Articles

Jak nakonfigurovat HSRP na směrovači Cisco (s laboratoří GNS3)

On 23 ledna, 2022 by

Hot Standby Routing Protocol neboli HSRP je proprietární protokol společnosti Cisco, který umožňuje dvěma nebo více směrovačům spolupracovat a reprezentovat jednu IP adresu pro určitou síť. HSRP, stejně jako protokol VRRP (Virtual Route Redundancy Protocol), jsou považovány za síťové služby s vysokou dostupností, které umožňují téměř okamžité přepnutí na sekundární rozhraní při nedostupnosti primárního rozhraní. Konfigurace HSRP může být někdy složitá, proto se tento článek bude zabývat základními body a také představí laboratoř GNS3.

HSRP je jedním z tzv. protokolů FHRP neboli „First Hop Redundancy Protocols“. Více informací o FHRP si můžete přečíst v tomto novém článku.

HSRP je poměrně jednoduchý koncept, který funguje tak, že jeden směrovač v rámci skupiny HSRP je vybrán jako primární neboli aktivní směrovač. Tento primární směrovač bude zpracovávat všechny požadavky na směrování, zatímco ostatní směrovače v rámci skupiny HSRP budou jednoduše čekat v pohotovostním stavu. Tyto pohotovostní směrovače zůstávají připraveny převzít veškerou provozní zátěž, pokud se primární směrovač stane nedostupným. V tomto scénáři poskytuje HSRP vysokou dostupnost sítě, protože směruje přenosy IP bez závislosti na jediném směrovači.

Chcete-li se opravdu ponořit do podrobností o HSRP, přečtěte si RFC 2281, kde najdete všechny podrobnosti o vnitřním fungování tohoto široce používaného protokolu.

Hostitelé, kteří používají adresu HSRP jako bránu, nikdy neznají skutečnou fyzickou adresu IP nebo MAC směrovačů ve skupině. Ostatní hostitelé v síti znají pouze virtuální adresu IP, která byla vytvořena v rámci konfigurace HSRP spolu s virtuální adresou MAC.

Základní konfigurace HSRP

Předtím, než probereme pokročilejší koncepty HSRP, vytvoříme základní konfiguraci HSRP, abychom si udělali představu o tom, jak to celé funguje. Pro tento scénář použijeme níže uvedenou topologii:

Základní konfigurace HSRP

Nastavení topologie GNS3 vypadá takto:

Nastavení topologie GNS3

Skládá se pouze ze dvou směrovačů (R1 a R2), které fungují jako výchozí brána pro síť 192.168.1.0/24. V případě, že se jedná o výchozí bránu pro síť 192.168.1.0/24, je možné, že se jedná o výchozí bránu. V daném okamžiku bude aktivní pouze jeden z těchto směrovačů s virtuální IP adresou 192.168.1.1. To znamená, že všechna zařízení v segmentu 192.168.1.0/24 (např. PC1) budou nakonfigurována s touto virtuální adresou IP.

Poznámka: Mějte na paměti, že jeden nebo oba tyto směrovače mohou být také vícevrstvé přepínače, například Cisco 6509 nebo 3750. Pro tuto diskusi je však označujme pouze jako směrovače.

Pro základní konfiguraci HSRP je třeba provést následující kroky:

  • Konfigurujte normální IP adresu na rozhraní (nesmí být stejná jako virtuální IP adresa HSRP)
  • Zprovozněte rozhraní (bez vypnutí)
  • Konfigurujte skupinu HSRP a virtuální IP adresu pomocí příkazu standby

V tomto příkladu jsme nakonfigurovali skupinu HSRP „1“. Číslo této skupiny může být libovolné v rozmezí 0 až 255 (HSRP verze 1) a jediným požadavkem je, že musíte použít stejné číslo u všech zařízení ve stejné skupině HSRP.

