img

FHRP траблшутинг на Cisco

Предыдущая статья из цикла про устранение неисправностей DHCP на Cisco доступна по ссылке.

Последняя статья будет посвящена некоторым проблемам с FHRP, мы начнем с VRRP!

icon strelka icons icons

узнай больше на курсе

Полный курс по сетевым технологиям
Полный курс по сетевым технологиям от Мерион Нетворкс - учим с нуля сетевых инженеров и DevOPS специалистов
Подробнее о курсе
Онлайн-курс по MikroTik
Научись работать со стремительно набирающим популярность MikroTik
Подробнее о курсе
Онлайн-курс по сетевым технологиям Huawei
Настрой сеть компании, используя оборудование Huawei в симуляторе eNSP
Подробнее о курсе

Урок 1

у нас есть проблема с HSRP

В сценарии выше у нас есть проблема с HSRP. Сначала разберем топологию. С левой стороны находится клиент (мы используем маршрутизатор, чтобы иметь возможность воссоздать его в GNS3), который использует виртуальный IP-адрес в качестве шлюза по умолчанию. R2 и R3 настроены для HSRP. На правой стороне есть маршрутизатор с IP-адресом 4.4.4.4 на интерфейсе loopback0. К сожалению, наш клиент не может пропинговать 4.4.4.4. Что здесь происходит?

пропинговать 4.4.4.4

Сначала мы отправим эхо-запрос от клиента на IP-адрес 4.4.4.4. Вы видите символ U (недостижимый), поэтому мы знаем, что получаем ответ от шлюза по умолчанию.

show ip route

Таблица маршрутизации была отключена на этом клиентском маршрутизаторе (нет ip-маршрутизации), но вы можете видеть, что шлюз по умолчанию был настроен. Давайте посмотрим, доступен ли этот IP-адрес.

посмотрим, доступен ли этот IP-адрес

Достигнуть шлюза по умолчанию не проблема, поэтому мы можем перенести фокус на R2 или R3.

show standby show standby

Мы можем использовать команду show standby, чтобы убедиться, что R3 является активным маршрутизатором HSRP. Давайте проверим, может ли он достичь IP-адреса 4.4.4.4.

проверим, может ли он достичь IP-адреса 4.4.4.4

Увы ...пинг не проходит.

show ip route

Его нет в таблице маршрутизации, и если вы посмотрите внимательно, то увидите, что FastEthernet1/0 не находится в таблице маршрутизации как непосредственно подключенный, это указывает на то, что что-то не так с этим интерфейсом.

show ip interface brief

Ну вот...интерфейс отключен.

R3(config)#interface fastEthernet 1/0
R3(config-if)#no shutdown

Включим его!

ping 4.4.4.4

Ну вот, теперь он работает.

ping 4.4.4.4

Проблема устранена ... теперь клиент может пинговать 4.4.4.4! Есть еще одна вещь, хотя ... мы используем HSRP, так что наш шлюз по умолчанию не является единственной точкой отказа, но в этом случае R3 имел сбой соединения...разве R2 не должен взять на себя управление?

show standby | begin Preemption show standby | begin Preemption

interface tracking было включено, и вы можете видеть, что приоритет должен уменьшиться на 10, если интерфейс FastEthernet1/0 перейдет в состояние down. Это означает, что обычно R2 должен взять на себя управление, но preemption is disabled по умолчанию для HSRP.

R2(config)#interface fastEthernet 0/0
R2(config-if)#standby 1 preempt

R3(config)#interface fastEthernet 0/0
R3(config-if)#standby 1 preempt

Прежде чем отпраздновать нашу победу в устранении неполадок, мы должны убедиться, что эта проблема больше не возникнет в будущем. Мы включим приоритет на обоих маршрутизаторах. Теперь все готово!

Итог урока: убедитесь, что preemption включена для HSRP, если вы используете interface tracking

Урок 2

на этот раз мы используем VRRP вместо HSRP

Вот та же топология, но на этот раз мы используем VRRP вместо HSRP. Однако проблема заключается в другом: клиент жалуется, что не все IP-пакеты попадают в 4.4.4.4.

ping 4.4.4.4

Некоторые из IP-пакетов не поступают в 4.4.4.4.

show ip route

IP-адрес шлюза: 192.168.123.254.

