Das Virtual Router Redundancy Protocol

Transkript

1 Das Virtual Router Redundancy Protocol Stefan Hügele, Juli 2001 Mail:

2 Wozu ein redundantes Routing Protokoll? Inhaltsverzeichnis WOZU EIN REDUNDANTES ROUTING PROTOKOLL?... 3 DESIGNZIELE VON VRRP... 3 HERSTELLERSPEZIFISCHE VARIANTEN... 4 DEFINITIONEN / TERMINOLOGIE... 4 ALLGEMEINE DEFINITIONEN... 4 VIRTUELLE MAC ADRESSEN... 4 ARP UND PROXY-ARP... 5 EINSATZBEISPIELE... 6 BEISPIEL 1: GRUNDLEGENDE VRRP KONFIGURATION... 6 BEISPIEL 2: LOAD SHARING MIT VRRP... 7 AUFBAU EINES VRRP PAKETS... 8 FUNKTIONSWEISE WIE WIRD DER MASTER ROUTER AUSGEHANDELT? WAS GESCHIEHT BEIM AUSFALL DES MASTERS? BERECHNUNG EINES MASTER_DOWN (+ BEISPIELE) DER PREEMPTION PARAMETER (+ BEISPIEL) DIE PROTOKOLL-ZUSTÄNDE VON VRRP ROUTERN IM ÜBERBLICK INITIALISIERUNGSZUSTAND ( INITIALIZE STATE ) BACKUP-ZUSTAND ( BACKUP STATE ) MASTER-ZUSTAND ( MASTER STATE ) SICHERHEIT UND AUTHENTIFIZIERUNG NO AUTHENTIFICATION SIMPLE TEXT PASSWORD IP AUTHENTIFICATION HEADER ZUSAMMENFASSUNG: WAS SPRICHT FÜR VRRP? ANHANG ABKÜRZUNGSVERZEICHNIS QUELLEN Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 2 von 17

3 Wozu ein redundantes Routing Protokoll? Wozu ein redundantes Routing Protokoll? Redundanz wird in größeren Netzwerken immer wichtiger. Der kleinste Ausfall eines Netzwerks oder auch nur eines Teils kann in Unternehmen Unmengen an Kosten und Folgekosten verursachen. Deshalb sind Netzwerkplaner immer darauf bedacht, sogenannte Single Points of Failure zu vermeiden. Dazu gehören in den meisten Fällen auch zentrale Koppelkomponenten wie Router, da diese normalerweise nur schwer und mit enormem Kostenaufwand redundant ausgelegt werden können. Da in der Praxis zudem meist mit statisch konfigurierten Default Gateways gearbeitet wird (entweder von Hand in der Hostkonfiguration eingetragen oder per DHCP verteilt), wirkt sich ein Ausfall dieses Gateways besonders stark aus. Denn in der Regel sind damit alle Endgeräte innerhalb eines (Teil-) Netzes nicht mehr in der Lage, mit Hosts in anderen Netzen Daten auszutauschen und somit von der Außenwelt komplett abgeschnitten. Es besteht zwar unter Microsoft Windows auch die Möglichkeit, in der Hostkonfiguration mehrere Gateways anzugeben, doch dies ist erstens enorm aufwändig und schützt zweitens nur vermeintlich vor einem Totalausfall, denn das Betriebssystem prüft lediglich bei jedem Start ob der Default Gateway erreichbar ist. Ist er dies nicht, wird der nächste eingestellte Gateway geprüft usw. bis einer erreichbar ist. Dieser Test wird allerdings NUR beim Booten durchgeführt. Das heißt, wenn während einer Windows-Sitzung der Gateway ausfällt, ist Windows nicht in der Lage, dynamisch auf die Alternativen umzuschalten! Eine weitere Möglichkeit wäre theoretisch, zwei L2-Switches redundant mit Spanning Tree zwischen die Endgeräte und zwei Router zu schalten. Das Spanning Tree Protokoll würde in diesem Fall dafür sorgen, dass immer nur eine Route aktiv ist. Bei dieser Lösung gibt es aber zwei entscheidende Probleme: zum einen werden die Kosten dadurch deutlich erhöht und zum anderen muss man im Fehlerfall eine relativ langsame Umschaltzeit in Kauf nehmen. Die beste Lösung für obiges Problem heißt hingegen VRRP. Das Virtual Router Redundancy Protocol ist ein Auswahlprotokoll und sorgt dafür, dass bei Ausfall eines Routers ein anderer Router dynamisch (d.h. ohne manuelle Umkonfiguration/Umschaltung) für das ausgefallene Gerät einspringt und dessen Datentransport möglichst ohne Ausfallzeiten übernimmt. Dieser Vorgang bleibt außerdem für das Endgerät vollkommen transparent, d.h. der Host kann im Idealfall ohne Ausfallzeiten oder Konfigurationsänderungen weiterarbeiten - er bemerkt den Ausfall des Routers erst gar nicht. Man darf VRRP allerdings nicht mit klassischen Routing Protokollen wie OSPF oder RIP gleichsetzen. VRRP ersetzt diese Protokolle nicht, sondern arbeitet parallel dazu! Designziele von VRRP Die in der RFC 2338 vom April1998 festgelegten Ziele von VRRP faßt Diplom-Informatikerin Petra Borowka folgendermaßen zusammen 1 : Minimierung der black hole Zeit (d.h. Zeitdauer für inkonsistente Routing Tabellen) Schnelle Fehlerumschaltung (kurze Timer, << 10 Sekunden) Minimierung von Overhead (nur der Master sendet Advertisements) Minimierung von CPU-Belastung (minimale Protokollzustände, nur ein einziger Pakettyp für VRRP) Einsetzbarkeit für alle etablierten LAN Technologien, auf denen IP betrieben werden kann (inkl. ATM, eingeschränkt für Token Ring) Lastverteilung für mehrere Virtuelle Router in einem Netzwerk Unterstützung mehrerer logischer Subnetze auf einem physikalischen LAN 1 Quelle: Dr. Suppan International Institue, Der Netzwerk Insider, Sonderheft 4/2001, S.3 Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 3 von 17