Příkazem show standby můžeme zjistit stav naší konfigurace HSRP.
R1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:23:53
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.852 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.12, priority 100 (expires in 7.452 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)
R1#

R2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 00:23:59
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.340 secs
Preemption disabled
Active router is 192.168.1.11, priority 100 (expires in 7.920 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Všimněte si, že R1 je aktivní směrovač, zatímco R2 je v pohotovostním režimu. V ideálním případě bude při stejné prioritě zvolen aktivní směrovač s nejvyšší adresou IP. Nejprve jsem však nakonfiguroval směrovač R1 a ten se stal aktivním dříve, než se zapojil R2. Protože má R2 stejnou prioritu jako R1, R2 se nestane aktivním, i když má vyšší adresu IP (192.168.1.12 > 192.168.1.11).

O prioritě a preempci budeme hovořit později v tomto článku.

Poznámka: Při odpovídání traceroute se používá adresa IP fyzického rozhraní, nikoli virtuální adresa IP. Více informací najdete na tomto odkazu.

Všimněte si, jak provoz proudí přes R2 (192.168.1.12). Když znovu zkontrolujeme příkaz show standby, vidíme, že R2 je nyní aktivní směrovač:
R2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.152 secs
Preemption disabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Směrování s HSRP

Rozhodl jsem se udělat malou odbočku a pohovořit o směrování, když je nakonfigurováno HSRP. Je třeba si uvědomit několik věcí:

  1. Směrovky nejsou mezi směrovači HSRP replikovány. To znamená, že R1 a R2 musí (každý zvlášť) vědět, jak se dostat do sítě 8.8.8.8 použité v našem příkladu. V našem případě toho dosáhneme konfigurací výchozí trasy do 192.0.2.1 (EXT_RTR) na směrovači R1 i R2.
  2. Přestože provoz z PC1 do 8.8.8.8 bude proudit přes aktivní směrovač HSRP, bude problém se zpětným provozem. Protože směrování probíhá na základě cíle (ve výchozím nastavení), bude EXT_RTR konzultovat svou směrovací tabulku, jak předat odpověď z 8.8.8.8 do PC1 (192.168.1.100). Podle toho, jak to nakonfigurujete, EXT_RTR vždy použije R1, vždy použije R2 nebo použije R1 i R2. To může vést k asymetrickému směrování a/nebo blackholingu provozu. Jedním ze způsobů, jak tento problém obejít, je nakonfigurovat NAT, ale to je nad rámec tohoto článku. Pro tento článek jsem nakonfiguroval dvě statické trasy pro síť 192.168.1.0/24 na EXT_RTR: jednu směřující na R1 a druhou směřující na R2. To znamená, že EXT_RTR vyrovnává zátěž mezi R1 a R2.

Priorita HSRP: Řízení aktivního směrovače

Existují další hodnoty HSRP, které budete muset čas od času změnit, abyste zajistili úplnou kontrolu nad síťovým provozem. Co kdybychom například chtěli, aby byl aktivním směrovačem R1 místo R2? Chcete-li donutit určitý směrovač, aby byl aktivním směrovačem ve skupině HSRP, budete muset použít příkaz priority.

Výchozí priorita je 100. Pokud chcete, aby byl směrovač R1 aktivní, musíte použít příkaz priority. Vyšší priorita určí, který směrovač bude aktivní. Pokud mají oba směrovače nastavenou stejnou prioritu, bude aktivní směrovač, který se objeví jako první.

Poznámka: I když jsme zvýšili prioritu směrovače R1, zůstane v pohotovostním režimu, protože je zakázána preempce. O preempci si povíme příště.

HSRP Preempt: V našem výše uvedeném scénáři se v případě selhání R1 stane R2 aktivním, jak jsme viděli. To je dokonalé! Pokud se však R1 obnoví a vrátí se do provozu, R2 zůstane nadále aktivní. To nemusí být preferované chování. V některých případech můžete chtít, aby byl R1 ve skupině HSRP vždy v aktivním stavu. Společnost Cisco poskytuje způsob, jak toto řídit pomocí příkazu preempt. Příkaz Preempt nutí směrovač, aby byl aktivní i po zotavení z poruchy.

