แนวทางปฏิบัติที่ดีที่สุดสำหรับการรวม HSRP และ ECMP

การรวมกันของECMP (หรือสาเหตุอื่นของเส้นทางที่ไม่สมมาตร) และHSRPนั้นแตกหักตามค่าเริ่มต้นใน Cisco IOS; พฤติกรรมเริ่มต้นด้วยการออกแบบนี้ทำให้เกิดการรับส่งข้อมูลแบบ unicast มากเกินไป

วิธีปฏิบัติที่ดีที่สุดสำหรับการใช้ HSRP กับ ECMP คือการป้องกัน unicast ที่ไม่รู้จัก?

รายละเอียด / ความเป็นมา

เรามีโครงสร้าง HSRP คล้ายกับแผนภาพแรกด้านล่างสำหรับสิ่งอำนวยความสะดวกมากมายของเรา เราเตอร์ Cisco WAN ของเรามีเส้นทางราคาเท่ากันไปยังไซต์อื่น ๆ ทั้งหมด ดังนั้นเราสามารถเห็นเอฟเฟ็กต์การจัดเส้นทางไม่สมมาตรตลอดเวลา โดยปกติเรากำหนดให้ R1 เป็น HSRP หลัก แต่ ECMP อนุญาตให้รับส่งคืนผ่าน R1 หรือ R2

ปัญหาคือเมื่อ PC1 เชื่อมต่อไดรฟ์ iSCSI ระยะไกลข้าม WAN ปริมาณการใช้งานจะออกจากเว็บไซต์ผ่าน R1 แต่สามารถกลับมาได้ผ่าน R2 ตราบใดที่การรับส่งข้อมูล iSCSI ส่งคืนผ่าน R1 จะไม่มีปัญหา

ปัญหาเกิดขึ้นเมื่อปริมาณการใช้งานของ PC1 ส่งคืนผ่าน R2 สมมติว่าเซสชัน iSCSI เริ่มต้นที่ 8:00:00 และเราเตอร์และสวิตช์ทั้งสองเรียนรู้ mac ของ PC1 พร้อมกัน ระหว่าง 8:00:00 ถึง 8:00:05 ไม่มีปัญหาน้ำท่วมเนื่องจากสวิตช์ทั้งสองยังคงมีที่อยู่ mac ของ PC1 ในตาราง CAM

ห้านาทีหลังจากเซสชัน iSCSI เริ่มต้นรายการ CAM ของ S2 สำหรับ mac ของ PC1 หมดอายุจากตาราง CAM และ S2 ทำให้ปริมาณการใช้ข้อมูล PC1 ของพอร์ตทั้งหมดหมดไป (ในกรณีนี้คือ Po1, Gi0 / 3 และ Gi0 / 4) หากเซสชัน iSCSI ของ PC1 ใช้แบนด์วิดท์จำนวนมากการเกิด unicast ที่ไม่รู้จักนี้สามารถดูดความจุที่ไม่สำคัญจากลิงก์ไปยัง PC3 และ PC4

สวิตช์ Cisco IOS มีตัวจับเวลา CAM ที่เป็นค่าเริ่มต้น 300 วินาที ...

S2# show mac address-table aging-time
Vlan Aging Time
---- ----------
1    300
17   300

อย่างไรก็ตามตัวจับเวลา ARP ส่วนต่อประสานเริ่มต้นของ Cisco IOS คือ 4 ชั่วโมง ...

R2# show interface gi0/0
GigabitEthernet0/0 is up, line protocol is up 
  Hardware is AmdP2, address is 000a.dead.beef (bia 000a.dead.beef)
  Internet address is 172.17.1.252/24
  MTU 1500 bytes, BW 10000 Kbit, DLY 1000 usec, 
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  ARP type: ARPA, ARP Timeout 04:00:00       <--------------

ดังนั้น S2 จึงเริ่มการรับส่งข้อมูล iSCSI ของ PC1 หลังจากผ่านไปห้านาที

คำตอบง่ายๆคือทำให้ตัวจับเวลา CAM เท่ากับหรือยาวกว่าตัวตั้งเวลา ARP อินเตอร์เฟสที่เกี่ยวข้องเล็กน้อยแต่มีอย่างน้อยสามตัวเลือกที่แตกต่างกันให้เลือก ...