4 Definitionen / Terminologie Herstellerspezifische Varianten Neben dem per RFC definierten VRRP gibt es eine ganze Reihe proprietärer Router-Redundanz-Protokolle, die im Groben die gleichen Aufgaben übernehmen und ähnlich funktionieren wie VRRP. Das erste Protokoll dieser Art war das Cisco-patentierte HSRP ( Hot Standby Routing Protocol ). Dieses Protokoll ist im Prinzip der Vorläufer von VRRP. Daneben gibt es weitere herstellerspezifische Lösungen wie FSRP ( Foundry Standby Routing Protocol ), ESRP ( Extreme Standby Routing Protocol ) oder eine Lösung von Digital Equipment. Die größte Marktverbreitung haben allerdings HSRP und VRRP, das sich mehr und mehr zum Standard entwickelt. Definitionen / Terminologie Allgemeine Definitionen VRRP Router Als VRRP Router wird jeder Router bezeichnet, auf dem das VRRP Protokoll aktiviert ist. Ein VRRP Router kann Teil mehrerer Virtueller Router sein. Virtual Router (VR) Als Virtuellen Router bezeichnet man eine Gruppe von VRRP Routern, die sich gemeinsam um eine oder mehrere IP Adressen kümmern. Verschiedene Virtuelle Router werden über unterschiedliche VRID ( Virtual Router Identifiers ) identifiziert. Virtual IP (VIP) Virtuelle IP nennt man die IP Adresse eines Virtuellen Routers, die Endgeräte als Default Router ansprechen. IP Address Owner Als IP Address Owner bezeichnet man einen Router, dessen tatsächliche Interface IP mit der VIP übereinstimmt. Der IP Address Owner erhält immer den höchsten Prioritätswert (255) und ist immer der Master solange er aktiv ist. Master Router Der Master Router ist derjenige VRRP Router, der aktuell für die Weiterleitung aller Pakete, die an eine bestimmte VIP geschickt werden, zuständig ist. Er beantwortet außerdem ARP Anfragen. Backup Router Backup Router sind die Router, die im Fehlerfall für den Master einer bestimmten VIP einspringen und dessen Funktion übernehmen können. Virtuelle MAC Adressen Jeder VR nutzt eine eindeutige Virtuelle MAC Adresse, die der IEEE-Norm entspricht und folgendermaßen aufgebaut ist: E <VRID> Die ersten 3 Oktetts ( E) stehen hierbei für die IANA OUI. Die zwei nächsten Oktetts (00-01) kennzeichnen den für das VRRP Protokoll zugewiesenen Adressblock. Die VRID (Virtual Router Identifier) ist, wie bereits erwähnt, die Kennung des Virtuellen Routers. Diese spezielle MAC Adresse benutzt der jeweilig aktuelle Master Router für jedes VRRP Paket. Das ist notwendig, da es im Fehlerfall, d.h. wenn es zur Umschaltung kommt, nicht genügt, wenn sich der neue Master Router mit der gleichen IP Adresse meldet wie der vorherige Master. Zusätzlich muss die MAC Adresse gleich sein, da diese mittlerweile von den Endgeräten per ARP (Address Resolution Protocol) gelernt wurde und in den entsprechenden ARP-Tabellen verankert ist. Sollten zwischen Endgerät und dem VR zusätzlich L2-Switches geschaltet sein, wird die Situation komplizierter. Denn in diesem Fall muss zusätzlich der L2-Switch die MAC-Adresse möglichst schnell umlernen. Je nach eingesetzter Hardware kann dieser Vorgang jedoch mitunter problematisch sein. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 4 von 17

