Blog

Troubleshooting protokołu VRRP

Podczas rozwiązywania problemów związanych z protokołem VRRP należy

• Określić które z urządzeń pełni rolę VRM [tracert (PC) show standby brief (Cisco)].
• Określić sposób elekcji urządzenia pełniącego rolę VRM.
• Sprawdzić konfigurację funkcji „preempt” [Show vrrp brief / Show vrrp].
• Określić współdzielony (wirtualny) adres IP [Show vrrp brief / Show vrrp].
• Określić współdzielony (wirtualny) adres MAC [Show vrrp].
• Ustalić czy funkcja śledzenia portów jest włączona [Show vrrp].

Identyfikacja współdzielonego (wirtualnego) adresu MAC:

• Przykładowy adres MAC protokołu VRRP 00:00:5e:00:01:XX
• 00:00:5e – Określa część adresu przydzieloną producentowi (IANA).
• 00:01 – Określa część adresu przydzieloną dla protokołu VRRP.
• XX – Określa część adresu należącą do danej grupy VRRP (Numer grupy VRID zapisany jest hex-a decymalnie).

Weryfikacja nadchodzący wiadomości protokołu VRRP

• Protokół VRRP weryfikuje wiadomość nadchodzące od sąsiednich urządzeń sprawdzając czy:
  • Wartość IP TTL jest równa 255.
  • Wartość VRRP Version jest równa 2/3.
  • Wartość Checksum jest poprawna.
  • Pakiet wiadomości VRRP jest kompletny.
  • Metoda autentykacji jest zgodna z skonfigurowaną.

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Teoria protokołu VRRP

Podstawowe zagadnienia dotyczące protokołu VRRP

• Protokół VRRP działa podobnie do protokołu HSRP, występują jednak pomiędzy nimi pewne różnice, takie jak:
  • VRRP jest ogólnie dostępnym standardem zatwierdzonym przez IETF.
  • VRRP może opcjonalnie pobierać aktualną wartość czasu „Advertisement” od urządzenia „Master Router”.
  • VRRP nie wymaga, aby współdzielony adres IP był unikalny, dzięki czemu możliwe staje się jego przypisanie do interfejsu sieciowego jednego z urządzeń (W takiej sytuacji urządzenie te automatycznie otrzymuje priorytet 255).
  • VRRP ma domyślnie włączoną funkcję „preempt”.
  • VRRP w wersji 3 umożliwia skonfigurowanie dwóch rodzin adresów (IPv4 oraz IPv6) w jednej grupie VRRP.
  • W przypadku utraty głównego urządzenia pełniącego rolę aktywną „Master Router”, pozostałe urządzenia należące do jednej grupy protokołu VRRP przeprowadzą elekcję nowego urządzenia pełniącego rolę aktywną VRM.

Nazwy i określenia wykorzystywane przez protokół VRRP

• VRID (Virtual Router Identifier) – Grupa współpracujących ze sobą urządzeń protokołu VRRP.
• VRM (Virtual Router Master) – Główne aktywne urządzenie grupy VRID.
• VRB (Virtual Router Backup) – Zapasowe pasywne urządzenie grupy VRID.
• VRRP Advertisement – Wiadomość powitalna protokołu VRRP.
• Gratuitous ARP – Powitalna wiadomość ARP wysyłana po aktywacji interfejsu bądź stworzeniu nowej grupy VRID.
• IP address owner – Urządzenie którego adres IP, pełni rolę adresu współdzielonego dla danej grupy VRID.
• Primary IP address – Adres IP wybrany z pośród adresów przypisanych do interfejsów sieciowych wszystkich urządzeń określonej grupy VRID, wykorzystywany jako adres źródłowy wiadomości protokołu VRRP.

Stany przejściowe protokołu VRRP

• Initialize – Protokół VRRP został aktywowany na interfejsie, jeżeli dane urządzenie posiada priorytet równy 255 automatycznie przejmuje rolę aktywną VRM, w innym przypadku przejmuje rolę pasywną VRB.
• Backup – Protokół VRRP nasłuchuje wiadomości „Advertisement” wysyłanych przez urządzenie aktywne VRM.
  • Urządzenie pracujące w trybie „Backup”:
    • Nie odpowiada na zapytania ARP kierowane na współdzielony, wirtualny adres MAC.
    • Odrzuca ramki Ethernet-owe kierowane na współdzielony, wirtualny adres MAC.
    • Odrzuca pakiety kierowane na współdzielony, wirtualny adres IP.
• Master – Protokół VRRP aktywnie uczestniczy w przesyłaniu ruchu sieciowego kierowanego na współdzielony, wirtualny adres IP, wysyłając wiadomości „Advertisement” do wszystkich urządzeń pełniących rolę VRB.
  • Urządzenie pracujące w trybie „Master”:
    • Odpowiada na zapytania ARP kierowane na współdzielony, wirtualny adres MAC.
    • Przetwarza ramki Ethernet-owe kierowane na współdzielony, wirtualny adres MAC.
    • Odpowiada na pakiety kierowane na współdzielony, wirtualny adres IP.

Wiadomości „Advertisement” są rozgłaszane jedynie przez urządzenie pełniące rolę aktywną VRM.

Wartości czasu

• Advertisement Timer – Określa odstęp czasowy w nadawaniu wiadomości „Advertisement”.
• Master Down Timer – Określa wartość czasu przez który urządzenie pasywne VRB oczekuje na wiadomość „Advertisement” za nim przejmie rolę aktywną VRM dla określonej instancji VRID.
• Skew Timer – Określa wartość czasu, dodaną do wartości  „Master Down Timer” w celu uniknięcia próby jednoczesnego przejścia do roli aktywnej VRM przez dwa urządzenia pasywne VRB. Czas „Skew Timer” jest wyliczany na podstawie następującej formuły matematycznej: (256 – priorytet VRRP) / 256.

