip 10.24.1.254 vrrp 1 shutdown interface ethernet0/2 ip address 10.168.42.1 255.255.255.0 vrrp 2 ip 10.168.42.254 Exemple de Trap MIB VRRP Cet exemple montre comment valider la fonctionnalité support de Trap MIB VRRP. snmp-server enable traps vrrp snmp-server host 10.1.1.0 community abc vrrp Références additionnelles Les sections suivantes fournissent des références additionnelles en relation avec VRRP. Documents relatifs à VRRP Sujet Titre du document VRRP commands: complete command syntax, command mode, command history, defaults, usage guidelines, and examples. Cisco IOS IP Command Reference, Volume 1 of 4: Addressing and Services, Release 12.4 Key chains and key management: complete command syntax, command mode, command history, defaults, usage guidelines, and examples Cisco IOS IP Command Reference, Volume 2 of 4: Routing Protocols, Release 12.4 Object tracking “Configuring Enhanced Object Tracking” module HSRP “Configuring HSRP” module GLBP “Configuring GLBP” module Standards Aucune modification d'un standard ni de nouveaux standards n'ont été réalisés pour le support de cette fonctionnalité.
Information sur les fonctionnalités de VRRP MIBs MIBs Lien MIBs No new MIBs are supported by this feature, and support for existing MIBs has not been modified by this feature. To locate and download MIBs for selected platforms, Cisco IOS releases, and feature sets, use Cisco MIB Locator found at the following URL: http://www.cisco.com/go/mibs RFCs RFCs Titre RFC 2338 Virtual Router Redundancy Protocol Information sur les fonctionnalités de VRRP Le tableau suivant liste les caractéristiques contenues dans ce module et fournit les liens pour des informations de configuration spécifiques. Seules les caractéristiques introduites et modifiées dans la Release 12.2(1) ou la Release 12.2(14)S ou suivantes de l'IOS Cisco apparaissent dans cette table. Toutes les commandes ne sont peut-être pas disponibles dans votre Release de l'IOS Cisco. pour des détails sur la date d'introduction du support d'une commande parti- culière, voir la documentation de référence des commandes. Si vous recherchez une information sur une caractéristique de cette technologie qui n'est pas documentée ici voir "VRRP Feature Roadmap". Les images de l'IOS Cisco sont spécifiques à une release de l'IOS Cisco, un ensemble de fonctionnalités et à une plateforme. Nom de la fonctionnalité Release Information de configuration Virtual Router Redundancy Protocol 12.2(13)T 12.2(14)S VRRP enables a group of routers to form a single virtual router to provide redundancy. The LAN clients can then be configured with the virtual router as their default gateway. The virtual router, representing a group of routers, is also known as a VRRP group. All sections provide information about this feature. The following commands were introduced by this feature: debug vrrp all, debug vrrp error, debug vrrp events, debug vrrp packets, debug vrrp state, show vrrp, show vrrp interface, vrrp authentication, vrrp description,vrrp ip, vrrp preempt, vrrp priority, vrrp timers advertise, vrrp timers learn.
Nom de la fonctionnalité Release Information de configuration VRRP Object Tracking 12.3(2)T 12.2(25)S The VRRP Object Tracking feature extends the capabilities of the VRRP to allow tracking of specific objects within the router that can alter the priority level of a virtual router for a VRRP group. The following sections provide information about this feature: • VRRP Object Tracking • Configuring VRRP Object Tracking The following command was introduced by this feature: vrrp track. The following command was modified by show track. VRRP MIB—RFC 2787 12.3(11)T The VRRP MIB—RFC 2787 feature enables an enhancement to the MIB for use with SNMP-based network management. The feature adds support for configuring, monitoring, and controlling routers that use VRRP. • Disabling VRRP on an Interface • Enabling the Router to Send SNMP VRRP Notifications vrrp shutdown. The following commands were modified by snmp-server enable traps and snmp- server host.
Nom de la fonctionnalité Release Information de configuration FHRP—VRRP Enhancements 12.3(14)T The FHRP—VRRP Enhancements feature adds support for the following capabilities: • MD5 Authentication—Added to routers that are configured for VRRP, similar to HSRP, to provide a method of authentica- ting peers using a more simple method than the method in RFC 2338. • Bridged Virtual Interface (BVI)—Added the capability to configure VRRP on BVIs. This functionality is similar to the existing HSRP support for BVIs. The following sections provide information about this feature: • Restrictions for VRRP • Configuring VRRP Authentication The following command was introduced by this feature: debug vrrp authentication. The following commands were modified by vrrp authentication and show vrrp.