5 ARP und Proxy-ARP ARP und Proxy-ARP Will ein Endgerät ein Paket an einen Rechner in ein anderes (Sub-) Netz schicken, dann stellt es normalerweise zunächst einen ARP Request nach der MAC Adresse des Default Gateways und schickt danach alle weiteren Pakete direkt an diese MAC. Im Normalfall antwortet der entsprechende L3-Switch auf eine ARP Anfrage mit seiner physikalischen MAC. Wird jedoch VRRP eingesetzt, antwortet der Switch mit seiner Virtuellen MAC Adresse anstatt seiner physikalischen. Der Master darf nämlich auf keinen Fall mit seiner physikalischen MAC Adresse antworten, da diese sonst in den ARP-Cache der Endgeräte eingetragen wird, was im Fall einer Umschaltung zwischen Master/Backup Router zu Problemen führen würde! Ebenso dürfen beim Booten eines VRRP Routers keine Pakete mit der physikalischen MAC gesendet werden. Entsprechend verhält es sich beim Einsatz von Proxy ARP: der VRRP Router muss mit seiner Virtuellen MAC Adresse antworten nicht mit der physikalischen. Dieses Verfahren hat folgenden Vorteil: Wenn der Master ausfällt und ein Backup Router dafür einspringt, bleibt dies für den Host vollkommen transparent, da beide Switches sowohl die gleiche IP als auch MAC Adresse verwenden. D.h. das Endgerät sendet weiterhin alle zu routenden Pakete an die selbe, angelernte (virtuelle) MAC Adresse wie vorher. Welcher VRRP Router tatsächlich gerade Master ist, spielt für den Host somit keine Rolle. Stefan Hügele Juli 2001 Seite 5 von 17

6 Einsatzbeispiele Einsatzbeispiele Beispiel 1: Grundlegende VRRP Konfiguration Folgende Skizze zeigt eine einfache VRRP Konfiguration. Dieses Beispiel soll lediglich beim grundlegenden Verständnis helfen in der Praxis wird eine derartige Konfiguration so gut wie nie auftauchen: R3 IP Netz R1 (Master) R2 (Backup) IP Netz Host 1 Host 2 Host 3 Host 4 Default Gateway = In diesem Beispiel gibt es einen Virtuellen Router im Netz , der über die Virtuelle IP erreicht werden kann. Da R1 für diese VIP der Address Owner ist, ist er immer der Master Router solange er aktiv ist. D.h. im Normalfall werden alle Daten, die die Hosts an ihren Default Gateway schicken, bei R1 ankommen und von ihm geroutet werden. R2 dient als Backup Router und würde lediglich im Fehlerfall von R1 die Master-Funktion übernehmen und den Datenverkehr nach draußen routen. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 6 von 17

7 Einsatzbeispiele Beispiel 2: Load Sharing mit VRRP Ein Beispiel wie oben wird (wie schon erwähnt) in der Praxis kaum Anwendung finden, da bei einer solchen Konfiguration R2 nur im Fehlerfall aktiv wird und ansonsten eine ungenutzte Ressource darstellt. Folgendes Beispiel zeigt eine mögliche Konfiguration, bei der die vorhandene Bandbreite effizienter genutzt wird, indem der Datenverkehr über beide Router verteilt wird: R4 IP Netz R1 Master für VRID 1 Backup für VRID 2 R2 Backup für VRID 1 Master für VRID IP Netz Host 1 Host 2 Host 3 Host 4 Default Gateway = Default Gateway = Um die Lastverteilung zu erreichen, müssen zwei Virtuelle Router konfiguriert werden (VRID 1 und 2), wobei jeder VRRP Router an beiden Virtuellen Routern teilnimmt. In diesem Fall ist R1 der Address Owner und damit Master für die Virtuelle IP und Backup Router für R2. R2 hingegen ist Address Owner und Master für die Virtuelle IP und Backup Router für R1. Die Konfiguration für die Virtuellen Router wäre also wie folgt: Priorität von R1 (Interface IP ) Priorität von R2 (Interface IP ) Virtueller Router 1 (VRID 1, VIP ) 255 (Master, Address Owner ) 100 (Backup) Virtueller Router (VRID 2, VIP ) 100 (Backup) 255 (Master, Address Owner ) Nun müssen die Hosts (zum Beispiel über DHCP) noch so konfiguriert werden, dass die eine Hälfte als Default Gateway eingetragen hat und die andere Hälfte Das bedeutet, dass im Normalbetrieb R1 der Default Router für Hosts 1/2 ist und R2 für Hosts 3/4; es findet also eine Lasttrennung statt. Da R2 der Backup Router für R1 ist, würde er bei einem Ausfall von R1 zusätzlich dessen Master-Funktion übernehmen (und umgekehrt). Er wäre dann Master für beide Virtuellen IPs bzw und dadurch Default Router für alle Hosts. Der Vorteil der Lasttrennung ginge in diesem Fall zwar verloren, das Netzwerk wäre aber weiterhin funktionsfähig. Gleiches gilt analog für einen Ausfall von R2. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 7 von 17

