day17、3 - HSRP协议

一、HSRP协议概述

1.为什么需要HSRP

• 假设现在公司中PC连接交换机，交换机连接到路由器，牵了一根外网的网线连接到路由器，使员工能够通过指路由器的网关与外网通信（上网），假设现在路由器这一部分损坏，有三种情况：①内网中连接网关的网线损坏，②该路由器本身发生故障，③连接到路由器外网端口的线路损坏。这些情况都会导致员工无法上网。

  

• 那么我们会为这种突发情况准备一个备份的路由器设置网关，当原先的路由器部门故障，则让员工指向新的网关或者再公司内的DHCP服务器上重新设置网关为新网关，当员工自动获取地址时分配下发。但是这样的办法不够简便，且DHCP会有租约，只有当员工PC再一次请求或续约时，才会下发成功，所以还要去通知员工重启一下电脑等。

• 那么为了能够在网关故障时，快速切换路由器网关，使员工几乎感觉不到切换。此时我们需要用到HSRP协议或者VRRP协议

2.HSRP与VRRP概念

• Hot Standby Router Protocol，热备份路由协议。这是思科路由器上独有的协议。
• Virtual Router Redundancy Protocol，虚拟路由冗余协议。这是所有路由器公有的协议
• 这些协议是备份网关的，不是路由器，即热备份是备份网关！所以HSRP相关命令是在网关的接口配置模式下配置的

3.HSRP使用说明

1）HSRP组ID

• HSRP组号范围：1-255。没有大小、先后之分，只是单纯取一个HSRP组的组id。
• 为了使用HSRP协议达到快速切换的目的，需要选一个HSRP组号作为组ID

2）HSRP组的成员

• HSRP组的成员：①虚拟路由器（老大），②活跃路由器，③备份路由器，④其他路由器

• 虚拟路由器：当我们创建好HSRP组后，在组中瞬间出现了一个虚拟路由器，不真实存在，不占用物理端口。但是虚拟路由器也会同两台真实路由器一样连接到网络中，也可以作为网关。网关就要配置IP–虚拟路由器的IP称为虚拟IP。

  

  创建好组，出现了虚拟路由器并配置虚拟IP后，就可以将网关加入到组中，当1.253网关加入HSRP组后会学习虚拟网关IP为1.252，当1.254网关加入到HSRP组后也同样会学习1.252，双发达成一致后，即加入HSRP组成功，此时组中有三个成员，那么三个成员中要有老大，虚拟路由器做老大，但是老二老三怎么选呢，就要用到HSRP优先级

• 活跃路由器：加入组中的真实路由器HSRP优先级高的作为活跃路由器

• 备份路由器：HSRP优先级低的作为备份路由器

• 其他路由器：如果公司中又多买了一台路由器设置网关，HSRP优先级比备份路由器优先级更低的叫其他路由器

3）HSRP优先级

• 虚拟路由器没有HSRP优先级，永远都是HARP组中的老大
• HSRP优先级范围：1-255。默认为100，值越大表示优先级越高。可以自己设置

4）HSRP组中成员交流

• HSRP组成员如何知道自己的HSRP优先级高低呢？多台路由器如何知道自己和对方属于同一个HSRP组的呢？就需要发包来交流
• HSRP组成员通过定时发送hello包来交流，默认每隔3秒发送一次
• hello时间间隔为3秒，坚持时间（活跃路由器故障，备份路由器抢占活跃路由时间）为10秒
• 包中的内容：会表明自己属于哪一个HSRP组（组号），并且会表明自己的HSRP优先级等

5）占先权preempt

• 设置占先权后，如果备份路由器检测不到组中其他成员，或检测到对方优先级低于自己，立即抢占活跃路由名分
• 可以提高切换速度

4.HSRP工作原理

• 所有员工需要指向虚拟路由器网关的虚拟IP

• 当虚拟路由器收到上网请求帧后，会将流量全部发给活跃路由器，即虚拟路由器只认活跃路由器

• 如果现在活跃路由器1.254故障了，由于HSRP组成员会不断发包交流，所以备份路由器此时发现活跃路由器1.254没有交流了，那么备份路由器1.253会等3秒，再发包交流发现活跃路由器依然没反应，那么再等3秒，再发。最多过坚持时间间隔–10秒，如果活跃路由器还没有回应，则备份路由器1.253此时会变成活跃路由器，虚拟路由器收到员工的上网信息，则会转发给此时的活跃路由器，即1.253

