HSRP

 

HSRP

Introduction


 

HSRP = Hot Standby Router Protocol

  • Propriétaire CISCO
  • Basé sur un modèle Actif / Passif

Ce protocole existe en plusieurs versions :

 

HSRP v1

– IPv4
– Adresse MAC utilisé : 0000.0C07.ACxx
– Utilise l’adresse multicast 224.0.0.2
– Groupe 0 au groupe 255

HSRP v2

– IPv4 / IPv6
– Adresse MAC utilisé : 0000.0C9F.Fxxx
– Utilise l’adresse multicast 224.0.0.102
– Groupe 0 au groupe 4095

 

Principe de fonctionnement


 

Le protocole HSRP est basé sur le modèle Actif / Passif. Cela veut dire qu’il n’y aura qu’un seul routeur en mode « Actif » et les autres routeurs en mode « Passif » :

 

Mode Active (Actif)

Ce routeur portera l’adresse IP et l’adresse MAC virtuel

Mode Passive (Passif)

Les autres routeurs attendent que le routeur en mode active soit indisponible pour prendre sa place.

Afin de savoir le quel des routeurs va passer en mode Active, il vont organiser une élection.

 

Élection du routeur actif


 

Chaque routeur possède une priorité.

Cette priorité est modifiable par l’administrateur.

La priorité par défaut est à 100. Elle est comprise entre 0 et 255.

 

Le routeur aillant la priorité la plus haute sera en mode Active

En cas d’égalité, le routeur possédant l’adresse IP la plus haute deviendra le routeur actif.

 

Le routeur en mode Active portera donc notre adresse IP et notre adresse MAC virtuelle.

Le ou les routeurs en mode Passive se tiendrons informé de l’état de santé du routeur Active via des paquets « Hello » envoyé en mulitcast.

 

Paquets « Hello »


– Le routeur en mode Active envoi des paquets « Hello » aux routeurs en mode Passive

Cet intervalle de temps s’appelle « Hello Timer » (par défaut: toutes les 3 secondes)

– Si nos routeurs en mode Passive ne reçoivent plus de paquets « Hello », ils considèrent que le routeur en mode Active est hors service, il va donc y avoir une nouvel élection !

Cet intervalle de temps s’appelle « Hold-time Timer » (par défaut: 10 secondes soit 3x le Hello Timer)

Les valeurs « Hello Timer » et « Hold-time Timer » peuvent être changées administrativement.

Exemple :

switch(config-if)#standby 1 timers 3 10     < Hello = 3s / Hold-time = 10s

(Mettre ces valeurs ne sert à rien car c’est les valeurs par défaut)

ou

switch(config-if)#standby 1 timers msec 100 msec 300

Nous avons passez le « Hello timer » à 100 milisecondes et le « Hold-time » à 300 (3×100) milisecondes

Ce qui nous donne une vitesse de basculement en cas de panne de 300 milisecondes.

 

Ces temps doivent être commun à tout nos routeurs.

 

Basculement en cas de panne


 

      Si notre routeur en mode Active n’est plus en état de fonctionner, une nouvelle élection à lieu.

Un routeur en mode Passive va donc passer en mode Active.

Si notre routeur hors ligne est de nouveau en ligne, il n’y aura pas de nouvelle élection !

(il ne récupèrera donc pas son rôle avant la prochaine panne du nouveau routeur en mode Active.)

 

 

Préemption


 

Définition de Préemption :

 la préemption est la capacité d’un système d’exploitation multitâche d’interrompre une tâche en cours en faveur d’une tâche de priorité supérieure. (source: Wikipédia)

La commande « preempt » va permettre à un routeur possédant une priorité supérieure aux autres de remplacer le routeur actuellement en mode Active (sans attendre la prochaine élection, #CoupD’état)

La commande est la suivante :

Switch(config-if)#standby 1 preempt

 

Authentification (CCNP)


 

Afin d’authentifier les routeurs présent dans notre groupe de travail HSRP, il est possible de mettre en place de l’authentification.

Pour se faire, deux méthodes :

– Plain-text

– MD5

 

Plain-text


     Si les deux routeurs possèdent la même « Plain-test key string » (traduction : Chaine de caractère en texte brut), il pourront donc travailler ensemble.

Cette chaine doit avoir entre 1 et 8 caractères.

Cette méthode d’authentification est déjà utilisé par défaut, « cisco » est la valeur de la chaine.

La chaine de caractère passe en clair sur le réseau ….

Rappel : Les paquets Hello sont envoyés en multicast. Si quelqu’un fait une simple écoute réseau, il obtiendra le numéro de groupe HSRP ainsi que cette chaine de caractère.

Pour changer cette chaine de caractère :

Switch(config-if)#standby 1 authentication Finger

 

MD5


Pour expliquer ce type d’authentification , mettons nous en situation :

– R1 et R2 sont dans le même groupe HSRP.

