HSRP(Hot Standby Redundancy Protocol)熱備份路由協議
HSRP的原理:多臺路由器組成一個“路由器組”,用來模擬爲一個虛擬的路由器,利用虛擬的IP 地址和虛擬的MAC地址在一個備份組中充當一臺路由器作爲活動路由器發送數據包,只有當活動路由器失效後,將選擇一臺備份路由器才能成爲活動路由器轉發數據包,但對於網絡中的主機來說虛擬路由器組是透明的。
HSRP有三種廣播包:
1) Hello信息:hello消息向組內的其他路由器發送路由器的HSRP優先級和狀態信息,並在後續的時候利用路由器的優先級選舉主、備路由器。HELLO消息默認爲每3秒鐘發送一次。2) Coup:當一個備用路由器變爲一個主動路由器時(此時主DOWN)發送一個coup消息。
HSRP的原理:多臺路由器組成一個“路由器組”,用來模擬爲一個虛擬的路由器,利用虛擬的IP 地址和虛擬的MAC地址在一個備份組中充當一臺路由器作爲活動路由器發送數據包,只有當活動路由器失效後,將選擇一臺備份路由器才能成爲活動路由器轉發數據包,但對於網絡中的主機來說虛擬路由器組是透明的。
HSRP有三種廣播包:
1) Hello信息:hello消息向組內的其他路由器發送路由器的HSRP優先級和狀態信息,並在後續的時候利用路由器的優先級選舉主、備路由器。HELLO消息默認爲每3秒鐘發送一次。2) Coup:當一個備用路由器變爲一個主動路由器時(此時主DOWN)發送一個coup消息。
3) Resign:當主動路由器DOWN掉或者當有優先級更高的路由器發送hello消息時,ACTIVE路由器發送一個resign消息,類似權利的移交。
HSRP路由器的狀態類型:
1) Initial:HSRP啓動時的狀態,HSRP還沒有運行,一般是在改變配置或端口剛啓動時進入該狀態。
2) Learn:路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是備份路由器。它一直監聽從活動路由器和備份路由器發來的HELLO報文。
3) Liste:路由器正在監聽hello消息。
4) Speak:在該狀態下,路由器定期發送HELLO報文,並且積極參加活動路由器或等待路由器的競選。
5) Standby:當主動路由器失效時路由器準備接包傳輸功能。
6) Active:路由器執行包傳輸功能。
1) Initial:HSRP啓動時的狀態,HSRP還沒有運行,一般是在改變配置或端口剛啓動時進入該狀態。
2) Learn:路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是備份路由器。它一直監聽從活動路由器和備份路由器發來的HELLO報文。
3) Liste:路由器正在監聽hello消息。
4) Speak:在該狀態下,路由器定期發送HELLO報文,並且積極參加活動路由器或等待路由器的競選。
5) Standby:當主動路由器失效時路由器準備接包傳輸功能。
6) Active:路由器執行包傳輸功能。
HSRP路由器體系
1)活動路由器,負責轉發發送到虛擬路由器的數據。它通過發送HELLO消息(基於UDP,端口號爲1985的廣播)來通告它的活躍狀態
2)備份路由器,監視HSRP組中的運行狀態,並且在當前活躍路由器不可用時,迅速承擔起負責數據轉發的任務。備份路由器也發送HELLO消息來通告組中其他的路由器它備份路由器的角色。
1)活動路由器,負責轉發發送到虛擬路由器的數據。它通過發送HELLO消息(基於UDP,端口號爲1985的廣播)來通告它的活躍狀態
2)備份路由器,監視HSRP組中的運行狀態,並且在當前活躍路由器不可用時,迅速承擔起負責數據轉發的任務。備份路由器也發送HELLO消息來通告組中其他的路由器它備份路由器的角色。
虛擬MAC地址組成:
Vendor ID:廠商ID,構成MAC地址的頭3個字節
HSRP代碼:表示該地址是HSRP虛擬路由器的。XX07.acxx
組ID:最後一個字節是組ID,由組號組成
Vendor ID:廠商ID,構成MAC地址的頭3個字節
HSRP代碼:表示該地址是HSRP虛擬路由器的。XX07.acxx
組ID:最後一個字節是組ID,由組號組成
其他的路由器也監聽HELLO消息,但是不作應答,這樣它就不會在備份組有身份的概念,同時它也不參與發送到虛擬路由器的數據包,但是還是轉發其他路由器發來的數據包。
HSRP中,主備路由器的選舉過程:
1) 默認情況下,優先級爲100,這時MAC地址最小的成爲活動路由器
2) 當活動路由器失效後,備份路由器替代成爲活動路由器,當活動和備份路由器都失效後,其他路由器將參與活動和備份路由器的選舉工作