• 但是现在原先的活跃路由器1.254又修好了，那么组成员根据发包交流比较HSRP优先级值，经过坚持时间10秒后，1.254路由器又会成为活跃路由，1.253降级为备份路由器

• 如果设置了占先权，那么备份路由器1.253会立即抢占活跃路由；同理当真正的活跃路由器修好，也会立即抢占活跃。

5.配置跟踪

• 为什么需要配置跟踪：比如下图中的1.254这个活跃路由器的网关、路由器本身正常，但是连接外网的端口故障，那么由于内网和路由器本身正常，则依然可以发送hello包正常通信，那么即使现在活跃路由器已经无法与外网通信，备份路由器也不会抢占活跃路由器，所以导致员工无法上网。那么此时如果能够在1.254路由器的网关上配置跟踪track，跟踪此路由器连接外网的端口情况，那么一旦跟踪到外网端口故障，则内网端口–网关就会得知，做相关操作，让备份路由器抢占活跃名分

  

• 配置跟踪track：跟踪外网端口状态，一旦外网down调，则自降优先级。降多少由工程师配置。不如现在活跃路由器HSRP优先级为150，备份路由器优先级为100，那么至少要降51

二、配置热备份HSRP命令

热备份是备份网关，所以一定要先进入网关接口配置模式，再输入命令

1.配置活跃路由器热备份

• 组号、虚拟IP、优先级、占先权（可选）、跟踪

int f0/0     #进入活跃路由器网关的接口
standby 1 ip 10.1.1.254   #加入哪个HSRP组（组号1-255），并且配置虚拟IP（即虚拟路由器的IP）
standby 1 priority 200    #设置活跃路由器内网端口的优先级为200
standby 1 preempt         #给活跃路由器配置占先权，其实活跃路由器不需要配置占先权
----------------------------------------------------------
第一种配置方法：standby 1 track f0/1 51   #为活跃路由器网关设置跟踪，跟踪连接外网的f0/1端口，如果发现f0/1down掉，优先级自减51(这里是自己自定义降多少优先级)

第二种配法：standby 1 track f0/1      #不加参数也可以，因为软件默认有自降优先级（思科是10）

2.配置备份路由器热备份

• 组号、虚拟IP、优先级、占先权、跟踪（看情况）

int f0/0     #进入配置路由器网关的接口配置模式
standby 1 ip 10.1.1.254   #同一个内网中的连接内外网的多个路由器应在同一个HSRP组中，且虚拟IP也是一样的
standby 1 priority 190    #备份路由器网关的优先级比活跃路由器网关的低
standby 1 preempt         #备份路由器一定要配置占先权
----------------------------------------------------------
#如果公司中就准备了两台路由器，一台作为活跃路由器，一台作为备份路由器，那么作为最后一台备份路由器，坏了就彻底坏了，所以一般不配置跟踪track了，因为如果备份路由器连接外网的端口也坏了，你网关自降优先级也没有任何意义，也没有其他路由器来抢占你了

3.查看HSRP相关配置列表

show standby brief    #查看此路由器上加入HSRP组的端口的配置信息
show standby          #查看HSRP详细信息

三、配置HSRP实验

1.实验说明

• 下列拓扑图为一个简单的公司内部网络连接简单的外网网络，以前学过的实验是公司只用一个路由器连接外网，但是如果此路由器损坏，公司员工都无法上网，则现在要额外给公司添加一台路由器，作为备份，当主路由器故障，这台备份的路由器可以快速的实现热切换，不用让公司员工做任何操作，甚至感觉不到切换。所以我们为了实现快速切换网关的想法，就需要用到热备份路由协议HSRP协议，现在就来给图中的r1和r2配置HSRP，r1设置为活跃路由器，r2设置为备份路由器，验证当r1故障时，r2能否实现快速切换

  