ตัวเลือกที่ 1: ลดตัวจับเวลา ARP ของอินเตอร์เฟสทั้งหมด

ตัวเลือกนี้จะทำงานได้ดีที่สุดถ้าคุณมีเครือข่าย switch2 ที่มีขนาดเหมาะสมจำนวนรายการ ARP ที่เหมาะสมและอินเทอร์เฟซที่กำหนดเส้นทางไม่กี่ วิธีนี้เป็นวิธีที่ดีกว่าถ้าคุณต้องการที่จะเห็นพีซีแม็คอายุออกจากโทโพโลยีอย่างรวดเร็ว

• ในส่วนต่อประสาน IOS ของอีเทอร์เน็ตทั้งหมดหันหน้าไปทางสวิตช์อีเธอร์เน็ต: arp timeout 240
• ในส่วนต่อประสาน IOS ของอีเทอร์เน็ตทั้งหมดหันหน้าไปทางสวิตช์อีเธอร์เน็ต: hold-queue 200 inและhold-queue 200 outเพื่อหลีกเลี่ยงการทิ้งแพ็กเก็ต ARP ในระหว่างการรีเฟรช ARP เป็นระยะ (ขีด จำกัด เหล่านี้อาจสูงกว่าหรือต่ำกว่าขึ้นอยู่กับจำนวน ARP รีเฟรชที่คุณคิดว่า หากคุณกำลังปรับค่าSelective Packet Discardคุณควรทำตามคำแนะนำในกระดาษที่ฉันเชื่อมโยง

สิ่งนี้บังคับให้ Cisco IOS รีเฟรชตาราง ARP ภายในสี่นาทีหากไม่ได้เกิดขึ้นเป็นอย่างอื่นสำหรับรายการ ARP ที่กำหนด ข้อเสียที่เห็นได้ชัดก็คือว่ามันไม่ได้ปรับขนาดได้ถ้าคุณมีรายการ ARP มากมาย ... ข้อ จำกัด แตกต่างกันไปตามแพลตฟอร์ม ฉันใช้สิ่งนี้กับ ARP สองสามร้อยตัวต่อเราเตอร์ใน Catalyst 4500/6500 (the Layer3 SVIs) โดยไม่มีปัญหาใด ๆ

ตัวเลือกที่ 2: เพิ่มตัวจับเวลา CAM สวิตช์

ตัวเลือกนี้ทำงานได้ดีที่สุดหากคุณมีรายการ ARP จำนวนมาก (เช่นรายการนับพันเช่นสภาพแวดล้อม VMWare ที่รุนแรงสามารถมองเห็นได้)

• ในสวิตช์ IOS ทั้งหมด: mac address-table aging-time 14400หรือmac address-table aging-time 14400 vlan <vlan-id>สำหรับ Vlan ใด ๆ ที่เกี่ยวข้อง

การเปลี่ยนแปลงนี้ปรับตัวจับเวลาที่คนส่วนใหญ่คิดว่าได้รับการแก้ไขที่ 300 วินาที (บน Cisco IOS) ดังนั้นโปรดรวมสิ่งนี้ไว้ในเอกสารความต่อเนื่อง ผลข้างเคียงของสิ่งนี้คือรายการตาราง CAM ใช้เวลา 4 ชั่วโมงหลังจากนำพีซีออก (ซึ่งอาจดีหรือไม่ดีขึ้นอยู่กับ PoV ของคุณ) หาก 4 ชั่วโมงยาวเกินไปให้ดูตัวเลือกถัดไป ...

