Articles

How to Configure HSRP on a Cisco Router (with GNS3 lab)

On Januar 23, 2022 by

Hot Standby Routing Protocol oder HSRP, ist ein Cisco-eigenes Protokoll, das es zwei oder mehr Routern erlaubt, zusammenzuarbeiten, um eine einzige IP-Adresse für ein bestimmtes Netzwerk zu repräsentieren. HSRP sowie das Virtual Route Redundancy Protocol (VRRP) gelten als hochverfügbare Netzwerkdienste, die einen fast sofortigen Failover auf eine sekundäre Schnittstelle ermöglichen, wenn die primäre Schnittstelle nicht mehr verfügbar ist. Die HSRP-Konfiguration kann manchmal knifflig sein, daher wird dieser Artikel die grundlegenden Punkte abdecken und auch ein GNS3-Labor vorstellen.

HSRP ist eines der so genannten FHRP oder „First Hop Redundancy Protocols“. Sie können mehr über FHRP in diesem neuen Artikel lesen.

HSRP ist ein recht einfaches Konzept, das so funktioniert, dass ein Router innerhalb einer HSRP-Gruppe als primärer oder aktiver Router ausgewählt wird. Dieser primäre Router bearbeitet alle Routing-Anfragen, während die anderen Router innerhalb der HSRP-Gruppe einfach in einem Standby-Zustand warten. Diese Standby-Router bleiben bereit, die gesamte Verkehrslast zu übernehmen, wenn der primäre Router nicht mehr verfügbar ist. In diesem Szenario bietet HSRP eine hohe Netzverfügbarkeit, da es den IP-Verkehr leitet, ohne von einem einzigen Router abhängig zu sein.

Wer sich wirklich mit den Feinheiten von HSRP befassen möchte, findet in RFC 2281 alle Einzelheiten über die Funktionsweise dieses weit verbreiteten Protokolls.

Die Hosts, die die HSRP-Adresse als Gateway verwenden, kennen niemals die tatsächliche physische IP- oder MAC-Adresse der Router in der Gruppe. Nur die virtuelle IP-Adresse, die in der HSRP-Konfiguration zusammen mit einer virtuellen MAC-Adresse erstellt wurde, ist anderen Hosts im Netzwerk bekannt.

Grundlegende HSRP-Konfiguration

Bevor wir fortgeschrittenere HSRP-Konzepte diskutieren, lassen Sie uns eine grundlegende HSRP-Konfiguration erstellen, um eine Vorstellung davon zu bekommen, wie das alles funktioniert. Für dieses Szenario verwenden wir die unten gezeigte Topologie:

Grundlegende HSRP-Konfiguration

Das GNS3-Topologie-Setup sieht wie folgt aus:

GNS3-Topologie-Setup

Es besteht aus nur zwei Routern (R1 und R2), die als Standard-Gateway für das 192.168.1.0/24-Netzwerk fungieren. Nur einer dieser Router ist zu einem bestimmten Zeitpunkt aktiv und hat die virtuelle IP-Adresse 192.168.1.1. Das bedeutet, dass alle Geräte im Segment 192.168.1.0/24 (z. B. PC1) mit dieser virtuellen IP-Adresse konfiguriert werden.

Hinweis: Denken Sie daran, dass einer oder beide dieser Router auch Multilayer-Switches wie ein Cisco 6509 oder 3750 sein könnten. Aber für diese Diskussion wollen wir sie einfach als Router bezeichnen.

Um eine grundlegende HSRP-Konfiguration zu erreichen, müssen Sie Folgendes tun:

  • Konfigurieren Sie die normale IP-Adresse auf der Schnittstelle (kann nicht dieselbe sein wie die virtuelle HSRP-IP)
  • Starten Sie die Schnittstelle (kein Shutdown)
  • Konfigurieren Sie die HSRP-Gruppe und die virtuelle IP-Adresse mit dem Standby-Befehl

In diesem Beispiel haben wir eine HSRP-Gruppe „1“ konfiguriert. Diese Gruppennummer kann eine beliebige Zahl zwischen 0 und 255 (HSRP Version 1) sein, und die einzige Anforderung ist, dass Sie dieselbe Nummer für alle Geräte in derselben HSRP-Gruppe verwenden müssen.