Budowa nagłówka wiadomości VRRP

• Version (4 Bity) – Określa wersję protokołu VRRP (1-3).
• Type (4 Bity) – Określa rodzaj wiadomości VRRP (1 = Advertisement).
• VRID (8 Bity) – Zawiera wartość Virtual Router ID (VRID).
• Priority (8 Bity) – Określa wartość priorytetu (Wartość 255 domyślnie określa ruter którego adres IP jest również wirtualnym adresem IP dla danej grupy protokołu VRRP natomiast 0 określa urządzenie nie biorące udziału w procesie tworzenia nadmiarowości adresu IP).
• IP address count (8 Bity) – Określa ilość adresów IP zawartych w określonym nagłówku.
• Authentication type (8 Bity) – Określa użytą metodę autentykacji protokołu VRRP.
• Advertisement Interval (8 Bity) – Zawiera informacje na temat wartości czasu „Advertisement”.
• Checksum (16 Bity) – Zawiera wartość sumy kontrolnej, wyliczonej na podstawie zawartości określonego nagłówka.
• IP address – Zawiera jeden bądź wiele adresów IP.
• Authentication Data (0-8 Bity) – Zawiera klucz autentykacji protokołu VRRP.

Wersje protokołu VRRPv3

• Protokół VRRP w wersji trzecie wprowadza obsługę protokołu IPv6, jak i wiele nowości związanych z funkcjonalnością i konfiguracją. Zmiany względem poprzedniej wersji protokołu (VRRPv2) są następujące:
  • Wspiera wiele rodzajów interfejsów (Ethernet Family, Bridge Group Interface BVI, MPLS, VPNs, VRF czy VLANs).
  • Wspiera protokół IP w wersji szóstej IPv6.
  • Umożliwia skonfigurowanie dwóch rodzin adresów (IPv4 oraz IPv6) w jednej grupie VRRP.
  • Wspiera opcję konfiguracji drugiego adresu IP.
  • Nie wspiera autentykacji.
  • Nie wspiera funkcji SSO.

Parametr	VRRPv2	VRRPv3
Standard RFC	RFC 3768	RFC 5798
Wsparcie dla protokołów	Wspiera jedynie protokół IPv4	Wspiera protokół IPv4 i IPv6.
Czasy	Czas podawany w sekundach	Czas podawany w milisekundach
Adres Multicast	224.0.0.18 dla IPv4	224.0.0.18 dla IPv4 FF02::12 dla IPv6
Virtual Router ID	00:00:5E:00:01:XX dla IPv4	00:00:5E:00:01:XX dla IPv4 00:00:5E:00:02:XX dla IPv6
Preemption	Urządzenie z większym priorytetem bądź większą wartością adresu IP przejmuje rolę aktywną VRM.	Urządzenie z większym priorytetem przejmuje rolę aktywną VRM.
Aktywacja VRRP	Konfiguracja względem interfejsu	Konfiguracja globalna

Porównanie protokołu VRRPv1 z protokołem VRRPv2

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Równomierne obciążenie z wykorzystaniem protokołu HSRP

Konfiguracja pierwszego urządzenia

Podstawowa konfiguracja pierwszego urządzenia

U1(config)# interface fastEthernet 0/0

U1(config-if)# ip address 192.168.10.3 255.255.255.0

Podstawowa konfiguracja pierwszego urządzenia.

Konfiguracja parametrów współdzielenia adresu pierwszej bramy domyślnej

U1(config-if)# standby 1 ip 192.168.10.1

U1(config-if)# standby 1 priority 200

U1(config-if)# standby 1 preempt

Konfiguracja parametrów współdzielenia adresu pierwszej bramy domyślnej.

Konfiguracja parametrów współdzielenia adresu drugiej bramy domyślnej

U1(config-if)# standby 2 ip 192.168.10.2

U1(config-if)# standby 2 priority 100

U1(config-if)# standby 2 preempt

Konfiguracja parametrów współdzielenia adresu drugiej bramy domyślnej.

Konfiguracja drugiego urządzenia

U2(config)# interface fastEthernet 0/0

U2(config-if)# ip address 192.168.10.4 255.255.255.0

U2(config-if)# standby 1 ip 192.168.10.1

U2(config-if)# standby 1 priority 100

U2(config-if)# standby 1 preempt

U2(config-if)# standby 2 ip 192.168.10.2

U2(config-if)# standby 2 priority 200

U2(config-if)# standby 2 preempt

Konfiguracja drugiego urządzenia.

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Konfiguracja protokołu HSRP

Podstawowa konfiguracja protokołu HSRP

Wstępna konfiguracja interfejsów

(config)# interface interfejs

Przechodzi do poziomu konfiguracji fizycznego bądź wirtualnego interfejsu sieciowego.

(config-if)# ip address adres-IP maska

Protokół HSRP wymaga przynajmniej jednego adresu IP przypisanego do interfejsu fizycznego bądź wirtualnego, który nie może być jednocześnie adresem współdzielonym dla danej instancji.

(config-if)# no shutdown

Aktywuje fizyczny bądź wirtualny interfejs sieciowy.

Podstawowa konfiguracja protokołu HSRP

W przypadku niesprecyzowania numeru ID grupy protokołu HSRP, domyślnie zostanie zastosowana wartość (0).

(config-if)# standby version 1-2(1)*

Określa wykorzystywaną wersję protokołu HSRP.

