Articles

Comment configurer HSRP sur un routeur Cisco (avec GNS3 lab)

On janvier 23, 2022 by

Le Hot Standby Routing Protocol ou HSRP, est un protocole propriétaire de Cisco qui permet à deux routeurs ou plus de travailler ensemble pour représenter une seule adresse IP pour un réseau particulier. HSRP, ainsi que le protocole de redondance de route virtuelle (VRRP), sont considérés comme des services réseau à haute disponibilité qui permettent un basculement quasi immédiat vers une interface secondaire lorsque l’interface primaire devient indisponible. La configuration de HSRP peut parfois être délicate, cet article couvrira donc les points fondamentaux en présentant également un laboratoire GNS3.

HSRP est l’un des protocoles dits FHRP ou « First Hop Redundancy Protocols ». Vous pouvez en savoir plus sur le FHRP dans ce nouvel article.

Le HSRP est un concept assez simple qui fonctionne en ayant un routeur dans un groupe HSRP qui est sélectionné comme le primaire, ou routeur actif. Ce primaire traitera toutes les demandes de routage tandis que les autres routeurs du groupe HSRP attendent simplement dans un état d’attente. Ces routeurs en attente restent prêts à prendre en charge toute la charge de trafic si le routeur primaire devient indisponible. Dans ce scénario, HSRP fournit une haute disponibilité du réseau puisqu’il achemine le trafic IP sans dépendre d’un seul routeur.

Pour vraiment creuser dans le Nitty Gritty de HSRP, consultez le RFC 2281 pour tous les détails sur le fonctionnement interne de ce protocole largement utilisé.

Les hôtes qui utilisent l’adresse HSRP comme passerelle ne connaissent jamais l’adresse IP ou MAC physique réelle des routeurs du groupe. Seule l’adresse IP virtuelle qui a été créée au sein de la configuration HSRP ainsi qu’une adresse MAC virtuelle sont connues des autres hôtes du réseau.

Configuration HSRP de base

Avant d’aborder des concepts HSRP plus avancés, créons une configuration HSRP de base pour avoir une idée de la façon dont tout cela fonctionne. Pour ce scénario, nous utiliserons la topologie présentée ci-dessous:

Configuration HSRP de base

La configuration de la topologie GNS3 ressemble à ceci:

Configuration de la topologie GNS3

Elle consiste en seulement deux routeurs (R1 et R2) agissant comme passerelle par défaut pour le réseau 192.168.1.0/24. Un seul de ces routeurs sera actif à un moment donné avec une adresse IP virtuelle de 192.168.1.1. Cela signifie que tous les périphériques sur le segment 192.168.1.0/24 (par exemple, PC1) seront configurés avec cette adresse IP virtuelle.

Note : Gardez à l’esprit que l’un ou les deux de ces routeurs pourraient également être des commutateurs multicouches tels qu’un Cisco 6509 ou 3750. Mais pour cette discussion, faisons simplement référence à eux en tant que routeurs.

Pour réaliser une configuration HSRP de base, vous devez effectuer les opérations suivantes :

  • Configurer une adresse IP normale sur l’interface (ne peut pas être la même que l’IP virtuelle HSRP)
  • Mettre l’interface en service (pas de shutdown)
  • Configurer le groupe HSRP et l’adresse IP virtuelle en utilisant la commande standby

Dans cet exemple, nous avons configuré un groupe HSRP « 1 ». Ce numéro de groupe peut être n’importe quel nombre entre 0 et 255 (HSRP version 1) et la seule exigence est que vous devez utiliser le même numéro à travers les dispositifs dans le même groupe HSRP.

Nous pouvons utiliser la commande show standby pour voir l’état de notre configuration HSRP.
R1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:23:53
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.852 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.12, priority 100 (expires in 7.452 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)
R1#

R2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 00:23:59
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.340 secs
Preemption disabled
Active router is 192.168.1.11, priority 100 (expires in 7.920 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Notez que R1 est le routeur actif tandis que R2 est en veille. Idéalement, avec la même priorité, le routeur avec l’adresse IP la plus élevée sera élu routeur actif. Cependant, j’ai configuré R1 en premier et il est devenu actif avant que R2 n’entre en jeu. Comme R2 a la même priorité que R1, R2 ne deviendra pas actif même s’il a une adresse IP plus élevée (192.168.1.12 > 192.168.1.11).

Nous parlerons de la priorité et de la préemption plus tard dans cet article.

Note : Lors de la réponse à traceroute, l’adresse IP de l’interface physique est utilisée, et non l’adresse IP virtuelle. Vérifiez ce lien pour plus d’informations.

Voyez comment le trafic circule à travers R2 (192.168.1.12). Lorsque nous vérifions à nouveau la commande show standby, nous voyons que R2 est maintenant le routeur actif :
R2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.152 secs
Preemption disabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Routage avec HSRP

J’ai décidé de faire un petit détour pour parler du routage lorsque HSRP est configuré. Il y a quelques éléments à noter :

  1. Les routes ne sont pas répliquées entre les routeurs HSRP. Cela signifie que R1 et R2 doivent (individuellement) savoir comment atteindre le réseau 8.8.8.8 utilisé dans notre exemple. Dans notre cas, nous y parvenons en configurant une route par défaut vers 192.0.2.1 (EXT_RTR) sur R1 et R2.
  2. Même si le trafic de PC1 vers 8.8.8.8 passera par le routeur HSRP actif, le trafic de retour posera problème. Puisque le routage est effectué en fonction de la destination (par défaut), EXT_RTR consultera sa table de routage pour savoir comment transmettre la réponse de 8.8.8.8 à PC1 (192.168.1.100). En fonction de la configuration, EXT_RTR utilisera toujours R1, toujours R2 ou à la fois R1 et R2. Cela peut conduire à un routage asymétrique et/ou à un blackholing du trafic. Une façon de contourner ce problème est de configurer le NAT mais cela dépasse le cadre de cet article. Pour cet article, j’ai configuré deux routes statiques pour le réseau 192.168.1.0/24 sur EXT_RTR : l’une pointant vers R1 et l’autre pointant vers R2. Cela signifie que EXT_RTR équilibre la charge entre R1 et R2.

