Articles

How to Configure HSRP on Cisco Router (with GNS3 lab)

On 23 tammikuun, 2022 by

Hot Standby Routing Protocol eli HSRP on Ciscon oma protokolla, jonka avulla kaksi tai useampi reititin voi yhdessä edustaa yhtä IP-osoitetta tietyssä verkossa. HSRP:tä sekä Virtual Route Redundancy Protocol (VRRP) -protokollaa (Virtual Route Redundancy Protocol) pidetään korkean käytettävyyden verkkopalveluina, jotka mahdollistavat lähes välittömän siirtymisen toissijaiseen liitäntään, kun ensisijainen liitäntä ei ole käytettävissä. HSRP:n konfigurointi voi toisinaan olla hankalaa, joten tässä artikkelissa käsitellään perusasioita ja esitellään myös GNS3-laboratorio.

HSRP on yksi niin sanotuista FHRP- eli ”First Hop Redundancy Protocols” -protokollista. Voit lukea lisää FHRP:stä tästä uudesta artikkelista.

HSRP on melko yksinkertainen konsepti, joka toimii siten, että yksi reititin HSRP-ryhmässä valitaan ensisijaiseksi eli aktiiviseksi reitittimeksi. Tämä ensisijainen reititin käsittelee kaikki reitityspyynnöt, kun taas muut HSRP-ryhmän reitittimet vain odottavat valmiustilassa. Nämä varareitittimet pysyvät valmiina ottamaan vastaan kaiken liikennekuorman, jos ensisijainen reititin ei ole käytettävissä. Tässä skenaariossa HSRP tarjoaa korkean verkon käytettävyyden, koska se reitittää IP-liikennettä ilman, että se on riippuvainen yhdestä ainoasta reitittimestä.

Jos haluat todella syventyä HSRP:n yksityiskohtiin, tutustu RFC 2281:een, josta löydät kaikki yksityiskohdat tämän laajalti käytetyn protokollan sisäisestä toiminnasta.

Sisäänkäyttäjät, jotka käyttävät HSRP:n osoitetta yhdyskäytävänä, eivät koskaan saa selville ryhmään kuuluvan reitittimen todellista fyysistä IP- tai MAC-osoitetta. Vain HSRP-konfiguraatiossa luotu virtuaalinen IP-osoite yhdessä virtuaalisen MAC-osoitteen kanssa on muiden verkon isäntien tiedossa.

Perus-HSRP-konfiguraatio

Ennen kuin keskustelemme edistyneemmistä HSRP:n konsepteista, luodaan HSRP:n peruskonfiguraatio, jotta saamme käsityksen siitä, miten tämä kaikki toimii. Tässä skenaariossa käytämme alla esitettyä topologiaa:

Basic HSRP Configuration

GNS3-topologian kokoonpano näyttää tältä:

GNS3-topologian kokoonpano

Se muodostuu vain kahdesta reitittimestä (R1 ja R2), jotka toimivat oletusyhdyskäytävinä 192.168.1.0/24-verkossa. Vain toinen näistä reitittimistä on kerrallaan aktiivinen ja sen virtuaalinen IP-osoite on 192.168.1.1. Tämä tarkoittaa, että kaikki 192.168.1.0/24-segmentissä olevat laitteet (esim. PC1) konfiguroidaan tähän virtuaaliseen IP-osoitteeseen.

Huomautus: Muista, että jompikumpi tai molemmat näistä reitittimistä voivat olla myös monikerroskytkimiä, kuten Cisco 6509 tai 3750. Tässä keskustelussa puhutaan kuitenkin vain reitittimistä.

HSRP:n peruskonfigurointiin päästään seuraavasti:

  • Konfiguroi normaali IP-osoite rajapinnalle (ei voi olla sama kuin HSRP:n virtuaalinen IP-osoite)
  • Kytke rajapinta päälle (ei shutdownia)
  • Konfiguroi HSRP-ryhmä ja virtuaalinen IP-osoite valmiustilakomennon komennolla

Tässä esimerkkitapauksessa on konfiguroitu HSRP-ryhmää ”1”. Tämä ryhmän numero voi olla mikä tahansa numero väliltä 0-255 (HSRP-versio 1), ja ainoa vaatimus on, että sinun on käytettävä samaa numeroa kaikissa samassa HSRP-ryhmässä olevissa laitteissa.