8 Aufbau eines VRRP Pakets Aufbau eines VRRP Pakets Die VRRP Router tauschen über sog. VRRP Advertisement Pakete Nachrichten und Statusmeldungen miteinander aus. Im laufenden Betrieb sendet lediglich der Master Advertisements. Im IP-Header haben die Pakete, über die sich VRRP Router miteinander kommunizieren, folgende Parameter: Feld Wert Beschreibung Quelladresse (32 Bit) x.x.x.x Dieses Feld enthält die primäre IP Adresse des Routing-Moduls, mit dem der Router ans LAN angeschlossen ist. Zieladresse (32 Bit) VRRP Router kommunizieren über diese Multicast-Adresse miteinander, die von der IANA für VRRP festgelegt wurde. Pakete mit dieser Zieladresse dürfen von Routern auf keinen Fall weitergeleitet werden! TTL (8 Bit) 255 Die Time to Live muss auf 255 gesetzt sein. Erhält ein VRRP Router ein Paket, dessen TTL nicht 255 ist, wird es verworfen. Protokoll Nummer (8 Bit) 112 Legt den verwendeten Protokoll-Typ fest. Für VRRP wurde von der IANA die Protokollnummer 112 festgesetzt. Danach folgen die eigentlichen VRRP Informationen, die wie folgt aufgebaut sind: Version Type Virtual Rtr ID Priority Count IP Addrs Auth Type Adver Int Checksum IP Address (1) IP Address (n) Authentification Data (1) Authentification Data (2) Feld Version (4 Bit) Type (4 Bit) Virtual Rtr ID (8 Bit) Priority (8 Bit) Count IP Addrs (8 Bit) Beschreibung Dieses 4-Bit-Feld bezeichnet die Version des VRRP Protokolls. Aktuell gültig ist Version 2. Im Typenfeld wird der Typ des VRRP Pakets definiert. In der aktuellen Version ist jedoch lediglich ein Pakettyp definiert: Typ 1 (Advertisement); Pakete mit unbekannten Typenangaben werden verworfen. Das VRID (Virtual Router Identifier) Feld identifiziert den Virtuellen Router, von dem die Statusmeldung kommt. Das Priority Feld (8 Bit) definiert die Priorität des VRRP Routers. Höhere Werte bedeuten dabei eine höhere Priorität. Gültige Prioritätswerte sind Ein Router, dessen reale Interface IP mit der VIP übereinstimmt (= IP Address Owner ), erhält die Priorität 255 und wird damit automatisch zum Master. Der Prioritätswert 0 in einer VRRP Nachricht signalisiert, dass der aktuelle Master den VRRP Betrieb einstellt (z.b. bei einem Neustart o.ä.) und bewirkt, dass der Backup Router mit der höchsten Priorität die Master-Funktionen sofort übernimmt (und nicht erst auf den Timeout wartet). Gibt die Anzahl der IP Adressen an, die dieses VRRP Advertisement Paket enthält. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 8 von 17