a) 優先級高的成爲活動路由器,默認爲100,取值爲0~255
b) 優先級別相同時,接口IP地址高的將成爲活動路由器
2) 當活動路由器失效後,備份路由器替代成爲活動路由器,當活動和備份路由器都失效後,其他路由器將參與活動和備份路由器的選舉工作
a) 優先級高的成爲活動路由器,默認爲100,取值爲0~255
b) 優先級別相同時,接口IP地址高的將成爲活動路由器
HSRP的搶佔Preempt
HRSP技術能夠保證優先級高的路由器失效恢復後總能處於活動狀態。活動路由器失效後,優先級最高的備用路由器處於活動狀態,成爲網絡上的新的主路由器。
HSRP的端口跟蹤track
HSRP的端口跟蹤track
如果所監測的端口出現故障,則也可以進行路由器的切換。如果主路由器上有多條線路被跟蹤,則當一條線路出現故障時,就會切換到備份路由器上,即使其他都線路正常工作,直到主路由器該線路正常工作,才能重新切換回來。接口跟蹤使得能夠根據HSRP組路由器的接口是否可用,來自動調整該路由器的優先級。當被跟蹤的接口不可用時,路由器的HSRP優先級將降低。HSRP跟蹤特性確保當HSRP活躍路由器的重要入站接口不可用時,該路由器不再是Active路由器。
HSRP組間的冗餘備份:
組間的冗餘備份,就是一臺路由器可以是同一個網段或VLAN中多個HSRP備用組的成員。配置多個備用組可進一步提高冗餘性,在網絡中均衡負載,提高冗餘路由器的使用率。組間冗餘備份的路由器在爲一個HSRP組轉發數據流的同時,可以在另一個HSRP分組中處於backup和listen狀態。
HSRP的配置:
配置HSRP
1)全局模式 configure terminal
2)接口模式 interface interface
3)standby group-id ip IP-address
group-id:大小範圍爲0-255。 IP地址:是虛擬的網關IP地址。
4)設定優先級:standby group-id priority 優先級別
優先級:大小範圍爲1-255,默認爲100。
1)全局模式 configure terminal
2)接口模式 interface interface
3)standby group-id ip IP-address
group-id:大小範圍爲0-255。 IP地址:是虛擬的網關IP地址。
4)設定優先級:standby group-id priority 優先級別
優先級:大小範圍爲1-255,默認爲100。
5) 指定搶佔模式: standby group-id preempt delay
delay:大小範圍爲0-3600(1小時)
6) 設置端口跟蹤: standby group-id track interface [懲罰值]
懲罰值:默認爲10
7)自定虛擬網關的mac地址
standby group-id mac mac-address
8)配置認證
standby group-id authentication mode text password
注意:對於IOS12.3以上的版本中,HSRP支持MD5的認證,具體配置命令爲
standby group-id authentication md5 key-string password
6) 設置端口跟蹤: standby group-id track interface [懲罰值]
懲罰值:默認爲10
7)自定虛擬網關的mac地址
standby group-id mac mac-address
8)配置認證
standby group-id authentication mode text password
注意:對於IOS12.3以上的版本中,HSRP支持MD5的認證,具體配置命令爲
standby group-id authentication md5 key-string password
9)配置HSRP時間選項
standby group-id timers hello second hold second
hello秒數:大小範圍爲1-255,默認爲3秒
hold秒數:大小範圍爲1-255,默認爲10秒,hold time= 3*hello time
standby group-id timers hello second hold second
hello秒數:大小範圍爲1-255,默認爲3秒
hold秒數:大小範圍爲1-255,默認爲10秒,hold time= 3*hello time
配置實例: ![]()
基本配置:各端口IP地址的配置,R1R2R3之間起OSPF,達到全網互通的目的,其中兩臺PC分別將默認網關指向R2R3,此時由PC端應該能夠訪問R1的環回口1.1.1.1.