IP-адрес шлюза: 192.168.123.254

Шлюз пингуется без проблем.

R2 не может достичь 4.4.4.4 R2 не может достичь 4.4.4.4

R2 не может достичь 4.4.4.4, но у R3 нет никаких проблем. Прежде чем мы продолжим проверять, почему R2 не может достичь 4.4.4.4, мы взглянем на конфигурацию VRRP, чтобы увидеть, какой маршрутизатор является главным.

show vrrp show vrrp

Вывод show vrrp интересен. Оба маршрутизатора считают, что они активны, и, если вы посмотрите внимательно, вы поймете, почему. Аутентификация включена, и в key-string имеется несоответствие. Поскольку оба маршрутизатора активны, половина пакетов окажется в R2, а остальные в R3. Вот почему наш клиент видит, что некоторые пакеты приходят, а другие нет. Давайте исправим нашу аутентификацию:

R2(config)#interface fa0/0
R2(config-if)#vrrp 1 authentication md5 key-string SECRET

Мы сделаем key-string одинаковыми.

сделаем key-string одинаковыми

Это сообщение в консоли R2 является многообещающим.

R3 был выбран в качестве главного маршрутизатора R3 был выбран в качестве главного маршрутизатора

R3 был выбран в качестве главного маршрутизатора. Теперь давайте выясним, почему R2 не смог достичь 4.4.4.4, поскольку эта проблема устранена.

show ip route

Странно, R2 показывает только одну запись в таблице маршрутизации, что-то не так с FastEthernet 1/0.

show ip interface brief

Кажется, кому-то нравится команда shutdown Имейте в виду, что это может быть что-то еще списки доступа, blocking traffic между R2 и R4, port-security (если был коммутатор в середине), интерфейсы в режиме err-disabled, неправильные IP-адреса и другое. Проверьте все!

R2(config)#interface fastEthernet 1/0
R2(config-if)#no shutdown

Включим интерфейс!

ping 4.4.4.4

Проблема устранена!

Итог урока: убедитесь, что маршрутизаторы VRRP могут связаться друг с другом.
Ссылка
скопирована
Получите бесплатные уроки на наших курсах
Все курсы
icon strelka icons icons

узнай больше на курсе

Полный курс по сетевым технологиям
Полный курс по сетевым технологиям от Мерион Нетворкс - учим с нуля сетевых инженеров и DevOPS специалистов
Подробнее о курсе
Онлайн-курс по MikroTik
Научись работать со стремительно набирающим популярность MikroTik
Подробнее о курсе
Онлайн-курс по сетевым технологиям Huawei
Настрой сеть компании, используя оборудование Huawei в симуляторе eNSP
Подробнее о курсе
Онлайн-курс по сетевой безопасности
Изучи основы сетевой безопасности и прокачай скилл системного администратора и сетевого инженера
Подробнее о курсе
DevOps-инженер с нуля
Стань DevOps-инженером с нуля и научись использовать инструменты и методы DevOps
Подробнее о курсе
Онлайн-курс по кибербезопасности
Полный курс по кибербезопасности от Мерион Нетворкс - учим с нуля специалистов по информационной безопасности. Пора стать безопасником!
Подробнее о курсе
Еще по теме:
img
Твой домашний роутер имеет IP и MAC адреса - слышал про такие? А зачем они нужны и в чем разница, знаешь? Щас мы с тобой во всём разберемся.
img
Интернет такой привычный и обыденный, что мы считаем его неким эфиром, который, ну, просто существует и все. Но на самом деле, всё немного сложнее. В статье разберемся как он работает с нуля!
img
XMPP – это основа для создания приложений с обменом сообщениями в реальном времени. Узнайте, как этот протокол работает, его особенности, преимущества и почему его продолжают использовать спустя два десятилетия.
img
Улучшение сети: находите и устраняйте задержки с помощью Wireshark.
img
Рассказываем про рекомендации для DNS по безопасности и производительности
ЛЕТНИЕ СКИДКИ
30%
40%
50%
До конца акции: 30 дней 24 : 59 : 59