9 Aufbau eines VRRP Pakets Feld Auth Type (8 Bit) Beschreibung Das Authentification Type Feld legt die verwendete Authentifizierungsmethode fest. Enthält ein ankommendes Paket einen ungültigen Wert für die Authentifizierung oder die Authentifizierungsmethode stimmt nicht mit derjenigen überein, die für den lokalen Router konfiguriert ist, wird das Paket verworfen. Bisher sind folgende Authentifizierungsmethoden definiert: 0 = Keine Authentifizierung 1 = Simple Text Password 2 = IP Authentification Header Advert Int (8 Bit) Dieses Feld legt fest, in welchen Zeitabständen VRRP Nachrichten (Advertisements) verschickt werden. Standard ist 1 Sekunde. Das Advertisement Intervall muss für alle Router mit der gleichen VRID den gleichen Wert haben. Checksum (16 Bit) Mittels des Prüfsummenfeldes kann ermittelt werden, ob das VRRP Paket korrekt übertragen wurde. IP Address(es) (n*32 Bit) Eine oder auch mehrere IP-Adressen, die mit dem Virtuellen Router verknüpft sind. Die Zahl der Adressen wird im Feld Count IP Addrs festgelegt. Authentification Data Der Authentifizierungsstring wird momentan lediglich für Simple Text Authentification, also die Übertragung eine Passwortes im Klartext, verwendet ähnlich der Authentifizierungsmethode, die beim OSPF (Open Shortest Path First) Protokoll angewendet wird. Das Feld darf maximal 8 Zeichen enthalten. Ist der konfigurierte Authentifizierungsstring dabei kürzer als 8 Zeichen, wird der verbleibende Platz mit Nullen aufgefüllt. Jedes ankommende VRRP Paket, bei dem der Authentifizierungsstring nicht mit dem lokal konfigurierten übereinstimmt, wird verworfen. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 9 von 17

10 Funktionsweise Funktionsweise Wie wird der Master Router ausgehandelt? Der Master ist der Router, der aktuell für den Datentransport zuständig ist. Bei der Entscheidung, welcher VRRP Router der Master wird, werden mehrere Faktoren und Parameter berücksichtigt, die über Advertisement Pakete zwischen den VRRP Routern ausgetauscht werden. Zunächst wird überprüft, ob die VIP von einem tatsächlichen Router Interface bereits verwendet wird. Ist dies der Fall, dann spricht man von einem IP Address Owner und der entsprechende Router erhält die Priorität 255, wodurch er automatisch zum Master wird. Wird als VIP eine zusätzliche IP Adresse verwendet, die von keinem realen Interface genutzt wird, ist die Priorität entscheidend. Dabei gilt: der Router mit der höchsten Priorität wird zum Master. Haben zwei Router die gleiche Priorität, dann wird derjenige mit der höheren IP Adresse der Master. Was geschieht beim Ausfall des Masters? Normalerweise sendet der Master in definierbaren Intervallen (Standard: 1 Sekunde) per Multicast seine Advertisement Pakete, die den Backup Routern signalisieren, dass er noch lebt. Solange diese Pakete gesendet werden, bleiben die Backup Router im Backup-Zustand und überwachen lediglich die Advertisements des Masters. Falls der Master jedoch ausfällt und folglich keine Advertisement Pakete mehr gesendet werden, übernimmt der Backup Router mit der höchsten Priorität die Funktion des Masters. Standardmäßig geschieht dies nach 3 hintereinander ausbleibenden Advertisements. Berechnung eines Master_Down (+ Beispiele) Ein sogenannter Master_Down, d.h. der Ausfall des Masters, wird von den Backup Routern mit Hilfe des Master_Down_Interval bzw. des Master_Down_Timer erkannt. Ist dieses Intervall (respektive der Timer) abgelaufen ohne dass ein neues Advertisement Paket eingetroffen ist, gehen die Backup Router davon aus, dass der Master ausgefallen ist und handeln einen neuen Master aus (im Normalfall der Backup Router mit der höchsten Priorität). Trifft vor Ablauf des Intervalls ein neues Advertisement Paket ein, wird der Timer zurückgesetzt. Für die Berechnung des Master_Down_Interval gelten folgende Formeln: Master_Down_Interval = (3 * Advertisement_Interval) + Skew_Time Skew_Time = (256 Priority) / 256 Aufgrund der prioritätsabhängigen Skew_Time erkennt der Backup Router mit der höchsten Priorität also den Ausfall am schnellsten. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 10 von 17