Priorité HSRP : Contrôler le routeur actif

Il existe d’autres valeurs HSRP que vous devrez modifier de temps en temps pour assurer un contrôle complet du trafic de votre réseau. Par exemple, que se passe-t-il si nous voulons que R1 soit le routeur actif au lieu de R2 ? Pour forcer un routeur particulier à être le routeur actif dans un groupe HSRP, vous devrez utiliser la commande priority.

La priorité par défaut est 100. La priorité la plus élevée déterminera quel routeur est actif. Si les deux routeurs sont définis sur la même priorité, le premier routeur à se lever sera le routeur actif.

Note : Même si nous avons augmenté la priorité de R1, il restera en mode veille car la préemption est désactivée. Nous parlerons de la préemption prochainement.

HSRP Preempt : Éviter les défaillances

Dans notre scénario ci-dessus, si R1 tombe en panne, R2 deviendra actif comme nous l’avons vu. C’est parfait ! Mais, si R1 revient et reprend du service, R2 continuera à rester actif. Ce n’est pas forcément le comportement préféré. Dans certains cas, vous pouvez souhaiter que R1 soit toujours actif dans le groupe HSRP. Cisco fournit un moyen de contrôler cela à l’aide de la commande Preempt. Preempt force un routeur à être actif après avoir récupéré d’une panne.

Configuration HSRP avancée – Équilibrage de charge

Donc maintenant vous pouvez voir à quel point HSRP est génial et comment il nous permet d’avoir une haute disponibilité entre plusieurs routeurs pour un seul réseau. Mais nos routeurs en attente ne font rien et restent là ! Selon le modèle de routeur que vous utilisez, cela peut représenter beaucoup d’argent qui reste inactif.

Note : Il est également important de garder à l’esprit que si quelque chose arrive à l’un des appareils dans une paire de haute disponibilité, alors l’autre appareil devrait être en mesure de gérer la charge du réseau.

Pour résoudre ce problème, nous pouvons configurer HSRP pour être équilibré en charge entre les routeurs. Cela ne nous aide pas avec un seul groupe HSRP, mais pour plusieurs groupes HSRP, nous pouvons répartir la charge et faire en sorte que chaque groupe HSRP soit actif sur différents routeurs.

En configurant plusieurs groupes HSRP sur une seule interface, l’équilibrage de charge HSRP peut être réalisé.

Pour notre exemple, ajoutons le PC2 à la configuration du laboratoire. Pour des raisons d’explication, nous appellerons le groupe HSRP 1 « network-one » et le groupe HSRP 2 « network-two ». R1 sera actif pour le réseau 1 tandis que R2 sera actif pour le réseau 2. Cela signifie que R1 sera en veille pour le réseau-deux tandis que R2 sera en veille pour le réseau-un.

La configuration complète sur R1 est la suivante:
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 name network-two

La configuration complète sur R2 est la suivante:
interface FastEthernet0/0
ip address 192.168.1.12 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 priority 200
standby 2 preempt
standby 2 name network-two

Cette configuration nous permet d’avoir chaque routeur travaillant pour nous et faisant suivre les paquets pour utiliser au mieux notre investissement dans notre équipement réseau. Nous avons également ajouté la commande HSRP group name pour aider à mieux décrire chaque groupe HSRP. Cela peut être un sauveur de vie lorsque vous avez plusieurs groupes HSRP que vous devez suivre.

Notez que PC1 utilise R1 tandis que PC2 utilise R2. Équilibrage de charge réalisé!

Une dernière remarque sur les groupes HSRP en attente. Vous pouvez avoir plusieurs interfaces et réseaux configurés en utilisant le même numéro de groupe de standby si le comportement de basculement nécessaire est le même.

Par contre, si vous avez besoin d’avoir un comportement différent, c’est-à-dire une priorité différente, une préemption, etc. (comme vu dans notre scénario d’équilibrage de charge ci-dessus), alors un groupe séparé est nécessaire.

Problèmes courants avec HSRP

Pour conclure cet article sur HSRP, soulignons rapidement quelques problèmes courants avec HSRP. Cela peut servir d’une sorte de liste de contrôle lors du dépannage de HSRP. Les problèmes comprennent :

  • Les routeurs HSRP ne se trouvent pas sur le même segment de réseau.
  • Les routeurs HSRP ne sont pas configurés avec des adresses IP du même sous-réseau.
  • Les problèmes de configuration HSRP comme les groupes de secours et les IP virtuelles ne correspondent pas sur les routeurs HSRP.

Conclusion

Il y a beaucoup plus à HSRP que ce que couvre cet article, notamment :

  • Un aperçu approfondi du fonctionnement de HSRP
  • Le suivi d’interface
  • L’authentification

Pour l’instant, nous voulions vous donner une bonne base pour la configuration de HSRP sur un routeur Cisco.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.