– R1 à un message à envoyer à R2.

– R1 créer un hash avec sa clé MD5

– R1 envoie son message ainsi que le hash de son message.

– R2 créer un hash avec sa clé MD5 du message reçu

Si le hash de R1 est égale à la valeur du hash de R2 , le message est accepté

la clé MD5 :

– Ne circule pas sur le réseau.

– Peut avoir au maximum 64 caractères.

 

Deux façons de mettre en place une clé MD5 :

 

Méthode 1 :

Switch(config-if)#standby 1 authentication md5 key-string [ 0 | 7 ] Finger

0 = Clé en clair

7 = Clé Crypté

.

Méthode 2 :

Switch(config)#key chain Finger-chain
Switch(config-keychain)#key 1
Switch(config-keychain-key)#key-string [ 0 | 7 ] Finger

Switch(config)#interface vlan 10
Switch(config-if)#standby 1 authentication md5 key-chain Finger-chain

 

 

Configuration du HSRP


 

Le protocole HSRP va se configurer sur une interface. (Physique ou vlan)

Étape 1 : Définir la version HSRP à utiliser :

router(config)#interface vlan 10
router(config-if)#standby version 2

Étape 2 : Définir la priorité HSRP

Le protocole HSRP travaille dans des groupes , il faut donc lui spécifier dans quel groupe de travail il va travailler. Imaginons que nous sommes sur le routeur de droite , nous voulons que ce routeur soit en mode Passive, nous allons donc lui mettre une priorité supérieur au routeur de gauche (Ce routeur aura une valeur de priorité par défaut : 100)

router(config-if)#standby 1 priority 110

Étape 3 : Définir l’adresse IP Virtuelle

(L’adresse MAC virtuel sera généré en fonction du numéro de groupe HSRP)

router(config-if)#standby 1 ip 192.168.10.254

 

 

Load Balancing HSRP


 

Comme nous l’avons vu plus haut , tout nos flux voulant aller sur internet vont donc passer par un seul routeur. Pendant que le deuxième n’est la uniquement si la première liaison tombe. Le mieux serait d’utilisé les deux liaisons ! Pour se faire , nous allons faire de l’équilibrage de charge manuel ! (Le protocole GLBP fait de l’équilibrage de charge dynamique)

Reprenons notre architecture avec deux vlan cette fois ci !

  • Vlan 10 = 192.168.10.0 /24
  • Vlan 20 = 192.168.20.0 /24

Nous allons faire deux groupe HSRP différents (un pour chaques vlans) et nous allons décider que le routeur de gauche sera en mode Active pour le vlan 10.

Le routeur de droite sera en mode Active pour le vlan 20.

Nous utiliserons donc nos deux liaisons.

 

Pour ce faire , il faudra créer la même configuration qu’au dessus  et jouer sur la priorité de nos routeurs dans chaque groupe HSRP.

 

HSRP et SLA


Le service IP SLA permet de faire différent type de test ( voir l’article SLA ).

Ce service va nous permettre de vérifier la  disponibilité de nos services derrière notre gateway.

Nosu deux routeurs fournissent INTERNET via deux Box distint. Si l’une des deux Box n’est plus en état de fonctionner, le HSRP ne vas jamais basculer.

Avec le service SLA , nous allons lui dire que si sa liaison WAN est hors d’usage , il faut qu’il passe la main au routeur Stand-by.

Etape 1 : Configuration de notre test SLA :

Routeur(config)#ip sla 10
Routeur(config-ip-sla)#icmp-echo 8.8.8.8
Routeur(config-ip-sla)#frequency 5
Routeur(config)#ip sla schedule 10 start-time now life forever

l’adresse ip 8.8.8.8 est le serveur DNS de google. il sera toujours en vie. nous allons faire notre test de connextion INTERNET avec cette adresse IP.

 

Etape 2 : Prise en compte du SLA par notre architecture HSRP

Routeur(config)#track 1 ip sla 10 reachability
Routeur(config)#interface vlan 10
Routeur(config-if)#standby 1 track 10 decrement 20

Le décrément est le nombre qu’il faudra soustraire à la priorité du routeur si le test retourne un résultat négatif.

Vu que la priorité du routeur A est à 110 et que la priorité du routeur B est à 100. Le routeur A est en mode « Active« .

Le test SLA est donc à mettre sur le routeur A.

Si le résultat du test est négatif. la priorité du routeur A passe à 90. Routeur B passe donc en mode « Active »

 

 

Troubleshooting (Dépannage)


router#show standby
router#show standby brief
Noël NICOLAS

Administrateur Réseau
10 ans d’expérience
CCNA Routing and Switching
Fondateur du site FingerInTheNet

5 thoughts on “HSRP”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *