In deze blog wordt er een scenario toegelicht waarbij de inrichting van VRRP in combinatie met QinQ een belangrijke rol speelt.
VRRP is een technologie die de mogelijkheid biedt om een laag 3 (IP) gateway voor clients/endpoints hoog beschikbaar te maken. Dit maakt VRRP naast HSRP en GLBP één van de First Hop Redundancy Protocollen (FHRP). Door het gebruik van VRRP wordt de IP gateway functie in een ‘active-passive’ opzet geleverd door twee aparte netwerkcomponenten. Er is dus sprake van device redundantie waardoor bij uitval van één van de netwerkcomponenten, bijvoorbeeld door kapotte bekabeling of door een stroomuitval de IP gateway beschikbaar blijft. In zo’n geval zal de active-rol voor de gateway tussen de netwerkcomponenten verschuiven.
QinQ is een technologie die de mogelijkheid biedt om dezelfde VLANs te kunnen transporteren over een gedeelde infrastructuur, zonder dat dit met elkaar interfereert. QinQ wordt vaak gebruikt door een organisatie zoals een Service Provider die netwerk transport verzorgt, bijvoorbeeld tussen datacenters.
Figuur 1-1 – VRRP en QinQ
Waarom werkt VRRP zonder problemen in het geval dat dezelfde group wordt gebruikt tussen bijvoorbeeld 2 switches?
VRRP maakt gebruik van een virtual MAC-adres. Dit MAC-adres wordt mede bepaald door de gebruikte VRRP group. Met andere woorden: Als group 1 gebruikt wordt, zal dit altijd leiden tot hetzelfde virtual MAC-adres, tenzij deze wordt overschreven door daadwerkelijk handmatig aan te geven welk virtual MAC-adres gebruikt dient te worden.
Als een switch een besluit moet nemen om een frame te versturen, dan doet een switch dit op basis van MAC-adres. De switch houdt een tabel bij met daarin informatie over welke poort leidt naar welk MAC-adres. In het geval dat meerdere netwerken dezelfde VRRP group gebruiken, zal dit in theorie leiden tot problemen. Omdat er meerdere netwerken gebruik maken van hetzelfde MAC-adres voor verschillende gateways. In de praktijk zien we echter dat dit vaak foutloos verloopt. Dit komt doordat de meeste switches gebruik maken van ‘Independent VLAN learning’. Dit houdt in dat het besluit niet enkel wordt gebaseerd op MAC-adres maar ook op basis van de 802.1Q VLAN tag (figuur 1-2). Hierdoor kan dus hetzelfde MAC-adres vaker voorkomen in verschillende VLANs.
Waarom vormt dit dan toch een probleem in combinatie met QinQ als switches gebruik maken van IVL?
QinQ maakt gebruik maakt van ‘double tagged’ frames (figuur 1-3). Echter, wordt enkel de ‘Nested VLAN’ (ook wel ‘Service Provider VLAN’ genoemd) waarde in het frame gebruikt door de switches die de QinQ-tunnels verzorgen. Hierdoor is het mogelijk om dezelfde VLAN’s voor verschillende klanten te transporteren over de gedeelde infrastructuur. Doordat het VRRP MAC-adres bepaald wordt door het group-ID, kan het gebruik van hetzelfde group-ID leiden tot problemen. Als hetzelfde group-ID gebruikt wordt in verschillende VLANs, bestaat hetzelfde MAC-adres in verschillende VLANs. In combinatie met QinQ kan het voorkomen dat, zodra er 2 actieve VRRP groups actief zijn op verschillende locaties, dit kan leiden tot MAC-flapping. Dit komt doordat hetzelfde MAC-adres gebruikt wordt in combinatie met hetzelfde ‘serviceprovider’ VLAN.
Figuur 1-2 – IEEE 802.1Q frame
Figuur 1-3 – IEEE 802.1ad (QinQ) frame
Configuratie
Met de onderstaande configuratie kan het probleem worden nagebootst. Belangrijk is dat QinQ voor alle VLANs geldt. Met de onderstaande configuratie zullen er problemen worden ervaren met connectiviteit. Dit komt doordat er op de switches welke de QinQ verzorgen ‘MAC-flapping’ ontstaat. Dit probleem kan worden verholpen door de VRRP groups uniek te houden per interface VLAN.
Configuratie switch 1
interface vlan 10
ip address 10.10.10.1 255.255.255.0 vrrp 1 ip 10.10.10.254 vrrp priority 110 ! interface vlan 20 ip address 10.10.10.1 255.255.255.0 vrrp 1 ip 10.20.20.254 vrrp priority 120 |
Configuratie switch 2
interface vlan 10
ip address 10.10.10.2 255.255.255.0 vrrp 1 ip 10.10.10.254 vrrp priority 120 ! interface vlan 20 ip address 10.10.10.2 255.255.255.0 vrrp 1 ip 10.20.20.254 vrrp priority 110 |