(config-if)# standby ID-grupy(0-255 wersja 1 / 0-4095 wersja 2)(0) ip adres-IP

Określa współdzielony adres IP.

(config-if)# standby ID-grupy ip adres-IP secondary*

Określa dodatkowy współdzielony adres IP.

(config-if)# standby ID-grupy name nazwa*

Definiuje nawę przypisaną do konfigurowanej grupy HSRP.

(config-if)# standby ID-grupy priority 0-255(100)*

Określa wartość priorytetu konfigurowanej grupy HSRP. Urządzenie z najwyższą wartością w grupie może zostać wybrane jako aktywne „Active” (Jeżeli ma włączoną funkcję „Preempt”) tym samym przejmie ono obsługę całego ruchu sieciowego. (Jeżeli wszystkie urządzenia danej grupy HSRP posiadają taką samą wartość priorytetu, brane jest pod uwagę te z najwyższą wartością adresu IP).

(config-if)# standby ID-grupy preempt*

Umożliwia urządzeniu z większym priorytetem przejęcie roli aktywnej „Active”.

Zawansowana konfiguracja protokołu HSRP

Konfiguracja ustawień związanych z czasem protokołu HSRP

(config-if)# standby ID-grupy preempt delay {0-3600(0) / [minimum 0-3600(1) / reload 0-3600(5) / sync 0-3600] (Wszystkie wartości w sekundach)}

Definiuje okres czasu przez który urządzenie pasywne z większym priorytetem, będzie czekać zanim przejmie rolę aktywną dla danej grupy HSRP. Poszczególne wartości są następujące:
* minimum – Czas jest liczony od aktywacji interfejsu bądź skonfigurowania na nim protokołu HSRP.
* reload – Czas jest liczony od ponownego uruchomienia urządzenia, dzięki czemu protokoły routingu mają odpowiednią ilość czasu na nawiązanie relacji sąsiedztwa z innymi urządzeniami.
* sync – Określa dodatkowy czas przeznaczony na synchronizacje pomiędzy urządzeniami.

(config-if)# standby ID-grupy timers {msec 15-999 / 1-254(3)(sekundy)} {msec 50-3000(milisekundy) / 1-255(10)(sekundy)}

Definiuje odstępy czasowe w nadawaniu wiadomości powitalnych „Hello” jak i określa wartość czasu wstrzymania „Holdtime”.

Automatyczna konfiguracja protokołu HSRP dla IPv6

(config-if)# standby version 2

Xxx

(config-if)# standby ipv6 autoconfig

Xxx

Śledzenie aktywności sieciowej

Podstawowa konfiguracja protokołu IP SLA

(config)# ip sla SLA-ID

Tworzy nową instancję protokołu IP SLA.

(config-ip-sla)# icmp-echo {docelowa-nazwa-hosta / docelowy-adres-IP} [source-ip {źródłowy-adres-IP / źródłowa-nazwa-hosta} / source-interface źródłowy-interfejs]

Definiuje adres bądź nazwę urządzenia docelowego (IP SLA Responder) oraz opcjonalny źródłowy adres IP bądź nazwę urządzenia nadawczego (IP SLA Source).

(config)# ip sla schedule SLA-ID life {0-2147483647(3600)(sekundy) / forever} start-time {now / dokładna-data}

Określa harmonogram pracy danej instancji IP SLA, z uwzględnieniem czasu rozpoczęcia oraz zakończenia pracy.

(config)# track track-ID ip sla SLA-ID

Definiuje pojedynczy obiekt śledzący jedną instancję protokołu IP SLA.

Podstawowa konfiguracja funkcji Track

(config)# track track-ID interface interfejs {line-protocol / ip routing}

Umożliwia śledzenie statusu interfejsu za pomocą dynamicznych protokołów routingu bądź aktywności określonego interfejsu sieciowego (up/up).

Konfiguracja śledzenia aktywności sieciowej HSRP

(config-if)# standby ID-grupy track interfejs 1-255(10)

Rozpoczyna śledzenie określonego interfejsu sieciowego, zmniejszając priorytet danej instancji protokołu HSRP w przypadku jego dezaktywacji. (Możliwe jest jednoczesne śledzenie wielu interfejsów sieciowych dzięki czemu utrata jednego z nich, nie musi oznaczać zmiany statusu HSRP).

(config-if)# standby ID-grupy track track-ID decrement 1-255(10)

Umożliwia śledzenie obiektu „track” przez protokół HSRP, zmniejszając priorytet danej instancji w przypadku otrzymania negatywnej odpowiedzi od np. protokołu IP SLA.

Uwierzytelnianie wiadomości HSRP

Konfiguracja funkcji Key-Chain

(config)# key chain nazwa-key-chain

Tworzy nowy zestaw kluczy Key Chain.

(config-keychain)# key 0-2147483647(ID klucza)

Tworzy nowy klucz Key Chain.

(config-keychain-key)# key-string [0 / 7](0) klucz

Określa wartość klucza (Wymaga podania wartości zahaszowanej)

(config-keychain-key)# cryptographic-algorithm {hmac-sha-1 / hmac-sha-256 / hmac-sha-384 / hmac-sha-512 / md5}

Definiuje jaki algorytm haszujący będzie wykorzystywany podczas wymiany kluczy pomiędzy urządzeniami.

(config-keychain-key)# accept-lifetime local ([Czas początkowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)) {infinite / duration 1-2147483646(sekundy) / ([Czas końcowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)})

Definiuje okres czasu przez jaki dany klucz będzie używany do odbierania wiadomości (Jest to okres czasu podczas którego dany klucz pozostaje akceptowalny).