ตัวเลือกที่ 3: เปลี่ยนทั้งอินเทอร์เฟซตัวจับเวลา ARP และสวิตช์ตัวจับเวลา CAM

ตัวเลือกนี้จะช่วยหลีกเลี่ยงตัวจับเวลา CAM ที่น่าเกรงขามในตัวเลือกที่ 2 โดยเสียค่าใช้จ่ายในการกำหนดค่าเพิ่มเติม คุณสามารถเลือกได้ว่าคุณต้องการ 900 วินาที, 1800 วินาทีหรืออะไรก็ตาม ... เพียงตรวจสอบให้แน่ใจว่าตัวจับเวลา CAM และ ARP ของคุณตรงกัน ดังนั้นคุณจะต้องกำหนดค่าทั้งตัวเลือก 1 และตัวเลือก 2 ในทอพอโลยีของคุณ

สำหรับฉัน ECMP เป็นปัญหาจริงที่นี่ - ดังนั้นนอกเหนือจากขั้นตอนข้างต้นเพื่อ จำกัด Unicast flooding ที่ไม่รู้จักคุณยังสามารถปรับการวัดเส้นทางไปยัง WAN เพื่อให้ R1 เป็นที่ต้องการมากกว่า R2 สำหรับปริมาณการรับคืน วิธีหนึ่งในการบรรลุเป้าหมายนี้คือการแจกจ่ายรายชื่อใน R2 ดังนี้: (EIGRP ใช้สำหรับตัวอย่างเท่านั้นสามารถทำได้เช่นเดียวกันกับ OSPF หรือ BGP พร้อมคำสั่งอื่น ๆ )

!
ip prefix-list R1-PREFER seq 5 อนุญาต 172.17.1.0/24
!
เส้นทางแผนที่ R1-PREFER-MAP อนุญาต 10
 จับคู่ที่อยู่ IP รายการคำนำหน้า R1-PREFER
 กำหนดเมตริก 1 1 1 1 1
... (อนุญาตเส้นทางอื่น ๆ ทั้งหมด)
!
eigrp เราเตอร์ 1
 ....
 แจกจ่ายรายการเส้นทางแผนที่ R1-PREFER-MAP out Ser1 / 0
 ....
!

ซึ่งจะส่งผลให้ WAN ส่งต่อการรับส่งข้อมูลทั้งหมดสำหรับ 172.17.1.0 ไปยัง R1 หาก R1 Se1 / 0 ล้มเหลวเส้นทางจะถูกติดตั้งไปยัง R2 คุณสามารถปรับการวัดเหล่านี้เพิ่มเติมเพื่อให้เส้นทางสำรองไปสู่ ​​R2 เป็นผู้สืบทอดที่เป็นไปได้สำหรับการล้มเหลวที่รวดเร็วกว่า HSRP และการติดตามจะดูแลการจราจรขาออก

แนวคิดหากไม่ใช้ ECMP หากใช้ HSRP อาจใช้ได้สำหรับเซิร์ฟเวอร์ที่การรับส่งข้อมูลอาจสูงกว่าการรับส่งข้อมูลภายนอกในสถานการณ์พีซีในการรับส่งข้อมูลทั่วไปจาก WAN (การตอบสนอง) สูงกว่าการรับส่งข้อมูลภายนอก เราชอบคนส่วนใหญ่เพียงตั้งค่าตัวจับเวลา ARP คุณสามารถยุ่งกับ CAM ตัวจับเวลา แต่ถ้าคุณพูด MDF ด้วยสวิตช์เลเยอร์ 3 และ IDF พร้อมสวิตช์คอลเลกชัน 2 ตัวและสวิตช์เข้าถึง 5 ตัวมันเป็นเรื่องง่ายมากที่จะกำหนดค่าบน L3 SVI มากกว่าการทำสวิตช์เข้าถึงทั้งหมด

หนึ่งสามารถใช้สวิทช์สแต็คเพื่อลดปัญหาของการหมดอายุรายการที่อยู่ MAC ในสวิตช์ที่สองนี้

