2.jpg
3.jpg
4.jpg
5.jpg
1.jpg

Описание и настройка протоколов HSRP и VRRP.

 

                                                                                                                                                                                                                                                                                                                                                                                                                               

Многоуровневые коммутаторы, маршрутизаторы могут выступать в качестве шлюза для сетевых устройств, подключенных  к интерфейсам VlANSVI и физическим интерфейсам 3 уровня. Такие коммутаторы также принимают участие в работе протоколов маршрутизации, как и обычные маршрутизаторы. Для повышения отказоустойчивости сети и для резервирования граничного шлюза, на оборудовании cisco systems используются следующие протоколы:

 

-  Hot Standby Router Protocol (HSRP)

-  Virtual Router Redundancy Protocol (VRRP)

-  Gateway Load Balancing Protocol (GLBP)

Данные протоколы образуют семейство протоколов first-hopredundancyprotocols (FHRP). В данной статье постараемся рассмотреть два из них наболее подробно.

Протокол HSRP

HSRP– протокол разработанный компанией cisco systems, который описывается в стандарте RFC 2881. Каждый маршрутизатор или многоуровневый коммутатор, который обеспечивает избыточность, помещается в HSRP группу. Одно из устройств выбирается основным для передачи трафика (primary), другое резервным (standby), все остальные находятся в режиме ожидания (listenstate). Маршрутизаторы с определенным интервалом  времени обмениваются hello сообщениями, тем самым обновляют свои данные об основном и резервном устройстве. Протокол HSRP рассылает hello сообщения на мультикастный адрес 224.0.0.2, используя порт UDP 1985.

HSRP группе может быть присвоен номер от 0 до 255. Наиболее удобно назначение номера группы, основываясь на номере vlanинтерфейса, на который назначается группа. Тем не менее, большинство коммутаторов cisco Catalyst поддерживают только 16 групп. Если на оборудовании настроено более 16 vlan, то можно быстро превысить лимит. Выходом из данной ситуации является назначение одного и того же номера группы на разные vlan интерфейсы. Например, HSRP group 1 на интерфейсе vlan 11 и vlan 110 являются независимыми.

Выбор основного и резервного маршрутизатора.

Выбор основного и резервного маршрутизатора основан на значении приоритета (от 0 до 255), который может быть настроен на каждом маршрутизаторе. По умолчанию, приоритет равен 100. Маршрутизатор с наивысшим приоритетом становится основным (activeили primary) для HSRP группы. Если приоритеты на нескольких устройствах равны, то выбор осуществляется по наивысшему ip адресу HSRP интерфейса. Чтобы назначить приоритет необходимо использовать команду:

switch(config-if)# standby group priority priority

Например, для назначения приоритета 200 на 1 HSRPгруппу необходимо ввести команду:

switch(config-if)# standby 1 priority 200

Перед тем, как маршрутизатор становится основным, его HSRPинтерфейс проходит несколько состояний:

- disable

- init

- listen

- speak

- standby

- active

Только резервный маршрутизатор (устройство со вторым наибольшим приоритетом), прослушивает hello сообщения от основного маршрутизатора. По умолчанию, hello сообщения посылаются каждые 3 секунды. Если резервный маршрутизатор не получает hello сообщения в течение 10 секунд по умолчанию (holdtimer),то он полагает, что основной недоступен и начинает выполнять его функции, т.е. становится основным.  В этот момент из всех остальных маршрутизаторов, находящихся в состоянии listen, выбирается новый резервный маршрутизатор на основании приоритета. Значение таймеров можно сконфигурировать вручную используя команду:

switch(config-if)# standby group timers [msec] hello [msec] holdtime

При недоступности основного маршрутизатора, резервный становится основным. При восстановлении маршрутизатора, он сразу не может опять взять на себя роль основного, до того момента, пока не упадет действующий, даже если его приоритет выше. Для того чтобы восстановившийся маршрутизатор сразу взял на себя роль основного, необходимо ввести команду:

switch(config-if)# standby group preempt [delay [minimum seconds ] [reload seconds ] ]

Аутентификация

В протоколе HSRPможет использоваться как обычная (plain-textkey), так и MD5 аутентификация. Если длина ключа совпадает на двух группах HSRP с двух сторон, то сообщения принимаются. Обычная аутентификация настраивается так:

switch(config-if)# standby group authentication string

Метод аутентификации MD5 является более надежным, чем обычный метод. Величина хеша, входящего в HSRPсообщения в этом методе  является очень сложной для расшифровки. Настроитьаутентификациюможноследующейкомандой:

switch(config-if)# standbygroup authentication md5 key-string [ 0| 7 ] string

Рассмотрим ситуацию, когда активный маршрутизатор, к которому подключены клиенты, имеет насколько каналов связи в сторону магистральной сети. При падении одного из каналов, маршрутизатор, с точки зрения HSRP, остается активным. При падении всех остальных каналов, маршрутизатор все равно остается активным и клиенты продолжают передавать трафик на него, а не на резервный маршрутизатор. Протокол HSRP имеет механизм, который обнаруживает падение канала и передает роль активного маршрутизатора резервному. Для этого на интерфейсах, входящих в HSRP группу, настраивается значение трэка, и при падении канала оно уменьшается, тем самым передавая роль активного устройства в этой HSRP группе резервному маршрутизатору. Значение трэка восстанавливается с восстановлением канала, тем самым переводя роль активного маршрутизатора обратно. При этом на устройстве должна быть введена команда preempt, описанная выше в статье. Для конфигурирования используется команда:

switch(config-if)# standby group track type mod/num [decrementvalue]

По умолчанию значение декремента на интерфейсе равно 10.