Wir können den Befehl show standby verwenden, um den Status unserer HSRP-Konfiguration zu sehen.
R1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:23:53
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.852 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.12, priority 100 (expires in 7.452 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)
R1#

R2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 00:23:59
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.340 secs
Preemption disabled
Active router is 192.168.1.11, priority 100 (expires in 7.920 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Beachten Sie, dass R1 der aktive Router ist, während R2 auf Standby ist. Idealerweise wird bei gleicher Priorität der Router mit der höchsten IP-Adresse zum aktiven Router gewählt. Ich habe jedoch R1 zuerst konfiguriert und er wurde aktiv, bevor R2 an Bord kam. Da R2 die gleiche Priorität wie R1 hat, wird R2 nicht aktiv, obwohl er eine höhere IP-Adresse hat (192.168.1.12 > 192.168.1.11).

Wir werden später in diesem Artikel über Priorität und Vorkaufsrecht sprechen.

Hinweis: Bei der Beantwortung von Traceroute wird die IP-Adresse der physischen Schnittstelle verwendet, nicht die virtuelle IP-Adresse. Weitere Informationen finden Sie unter diesem Link.

Beachten Sie, wie der Verkehr durch R2 (192.168.1.12) fließt. Wenn wir den Befehl show standby erneut aufrufen, sehen wir, dass R2 jetzt der aktive Router ist:
R2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.152 secs
Preemption disabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Routing mit HSRP

Ich habe beschlossen, einen kleinen Umweg zu machen, um über Routing zu sprechen, wenn HSRP konfiguriert ist. Es gibt ein paar Dinge zu beachten:

  1. Routen werden nicht zwischen HSRP-Routern repliziert. Das bedeutet, dass R1 und R2 (einzeln) wissen müssen, wie sie das in unserem Beispiel verwendete Netz 8.8.8.8 erreichen können. In unserem Fall erreichen wir dies, indem wir sowohl auf R1 als auch auf R2 eine Standardroute zu 192.0.2.1 (EXT_RTR) konfigurieren.
  2. Auch wenn der Verkehr von PC1 zu 8.8.8.8 durch den aktiven HSRP-Router fließt, wird der Rückverkehr ein Problem darstellen. Da das Routing (standardmäßig) auf der Grundlage des Ziels erfolgt, wird EXT_RTR seine Routing-Tabelle konsultieren, um zu ermitteln, wie die Antwort von 8.8.8.8 an PC1 (192.168.1.100) weitergeleitet werden soll. Je nachdem, wie Sie dies konfigurieren, wird EXT_RTR immer R1, immer R2 oder sowohl R1 als auch R2 verwenden. Dies kann zu asymmetrischem Routing und/oder Blackholing des Datenverkehrs führen. Eine Möglichkeit, dieses Problem zu umgehen, ist die Konfiguration von NAT, aber das würde den Rahmen dieses Artikels sprengen. Für diesen Artikel habe ich zwei statische Routen für das 192.168.1.0/24-Netzwerk auf EXT_RTR konfiguriert: eine, die auf R1 zeigt, und eine, die auf R2 zeigt. Das bedeutet, dass EXT_RTR einen Lastausgleich zwischen R1 und R2 herstellt.

HSRP Priority: Steuerung des aktiven Routers

Es gibt noch weitere HSRP-Werte, die Sie von Zeit zu Zeit ändern müssen, um die vollständige Kontrolle über Ihren Netzwerkverkehr zu gewährleisten. Was wäre zum Beispiel, wenn R1 anstelle von R2 der aktive Router sein soll? Um einen bestimmten Router zum aktiven Router in einer HSRP-Gruppe zu machen, müssen Sie den Befehl priority verwenden.

Die Standardpriorität ist 100. Die höhere Priorität bestimmt, welcher Router aktiv ist. Wenn beide Router auf die gleiche Priorität eingestellt sind, ist der erste Router der aktive Router.

Anmerkung: Obwohl wir die Priorität von R1 erhöht haben, bleibt er im Standby-Modus, da die Präemption deaktiviert ist. Wir werden als nächstes über Preemption sprechen.

HSRP Preempt: Fail-Back vermeiden

Wenn in unserem obigen Szenario R1 ausfällt, wird R2 aktiv, wie wir gesehen haben. Das ist perfekt! Aber wenn R1 wieder in Betrieb geht, wird R2 weiterhin aktiv bleiben. Dies ist vielleicht nicht das bevorzugte Verhalten. Es kann vorkommen, dass Sie möchten, dass R1 in der HSRP-Gruppe immer aktiv ist. Cisco bietet eine Möglichkeit, dies mit dem Befehl preempt zu steuern. Preempt zwingt einen Router, nach der Wiederherstellung von einem Ausfall aktiv zu sein.

