“STP ( Spanning-Tree Protocol )” ve “EtherChannel” kullanarak Layer 2 katmanında yedekliliği sağlamıştık. Ama daha önce Layer 3 yedekliliği hakkında bahsetmemiştim. Bu makalemde Layer 3 yedekliliğini konu alacağım.
FHRP ( First Hop Redundancy Protocol ) aslında bir protokol değildir. FHRP protokolleri kapsayan ana isimdir. FHRP altında bahsedebileceğimiz dört farklı protokol bulunmaktadır. Bunlar;
- HSRP ( Hot Stand-by Router Protocol ) ~ Cisco
- VRRP ( Virtual Router Redundancy Protocol ) ~ Open-Standart
- GLBP ( Gateway Load Balancing Protocol ) ~ Cisco
- IRDP ( ICMP Router Redundancy Protocol ) ~ Open-Standart
Kritik network operasyonları için Layer 3 yedekliliğini sağlamamız gerekir. Router yedekliliği sağlanmazsa, herhangi bir sorunda farklı ağlara gidemeyiz. Bu makalemde HSRP protokolünün üzerinde duracağım.
HSRP ile ilgili detaylara girmeden önce “Layer-3” yedekliliğinin öneminden bahsedeceğim.
Yandaki görsele baktığımızda PC-1 cihazı, Server cihazı ile iletişime geçmek istiyor. Ancak PC-1 cihazı, yönlendiricisi ile olan bağlantısını kaybetti. Bu durumda, eğer “Layer-3” yedekliliği yapılmamışsa “PC-1”, Server cihaza ulaşamayacak. Eğer burada Layer-3 yedekliliği yaparsak “Router-1” cihazı ile “Router-2” cihazı sürekli haberleşme içerisinde olacak. Bu haberleşme ile “Router-2” cihazı “Router-1” cihazının yönlendirme yapamadığını anlayacak ve tüm network trafiğini üzerine alarak ağın devamlılığını sürdürecek.
Bu yedekliliği sağlamak için de yukarıda belirttiğim protokollerden birini kullanacağız.
Yukarıdaki topolojiye baktığımızda “Router1” cihazı, ağdaki cihazların “Yönlendiricisi” konumundadır. “Router2” ise bu ağda yedeklilik için hazır beklemektedir. Layer-3 yedekliliği için öncelikle bir “Virtual IP” adresi belirlenir. Bunun sebebi örneğin cihazlar DHCP‘den IP adresi, DG, Subnet Maskesi ve DNS gibi bilgileri alıyorlar. Eğer DHCP sunucusunda yönlendirici IP adresi için “172.16.10.2” adresini belirtirsek, herhangi bir sorun durumunda cihazlar “172.16.10.3” yani yedek router cihazına geçiş yapamayacaktır. Bu sebeple bir sanal IP adresi belirlenir ve bu adres hem “Router-1” hem de “Router-2” için tanımlanır. Bunlara ek olarak bir de “Virtual MAC” adresi belirlememiz gerekmektedir. Bunun sebebi cihaz ikinci katmanda “MAC” adreslerini kullanarak haberleşir. ARP sorgusu yapılarak IP adresinden MAC adresleri öğrenilir. Sanal MAC adresi olmasaydı cihaz sadece spesifik bir MAC adresi öğrenecekti. Örneğimize baktığımızda bu MAC adresi “172.168.10.2” yani “Router-1” cihazının “MAC” adresini öğrenmiş olacaktı. Kısaca “Switch” cihazı çerçeveleri yalnızca bir cihaza iletecekti. “Sanal MAC” adresi ile beraber bu sorun ortadan kalkmış oldu. Oluşturulan Sanal MAC adresi her iki cihazda da aynı olacak bu sayede ağda herhangi bir sorun olmayacak.
Yönlendiricilerin alabileceği iki farklı durum bulunmaktadır. Bunlardan birincisi “Active” ikincisi ise “Passive” cihazdır. “Active” cihaz trafiği üstüne alır ve yönlendirmeyi yapar. “Passive” cihaz ise beklemededir. “Passive” cihazın aktif olması için güncel aktif cihazın yönlendirmede sorun yaşaması gerekir. Active cihaz ile Passive cihaz arasında sürekli haberleşme vardır. Haberleşme sürecinde “Active” cihaz, “Passive” cihaz ile belli bir süre haberleşemezse, “Passive” cihaz, “Active” cihazın yönlendirmede sorun yaşadığını ve trafiği üstüne alması gerektiğini anlar ve trafiği belli bir süre sonra üstüne alır. Bu süre HSRP’de 10 saniyedir. VRRP’de ise 2 saniyedir. HSRP protokolünün geçiş süresi uzun görünebilir, ancak konfigürasyon yapılarak bu süre düşürülebilir.
