8
VRRP von Routern durch Switche hindurch
Hi,
wir haben unser Produktiv RZ und eins für Desaster Recovery/Backup.
Wie man auf dem Bild sieht ist auf beiden Seiten die gleiche Hardware.
Die Internetanbindung ist eine Active/Passive Anbindung. Dazu müssen die WAN Router sich per VRRP/HSRP unterhalten. Unser Anbieter sagt sie brauchen dazu eine Layer 2 Verbindung.
Ich habe dazu auf dem Switch ein neues VLAN eingerichtet. Der WAN router und die Firewall sind auf dem Switch im gleichen VLAN sowohl auf Site1 und Site 2. Das LAN hängt in einem anderen VLAN auf einem anderen Port auf der Firewall.
Die VLANS werden über einen Trunk Port zwischen den Switchen weitergeleitet.
Für mich sollte das eigentlich ausreichen, damit auf Layer2 die VRRP Kommunikation laufen kann. Der Telekommunikations Anbieter aber sagt der WAN Router auf Site 2 würde keine init Pakete vom Master (Site 1) empfangen.
Könnt ihr mir weiterhelfen wo das evtl. das Problem liegt?
Die Switche sind alles DELL PowerConnect.
wir haben unser Produktiv RZ und eins für Desaster Recovery/Backup.
Wie man auf dem Bild sieht ist auf beiden Seiten die gleiche Hardware.
Die Internetanbindung ist eine Active/Passive Anbindung. Dazu müssen die WAN Router sich per VRRP/HSRP unterhalten. Unser Anbieter sagt sie brauchen dazu eine Layer 2 Verbindung.
Ich habe dazu auf dem Switch ein neues VLAN eingerichtet. Der WAN router und die Firewall sind auf dem Switch im gleichen VLAN sowohl auf Site1 und Site 2. Das LAN hängt in einem anderen VLAN auf einem anderen Port auf der Firewall.
Die VLANS werden über einen Trunk Port zwischen den Switchen weitergeleitet.
Für mich sollte das eigentlich ausreichen, damit auf Layer2 die VRRP Kommunikation laufen kann. Der Telekommunikations Anbieter aber sagt der WAN Router auf Site 2 würde keine init Pakete vom Master (Site 1) empfangen.
Könnt ihr mir weiterhelfen wo das evtl. das Problem liegt?
Die Switche sind alles DELL PowerConnect.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 194352
Url: https://administrator.de/contentid/194352
Printed on: April 25, 2024 at 11:04 o'clock
8 Comments
Latest comment
Dein Vorgehen ist absolut korrekt und richtig. So löst man diese Anforderung in der Regel.
Für eine zielführende Hilfe wäre es nun aber sehr wichtig zu wissen WAS du für ein Standby Protokoll fährst, da du ja global alle nennst.
Benutzt du nun VRRP, VRRP-E oder HSRP. Alle nutzen unterschiedliche Verfahren.
Wichtig wäre auch zu wissen ob du das VLAN wasserdicht ausgetestet hast, also das sich beide Router WAN Ports gegenseitig anpingen lassen und in einem gemeinsamen IP Netz liegen. Ebenso die FW Interfaces.
Der Uplink der beiden Switches ist vermutlich ein tagged Link in dem alle VLANs tagged sind, richtig ?
Für eine zielführende Hilfe wäre es nun aber sehr wichtig zu wissen WAS du für ein Standby Protokoll fährst, da du ja global alle nennst.
Benutzt du nun VRRP, VRRP-E oder HSRP. Alle nutzen unterschiedliche Verfahren.
Wichtig wäre auch zu wissen ob du das VLAN wasserdicht ausgetestet hast, also das sich beide Router WAN Ports gegenseitig anpingen lassen und in einem gemeinsamen IP Netz liegen. Ebenso die FW Interfaces.
Der Uplink der beiden Switches ist vermutlich ein tagged Link in dem alle VLANs tagged sind, richtig ?
Moin,
wir haben im Prinzip das gleiche Setup (mit VRRP *und* HSRP Devices
) und das funktioniert problemlos. I.d.R. liegt's immer an einen falsch konfigurierten/gesteckten Ports oder Trunk.
