Articles

How to Configure HSRP on a Cisco Router (with GNS3 lab)

On január 23, 2022 by

Hot Standby Routing Protocol vagy HSRP, egy Cisco saját protokoll, amely lehetővé teszi, hogy két vagy több router együttműködve egyetlen IP-címet képviseljen egy adott hálózat számára. A HSRP, valamint a Virtual Route Redundancy Protocol (VRRP) nagy rendelkezésre állású hálózati szolgáltatásnak számít, amely lehetővé teszi a szinte azonnali átállást egy másodlagos interfészre, ha az elsődleges interfész elérhetetlenné válik. A HSRP konfigurálása időnként trükkös lehet, ezért ez a cikk az alapvető pontokat tárgyalja, egy GNS3 labort is bemutatva.

A HSRP az úgynevezett FHRP vagy “First Hop Redundancy Protocols” protokollok egyike. Az FHRP-ről bővebben ebben az új cikkben olvashat.

AzHSRP egy meglehetősen egyszerű koncepció, amely úgy működik, hogy egy HSRP-csoporton belül egy útválasztót választanak ki elsődleges vagy aktív útválasztónak. Ez az elsődleges kezeli az összes útválasztási kérést, míg a HSRP-csoporton belüli többi útválasztó egyszerűen készenléti állapotban várakozik. Ezek a készenléti útválasztók készen állnak arra, hogy átvegyék az összes forgalmi terhelést, ha az elsődleges útválasztó elérhetetlenné válik. Ebben a forgatókönyvben a HSRP magas hálózati rendelkezésre állást biztosít, mivel az IP-forgalmat egyetlen útválasztótól függetlenül továbbítja.

Ha igazán bele akarunk ásni a HSRP apró részleteibe, az RFC 2281-ben találjuk meg a széles körben használt protokoll belső működésének minden részletét.

A HSRP-címet átjáróként használó hosztok soha nem ismerik a csoportba tartozó útválasztók tényleges fizikai IP- vagy MAC-címét. Csak a HSRP-konfigurációban létrehozott virtuális IP-címet és a virtuális MAC-címet ismerik a hálózat többi állomásán.

Basikus HSRP-konfiguráció

Mielőtt a HSRP fejlettebb fogalmait tárgyalnánk, hozzunk létre egy alapvető HSRP-konfigurációt, hogy képet kapjunk arról, hogyan működik mindez. Ehhez a forgatókönyvhöz az alábbi topológiát fogjuk használni:

Basic HSRP Configuration

A GNS3 topológia beállítása így néz ki:

GNS3 topológia beállítása

Ez mindössze két routerből (R1 és R2) áll, amelyek a 192.168.1.0/24 hálózat alapértelmezett átjárójaként működnek. Egy adott időpontban csak az egyik útválasztó lesz aktív a 192.168.1.1.1 virtuális IP-címmel. Ez azt jelenti, hogy a 192.168.1.0/24 szegmensben lévő összes eszköz (pl. PC1) ezzel a virtuális IP-címmel lesz konfigurálva.

Megjegyzés: Ne feledje, hogy az egyik vagy mindkét útválasztó lehet többrétegű kapcsoló is, például egy Cisco 6509 vagy 3750. De ebben a beszélgetésben csak útválasztóként hivatkozzunk rájuk.

A HSRP alapkonfigurációjához a következőket kell tennünk:

  • Szokásos IP-cím beállítása az interfészen (nem lehet ugyanaz, mint a HSRP virtuális IP)
  • Az interfész felkapcsolása (nincs leállítás)
  • A HSRP csoport és a virtuális IP-cím beállítása a standby parancs segítségével

Ebben a példában egy “1” HSRP csoportot konfiguráltunk. Ez a csoportszám bármilyen szám lehet 0 és 255 között (HSRP 1. verzió), és az egyetlen követelmény, hogy ugyanazt a számot kell használnunk az azonos HSRP-csoportba tartozó összes eszközön.

A show standby paranccsal láthatjuk a HSRP-konfigurációnk állapotát.
R1#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:23:53
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.852 secs
Preemption disabled
Active router is local
Standby router is 192.168.1.12, priority 100 (expires in 7.452 sec)
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)
R1#

R2#show standby
FastEthernet0/0 - Group 1
State is Standby
1 state change, last state change 00:23:59
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.340 secs
Preemption disabled
Active router is 192.168.1.11, priority 100 (expires in 7.920 sec)
Standby router is local
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Figyeljük meg, hogy az R1 az aktív router, míg az R2 készenléti állapotban van. Ideális esetben azonos prioritás esetén a legmagasabb IP-címmel rendelkező útválasztót választjuk aktív útválasztónak. Én azonban először az R1-et konfiguráltam, és az lett aktív, mielőtt az R2 bekerült volna a rendszerbe. Mivel R2-nek ugyanaz a prioritása, mint R1-nek, R2 nem lesz aktív, annak ellenére, hogy magasabb IP-címe van (192.168.1.12 > 192.168.1.11).