HSRP ( Hot Stand-by Router Protocol ) Cisco tarafından geliştirilen “Layer-3” yedekliliği için kullanılan bir protokolüdür. HSRP protokolünün iki farklı versiyonu bulunmaktadır. HSRP iletişiminde UDP 1985 portunu kullanılır. HSRP protokolünde yalnızca bir adet “YEDEK” cihaz bulunabilir. VRRP protokolünde yedek cihaz sınırı bulunmamaktadır.
“HSRPv1” sadece “IPv4” desteği sunmaktadır. 0-255 arasında grup numaraları kullanılabilir. Ayrıca MD5 doğrulama özelliği bulunmamaktadır. MD5 doğrulama özelliği çok önemlidir çünkü siber saldırganlar “HSRP” protokolünü kullanarak saldırı yapabilmektedir. Daha sonraki makalelerimde bu konuya değineceğim.
“HSRPv2” ye baktığımızda grup numaralarının 0-4095 arasında olduğunu görebiliriz. Ayrıca “IPv6” desteği de V2 ile birlikte getirilmiştir. Bununla birlikte “MD-5” doğrulama özelliği de “V2” ile birlikte getirilmiştir. Kurumsal ağlarda “HSRPv2” tercih edilmelidir.
HSRP konfigürasyonu yapıldığı zaman cihazlar birbirleriyle haberleşirler ve 3 saniyede bir “Hello” paketi yollarlar. Mesajlaşma sürecinde “Active” ve “Passive” cihaz belli kriterlere göre tanımlanır.
Konuyu daha iyi anlamak için bir uygulama yapalım. Uygulamamızda aşağıdaki topolojiyi kullanacağım.
Öncelikle bilgisayarlara “IP adreslerini tanımlayalım.
Karışıklık olmaması için ilk başta “Network-1” ile ilgili konfigürasyonu her iki “Router” üzerinde yapacağım.
Öncelikle “Router-1” üzerinde başlayalım.
Router-1(config)# interface gigabitEthernet 0/0
Router-1(config-if)# ip address 192.168.1.254 255.255.255.0
Router-1(config-if)# standby 1 ip 192.168.1.1
Router-1(config-if)# standby 1 preempt
Router-1(config-if)# standby 1 priority 101
Router-1(config-if)# standby track gigabitEthernet 0/1
Router-1(config-if)# exitŞimdi komutları tek tek açıklayalım.
“Router-1(config)# interface gigabitEthernet 0/0” bu komutu kullanarak ilgili arayüze giriş yapıyoruz.
“Router-1(config-if)# ip address 192.168.1.254 255.255.255.0” bu komut ile birlikte ilgili arayüze gerçek “IP” adresini tanımlıyoruz.
“Router-1(config-if)# standby 1 ip 192.168.1.1 ” Sanal IP ve Sanal MAC adresi tanımı, GRUP numaraları ile SANAL MAC adresi oluşturulur. Bu sebeple karşılıklı olarak routerlarda aynı olmalıdır.
“Router-1(config-if)# standby 1 preempt” “preempt” komutu örneğin “Active” cihazda bir sorun oldu ve yönlendirme yapamıyor. Bu durumda belli bir süre sonra “Passive” cihaz “Active” durumuna geçecektir. Eğer “Active” cihazın sorunu çözülüp tekrar yönlendirme yapacak duruma gelirse bu komutu çalıştırmazsak “Passive” durumunda kalacaktır. Eğer “Passive” durumunda kalmasını istemiyorsak bu komutu çalıştırabiliriz. Bu durumda ilk durumdaki “Active” cihaz “Passive” durumdan tekrar “Active” durumuna geçecektir ve trafiği üzerine alacaktır.
“Router-1(config-if)# standby 1 priority 101” “Priority” değerini daha önceki makalelerimde çok fazla değinmiştim. Eğer bir komutta “Priority” veya “Öncelik” numarası varsa, ağ yöneticisine esneklik sağlamak için oradadır. Priority değeri “default” olarak “100” dür. Bu değer arttırılarak “Active” cihaz belirlenebilir. Eğer her iki cihaz için bu değer 100 ise aktif cihaz, IP adresi büyük olan cihaz seçilir.