Voidaan käyttää komentoa show standby nähdäksemme HSRP-konfiguraatiomme tilan.
R1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:23:53
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.852 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.12, priority 100 (expires in 7.452 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)
R1#

R2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 00:23:59
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.340 secs
Preemption disabled
Active router is 192.168.1.11, priority 100 (expires in 7.920 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Huomaa, että R1 on aktiivinen reititin, kun taas R2:n on oltava varalla. Ihannetapauksessa, kun prioriteetti on sama, aktiiviseksi reitittimeksi valitaan reititin, jolla on korkein IP-osoite. Määritin kuitenkin R1:n ensin ja siitä tuli aktiivinen ennen kuin R2 tuli mukaan. Koska R2:lla on sama prioriteetti kuin R1:llä, R2:sta ei tule aktiivista, vaikka sillä on korkeampi IP-osoite (192.168.1.12 > 192.168.1.11).

Keskustelemme prioriteetista ja etuoikeudesta myöhemmin tässä artikkelissa.

Huomautus: Tracerouteen vastattaessa käytetään fyysisen liitännän IP-osoitetta, ei virtuaalista IP-osoitetta. Katso lisätietoja tästä linkistä.

Huomaa, miten liikenne kulkee R2:n (192.168.1.12) kautta. Kun tarkistamme show standby -komennon uudelleen, näemme, että R2 on nyt aktiivinen reititin:
R2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.152 secs
Preemption disabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Reititys HSRP:n avulla

Päätin tehdä pienen kiertotien puhuakseni reitityksestä, kun HSRP on määritetty. On muutama huomioitava asia:

  1. Reitit eivät kopioidu HSRP-reitittimien välillä. Tämä tarkoittaa, että R1:n ja R2:n on (erikseen) tiedettävä, miten esimerkissämme käytettyyn 8.8.8.8.8-verkkoon päästään. Tapauksessamme saavutamme tämän määrittämällä oletusreitin osoitteeseen 192.0.2.1 (EXT_RTR) sekä R1:ssä että R2:ssa.
  2. Vaikka liikenne PC1:stä osoitteeseen 8.8.8.8.8 kulkee aktiivisen HSRP-reitittimen kautta, paluuliikenne on ongelma. Koska reititys tehdään määränpään perusteella (oletusarvoisesti), EXT_RTR kysyy reititystaulustaan, miten ohjata vastaus 8.8.8.8.8:sta PC1:lle (192.168.1.100). Riippuen siitä, miten määrität tämän, EXT_RTR käyttää aina R1:tä, käyttää aina R2:ta tai käyttää sekä R1:tä että R2:ta. Tämä voi johtaa epäsymmetriseen reititykseen ja/tai liikenteen estämiseen. Yksi tapa kiertää tämä ongelma on määrittää NAT, mutta se ei kuulu tämän artikkelin aihepiiriin. Tässä artikkelissa määrittelin kaksi staattista reittiä 192.168.1.0/24-verkolle EXT_RTR:ssä: toinen osoittaa R1:ään ja toinen R2:een. Tämä tarkoittaa, että EXT_RTR tasapainottaa kuormaa R1:n ja R2:n välillä.

HSRP Priority: Aktiivisen reitittimen ohjaaminen

On muitakin HSRP-arvoja, joita sinun on aika ajoin muutettava varmistaaksesi verkkoliikenteen täydellisen hallinnan. Entä jos esimerkiksi haluaisimme R1:n olevan aktiivinen reititin R2:n sijaan? Jos haluat pakottaa tietyn reitittimen aktiiviseksi reitittimeksi HSRP-ryhmässä, sinun on käytettävä priority-komentoa.

Oletusarvoinen prioriteetti on 100. Suurempi prioriteetti määrittää, mikä reititin on aktiivinen. Jos molemmilla reitittimillä on sama prioriteetti, ensimmäisenä tuleva reititin on aktiivinen reititin.

Huomaa: Vaikka olemme nostaneet R1:n prioriteettia, se pysyy valmiustilassa, koska etuosto-oikeus on poistettu käytöstä. Puhumme preemptionista seuraavaksi.

HSRP Preempt: Avoid Fail-Back

Yllä olevassa skenaariossamme, jos R1 vikaantuu, R2:sta tulee aktiivinen, kuten olemme nähneet. Tämä on täydellinen! Mutta jos R1 palautuu ja palaa palveluun, R2 pysyy edelleen aktiivisena. Tämä ei ehkä ole suotavaa käyttäytymistä. On tilanteita, joissa haluat ehkä aina R1:n olevan aktiivisessa tilassa HSRP-ryhmässä. Cisco tarjoaa keinon hallita tätä preempt-komennon avulla. Preempt pakottaa reitittimen olemaan aktiivinen sen jälkeen, kun se on toipunut viasta.