A prioritásról és az elővásárlásról a cikk későbbi részében beszélünk.

Megjegyzés: A traceroute válaszadásakor a fizikai interfész IP-címét használjuk, nem a virtuális IP-címet. További információért nézze meg ezt a linket.

Nézze meg, hogyan áramlik a forgalom az R2-n (192.168.1.12) keresztül. Ha újra megnézzük a show standby parancsot, láthatjuk, hogy most az R2 az aktív útválasztó:
R2#show standby
FastEthernet0/0 - Group 1
State is Active
2 state changes, last state change 00:04:33
Virtual IP address is 192.168.1.1
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.152 secs
Preemption disabled
Active router is local
Standby router is unknown
Priority 100 (default 100)
Group name is "hsrp-Fa0/0-1" (default)

Routing a HSRP-vel

Úgy döntöttem, teszek egy kis kitérőt, hogy beszéljek az útválasztásról, amikor a HSRP be van állítva. Néhány dolgot érdemes megjegyezni:

  1. Az útvonalak nem replikálódnak a HSRP routerek között. Ez azt jelenti, hogy az R1-nek és R2-nek (külön-külön) tudnia kell, hogyan éri el a példánkban használt 8.8.8.8.8 hálózatot. Esetünkben ezt úgy érjük el, hogy mind az R1-en, mind az R2-n konfigurálunk egy alapértelmezett útvonalat a 192.0.2.1-re (EXT_RTR).
  2. Még ha a PC1-ről a 8.8.8.8.8-ra irányuló forgalom az aktív HSRP-routeren keresztül fog folyni, a visszatérő forgalom problémás lesz. Mivel az útválasztás (alapértelmezés szerint) a célállomás alapján történik, az EXT_RTR az útválasztási táblázatában fogja megnézni, hogyan továbbítsa a 8.8.8.8.8-tól a PC1-hez (192.168.1.100) érkező választ. A konfigurációtól függően az EXT_RTR mindig az R1-et, mindig az R2-t vagy az R1-et és az R2-t is használja. Ez aszimmetrikus útválasztáshoz és/vagy forgalmi feketekapukhoz vezethet. Ezt a problémát a NAT konfigurálásával lehet megkerülni, de ez meghaladja ennek a cikknek a kereteit. Ehhez a cikkhez két statikus útvonalat konfiguráltam a 192.168.1.0/24 hálózathoz az EXT_RTR-en: az egyik az R1-re, a másik az R2-re mutat. Ez azt jelenti, hogy az EXT_RTR terheléselosztást végez az R1 és R2 között.

HSRP prioritás: Az aktív útválasztó vezérlése

Vannak további HSRP-értékek, amelyeket időről időre meg kell változtatnia, hogy teljes ellenőrzést biztosítson a hálózati forgalom felett. Mi lenne például, ha azt akarnánk, hogy az R1 legyen az aktív router az R2 helyett? Ahhoz, hogy egy HSRP-csoportban egy adott routert kényszerítsünk aktív routerré, a priority parancsot kell használnunk.

Az alapértelmezett prioritás 100. A magasabb prioritás határozza meg, hogy melyik router lesz az aktív. Ha mindkét router azonos prioritásra van állítva, akkor az elsőként beinduló router lesz az aktív router.

Megjegyzés: Annak ellenére, hogy megnöveltük az R1 prioritását, készenléti üzemmódban marad, mivel az elővásárlás le van tiltva. Az elővásárlásról a következőkben fogunk beszélni.

HSRP Preempt: A Fail-Back elkerülése

A fenti forgatókönyvünkben, ha az R1 meghibásodik, az R2 lesz aktív, ahogy láttuk. Ez tökéletes! De ha R1 újra feláll és visszatér a szolgálatba, akkor R2 továbbra is aktív marad. Ez nem biztos, hogy előnyös viselkedés. Vannak olyan esetek, amikor azt szeretnénk, hogy az R1 mindig aktív állapotban legyen a HSRP csoportban. A Cisco lehetőséget biztosít arra, hogy ezt a preempt paranccsal szabályozhassuk. A preempt arra kényszeríti az útválasztót, hogy a hibából való helyreállás után aktív legyen.