Каждый маршрутизатор в HSRPгруппе имеет свой уникальный ipадрес на интерфейсе. Этот адрес используется для всех протоколов маршрутизации, для обмена служебным и управляющим трафиком. Также каждый роутер имеет виртуальный ipадрес, назначаемый HSRPгруппе. Этот самый адрес является основным шлюзом для клиентов и всегда остается активным. Настраивается он следующим образом:

switch(config-if)# standby group ip ip-address [ secondary ]

Каждый интерфейс маршрутизатора имеет свой индивидуальный macадрес. Этот macадрес ассоциируется с ipадресом на интерфейсе. Для виртуального роутера протокол HSRP использует группу macадресов 0000.0с07.acxx, где xxотображает номер HSRP группы.

Рассмотрим пример:

 

  

 

На рисунке изображен участок сети с участием двумя маршрутизирующими коммутаторами. Клиенты, подключенные к vlan3, в качестве шлюза используют адрес HSRPгруппы на интерфейсе vlan3 - 10.1.1.1. Коммутатор CatalystAявляется основным, активным маршртизатором и имеет приоритет 200. Коммутатор CatalystBявляется резервным (standby) и имеет приоритет по умолчанию 100. Функции маршрутизации выполняет CatalystA, только при его неработоспособности, CatalystBстанет активным и начнет передавать трафик. Для настройки данной схемы используются следующие команды:

СatalystA(config)#interface vlan 3

СatalystA (config-if)# ip address 10.1.1.2.2 255.255.255.0

СatalystA (config-if)#standby 1 priority 200

СatalystA (config-if)#standby 1 preemt

СatalystA (config-if)#standby 1 ip 10.1.1.1 255.255.255.0

Для вывода информации используется команда:

СatalystA# show standby vlan 3 brief

                   P indicates configured to preempt.

                   |

Interface Grp  Pri P State   Active addr    Standby         Virtual IP

Vl3           1   200 P Active     local         10.1.1.3         10.1.1.1

 

Данный протокол позволяет сделать распределение нагрузки для трафика от клиентских сетей. Данный механизм реализуется с помощью создания нескольких HSRPгрупп на одном интерфейсе, и присвоения им разных приоритетов. Тем самым назначая клиентам адреса разных HSRPгрупп в качестве шлюза, реализуется балансировка нагрузки.

Рассмотрим это на следующем примере:

 

 

CatalystA(config)# interface vlan 3

CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0

CatalystA(config-if)# standby 1 priority 200

CatalystA(config-if)# standby 1 preempt

CatalystA(config-if)# standby 1 ip 192.168.1.1

CatalystA(config-if)# standby 2 priority 100

CatalystA(config-if)# standby 2 ip 192.168.1.2

CatalystB(config)# interface vlan 3

CatalystB(config-if)# ip address 192.168.1.11 255.255.255.0

CatalystB(config-if)# standby 1 priority 100

CatalystB(config-if)# standby 1 ip 192.168.1.1

CatalystB(config-if)# standby 2 priority 200

CatalystB(config-if)# standby 2 ip 192.168.1.2

CatalystB(config-if)# standby 2 preempt

 

Протокол VRRP

Протокол VRRP является альтернативой протоколу HSRP. Протокол описан в стандарте RFC 2338. Принцип протокола в принципе не отличается от HSRP, есть небольшие различия в терминологии и командах. Основной маршрутизатор называется master, а резервный backup. Активный роутер также выбирается на основе высшего приоритета. Виртуальный macадрес выбирается из формы 0000.5e00.01xx, где хх номер группы VRRP. По умолчанию, в этом протоколе, в отличие от HSRP, команда preemptуже включена на основном маршрутизаторе, если его приоритет больше. VRRPрассылает свои сообщения по мультикастовому адресу 224.0.0.18 с интервалом 1 секунда.

Настройка протокола осуществляется аналогично HSRP:

CatalystA(config)# interface vlan 3

CatalystA(config-if)# ip address 192.168.1.10 255.255.255.0

CatalystA(config-if)# vrrp 1 priority 200

CatalystA(config-if)# vrrp 1 ip 192.168.1.1

 

 

 

 

 

 

 

 

 

 

 

 Только те, кто предпринимает абсурдные попытки, смогут достичь невозможного.

Альберт Эйнштейн

Мы ждем Вас!

тел: +7 (499) 755-75-42

email: Этот адрес электронной почты защищен от спам-ботов. У вас должен быть включен JavaScript для просмотра.


Яндекс.Метрика