“Router-1(config-if)# standby track gigabitEthernet 0/1 50” bu komut farklı networkler içindir. Örneğin haberleşme yerelde düzgün çalışıyor ancak farklı networke giderken sorun yaşıyoruz. Bu durumda “Router” cihazının diğer arayüzü izlenir ve bir sorun tespit edilirse “Priority” değeri belirtilen değer kadar düşürülür. Sonuç olarak düşen öncelik numarasından dolayı “Passive” cihaz “Active” cihaz konumuna geçer. ( Komutta 50 değeri belirtilmedi çünkü “Packet Tracer” desteklemiyor. Ama gerçek bir Routerda komut bu şekilde yazılmalıdır. )
“Router-1(config-if)# standby version 2” Bu komut çalıştırılarak “HSRPv2” kullanılabilir.
Şimdi aynı işlemi “Network-1” için Router-2 cihazı üzerinde gerçekleştirelim.
Router-2(config)# interface gigabitEthernet 0/0
Router-2(config-if)# ip address 192.168.1.253 255.255.255.0
Router-2(config-if)# standby 1 ip 192.168.1.1
Router-2(config-if)# standby 1 preempt
Router-2(config-if)# standby 1 priority 100
Router-2(config-if)# standby 1 track gigabitEthernet 0/1
Router-2(config-if)# exitNetwork-1 için “Router-1” ve “Router-2” konfigürasyonlarına baktığımızda “Aktif” cihazın, “Router-1” olduğunu görebiliriz. Şimdi her iki “Router” üzerinde ilgili portları açalım.
Router-1(config)# interface gigabitEthernet 0/0
Router-1(config-if)# no shutdown
Router-1(config-if)# exit
Router-2(config)# interface gigabitEthernet 0/0
Router-2(config-if)# no shutdown
Router-2(config-if)# exitPortlar açıldıktan sonra “HSRP” kontrol komutlarını kullanarak hangi cihazın “Active” hangi cihazın “Passive” olduğunu kontrol edelim.
Kontrol için aşağıdaki komutu kullanabiliriz.
Router-1# show standby brief
Router-1 üzerinde çıktıya baktığımızda “GigabitEthernet 0/0” portu üzerinde bir “HSRP” konfigürasyonunun yapıldığını, grup numarasının “1” olduğunu, “Priority” değerinin “100” olduğunu ( normalde 101 yaptık ancak Cisco Packet Tracer ile ilgili bir sorun ) “Preempt” açık olduğunu, cihazın aktif cihaz olduğunu “Stand-by” cihazın Router-2 cihazı olduğunu ve sanal IP adresini görüntüleyebiliyoruz.
Şimdi de “Network-2” için aynı işlemleri uygulayalım.
Router-1(config)# interface gigabitEthernet 0/1
Router-1(config-if)# ip address 192.168.2.254 255.255.255.0
Router-1(config-if)# standby 2 ip 192.168.2.1
Router-1(config-if)# standby 2 preempt
Router-1(config-if)# standby 2 priority 101
Router-1(config-if)# standby 2 track gigabitEthernet 0/0
Router-1(config-if)# exitRouter-2(config)# interface gigabitEthernet 0/1
Router-2(config-if)# ip address 192.168.2.253 255.255.255.0
Router-2(config-if)# standby 2 ip 192.168.2.1
Router-2(config-if)# standby 2 preempt
Router-2(config-if)# standby 2 priority 100
Router-2(config-if)# standby 2 track gigabitEthernet 0/0
Router-2(config-if)# exitKonfigürasyondan sonra her iki yönlendirici de ilgili portu açalım.
Router-1(config)# interface gigabitEthernet 0/1
Router-1(config-if)# no shutdown
Router-1(config-if)# exit
Router-2(config)# interface gigabitEthernet 0/1
Router-2(config-if)# no shutdown
Router-2(config-if)# exitBu makalemde “HSRP” protokolünü kullanarak “Layer3” yedekliliğini sağladık. Daha sonraki makalelerimde diğer “FHRP” protokollerine değineceğim.
Daha fazla bilgisayar ağları içeriği için takipte kalın…
Bir yanıt bırakın