Пример опыта при интеграции оборудования вендоров Cisco и Huawei. Хочу заметить, что в случае, когда инженеры сидят рядом и согласованно производят какие-либо действия, то проблема такого плана скорее всего не возникнет. Но, как это часто бывает, обычно происходит следующим образом. Кто-то разрабатывает дизайн сети и отсылает эту информацию представителям компаний. И инженер, имея на руках IP план и функционал, который нужно прописать, делает настройки на оборудовании. В итоге, когда обе стороны сделали настройки, и сеть работает, но не стабильно, начинается переписка и метание палок друг в друга.
В данном примере рассмотрен случай, где необходимо сделать интеграцию по следующей схеме:
Задача проста — оборудование должно отрабатывать защиту с помощью виртуального IP адреса с каждой стороны.
Настройки с каждой стороны предельно просты, но по факту, после настройки, получается следующее. Линки в состоянии UP, никаких аварий маршрутизаторы не выдают, полезная нагрузка, то есть трафик ходит и все сервисы, для которых связь обеспечивается через данный узел, работают. Но примерно через каждые 30 секунд виртуальный адрес «прыгает» с одного интерфейса на другой. Это видно из лога, на изображении ниже.
Такого, естественно, быть не должно, и интерфейс с активным адресом должен быть один и тот же постоянно до тех пор пока его что-либо не повредит.
Причина такой работы в следующем. На Cisco поднимается протокол HSRP. Один из параметров, который используются в HSRP, это group ID, необходим для идентификации виртуального адреса. Это означает, что каждый физический адрес может поддерживать несколько виртуальных адресов. На оборудовании Huawei, а конкретно на Quidway s3300 есть возможность настроить протокол VRRP, который поддерживает только один виртуальный адрес. Таким образом он не оперирует таким параметром, как group ID.
После каждой инициализации идентификации, передаваемой от Cisco на каждом из двух интерфейсов, Huawei воспринимал информацию не как служебную, а как полезную нагрузку в силу того, что не понимал параметр group ID. Как результат, Huawei «думал», что работающий интерфейс это тот интерфейс, где сейчас полезная нагрузка и переключал туда виртуальный адрес.
Решение проблемы простое. Необходимо деактевировать HSRP на Cisco. В этом случае интерфейсы работают постоянно и защита отрабатывается стабильно. При обратной ситуации, т.е, при деактивации VRRP на Huawei и оставлении HSRP на Cisco, защита отрабатывается некорректно.
В данном примере рассмотрен случай, где необходимо сделать интеграцию по следующей схеме:
Задача проста — оборудование должно отрабатывать защиту с помощью виртуального IP адреса с каждой стороны.
Настройки с каждой стороны предельно просты, но по факту, после настройки, получается следующее. Линки в состоянии UP, никаких аварий маршрутизаторы не выдают, полезная нагрузка, то есть трафик ходит и все сервисы, для которых связь обеспечивается через данный узел, работают. Но примерно через каждые 30 секунд виртуальный адрес «прыгает» с одного интерфейса на другой. Это видно из лога, на изображении ниже.
Такого, естественно, быть не должно, и интерфейс с активным адресом должен быть один и тот же постоянно до тех пор пока его что-либо не повредит.
Причина такой работы в следующем. На Cisco поднимается протокол HSRP. Один из параметров, который используются в HSRP, это group ID, необходим для идентификации виртуального адреса. Это означает, что каждый физический адрес может поддерживать несколько виртуальных адресов. На оборудовании Huawei, а конкретно на Quidway s3300 есть возможность настроить протокол VRRP, который поддерживает только один виртуальный адрес. Таким образом он не оперирует таким параметром, как group ID.
После каждой инициализации идентификации, передаваемой от Cisco на каждом из двух интерфейсов, Huawei воспринимал информацию не как служебную, а как полезную нагрузку в силу того, что не понимал параметр group ID. Как результат, Huawei «думал», что работающий интерфейс это тот интерфейс, где сейчас полезная нагрузка и переключал туда виртуальный адрес.
Решение проблемы простое. Необходимо деактевировать HSRP на Cisco. В этом случае интерфейсы работают постоянно и защита отрабатывается стабильно. При обратной ситуации, т.е, при деактивации VRRP на Huawei и оставлении HSRP на Cisco, защита отрабатывается некорректно.