11 Funktionsweise Beispiel 1: Unerwarteter Ausfall des Masters R4 IP Netz R1 (Master) Priority = R2 (Backup) Priority = R3 (Backup) Priority = IP Netz Host 1 Host 2 Host 3 Host 4 Default Gateway = Router Priorität R1 255 (Master) R2 250 (Backup) R3 100 (Backup) Advertisement_Interval = 1 (Standard) Gehen wir nun davon aus, dass der aktive Master aufgrund eines Problems (z.b. Hardware-Defekt) unerwartet ausfällt. Wie lange würden nun die Backup Router brauchen um den Ausfall des Masters zu bemerken? Für R2 gilt: Skew_Time = ( ) / 256 = 6/256 s Master_Down_Interval = (3 * 1) + 6/256 = 3 + 6/256 = 3, s Für R3 gilt: Skew_Time = ( ) / 256 = 156/256 s Master_Down_Interval = (3 * 1) + 156/256 = /256 = 3, s Das heißt, R2 erkennt dank der höheren Priorität und der daraus resultierenden kürzeren Skew_Time den Ausfall am schnellsten, wird daraufhin in den Master-Zustand wechseln und Advertisement Pakete versenden, die den restlichen Routern (in diesem Fall nur R3) mitteilen, dass er jetzt die Master Rolle übernommen hat. Sollte das neue Advertisement Paket von R2 nicht rechtzeitig bei R3 eintreffen, bevor dieser auf den Timeout läuft, würde R3 ebenfalls ein Advertisement Paket verschicken. In diesem Fall, d.h. wenn zwei oder mehr Router gleichzeitig ein Advertisement senden, in dem sie sich als neuer Master melden, gewinnt der Router mit der höchsten Priorität. In unserem Beispiel bleibt folglich R2 der Master und R3 wird wieder zum Backup Router zurückgestuft. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 11 von 17

12 Funktionsweise Beispiel 2: Administratives Herunterfahren des Masters (Es gelten die gleichen Voraussetzungen wie in Beispiel 1.) Nun nehmen wir an, dass der Netzwerkadministrator den Master Router administrativ herunterfährt oder ihn aus der Gruppe der VRRP Router herausnimmt. In diesem Fall sendet der Master ein Advertisement Paket mit der Priorität 0. Dadurch werden die Backup Router darüber informiert, dass der Master den Betrieb eingestellt und die Backup Router handeln den neuen Master sofort aus, ohne erst einen Timeout, d.h. den Ablauf der Master_Down_Interval abzuwarten. Dank höherer Priorität würde also in unserem Beispiel wieder R2 der neue Master werden. Der Preemption Parameter (+ Beispiel) Durch den Preemption Parameter wird festgelegt, ob ein Backup Router mit höherer Priorität einen Master mit niedrigerer Priorität verdrängen kann. Der Preemption Parameter kann für jeden Router individuell konfiguriert werden. Als Standardeinstellung ist Preemption zulässig ( true ). Beispiel: Router Priorität R1 200 (Master) R2 100 (Backup) Nehmen wir an, der aktuelle Master R1 (Priorität 200) fällt aus und R2 (Priorität 100) wird vorübergehend der neue Master. Was passiert nun, wenn der zuvor ausgefallene Master R1 mit Priorität 200 wieder hochgefahren wird? Dafür gibt es verschiedene Szenarien, die davon abhängen, ob Preemption bei R1 aktiv oder inaktiv ist. Fall 1: Ist Preemption bei R1 aktiviert, passiert folgendes: Wenn R1 wieder ans Netz geht und feststellt, dass der aktuelle Master (d.h. R2) für die entsprechende VIP eine niedrigere Priorität hat als er selbst, wird er R2 verdrängen und selbst wieder die Master-Funktion übernehmen. Fall 2: Ist Preemption bei R1 jedoch deaktiviert, wird er R2 nicht verdrängen obwohl er theoretisch mit 200 eine höhere Priorität hätte. R1 würde fortan als Backup Router für die entsprechende VIP weiterarbeiten und erst im Fall eines Ausfalls von R2 wieder die Master-Funktion übernehmen. Fall 3 (Sonderfall): Wenn es sich bei dem Router, der wieder hochgefahren wird, um den IP Address Owner handelt (d.h. Priorität 255), dann wird er den momentan aktiven Master auf jeden Fall verdrängen und seine frühere Funktion als Master wieder aufnehmen. Die Preemption -Option bleibt hier wirkungslos. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 12 von 17