อ่าฉันจำได้ หลายสัปดาห์ที่ผ่านมาความสนุกสนานได้จัดการกับเรื่องนี้เมื่อไม่กี่งานที่ผ่านมา หนึ่งรอยย่นคือเหตุการณ์ STP จะทำให้ vlans อยู่ในโหมดการเพิ่มความเร็วอย่างรวดเร็วดังนั้นการตั้งค่าตัวจับเวลา MAC ให้นานกว่าตัวจับเวลา ARP ไม่ได้ช่วยอะไร

ฉันแก้ไขปัญหาด้วยการบังคับให้ ECMP กลับมาจากเซิร์ฟเวอร์โดยสร้างเกตเวย์ HSRP สองอันด้วยหนึ่งหลักในแต่ละเราเตอร์ จากนั้นเรากำหนดค่าเกตเวย์ทั้งสองในแต่ละโฮสต์ ด้วยการบังคับให้โฮสต์ทราฟฟิกไปที่ R1 และ R2 ในลักษณะนี้เราจะมั่นใจได้ว่า R2 จะไม่ทำให้อายุของ MAC address ลดลง

เป็นการดีที่จะไม่มีปัญหาหากสวิตช์ L2 / 3 ลบรายการ ARP ที่เชื่อมโยงกับที่อยู่ MAC ที่ล้าสมัยแล้ว แพ็กเก็ตถัดไปไปยัง IP นั้นจะส่งผลให้มีการร้องขอ ARP ใหม่ซึ่งจะเติมทั้ง ARP cache และตาราง MAC ฉันคิดว่า Cisco นำมาใช้ในที่สุด แต่ฉันไม่สามารถพูดได้อย่างแน่นอน

สรุป: MC-LAG หรือ HSRP GARP

ฉันไม่เคยเป็นแฟนตัวจับเวลาที่ปรับแต่ง ตัวจับเวลาถูกตั้งค่าตามปกติด้วยเหตุผลหลายประการ ปรับเปลี่ยนพวกเขา:

• อาจต้องใช้ความพยายามอย่างมากในการบำรุงรักษาในที่เดียวกัน
• ทำให้สิ่งที่ซับซ้อนและยากขึ้นในการแก้ไขปัญหา
• ในฐานะผู้วิจารณ์คนล่าสุดแสดงให้เห็นว่าสามารถมีผลข้างเคียงที่ไม่คาดคิด
• อาจไม่ "เล่นได้ดี" พร้อมกับการปรับปรุงของ Cisco

อีกวิธีหนึ่งคือ:

1. ใช้ MC-LAG (aka "MEC" ในเอกสารประกอบของ Cisco) นี่คือตัวเลือกที่ดีที่สุดของคุณถึงแม้ว่าคุณควรเข้าใจสถานการณ์การปรับใช้ที่สามารถใช้ MC-LAG ได้ (ไม่ใช่โซลูชันสากลและควรปรับใช้หลังจากการวิจัยและการทดสอบที่เหมาะสมเท่านั้น) MC-LAG รุ่นต่างๆขึ้นอยู่กับฮาร์ดแวร์ ตัวอย่างคือ:

   ซ้อนกัน (Cat 3k)

   ข VSS (Cat4k / 6k)

   ค. VPC (Nexus)

   d หลอก mLACP (ASR1k)

   อี MC-LAG (ASR9k)

   ฉ การทำคลัสเตอร์ (ASA)

2. เปิดใช้งาน HSRP เป็นระยะ ๆ ส่งแพ็กเก็ต จริงอยู่สิ่งนี้คล้ายกับการเปลี่ยนตัวจับเวลา แต่มันเป็นการเปลี่ยนแปลงที่สง่างามกว่าการใช้ตาราง CAM และตัวจับเวลา ARP (โปรดทราบว่าสิ่งนี้ขึ้นอยู่กับการรวมกันของฮาร์ดแวร์และซอฟต์แวร์ของคุณ แต่การใช้งาน HSRP ไม่ได้มีให้ทั้งหมด)