(config-keychain-key)# send-lifetime local ([Czas początkowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)) {infinite / duration 1-2147483646(sekundy) / ([Czas końcowy] godzina(hh:mm:ss) miesiąc(nazwa angielska) dzień(1-31) rok(1993-2035)})

Definiuje okres czasu przez jaki dany klucz będzie używany w wysyłanych wiadomościach (Czas ten powinien być krótszy od czasu „accept-lifetime”).

Przykładowa konfiguracja funkcji Key-Chain

(config)# key chain EIGRP
(config-keychain)# key 1
(config-keychain-key)# accept-lifetime local 01:00:00 april 1 2014 01:00:00 may 2 2014
(config-keychain-key)# send-lifetime local 01:00:00 april 1 2014 01:00:00 may 2 2014
(config-keychain-key)# key-string Cisco!2345
(config-keychain-key)# key 2
(config-keychain-key)# accept-lifetime local 01:00:00 may 1 2014 infinite
(config-keychain-key)# send-lifetime local 01:00:00 may 1 2014 infinite
(config-keychain-key)# key-string Cisco1234567

Przykładowa konfiguracja funkcji Key-Chain.

Autentykacja wiadomości HSRP

(config-if)# standby ID-grupy authentication hasło(cisco)

Rozpoczyna uwierzytelnianie wiadomości HSRP, za pomocą hasła wysyłanego w formie zwykłego tekstu (Plain Text).

(config-if)# standby ID-grupy authentication md5 {key-chain nazwa-keychain / key-string [nic / 0 / 7] hasło}

Rozpoczyna autentykacje wiadomości HSRP za pomocą hasła, wysyłanego w formie zabezpieczonej przez algorytm MD5.
key-chain nazwa – Wykorzystuje system Key-chain do zarządzania kluczami MD5.
key-string [0 | 7] hasło – Określa hasło wykorzystywane w procesie autentykacji (Wartość 0 umożliwia wpisanie zwykłego tekstu natomiast 7 wymaga wprowadzenia wstępnie zaszyfrowanego klucza).

Podporządkowywanie grupy HSRP

(config-if)# standby ID-grupy-nadzorczej follow ID-grupy-zależnej

Podporządkowuje określoną grupę HSRP innej.

(config-if)# standby mac-refresh 0-255(sekundy)

Określa opóźnienia w zmianie statusu, tak aby obydwie grupy HSRP nie czyniły tego jednocześnie.

Komendy SHOW dla protokołu HSRP

# show standby brief

Wyświetla podstawowe informacje o konfiguracji protokołu HSRP:

# show standby brief                        P indicates configured to preempt.                        | Interface     Grp       Pri     P    State            Active           Standby         Virtual IP Vl1                  1         110        Standby    192.168.10.3     local           192.168.10.1

• Interfejs (Interface) – Określa interfejs, na którym jest skonfigurowany protokół HSRP.
• Grupa (Grp) – Określa grupę, do której należy dana instancja HSRP.
• Priorytet (Pri) – Określa priorytet danej instancji HSRP.
• Preempt (P) – Informuje czy funkcja „preempt” jest włączona na konfigurowanym urządzeniu.
• Status (State) – Określa status konfigurowanego urządzenia.
• Urządzenia aktywne (Active) – Wskazuje adres aktywnego urządzenia w grupie HSRP.
• Urządzenia Pasywne (Standby) – Wskazuje adres pasywnego urządzenia w grupie HSRP.
• Współdzielony adres IP (Virtual IP) – Określa współdzielony adres IP grupy HSRP.

# show standby interfejs

Wyświetla szczegółową konfigurację protokołu HSRP na określonym interfejsie.

# show standby delay

Wyświetla informacje o skonfigurowanym opóźnieniu protokołu HSRP.

# show standby capability

Wyświetla interfejsy wspierające protokół HSRP.

# show standby redirect

Wyświetla skrócone informacje HSRP o: Grupie, współdzielonym adresie IP i MAC, interfejsie, oraz aktywnym urządzeniu.

# show standby

Wyświetla szczegółową konfigurację dla wszystkich skonfigurowanych instancji HSRP:

# show standby       Vlan1 – Group 1   State is Standby     3 state changes, last state change 01:14:11   Virtual IP address is 192.168.10.1   Active virtual MAC address is 0000.0c07.ac01 (MAC Not In Use)     Local virtual MAC address is 0000.0c07.ac01 (v1 default)   Hello time 3 sec, hold time 10 sec     Next hello sent in 1.632 secs   Preemption disabled   Active router is 192.168.10.3, priority 100 (expires in 9.168 sec)   Standby router is local   Priority 110 (configured 110)   Group name is “hsrp-Vl1-1” (default)

• Status (State) – Określa status konfigurowanego urządzenia.
• Współdzielony adres IP (Virtual IP) – Określa współdzielony adres IP grupy HSRP.
• Współdzielony adres MAC (Virtual MAC) – Określa współdzielony adres MAC grupy HSRP.
• Czas Hello Time (Hello time) – Określa ustaloną wartość czasu „Hello Time”.
• Czas Hold Time (Hold time) – Określa ustaloną wartość czasu „Hold Time”.
• Preempt (Preemption) – Informuje czy funkcja „preempt” jest włączona na konfigurowanym urządzeniu.
• Priorytet (Priority) – Określa obecny priorytet danej instancji HSRP oraz priorytet skonfigurowany (Obydwie wartości mogą się różnić z powodu funkcji śledzenia portów Track).
• Śledzenie portów (Track) – Informuje jakie porty są śledzone przez daną instancje protokołu HSRP.