13 Die Protokoll-Zustände von VRRP Routern im Überblick Die Protokoll-Zustände von VRRP Routern im Überblick Jeder VRRP Router kann folgende Zustände durchlaufen: Initialisierungszustand ( Initialize State ) Backup-Zustand ( Backup State ) Master-Zustand ( Master State ) Im folgenden werde ich auf diese drei Zustände und die Funktionen, die die Router im jeweiligen Zustand übernehmen, noch einmal zusammenfassend eingehen. Initialisierungszustand ( Initialize State ) Der Initialisierungszustand ist der erste Zustand, den jeder VRRP Router nach der Aktivierung von VRRP durchläuft. Er lässt sich am einfachsten als Flussdiagramm aus Sicht des Routers darstellen: Aktivierung von VRRP ja Bin ich der IP Address Owner? D.h. Stimmt die VIP mit einer meiner realen Interface-IPs überein? nein Priorität auf 255 setzen Advertisement Pakete versenden um sich als neuer Master bekanntzugeben ARP Pakete mit Virtueller MAC versenden Advertisement Timer starten Übergang in den Master-Zustand Master_Down_Timer starten Übergang in den Backup-Zustand Backup-Zustand ( Backup State ) Im Backup-Zustand überwacht der VRRP Router, ob der Master noch am Netz ist und regelmäßig seine Advertisement Pakete versendet. In diesem Zustand arbeitet der Router folgendermaßen: Er darf keine ARP Anfragen nach der Virtuellen IP beantworten. Er muss Pakete, die die Virtuelle IP als Ziel-IP-Adresse haben, verwerfen. Er muss Pakete, die die Virtuelle MAC als Ziel-MAC-Adresse haben, verwerfen. Trifft bei einem Router im Backup-Zustand ein Advertisement Paket mit der Priorität 0 ein bzw. läuft der Master_Down_Timer ab, werden folgende Schritte ausgeführt: Der Router versendet seinerseits ein Advertisement Paket, in dem er sich als neuer Master bekanntgibt. Er versendet ARP Pakete, um die Virtuelle MAC Adresse bekanntzumachen. Der Advertisement Timer wird gestartet. Der Router geht in den Master-Zustand über. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 13 von 17

14 Die Protokoll-Zustände von VRRP Routern im Überblick Falls danach beim Router ein anderes Advertisement Paket mit höherer Priorität bzw. mit höherer IP Adresse (bei gleicher Priorität) eintrifft, wird der Router wieder in den Backup-Zustand zurückversetzt. Trifft hingegen ein Advertisement Paket mit niedrigerer Priorität bzw. niedrigerer IP Adresse (bei gleicher Priorität) ein, wird das Paket verworfen und der Router bleibt im Master-Zustand. Master-Zustand ( Master State ) Befindet sich ein VRRP Router im Master-Zustand, ist er der aktuell für den Datentransport zuständige VRRP Router und arbeitet wie folgt: Er versendet in regelmäßigen Abständen Advertisement Pakete an die anderen VRRP Router. Er beantwortet ARP Anfragen nach der Virtuellen IP mit der Virtuellen MAC Adresse. Er leitet Pakete weiter, die die Virtuelle MAC als Ziel-MAC-Adresse haben. Er muss Pakete, die die Virtuelle IP als Ziel-IP-Adresse haben, verwerfen (Ausnahme: er ist der IP Address Owner ). Empfängt der aktuelle Master ein Advertisement Paket mit höherer Priorität bzw. höherer IP (bei gleicher Priorität) als die eigene, durchläuft er diese Schritte: Der Advertisement Timer wird gestoppt. Der Master Down Timer wird gestartet. Der Router geht in den Backup-Zustand über. Trifft hingegen ein Advertisement Paket mit niedrigerer Priorität bzw. niedrigerer IP (bei gleicher Priorität) ein, wird es vom Master ignoriert und verworfen. Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 14 von 17