Teste das doch einfach mal mit 2 Laptops an den entsprechenden Ports. Oder lass Dir vom Switch die in dem VLAN sichtbaren MAC Adressen anzeigen.
lg,
Slainte
wir haben im Prinzip das gleiche Setup (mit VRRP *und* HSRP Devices
) und das funktioniert problemlos. I.d.R. liegt's immer an einen falsch konfigurierten/gesteckten Ports oder Trunk.Teste das doch einfach mal mit 2 Laptops an den entsprechenden Ports. Oder lass Dir vom Switch die in dem VLAN sichtbaren MAC Adressen anzeigen.
lg,
Slainte
Nicht immer ganz problemlos.... Der VRRP Prozess (sofern er denn VRRP nutzt ?!) auf beiden Seiten nutzt laut Standard eine IP Multicast Adresse 224.0.0.18 mit der IP Protocol Nummer 112 um sich gegenseitig Hello Frames (Master und Slave) zuzusenden. Multicasts werden in Switches anders behandelt als "normale" Pakete, was in der Natur der Sache von Multicasting liegt !
Die VIP selber die zwischen beiden Routern geshared wird benutzt dann eine Mac von 00-00-5E-00-01-XX wobei XX dem Hex Wert der VRRP VRID entspricht. Das kann man dann auch wunderbar mit "arp -a" an allen Endgeräten sehen die routen über die VIP Gateway IP.
Deshalb die obige zielgerichtete Nachfrage WAS für ein Standby Protrokoll de facto verwendet wird.
Taiwan Billigswitches wie sie leider auch Dell mit den Power Connects vertreibt gehen nicht immer korrekt mit Multicast IP Paketen in L2 VLANs um. Gerade wenn sie auch selber IGMP Querier sind usw. also selber aktives Multicasting supporten.
Sollte also das VLAN vom Kollegen j0erch absolut sauber eingerichtet sein, Pingen usw. klappt alles fehlerfrei, dann sollte er eher in die Multicast Richtung bzw. Konfiguration auf diesen Switchgurken suchen. Ggf. aktives Multicasting/IGMP deaktivieren sofern diese Switches das überhaupt können.
Billigswitches fluten in der Regel MC Pakete an alle Netze und entledigen sich so des IGMP Problems. Das muss man aber im Handbuch mal nachlesen wie diese Switches mit Multicast in L2 VLANs umgehen. Jeder Hersteller macht das anders.
Im Zweifel ganz einfach einem Monitor Port in das VLAN legen und einen Wireshark reinhängen und checken ob diese 224.0.0.18 Multicast Pakete von beiden Seiten ankommen.
Dann weiss man in 1er Minute wo das Problem ist.
Keine Pakete=Switch ist der Buhmann, Kommen Pakete=Carrier Router ist der Buhmann
So einfach ist das !
Die VIP selber die zwischen beiden Routern geshared wird benutzt dann eine Mac von 00-00-5E-00-01-XX wobei XX dem Hex Wert der VRRP VRID entspricht. Das kann man dann auch wunderbar mit "arp -a" an allen Endgeräten sehen die routen über die VIP Gateway IP.
Deshalb die obige zielgerichtete Nachfrage WAS für ein Standby Protrokoll de facto verwendet wird.
Taiwan Billigswitches wie sie leider auch Dell mit den Power Connects vertreibt gehen nicht immer korrekt mit Multicast IP Paketen in L2 VLANs um. Gerade wenn sie auch selber IGMP Querier sind usw. also selber aktives Multicasting supporten.
Sollte also das VLAN vom Kollegen j0erch absolut sauber eingerichtet sein, Pingen usw. klappt alles fehlerfrei, dann sollte er eher in die Multicast Richtung bzw. Konfiguration auf diesen Switchgurken suchen. Ggf. aktives Multicasting/IGMP deaktivieren sofern diese Switches das überhaupt können.
Billigswitches fluten in der Regel MC Pakete an alle Netze und entledigen sich so des IGMP Problems. Das muss man aber im Handbuch mal nachlesen wie diese Switches mit Multicast in L2 VLANs umgehen. Jeder Hersteller macht das anders.
Im Zweifel ganz einfach einem Monitor Port in das VLAN legen und einen Wireshark reinhängen und checken ob diese 224.0.0.18 Multicast Pakete von beiden Seiten ankommen.
Dann weiss man in 1er Minute wo das Problem ist.
Keine Pakete=Switch ist der Buhmann, Kommen Pakete=Carrier Router ist der Buhmann
So einfach ist das !
Ok, das mit den PowerConnects hab ich überlesen - da hab ich kürzlich meinen letzten entsorgt ^^ - ja die machen tatsächlich ab und zu Probleme (nicht nur mit MC ). Da würde ich dann erstmal die aktuellste FW einspielen (die werden teilw. mit uralt Version ausgeliefert), und dann nochmal testen lassen.
). Da würde ich dann erstmal die aktuellste FW einspielen (die werden teilw. mit uralt Version ausgeliefert), und dann nochmal testen lassen.