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Troubleshooting protokołu HSRP

• Podczas rozwiązywania problemów związanych z protokołem HSRP należy:
  • Określić które z urządzeń pełni rolę aktywną „Active” [tracert (PC) show standby brief (Cisco)].
  • Sprawdzić konfigurację funkcji „preempt” [show standby brief / show standby].
  • Określić współdzielony (wirtualny) adres IP [show standby brief / show standby].
  • Określić współdzielony (wirtualny) adres MAC [show standby].
  • Ustalić czy funkcja śledzenia portów jest włączona [show standby].

Identyfikacja współdzielonego (wirtualnego) adresu MAC

• Przykładowy adres MAC protokołu HSRPv1 00:00:0c:07:ac:XX
• 00:00:0c – Określa część adresu, przydzieloną producentowi (Cisco).
• 07:ac – Określa część adresu, przydzieloną dla protokołu HSRPv1.
• XX – Określa część adresu, należącą do danej grupy HSRP (Numer grupy HSRP zapisany jest hex-a decymalnie).

Scenariusz	Obydwa urządzenia są aktywne	Występuje duplikacja adresów	Zmiana współdzielonego adresu IP
Brak spójności w wersji HSRP	Tak	Tak	N/A
Brak spójności w ID HSRP	Tak	Tak	N/A
Blokowanie wiadomości HSRP (ACL)	Tak	Nie	N/A
Brak spójności w adresie IP	Nie	N/A	Tak

Błędy mogące powstać przy konfiguracji protokołu HSRP

Dodatkowe informacje

? Informacja 1: W przypadku użycia protokołu HSRP wraz z protokołem STP, należy upewnić się czy nadmiarowe połączenia pomiędzy urządzeniami, nie są blokowane przez protokół STP w celu uniknięcia pętli.

? Informacja 2: Grupa protokołu HSRP może podlegać innej grupie protokołu HSRP.

Przykładowe problemy

! Problem 1: Na urządzeniu wyskakuje komunikat informujący o wystąpieniu duplikacji współdzielonego adresu IP.

$ Rozwiązanie 1: W przypadku skonfigurowania błędnego numeru grupy bądź wersji protokołu HSRP, urządzenia należące do danej grupy nie będą mogły nawiązać ze sobą kontaktu a tym samym obydwa urządzenia uznają się za aktywne.

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Teoria protokołu HSRP

Podstawowe informacje

• Protokół HSRP umożliwia współdzielenie jednego adresu IP (Wraz z przypisanym do niego adresem MAC), pomiędzy wieloma urządzeniami warstwy trzeciej. Dziki czemu istnieje możliwość stworzenia nadmiarowości, w adresacji GW.
• HSRP oprócz jednego współdzielonego adresu IP oraz automatycznie generowanego wirtualnego adresu MAC, wymaga skonfigurowania podstawowych adresów IP przypisanych do fizycznych bądź wirtualnych interfejsów danej instancji HSRP (Współdzielony adres IP nie może być przypisany do żadnego z fizycznych bądź wirtualnych interfejsów).
• Współdzielony adres IP bramy domyślnej, może być logicznie określany jako wirtualny ruter, istniejący pomiędzy wieloma fizycznymi urządzeniami.

Pojęcia dotyczące protokołu HSRP

• Active Router – Główne, aktywne urządzenie grupy HSRP, biorące czynny udział w wymianie danych.
• Standby Router – Zapasowe, nieaktywne urządzenie grupy HSRP, nie biorące udziału w wymianie danych.
• Standby Group – Grupa urządzeń współdzielących wirtualny adres IP oraz jeden wirtualny adres MAC.
• Hello-Time – Określa odstępy czasowe w nadawaniu wiadomości powitalnych „Hello” (utrzymują one kontakt pomiędzy urządzeniami jednej instancji protokołu HSRP). 
• Hold-Time – Określa wartość czasu po upływie którego ruter pełniący rolę pasywną zmieni ją na rolę aktywną, jeśli nie będzie otrzymywał komunikatów „Hello” przez następujący okres czasu (Holdtime).
• Virtual Router – Adres IP oraz adres MAC współdzielony pomiędzy urządzeniami fizycznymi w obrębie jednej grupy.
• Standby address, HSRP address – Adres IP współdzielony pomiędzy urządzeniami fizycznymi w obrębie jednej grupy.

Wiadomości protokołu HSRP

• Wiadomość Hello  (Code 0) – Pootrzymuje komunikacje pomiędzy urządzeniami (Standby, Active). Zawiera:
  • Wersję protokołu HSRP, wartości czasów (Hellotime, Holdtime), priorytet danego urządzenia, grupę protokołu HSRP, współdzielony adres IP, status (Standby, Active) oraz informacje dotyczące autentykacji.
• Wiadomość Coup (Code 1) – Ogłasza zmianę roli z pasywnej (Standby) na aktywną (Active) (Urządzenie pasywne musi mieć włączoną funkcję „preempt”).  Wiadomość zawiera:
  • Wersję protokołu HSRP, wartości czasów (Hellotime, Holdtime), priorytet danego urządzenia, grupę protokołu HSRP, współdzielony adres IP, status (Standby, Active) oraz informacje dotyczące autentykacji.
• Wiadomość Resign (Code 2) – Urządzenie aktywne (Active) Informuje o dezaktywacji (shutdown) interfejsu sieciowego, tym samym urządzenie pasywne nie musi już czekać do upływu czasu „Holdtime”, za nim przejmie rolę aktywną. Komunikat ten stanowi również odpowiedź na wiadomość „Coup”.
• (Code 3) – Jest wysyłana przez urządzenie pasywne (Standby) do momentu zmiany roli na aktywną (Active). Podczas zmiany przez moment może być wysyłana przez urządzenia aktywne. Zawiera:
  • Wersję protokołu HSRP, status (Standby, Active) oraz inne informacje protokołu HSRP.