Advanced HSRP Configuration – Load Balancing

Nyt näet, miten hieno HSRP on ja miten se mahdollistaa korkean käytettävyyden useiden reitittimien välillä yhdessä verkossa. Mutta varareitittimemme eivät tee mitään ja vain istuvat siinä! Riippuen käyttämästäsi reititinmallista, tämä voi olla paljon rahaa, joka vain istuu toimettomana.

Huomautus: On myös tärkeää pitää mielessä, että jos jollekin korkean käytettävyyden parin laitteista tapahtuu jotain, toisen laitteen pitäisi pystyä hoitamaan verkon kuormitus.

Tämän ongelman ratkaisemiseksi voimme määrittää HSRP:n niin, että se on kuormitustasapainotettu reitittimien välillä. Tämä ei auta meitä yhden HSRP-ryhmän kohdalla, mutta useiden HSRP-ryhmien kohdalla voimme jakaa kuormaa ja antaa jokaisen HSRP-ryhmän olla aktiivisena eri reitittimissä.

Konfiguroimalla useita HSRP-ryhmiä yhdelle rajapinnalle saadaan aikaan HSRP:n kuorman tasapainottaminen.

Esimerkissämme lisätään laboratorioasennukseen PC2. Selityksen vuoksi kutsumme HSRP-ryhmää 1 ”verkko-yksi” ja HSRP-ryhmää 2 ”verkko-kaksi”. R1 on aktiivinen verkko ykkösessä ja R2 aktiivinen verkko kakkosessa. Tämä tarkoittaa, että R1 on valmiustilassa verkko-kakkosta varten, kun taas R2 on valmiustilassa verkko-yksiötä varten.

R1:n täydellinen konfiguraatio on seuraava:
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 name network-two

R2:n täydellinen konfiguraatio on seuraava:
interface FastEthernet0/0
ip address 192.168.1.12 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 priority 200
standby 2 preempt
standby 2 name network-two

Tämän konfiguraation avulla saamme jokaisen reitittimen työskentelemään puolestamme ja ohjaamaan paketteja eteenpäin, jotta voimme hyödyntää parhaalla mahdollisella tavalla investointimme verkkolaitteisiimme. Olemme myös lisänneet HSRP-ryhmän nimi -komennon, jotta voimme paremmin kuvata kutakin HSRP-ryhmää. Tämä voi olla hengenpelastaja, kun sinulla on useita HSRP-ryhmiä, joita sinun on seurattava.

Huomaa, että PC1 käyttää R1:ää ja PC2 R2:ta. Kuormituksen tasaus saavutettu!

Viimeinen huomautus HSRP-valmiusryhmistä. Voit konfiguroida useita liitäntöjä ja verkkoja käyttäen samaa standby-ryhmän numeroa, jos tarvittava vikasietoisuuskäyttäytyminen on sama.

Jos kuitenkin tarvitset erilaista käyttäytymistä, eli erilaista prioriteettia, preempt-käyttäytymistä jne. (kuten yllä olevassa kuorman tasapainotusskenaariossamme), tarvitaan erillinen ryhmä.

Yleisiä ongelmia HSRP:n kanssa

Käsitelläkseni lopuksi tätä artikkelia, joka käsittelee HSRP:tä, nostetaan nopeasti esiin joitain yleisimpiä ongelmakohtia, joita HSRP aiheuttaa. Tämä voi toimia eräänlaisena tarkistuslistana HSRP:n vianmäärityksessä. Ongelmia ovat muun muassa:

  • HSRP-reitittimet eivät ole samassa verkkosegmentissä.
  • HSRP-reitittimiä ei ole konfiguroitu saman aliverkon IP-osoitteilla.
  • HSRP:n konfigurointiin liittyviä ongelmia, kuten valmiusryhmien ja virtuaalisten IP-osoitteiden yhteensopimattomuus HSRP-reitittimissä.

Loppupäätelmä

HSRP:hen liittyy paljon muutakin, mitä tämä artikkeli ei kata, kuten:

  • Syvällinen näkemys HSRP:n toiminnasta
  • Interfaceseuranta
  • Autentikointi

Haluoimme toistaiseksi antaa hyvän pohjan HSRP:n konfigurointiin Ciscon reitittimessä.

Vastaa

Sähköpostiosoitettasi ei julkaista.