• 可能遇到的问题：**如何选择从外网流入内网的消息应该走哪个路由器？**r3路由器一般是由运营商拉了一跟网线过来，所以一定要让运营商配置路由表时配置好，从外网发送到内网的的数据应该从备份路由器的外网端口进入，即20.1.1.1。因为如果从活跃路由器上进入，r1没坏的时候正常通信，但是如果r1故障，由于设置了HSRP，那么快速切换到r2，员工与外网通信的消息都从r2发送到外网，但是外网进入内网是设置的走r1，r1由于故障，则内网收不到外网发来的消息。能出去但是进不来。所以在配置r3路由表的时候一定要注意从备份路由器进入内网；或者设置浮动路由。（后面学习NAT以后就不需要考虑这个问题了）

2.实验步骤

1）将所有路由器端口开启配置IP

• 开启r1的端口并配置IP

  

• 开启r2的端口并配置IP

  

• 开启r3的端口并配置IP

  

2）将所有路由器路由表配置完整

• 配置r1的路由表，并查看路由表

  

• 配置r2的路由表，并查看路由表

  

• 配置r3的路由表，并查看路由表

  

---

3）r1作为活跃路由器配置HSRP

• ①定义组号并配置虚拟IP

  组号任选1-255中其中一个，并配置虚拟IP192.168.1.254

• ②设置HSRP优先级

  保证活跃路由器网关优先级比备份路由器网关优先级高，且活跃路由器如果配置了跟踪，则当活跃路由器故障自降优先级后，活跃路由器网关优先级比备份路由器网关优先级低。可以查看r1的HSRP配置详细信息中自降优先级为10，所以当活跃路由器的优先级为200时，备份路由器优先级为191及以上、200以下

• ③设置追踪

  当活跃路由器连接外网的端口故障，网关可以检测到并自降优先级低于备份路由器，备份路由器抢占活跃名分

  

4）查看r1的HSRP配置信息

在r1和r2都设置好后再查看完整的信息

• 查看活跃路由器的HSRP设置详细说明：所在HSRP组号为6，此路由器状态为active表示备份，所在HSRP组的虚拟路由器的虚拟IP为192.168.1.254，hello时间间隔为3秒，坚持时间为10秒，同组中的备份路由器网关为192.168.1.253，优先级为200，且跟踪检测到外网端口故障自降优先级为10

  

• 查看活跃路由器网关的HSRP设置信息：所在HSRP组号为6，优先级为200，P表示设置了占先权，状态为active备份，此组中备份路由器为网关为192.168.1.253，此组中的虚拟路由器的虚拟IP为192.168.1.254

  

5）r2作为备份路由器配置HSRP

• ①定义组号并配置虚拟IP

  如果r1和r2为同一HSRP组成员，则组号和虚拟IP应当保持一致

• ②设置HSRP优先级

  保证备份路由器网关优先级比活跃路由器网关优先级低，且活跃路由器如果配置了跟踪，则当活跃路由器故障自降优先级后，活跃路由器网关优先级比备份路由器网关优先级低

• ③设置占先权

  备份路由器一定要设置占先权实现快速抢占活跃名分

  

6）查看r2的HSRP配置信息

在r1和r2都设置好后再查看完整的信息

• 查看备份路由器的HSRP设置详细说明：所在HSRP组号为6，此路由器状态为standby表示备份，所在HSRP组的虚拟路由器的虚拟IP为192.168.1.254，hello时间间隔为3秒，坚持时间为10秒，同组中的活跃路由器网关为192.168.1.252，优先级为191…

  

• 查看备份路由器网关的HSRP设置信息：所在HSRP组号为6，优先级为191，P表示设置了占先权，状态为standby备份，此组中活跃路由器为网关为192.168.1.252，此组中的虚拟路由器的虚拟IP为192.168.1.254

  

---

3.验证实验

• 将公司内网中所有PC的IP地址和网关配好：公司内所有员工PC的网关都指向HSRP组中的虚拟路由器的虚拟IP

  

• 再将外网的PCIP和网关也配置好

  

• 192.168.1.1不断向30.1.1.2ping

  

• 此时将r1路由器的f0/1人工关闭，看看192.168.1.1能否不做任何操作，还是能ping通外网，即实现网关热备份

  

  实验成功！