Wiadomości „Hello” są rozgłaszane zarówno przez urządzenie pełniące rolę aktywną (Active) jak i pasywną (Standby).

Wiadomości „Advertise” są rozgłaszane przez urządzenie pełniące rolę pasywną (Standby) jak i wszystkie wstrzymane urządzenia działające w trybie „Listen”.

Elekcja urządzenia aktywnego

1. Po skonfigurowaniu wirtualnego adresu IP, lokalne urządzenie nasłuchuje wiadomości powitalnych „hello” od innych urządzeń z sieci LAN. W przypadku wykrycia innego aktywnego urządzenia, przełącznik przechodzi w tryb pasywny bądź w stan nasłuchu „Listen” (Jeżeli w sieci znajduje się już urządzenie pełniące rolę pasywną).
2. Jeżeli w sieci nie ma innego urządzenia danej grupy protokołu HSRP, urządzenie przechodzi w stan aktywny.
3. Jeżeli opcja „preempt” jest włączona a lokalne urządzenia posada większy priorytet, przechodzi w stan aktywny.

Zasada działania protokołu HSRP

1. Urządzenie z najwyższym priorytetem lub najwyższą wartością adresu IP, zaczyna pełnić rolę aktywną, odpowiadając na zapytania ARP, wysyłane przez inne hosty z sieci lokalnej LAN.
2. W przypadku pojawienia się urządzenia z większym priorytetem, dochodzi do zamiany ról (Przy założeniu, że funkcja „preempt” jest włączona na urządzeniu mający większy priorytet).
3. Urządzenie z drugim co do wartości priorytetem, zaczyna pełnić rolę pasywną natomiast reszta urządzeń jest w stanie nasłuchu „Listen” (Jedynie urządzenie pełniące rolępasywnąnasłuchuje komunikatów od aktywnego rutera).
4. Jeżeli kontakt z urządzeniem aktywnym zostanie utracony (W przypadku nieotrzymania wiadomości „Hello” przez okres „Holdtime”) następuje zamiana ról podczas której urządzenia pasywnestaje się aktywnym a te prowadzące nasłuch „Listen” przechodzi w tryb pasywny.

HSRPv1 & HSRPv2

• Poszczególne wersje protokołu HSRP nie są ze sobą kompatybilne, przez co urządzenia wykorzysujące inne wersje protokołu HSRP nie są w stanie nawiązać ze sobą poprawnej komunikacji, tym samym doprowadzając do powstania duplikacji adresu IP bramy domyślnej. Konflikt ten wynika z innego formatu wiadomości protokołu HSRPv1 a v2.

Funkcja	HSRPv1	HSRPv2
Wsparcie dla protokołu IPv6	Nie wspierany	Wspierany
Jednostki określające czas „Hello”	Sekundy	Milisekundy
Rozgłasza konfiguracje czasów „Hello”	Nie	Tak
Zakres numerów ID	0 – 255	0 – 4095
Wykorzystywany adres MAC	0000.0C07.ACXX	0000.0C9F.FXXX
Wykorzystywany adres multicast (IPv4)	224.0.0.2	224.0.0.102
Unikalna identyfikacja poszczególnych urządzeń	Nie wspierana	Wspierana

Porównanie protokołu HSRPv1 z protokołem HSRPv2

Pozostałe informacje dotyczące protokołu HSRP

• Poszczególne stany przejściowe protokołu HSRP:
  • Faza pierwsza (Init) – Protokół HSRP nie został jeszcze aktywowany.
  • Faza druga (Learn) – Protokół HSRP nie zna jeszcze swojego współdzielonego adresu IP.
  • Faza trzecia (Listen) – Protokół HSRP zna swój współdzielony adres IP oraz współdzielony adres MAC, jednak nie posiada jeszcze przypisanej roli „Active Router” bądź „Standby Router”.
  • Faza czwarta (Speak) – Protokół HSRP rozpoczyna systematyczne wysyłanie wiadomości powitalnych ”Hello” w celu dokonania elekcji urządzenia aktywnego „Active Router”.
  • Faza piąta (Standby) – Protokół HSRP po zakończeniu elekcji przejmuje role pasywną  „Standby Router”.
  • Faza szósta (Active) – Protokół HSRP po zakończeniu elekcji przejmuje role aktywną  „Active Router”.

Wszystkie routery niepełniące roli aktywnej „Active”  bądź pasywnej „Standby”, znajdują się w stanie „Listen”.

Ilość urządzeń / instancji protokołu HSRP

• Protokół HSRP wspiera maksymalnie 32 instancje skonfigurowane na interfejsach fizycznych bądź logicznych SVI.
• Protokół HSRP nie określa maksymalnej ilości urządzeń jakie mogą uczestniczyć w jednej instancji.