Ist ist notwendig dass das VLAN eine eigene IP benötigt?
Ich habe leider keine genauen Infos bzgl. des Protokols, aber das ich die MAC Adresse 00:00:5e:00:01:8b sehe gehe ich davon aus, das VRRP benutzt wird.
Die Firewall Interfaces können sich gegenseitig anpingen, die Router Ports können nicht angepingt werden.
Auf die Router (ADVA FSP 150CCf) habe ich leider keinen Zugriff. Der VRRP Traffic benutzt die gleiche Leitung wie der Internet Traffic.
Über den Uplink gehen nur getaggte Pakete.
Die Firmware habe ich übrigens erst diese Woche aktualisiert.
Ich habe leider keine genauen Infos bzgl. des Protokols, aber das ich die MAC Adresse 00:00:5e:00:01:8b sehe gehe ich davon aus, das VRRP benutzt wird.
Die Firewall Interfaces können sich gegenseitig anpingen, die Router Ports können nicht angepingt werden.
Auf die Router (ADVA FSP 150CCf) habe ich leider keinen Zugriff. Der VRRP Traffic benutzt die gleiche Leitung wie der Internet Traffic.
Über den Uplink gehen nur getaggte Pakete.
Die Firmware habe ich übrigens erst diese Woche aktualisiert.
Nein das ist nicht nötig und auch gehörig kontraproduktiv und zudem gefährlich, denn mit einer IP Adresse fängt der Switch an zu routen und hebelt so deine Firewalls aus.
Vergiss das ganz schnell !! Kommt man auch von selbst drauf wenn man mal etwas nachdenkt...dzz
Ein reines Layer 2 VLAN OHNE IPs am Switch ist ein Muss für dich in dem Szenario um die FW Sicherheit zu halten !
Vergiss das ganz schnell !! Kommt man auch von selbst drauf wenn man mal etwas nachdenkt...dzz
Ein reines Layer 2 VLAN OHNE IPs am Switch ist ein Muss für dich in dem Szenario um die FW Sicherheit zu halten !
Dann hab ich das ja richtig kofiguriert ;)
IGMP und Multicast sind nicht aktiviert auf dem Switch.
Ich sehe auch folgende Geräte aktuell auf den Switchen:
Site 1:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- Firewall Site 1
- Firewall Site 2
Site 2:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- WAN Router Site 2
- Firewall Site 1
- Firewall Site 2
Bei den WAN Routern Mac Adressen bin ich mir nicht 100% sicher, da ich sie nicht kenne, aber da er die MAC Adresse auf dem Port anzeigt wo auch jeweils der Router angeschlossen ist, folgere ich das daraus einfach mal.
Heisst das schon dass es eigentlich funktionieren muss oder kann die Kommunikation trotzdem noch gestört werden?
Ich kann im Handbuch keider nichts spezielles finden bzgl. Multicast L2 usw..
Könntet Ihr eventuell mal kurz nen Blick reinwerfen?
http://support.euro.dell.com/support/edocs/network/pc62xx/en/index.htm
IGMP und Multicast sind nicht aktiviert auf dem Switch.
Ich sehe auch folgende Geräte aktuell auf den Switchen:
Site 1:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- Firewall Site 1
- Firewall Site 2
Site 2:
- VRRP Virtual Router Mac Address
- WAN Router Site 1
- WAN Router Site 2
- Firewall Site 1
- Firewall Site 2
Bei den WAN Routern Mac Adressen bin ich mir nicht 100% sicher, da ich sie nicht kenne, aber da er die MAC Adresse auf dem Port anzeigt wo auch jeweils der Router angeschlossen ist, folgere ich das daraus einfach mal.
Heisst das schon dass es eigentlich funktionieren muss oder kann die Kommunikation trotzdem noch gestört werden?
Ich kann im Handbuch keider nichts spezielles finden bzgl. Multicast L2 usw..
Könntet Ihr eventuell mal kurz nen Blick reinwerfen?
http://support.euro.dell.com/support/edocs/network/pc62xx/en/index.htm
Das Problem ist mittlerweile gelöst:
Es war eine Fehlkonfiguration beim Telekommunikations-Anbieter!!! Bei uns war alles korrekt konfiguriert.
Da kann man ja lange suchen.
Aber ich habe wieder ein wenig was dazu gelernt...
Trotzdem Danke an alle!
Es war eine Fehlkonfiguration beim Telekommunikations-Anbieter!!! Bei uns war alles korrekt konfiguriert.
Da kann man ja lange suchen.
Aber ich habe wieder ein wenig was dazu gelernt...
Trotzdem Danke an alle!