開始配置HSRP:
R2上:interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
full-duplex
standby 10 ip 192.168.1.254----------設置HSRP的組號爲10,虛擬網關地址爲192.168.1.254
standby 10 priority 105-----------------設定R2在group10中的優先級爲105
standby 10 preempt---------------------開啓R2在group10中的搶佔功能
standby 10 track Serial1/20-----------R2在group10中跟蹤端口S1/2
standby 20 ip 192.168.1.253----------設置HSRP group20的虛擬網關地址爲192.168.1.253
standby 20 preempt---------------------開啓R2在group20中的搶佔功能
standby 20 track Serial1/2-------------R2在group20中監視S1/2端口
R3上:interface Ethernet0/0
ip address 192.168.1.3 255.255.255.0
full-duplex
standby 10 ip 192.168.1.254---------設置HSRP的組號爲10,虛擬網關地址爲192.168.1.254
standby 10 preempt--------------------開啓R3在group10中的搶佔功能
standby 10 track Serial1/3------------ R3在group20中監視S1/3端口
standby 20 ip 192.168.1.253---------設置HSRP group20的虛擬網關地址爲192.168.1.253
standby 20 priority 105----------------設定R3在group20中的優先級爲105
standby 20 preempt------------------開啓R3在group20中的搶佔功能
standby 20 track Serial1/3---------- R3在group20中監視S1/3端口
可見,R2在GROUP10中擔任主網關的角色,在GROUP20中擔任備份網關的角色,相反,R3在group10中擔任備份網關的角色,在group20中擔任主網關的角色。
驗證:R2上有顯示:
*Mar 1 00:12:23.475: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 10 state Speak -> Standby
*Mar 1 00:12:23.975: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 10 state Standby -> Active
* Mar 1 00:16:55.895: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 20 state Speak -> Standby
R3上亦然有如下顯示:
*Mar 1 00:13:21.999: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 10 state Speak -> Standby
*Mar 1 00:14:48.999: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 20 state Speak -> Standby
*Mar 1 00:14:49.499: %HSRP-5-STATECHANGE: Ethernet0/0 Grp 20 state Standby -> Active
驗證備份效果:
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.2 120 msec 124 msec 64 msec
2 192.168.12.1 108 msec * 212 msec
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 100 msec 168 msec 180 msec
2 192.168.13.1 80 msec * 212 msec
可見R4經由R2訪問R1的環回口,而此時R5經由R3訪問R1的環回口,此時show standby查看此時的虛擬網關的主備信息。
R2#sh standby
Ethernet0/0 - Group 10
State is Active
2 state changes, last state change 00:09:22
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.908 secs
Preemption enabled
Active router is local
Standby router is 192.168.1.3, priority 100 (expires in 9.100 sec)
Priority 105 (configured 105)
Track interface Serial1/2 state Up decrement 10
IP redundancy name is "hsrp-Et0/0-10" (default)
Ethernet0/0 - Group 20
State is Standby
1 state change, last state change 00:04:50
Virtual IP address is 192.168.1.253
Active virtual MAC address is 0000.0c07.ac14
Local virtual MAC address is 0000.0c07.ac14 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.828 secs
Preemption enabled
Active router is 192.168.1.3, priority 105 (expires in 9.096 sec)
Standby router is local
Priority 100 (default 100)
Track interface Serial1/2 state Up decrement 10
IP redundancy name is "hsrp-Et0/0-20" (default)
R3#sh standby
Ethernet0/0 - Group 10
State is Standby
1 state change, last state change 00:08:55
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac0a
Local virtual MAC address is 0000.0c07.ac0a (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.836 secs
Preemption enabled
Active router is 192.168.1.2, priority 105 (expires in 8.688 sec)
Standby router is local
Priority 100 (default 100)
Track interface Serial1/3 state Up decrement 10
IP redundancy name is "hsrp-Et0/0-10" (default)
Ethernet0/0 - Group 20
State is Active
2 state changes, last state change 00:07:27
Virtual IP address is 192.168.1.253
Active virtual MAC address is 0000.0c07.ac14
Local virtual MAC address is 0000.0c07.ac14 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.320 secs
Preemption enabled
Active router is local
Standby router is 192.168.1.2, priority 100 (expires in 7.316 sec)
Priority 105 (configured 105)
Track interface Serial1/3 state Up decrement 10
IP redundancy name is "hsrp-Et0/0-20" (default)
當R2的S1/2端口down後,應該在group10中自動切換到R3—group10的備份網關路由器。
當R3的S1/3端口down後,應該在group20中自動切換到 R2-group20的備份網關路由器。
驗證:
1、 R2的S1/2down之後:
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 100 msec 252 msec 48 msec
2 192.168.13.1 76 msec * 136 msec
可見R4已經選擇R3做爲去往1.1.1.1 的網關。
R3的S1/3down之後:
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.2 72 msec 104 msec 36 msec
2 192.168.12.1 156 msec * 160 msec
R5也完成了到1.1.1.1的路徑的自動切換。
恢復端口no shutdown之後:
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.2 196 msec 140 msec 48 msec
2 192.168.12.1 80 msec * 148 msec
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 100 msec 152 msec 24 msec
2 192.168.13.1 128 msec * 148 msec
寫在實驗的後面:
HSRP部分我沒有做authentication的實驗,準備流到VRRP在做,因爲2者的基本特性一樣。HSRP的基本時間這個實驗我沒有更改它的默認時間,也不建議大家更改系統的默認時間,使用系統默認時間即可。
HSRP區別與VRRP的一大不同就是group的虛擬網關地址是不能爲接口的真實IP地址,只能使用虛擬IP地址作爲虛擬網關的IP地址。
由於是半夜完成的實驗,所以可能會有錯字,我會在以後慢慢改正O(∩_∩)O哈哈~。實驗環境爲dynamips搭建,在WINDOWS VISTA下運行良好,實驗現象正常出現。
Vanyoung 17th,Jan,2009,@Beijing