   โดยค่าเริ่มต้น HSRP จะส่ง 3 GARPs ที่ 0, 2 และ 4 วินาทีหลังจากเราเตอร์กลายเป็นเกตเวย์การส่งต่อ อย่างไรก็ตามมีพารามิเตอร์การกำหนดค่าที่ให้คุณเลือกจำนวน GARP (รวมถึง "infinite") และช่วงเวลา

ฉันใช้ MC-LAG ค่อนข้างกว้างขวางโดยเฉพาะ VSS, VPC และการจัดกลุ่ม (ฉันไม่ใช่แฟนของการซ้อน)

ที่ฉันไม่สามารถใช้ MC-LAG หรือ GLBP นี่คือสิ่งที่ฉันสมัครกับเราเตอร์ขอบเขต L2 / L3 ของฉัน (ฉันมีวิทยาเขต 350 แห่งดังนั้นฉันจึงใช้ Cat6k ค่อนข้างหนัก):

Cat6k-v15(config)#interface vlan 100
Cat6k-v15(config-if)#standby arp ?
  gratuitous  Setup gratuitous ARP interval and count

Cat6k-v15(config-if)#standby arp gratuitous ?
  count     Set HSRP gratuitous ARP count
  interval  Set HSRP gratuitous ARP interval
  <cr>

Cat6k-v15(config-if)#standby arp gratuitous count ?
  <0-60>  Number of gratuitous ARPs to send after group is activated (0 for continuous)

Cat6k-v15(config-if)#standby arp gratuitous count 0 ?
  count     Set HSRP gratuitous ARP count
  interval  Set HSRP gratuitous ARP interval
  <cr>

Cat6k-v15(config-if)#standby arp gratuitous count 0 interval ?
  <3-1800>  Gratuitous ARP Interval (sec)

Cat6k-v15(config-if)#standby arp gratuitous count 0 interval 60 ?
  count     Set HSRP gratuitous ARP count
  interval  Set HSRP gratuitous ARP interval
  <cr>

Cat6k-v15(config-if)#standby arp gratuitous count 0 interval 60 

(ฉันจะโพสต์การอ้างอิงถึงสิ่งเหล่านี้ แต่ฉันไม่มี "ชื่อเสียง" สูงพอบนไซต์นี้เพื่อโพสต์ URL มากกว่าสองรายการ)

ฉันเพิ่งรู้ว่าความคิดเห็นดั้งเดิมของฉันนั้นถูกต้อง - แต่ไม่สมบูรณ์อย่างมาก คำแนะนำการออกแบบผู้ขายที่เป็นกลางคือการสร้างในรูปสามเหลี่ยมไม่ใช่รูปสามเหลี่ยม ดังนั้น:

1. ไม่ใช่แค่ MC-LAG แต่เป็น MC-LAG ที่เลเยอร์ทั้งสอง ถ้าอย่างนั้นคุณต้องจัดการกับตาราง CAM ที่ใช้ร่วมกันที่ระดับสวิตช์และระดับเราเตอร์

2. หากคุณไม่สามารถทำเช่นนั้น MC-LAG เราเตอร์หรือสวิตช์และ MC-LAG ไปยังชั้นอื่น ๆ พร้อมลิงก์เพิ่มเติม (เช่นเต็มตาข่ายระหว่างเราเตอร์และสวิตช์) STP จะรับประกันโทโพโลยีแบบวนซ้ำ

3. หากคุณไม่สามารถทำเช่นนั้นได้ให้เปลี่ยนเราเตอร์และสวิตช์แบบเต็มรูปแบบ STP จะรับประกันโทโพโลยีแบบวนรอบและตาราง CAM ของสวิตช์จะยังรู้กฎการส่งต่อ MAC ที่เหมาะสมทั้งหมด เซิร์ฟเวอร์จะส่งเป็น MAC เสมอและหากคุณกำหนดค่า HSRP GARP ในช่วงเวลา 1 นาทีสวิตช์จะไม่ลืม HSRP vMAC

ตัวเลือกที่ต้องการอยู่ในลำดับที่ แต่อย่างน้อยที่สุดให้ติดตั้งลิงก์คู่พิเศษนั้น