Pokročilá konfigurace HSRP – Vyrovnávání zátěže

Takže nyní vidíte, jak skvělé je HSRP a jak nám umožňuje mít vysokou dostupnost mezi více směrovači pro jednu síť. Ale naše záložní směrovače nic nedělají a jen tam tak sedí! V závislosti na modelu směrovače, který používáte, to může být spousta peněz, které jen nečinně sedí.

Poznámka: Je také důležité mít na paměti, že pokud se něco stane jednomu ze zařízení ve dvojici s vysokou dostupností, pak by druhé zařízení mělo být schopno zvládnout zatížení sítě.

Pro vyřešení tohoto problému můžeme nakonfigurovat HSRP tak, aby se zátěž mezi směrovači vyrovnávala. To nám nepomůže u jedné skupiny HSRP, ale u více skupin HSRP můžeme zátěž rozložit a nechat každou skupinu HSRP aktivní na různých směrovačích.

Konfigurací více skupin HSRP na jednom rozhraní lze dosáhnout vyrovnávání zátěže HSRP.

Pro náš příklad přidáme do laboratorní sestavy počítač PC2. Pro vysvětlení budeme skupinu HSRP 1 nazývat „síť-jednička“ a skupinu HSRP 2 „síť-dvojka“. R1 bude aktivní pro síť-jedna, zatímco R2 bude aktivní pro síť-dva. To znamená, že R1 bude v pohotovostním režimu pro síť-dva, zatímco R2 bude v pohotovostním režimu pro síť-jedna.

Úplná konfigurace na R1 je následující:
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 name network-two

Úplná konfigurace na R2 je následující:
interface FastEthernet0/0
ip address 192.168.1.12 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 priority 200
standby 2 preempt
standby 2 name network-two

Tato konfigurace nám umožní, aby každý směrovač pracoval pro nás a předával pakety, abychom co nejlépe využili investice do našeho síťového vybavení. Přidali jsme také příkaz pro název skupiny HSRP, který nám pomůže lépe popsat jednotlivé skupiny HSRP. To může být záchranou, pokud máte několik skupin HSRP, které potřebujete sledovat.

Všimněte si, že PC1 používá R1, zatímco PC2 používá R2. Vyrovnávání zátěže bylo dosaženo!

Ještě jedna poznámka k pohotovostním skupinám HSRP. Můžete mít více rozhraní a sítí nakonfigurovaných pomocí stejného čísla pohotovostní skupiny, pokud je potřebné chování při selhání stejné.

Jestliže však potřebujete mít odlišné chování, to znamená jinou prioritu, preempt atd. (jak je vidět v našem scénáři s vyrovnáváním zátěže výše), pak je třeba vytvořit samostatnou skupinu.

Obvyklé problémy s HSRP

Na závěr tohoto článku o HSRP v krátkosti upozorníme na některé běžné problémy s HSRP. To může sloužit jako jakýsi kontrolní seznam při řešení problémů s HSRP. Mezi tyto problémy patří:

  • Směrovače HSRP nejsou ve stejném segmentu sítě.
  • Směrovače HSRP nejsou nakonfigurovány s adresami IP ze stejné podsítě.
  • Problémy s konfigurací HSRP, jako jsou pohotovostní skupiny a virtuální adresy IP, které se na směrovačích HSRP neshodují.

Závěr

V tomto článku toho bylo popsáno mnohem více, včetně:

  • Hlubšího vhledu do fungování HSRP
  • Sledování rozhraní
  • Ověřování

Prozatím jsme vám chtěli poskytnout dobré základy pro konfiguraci HSRP na směrovači Cisco.

  • .

    • Napsat komentář

    Vaše e-mailová adresa nebude zveřejněna.