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

HSRP & VRRP & GLBP

Cechy	HSRP	VRRP	GLBP
Adres multicast	224.0.0.2 (All Routers IPv4) 224.0.0.102 (HSRPv2 IPv4) FF02:66 (HSRPv2 IPv6)	224.0.0.18 (VRRP)	224.0.0.102 (GLBP)
Port warstwy czwartej	(IPv4) UDP 1985 (IPv6) UDP 2029	IP 112	UDP 3222
Urządzenie aktywne	Active	Master Router	AVG (Active Virtual Gateway)
Urządzenia pasywne	Standby	Backup State	AVF (Active Virtual Forwarders)
Adresy MAC	00:00:0C:07:AC:XX (IPv4) 00:00:0C:9F:FX:XX (HSRPv2 IPv4) 00:05:73:A0:0X:XX (HSRPv2 IPv6)	00:00:5E:00:01:XX (IPv4) 00:00:5E:00:02:XX (IPv6)	00:07:B4:00:XX:XX
RFC	RFC 2281	RFC 3768, 5798	—-
Własność Cisco	TAK	NIE	TAK
Domyślny czas Hello (s)	3,3	1 (Advertisement)	3,3
Domyślny czas Holdtime (s)	10	3	10
Domyślny priorytet	100	100	100
Domyślna waga	—	—	100
Funkcja Preemption domyślnie włączona	Nie	Tak	Nie względem AVG Tak względem AVF
Numeracja grupy	0–255 (HSRPv1), 0–4095 (HSRPv2)	1–255	0–1023
Adres IP interfejsu może być adresem współdzielonym	Nie	Tak	Nie
Wysyła wiadomości?	Active, Standby	Master Router	AVG, AVF

Porównanie protokołów HSRP, VRRP oraz GLBP

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP

Rodzaje przełączników sieciowych

Rodzaje przełączników

• Fixed-Configuration Switches – Zwykły przełącznik sieciowy, stanowiący pojedyńcza bryłę (Nie posiada funkcji rozbudowy o dodatkowe moduły np. nowe interfejsy. Może być łączony z innymi przełącznikami (Stacking)).
• Modular Switches – Przełącznik w postaci pustej obudowy, zezwalającej na montaż dodatkowych modułów.

Budowa przełączników modularnych

• Supervisor – Główny moduł zarządzający przełącznikiem modularnym. Zawiera między innymi moduł Forwarding Engine, procesor switching-u (L2) oraz routingu (L3) jak inne podstawowe komponenty przełącznika wielowarstwowego.

High Availbility – Teoria

VSS – Virtual Switching System

Funkcja VSS jest dostępna na przełącznikach z serii 4500R, 6500 oraz 8500.

• W swojej ofercie Cisco oferuje przełączniki (Chassis) oparte na wymiennych modułach (Switching Modules), które montowane są w specjalnie to tego przygotowanych slotach (Slots).
• Funkcja VSS zwana również „VSS pair” umożliwia wirtualne połączenie dwóch niezależnych, fizycznych przełączników (Chassis) w jeden wirtualny, zarządzany z poziomu głównego przełącznika zwanego „Supervisor”.
• Łączność pomiędzy poszczególnymi przełącznikami (Chassis) jest utrzymywana za pomocą specjalnych połączeń (Ethernet-owych) zwanych VSL (Virtual Switch Link).
• W przypadku utraty połączenia VSL przełączniki przechodzą w tryb „Dual active recovery mode” w którym tylko jedno z urządzeń sprawuje rolę aktywną.
• Funkcja VSS wykorzystuje protokół MEC (Multichassis EtherChannel) w celu nawiązania połączenia EthernetChannel pomiędzy dwoma przełącznikami wspierającymi VSS a trzecim np. dostępowym bądź też dystrybucyjnym.

Redundant Switch Supervisor

Funkcja „Redundant Switch Supervisor” jest dostępna na przełącznikach z serii 4500R, 6500(SSO) oraz 8500.

• Przełączniki (Chassis) mogą pomieścić do dwóch modułów zarządzających „Supervisor”, z których jeden zaraz po załadowaniu systemu przechodzi w tryb aktywny (Active) natomiast drugi w tryb pasywny (Standby).
• Moduł pasywny (Standby) – Zostaje załadowany do pewnego poziomu zależnie od wykorzystywanego protokołu:
  • RPR (Route Processor Redundancy) – Moduł pasywny jest boot-owany jedynie częściowo, przez co po awarii głównego modułu przełącznik musi się przeładować a następnie załadować funkcję „Active Supervisor”.
  • RPR+ (Route Processor Redundancy Plus) – Moduł pasywny jest w pełni zboot-owany a silnik routingu zainicjowany, jednak żadna funkcjonalność warstwy 2 oraz 3 nie zostaje aktywowana. W przypadku awarii głównego modułu przełącznik nie musi przeładowywać modułu ani ładować funkcji „Active Supervisor”.
  • SSO (Statefull Switchover) – Moduł pasywny jak i silnik routingu jest w pełni zboot-owany, dane konfiguracyjne (Startup oraz Running Configuration) są przetrzymywane na obydwóch modułach wraz z pełną synchronizacją tablicy „Mac Address Table”. W przypadku awarii głównego modułu przełącznik działa płynnie bez zrywania połączeń.
• Wymagania dotyczące systemu Cisco IOS względem wykorzystywanego trybu są następujące:
  • RPR (Route Processor Redundancy) – Obydwa moduły powinny mieć tą samą wersję systemu IOS.
  • RPR+ (Route Processor Redundancy Plus) – Obydwa moduły muszą mieć tą samą wersję systemu IOS.