Advanced HSRP Configuration – Load Balancing

Szóval most már láthatjuk, milyen nagyszerű a HSRP, és hogyan teszi lehetővé, hogy egy hálózatban több útválasztó között magas rendelkezésre állást biztosítsunk. De a tartalék útválasztóink nem csinálnak semmit, és csak ülnek ott! Attól függően, hogy milyen router modellt használunk, ez sok pénzt jelenthet, ha csak tétlenül ülünk.

Megjegyzés: Azt is fontos szem előtt tartani, hogy ha valami történik a magas rendelkezésre állású pár egyik eszközével, akkor a másik eszköznek képesnek kell lennie kezelni a hálózati terhelést.

A probléma megoldására beállíthatjuk a HSRP-t úgy, hogy a routerek között terheléskiegyenlítés történjen. Ez egyetlen HSRP-csoport esetén nem segít, de több HSRP-csoport esetén szétoszthatjuk a terhelést, és az egyes HSRP-csoportok különböző útválasztókon lehetnek aktívak.

Egyetlen interfészen több HSRP-csoport konfigurálásával megvalósítható a HSRP terheléselosztás.

Példánkhoz adjuk hozzá a PC2-t a laboratóriumi beállításhoz. A magyarázat kedvéért az 1-es HSRP-csoportot “network-one”-nak, a 2-es HSRP-csoportot pedig “network-two”-nak nevezzük. Az R1 aktív lesz az egyes hálózaton, míg az R2 aktív lesz a kettes hálózaton. Ez azt jelenti, hogy az R1 a kettes hálózat számára készenlétben lesz, míg az R2 az egyes hálózat számára.

A teljes konfiguráció az R1-en a következő:
interface FastEthernet0/0
ip address 192.168.1.11 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 priority 200
standby 1 preempt
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 name network-two

A teljes konfiguráció az R2-n a következő:
interface FastEthernet0/0
ip address 192.168.1.12 255.255.255.0
standby 1 ip 192.168.1.1
standby 1 name network-one
standby 2 ip 192.168.1.2
standby 2 priority 200
standby 2 preempt
standby 2 name network-two

Ez a konfiguráció lehetővé teszi számunkra, hogy mindegyik útválasztó a mi érdekünkben dolgozzon és továbbítsa a csomagokat, hogy a lehető legjobban kihasználjuk a hálózati berendezésbe történt befektetésünket. Hozzáadtuk a HSRP csoportnév parancsot is, hogy jobban leírhassuk az egyes HSRP-csoportokat. Ez életmentő lehet, ha több HSRP-csoportot kell nyomon követnünk.

Figyeljük meg, hogy a PC1 az R1-et, míg a PC2 az R2-t használja. A terheléselosztás megvalósult!

Egy utolsó megjegyzés a HSRP készenléti csoportokkal kapcsolatban. Több interfész és hálózat is konfigurálható ugyanazzal a készenléti csoportszámmal, ha a szükséges failover viselkedés azonos.

Ha azonban eltérő viselkedésre van szükség, azaz eltérő prioritásra, preemptre stb. (mint a fenti terheléskiegyenlítési forgatókönyvünkben), akkor külön csoportra van szükség.

Gyakori problémák a HSRP-vel

A HSRP-ről szóló cikk lezárásaként gyorsan emeljünk ki néhány gyakori problémát a HSRP-vel kapcsolatban. Ez egyfajta ellenőrzőlistaként szolgálhat a HSRP hibaelhárításakor. A problémák közé tartoznak:

  • Az HSRP-routerek nem ugyanabban a hálózati szegmensben vannak.
  • Az HSRP-routerek nem ugyanabból az alhálózatból származó IP-címekkel vannak konfigurálva.
  • A HSRP konfigurációs problémák, például a készenléti csoportok és a virtuális IP-k nem egyeznek a HSRP-routereken.

Végkövetkeztetés

A HSRP-ben sokkal több van, mint amit ez a cikk lefed, többek között:

  • Mélyebb betekintés a HSRP működésébe
  • Interfészkövetés
  • Autentikáció

Előre csak egy jó alapot szerettünk volna adni a HSRP konfigurálásához egy Cisco routeren.

Vélemény, hozzászólás?

Az e-mail-címet nem tesszük közzé.