15 Sicherheit und Authentifizierung Sicherheit und Authentifizierung VRRP wurde dafür ausgelegt, in verschiedenen Internetworking Umgebungen zu funktionieren, in denen auch unterschiedliche Sicherheitsrichtlinien gelten können. Daher sind in VRRP verschiedene Arten der Authentifizierung implementiert, die im Auth_Type Feld eines VRRP Pakets eingetragen werden: 0 No Authentification 1 Simple Text Password 2 IP Authentification Header Dabei gilt es zu beachten, dass diese Authentifizierungstypen zwar definiert wurden, die Unterstützung dafür in den ersten Software-Versionen mit VRRP Funktionalität noch fehlt. In vielen Fällen kann hier nur auf No Authentification zurückgegriffen werden. No Authentification Wird dieser Authentifizierungstyp im VRRP Header eingetragen, findet keine Authentifizierung beim Austausch von VRRP Paketen statt. Diese Einstellung sollte nur in Umgebungen mit niedriger Sicherheitsstufe verwendet werden, oder dort, wo eine Fehlkonfiguration unwahrscheinlich ist (z.b. in einem Netzwerk mit lediglich zwei VRRP Routern). Simple Text Password Steht im Auth_Type Feld eine 1, dann werden die ausgetauschten VRRP Pakete durch ein unverschlüsseltes Text Passwort authentifiziert. Das Passwort darf maximal 8 Zeichen lang sein (der restliche Platz wird mit Nullen aufgefüllt). Diese Art der Authentifizierung dient vor allem dazu, Fehlkonfigurationen bei den Routern zu vermeiden, da ein Router zuerst mit dem richtigen Passwort versehen werden muss, bevor er VRRP Nachrichten mit anderen Routern austauschen kann (Pakete mit falschem Passwort werden ignoriert). Vor feindlichen Angriffen gegen das LAN schützt diese Authentifizierungsmethode allerdings nicht! Man muss zudem bedenken, dass das vergebene Passwort relativ häufig und im Klartext gesendet wird. Für einen potentiellen Angreifer ist es somit kein allzu großes Problem diesen Text-String auszuspionieren. Deswegen sollte man auf keinen Fall ein Passwort wählen, das an anderen sicherheitsrelevanten Stellen im Netzwerk (Server, Router, ) verwendet wird! IP Authentification Header Bei dieser Authentifizierungsmethode werden die VRRP Pakete gemäß dem IP Authentification Header mit HMAC-MD5-96 (RFC ) codiert. Diese Methode gewährt einen hohen Grad an Sicherheit gegenüber Fehlkonfigurationen, Netzangriffen und Paketverfälschungen. Wie bei der Simple Text Password Methode werden auch hier Pakete mit inkorrekter Authentifizierung von den VRRP Routern verworfen. 2 RFC 2403: The Use of HMAC-MD5-96 within ESP and AH ; Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 15 von 17

16 Zusammenfassung: Was spricht für VRRP? Zusammenfassung: Was spricht für VRRP? Abschließend möchte ich noch einmal die wesentlichen Vorteile von VRRP zusammenfassen. 1. Ausfallsicherheit: Die Fehlerumschaltung bei Ausfall eines Routers erfolgt sehr schnell (innerhalb weniger Sekunden). Dadurch bleibt die Funktionalität des Netzwerks erhalten und es kommt zu keinen bzw. kaum bemerkbaren Ausfallzeiten, die ansonsten teures Geld kosten würden. 2. Transparenz: Die Fehlerumschaltung geschieht automatisch ohne weiteres Eingreifen des Administrators und vollkommen transparent für die Endgeräte. 3. Overhead: Der Overhead bei VRRP ist relativ gering, da lediglich der aktive Master in regelmäßigen Abständen Advertisement Pakete versendet. Durch den Einsatz von VRRP wird die Netzwerklast also so gut wie gar nicht beeinflusst. 4. Lastverteilung: Durch geschickten Einsatz von VRRP kann auf den vorhandene Verbindungen eine Lastverteilung erreicht werden. 5. Kosten: Die Kosten für eine Router-Redundanz-Lösung per VRRP halten sich in Grenzen: Da im Backbone-Bereich die Netzkomponenten normalerweise sowieso redundant ausgelegt sind, ist lediglich ein erhöhter Konfigurationsaufwand erforderlich; Zusatzkosten für neue Geräte fallen gewöhnlich nicht an. Stefan Hügele Juli 2001 Seite 16 von 17

17 Anhang Anhang Abkürzungsverzeichnis ARP Address Resolution Protocol ATM Asynchronous Transfer Modus DHCP Dynamic Host Configuration Protocol ESRP Extreme Standby Router Protocol FSRP Foundry Standby Router Protocol HSRP Hot Standby Router Protocol IANA Internet Authority for Number Assignment IEEE Institute for Electrical and Electronic Engineers MAC Media Access Controll OSPF Open Shortest Path First OUI Organizational Unique Identifier RFC Request for Comment RIP Routing Information Protocol VIP Virtuelle IP Adresse VR Virtueller Router VRID Virtual Router Identifier VRRP Virtual Router Redundancy Protocol Quellen Dr. Suppan International Institue, Der Netzwerk Insider Sonderheft: Redundanzverfahren im LAN, April 2001 Network Working Group, RFC 2338: Virtual Router Redundancy Protocol, April 1998 Nortel Networks: Virtual Router Redundancy Protocol (VRRP) White Paper Alteon WebSystems Inc., Implementing High Availability Layer 4 Services Using VRRP and VRRP Extensions Datacom Magazin, Qualität durch Stabilität: Verfügbarkeit und Redundanz in Gigabit Ethernet- Netzwerken, Januar 2001 Stefan Hügele (stefan@huegele.de) Juli 2001 Seite 17 von 17