Erweiterte HSRP-Konfiguration – Lastausgleich

So, jetzt können Sie sehen, wie großartig HSRP ist und wie es uns ermöglicht, hohe Verfügbarkeit zwischen mehreren Routern für ein einzelnes Netzwerk zu haben. Aber unsere Standby-Router tun gar nichts und sitzen einfach nur da! Je nach Routermodell, das Sie verwenden, kann dies eine Menge Geld kosten, das einfach nur herumliegt.

Hinweis: Es ist auch wichtig zu bedenken, dass, wenn einem der Geräte in einem Hochverfügbarkeitspaar etwas passiert, das andere Gerät in der Lage sein sollte, die Netzwerklast zu bewältigen.

Um dieses Problem zu lösen, können wir HSRP so konfigurieren, dass die Last zwischen den Routern ausgeglichen wird. Dies hilft uns nicht bei einer einzelnen HSRP-Gruppe, aber bei mehreren HSRP-Gruppen können wir die Last verteilen und jede HSRP-Gruppe auf verschiedenen Routern aktiv sein lassen.

Indem wir mehrere HSRP-Gruppen auf einer einzigen Schnittstelle konfigurieren, kann ein HSRP-Lastausgleich erreicht werden.

Für unser Beispiel fügen wir PC2 zum Laboraufbau hinzu. Zur Erklärung nennen wir HSRP-Gruppe 1 „Netzwerk-eins“ und HSRP-Gruppe 2 „Netzwerk-zwei“. R1 wird für Netzwerk eins aktiv sein, während R2 für Netzwerk zwei aktiv sein wird. Das bedeutet, dass R1 als Standby für Netzwerk-zwei fungiert, während R2 als Standby für Netzwerk-eins fungiert.

Die vollständige Konfiguration auf R1 sieht wie folgt aus:
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 name network-two

Die vollständige Konfiguration auf R2 sieht wie folgt aus:
interface FastEthernet0/0
ip address 192.168.1.12 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 priority 200
standby 2 preempt
standby 2 name network-two

Diese Konfiguration ermöglicht es uns, jeden Router für uns arbeiten zu lassen und Pakete weiterzuleiten, um unsere Investition in unsere Netzwerkausrüstung optimal zu nutzen. Wir haben auch den Befehl HSRP-Gruppenname hinzugefügt, um die einzelnen HSRP-Gruppen besser beschreiben zu können. Dies kann ein Lebensretter sein, wenn Sie mehrere HSRP-Gruppen haben, die Sie verfolgen müssen.

Beachten Sie, dass PC1 R1 verwendet, während PC2 R2 verwendet. Lastausgleich erreicht!

Eine letzte Anmerkung zu HSRP-Standby-Gruppen. Sie können mehrere Schnittstellen und Netzwerke mit derselben Standby-Gruppennummer konfigurieren, wenn das benötigte Failover-Verhalten dasselbe ist.

Wenn Sie jedoch ein anderes Verhalten benötigen, d. h. eine andere Priorität, Preempt usw. (wie in unserem Lastausgleichsszenario oben), dann ist eine separate Gruppe erforderlich.

Gängige Probleme mit HSRP

Zum Abschluss dieses Artikels über HSRP wollen wir kurz einige häufige Probleme mit HSRP aufzeigen. Dies kann als eine Art Checkliste für die Fehlersuche bei HSRP dienen. Zu den Problemen gehören:

  • HSRP-Router, die sich nicht im selben Netzwerksegment befinden.
  • HSRP-Router, die nicht mit IP-Adressen aus demselben Subnetz konfiguriert sind.
  • HSRP-Konfigurationsprobleme wie Standby-Gruppen und virtuelle IPs, die auf den HSRP-Routern nicht übereinstimmen.

Abschluss

Es gibt noch viel mehr zu HSRP, als in diesem Artikel behandelt wurde, z.B.:

  • Tiefe Einblicke in die Funktionsweise von HSRP
  • Interface Tracking
  • Authentifizierung

Für den Moment wollten wir Ihnen eine gute Grundlage für die Konfiguration von HSRP auf einem Cisco Router geben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.