RPR	RPR+	SSO
Supervisor Bootstrap Image Loaded	Supervisor Bootstrap Image Loaded	Supervisor Bootstrap Image Loaded
IOS Image Loaded	IOS Image Loaded	IOS Image Loaded
Sync Startup-Config	Sync Startup-Config	Sync Startup-Config
Supervisor Diagnostics	Supervisor Diagnostics	Supervisor Diagnostics
All Switch Modules Reloaded	————————	————————
Router Engine Initialized	Router Engine Initialized	Router Engine Initialized
Layer 2 Protocol Initialized	Layer 2 Protocol Initialized	Layer 2 Protocol Initialized
————————	————————	FIB Table Synchronized
Layer 3 Protocol Initialized	Layer 3 Protocol Initialized	Layer 3 Protocol Initialized
Routing Protocol Converge	Routing Protocol Converge	Routing Protocol Converge
FIB Table Flushed and Re-Created	FIB Table Flushed and Re-Created	FIB Table Updated

Porównanie działania procesu Failover względem protokołów RPR, RPR+ oraz SSO

• Funkcja „Redundant Switch Supervisor” funkcjonuje w jednym z następujących trybów:
  • SRM (Single-Router Mode) – Obydwa moduły „Supervisor” posiadają po jednym procesorze routingu, z czego jeden jest aktywny (Active) a drugi znajduje się w stanie pasywny (Standby).
  • DRM (Dual-Router Mode) – Obydwa moduły „Supervisor” posiadają po jednym procesorze routingu, w tym obydwa są aktywne (Active). Funkcja ta jest szczególnie przydatna w przypadku wykorzystania protokołu HSRP.

Funkcja SRM nie jest kompatybilna z trybem RPR oraz RPR+, za to jest kompatybilna z protokołem SSO (SRM with SSO).

Trym Redundancji	Czas Failover
RPR	Dobry (> 2 minuty)
RPR+	Lepszy (> 30-60 sekund)
SSO	Najlepszy (> 0-3 sekunda)

Porównanie czasu Failover protokołów RPR, RPR+ oraz SSO

NSF – Non Stop Forfaiting

• Funkcja NSF umożliwia zamrożenie relacji sąsiedztwa pomiędzy sąsiednimi urządzeniami nawet po awarii głównego modułu przełącznika (Supervisor), dzięki czemu relacja sąsiedztwa nie zostanie zawieszona a dynamiczne trasy routingu usunięte. NSF działa z wykorzystaniem dwóch sąsiednich urządzeń pracujących w następujących trybach:
  • NFS-Capable (Supervisor) – Jest w stanie przesyłać ruch sieciowy nawet po mimo awarii głównego modułu.
  • NSF-Aware (Supervisor Neighbor) – Sztucznie utrzymuje relację sąsiedztwa nawet jeżeli przez pewien okres czasu nie będzie otrzymywał wiadomości powitalnych „Hello”. Jednocześnie otrzymując jak i wysyłając ruch sieciowy.
• Funkcja NSF jest własnością firmy Cisco wbudowaną w znajdujące się na urządzeniu protokoły routingu, takie jak BGP, EIGRP, OSPF oraz IS-IS (Funkcja NSF musi być aktywna na przynajmniej dwóch ruterach).

Funkcja NSF współpracuje jedynie z protokołem SSO.

High Availbility – Konfiguracja

Konfiguracja funkcji Redundant Switch Supervisor

Za pierwszym razem konfigurację należy wykonać na obydwóch modułach zarządzających „Supervisor”.

W przypadku trybu RPR+ system IOS musi być taki sam na obydwóch modułach zarządzających „Supervisor”.

Podstawowa konfiguracja funkcji nadmiarowości (redundancji)

(config)# redundancy

Aktywuje funkcjonalność nadmiarowości (redundancji) na danym przełączniku.

(config-red)# mode {rpr / rpr-plus / sso}

Określa tryb pracy funkcji nadmiarowości (redundancji) na danym przełączniku.

Konfiguracja synchronizacji względem funkcji nadmiarowości (redundancji)

(config)# redundancy

Aktywuje funkcjonalność nadmiarowości (redundancji) na danym przełączniku.

(config-red)# main-cpu

Przechodzi do trybu konfiguracji głównego procesora (CPU).

(config-r-mc)# auto-sync {startup-config / config-register / bootvar} (startup-config / config-register)

Określa zakres danych synchronizowanych pomiędzy modułami (Komenda może być używana wielokrotnie).

# show redundancy states

Wyświetla status oraz konfigurację funkcji nadmiarowości (redundancji).

Konfiguracja funkcji NSF

Konfiguracja funkcji NSF względem protokołu BGP

(config)# router bgp ASN

Przechodzi do poziomu konfiguracji protokołu BGP.

(config-router)# bgp graceful-restart

Włącza funkcję NSF dla danej instancji routingu.

Konfiguracja funkcji NSF dla protokołu EIGRP

(config)# router eigrp ASN

Przechodzi do poziomu konfiguracji protokołu EIGRP.

(config-router)# nsf [{cisco / ietf}]

Włącza funkcję NSF dla danej instancji routingu.

Konfiguracja funkcji NSF dla protokołu OSPF

(config)# router ospf ASN

Przechodzi do poziomu konfiguracji protokołu OSPF.

(config-router)# nsf [{cisco / ietf}]

Włącza funkcję NSF dla danej instancji routingu.

Konfiguracja funkcji NSF dla protokołu IS-IS

(config)# router isis ASN

Przechodzi do poziomu konfiguracji protokołu ISIS.

(config-router)# nsf [{cisco / ietf}]

Włącza funkcję NSF dla danej instancji routingu.

(config-router)# nsf interval 0-?(minuty)

Xxx

(config-router)# nsf t3 {manual 0-?(sekundy) / adjacency}

Xxx

(config-router)# nsf interface wait 0-?(sekundy)

Xxx

Pozostałe artykuły dotyczące wysokiej dostępności

• Wysoka dostępność warstwy drugiej
• HSRP & VRRP & GLBP
• Teoria protokołu HSRP
• Troubleshooting protokołu HSRP
• Konfiguracja protokołu HSRP
• Przykładowa Konfiguracja protokołu HSRP
• Teoria protokołu VRRP
• Troubleshooting protokołu VRRP