一、HSRP协议概述
1.为什么需要HSRP
-
假设现在公司中PC连接交换机,交换机连接到路由器,牵了一根外网的网线连接到路由器,使员工能够通过指路由器的网关与外网通信(上网),假设现在路由器这一部分损坏,有三种情况:①内网中连接网关的网线损坏,②该路由器本身发生故障,③连接到路由器外网端口的线路损坏。这些情况都会导致员工无法上网。
-
那么我们会为这种突发情况准备一个备份的路由器设置网关,当原先的路由器部门故障,则让员工指向新的网关或者再公司内的DHCP服务器上重新设置网关为新网关,当员工自动获取地址时分配下发。但是这样的办法不够简便,且DHCP会有租约,只有当员工PC再一次请求或续约时,才会下发成功,所以还要去通知员工重启一下电脑等。
-
那么为了能够在网关故障时,快速切换路由器网关,使员工几乎感觉不到切换。此时我们需要用到HSRP协议或者VRRP协议
2.HSRP与VRRP概念
- Hot Standby Router Protocol,热备份路由协议。这是思科路由器上独有的协议。
- Virtual Router Redundancy Protocol,虚拟路由冗余协议。这是所有路由器公有的协议
- 这些协议是备份网关的,不是路由器,即热备份是备份网关!所以HSRP相关命令是在网关的接口配置模式下配置的
3.HSRP使用说明
1)HSRP组ID
- HSRP组号范围:1-255。没有大小、先后之分,只是单纯取一个HSRP组的组id。
- 为了使用HSRP协议达到快速切换的目的,需要选一个HSRP组号作为组ID
2)HSRP组的成员
-
HSRP组的成员:①虚拟路由器(老大),②活跃路由器,③备份路由器,④其他路由器
-
虚拟路由器:当我们创建好HSRP组后,在组中瞬间出现了一个虚拟路由器,不真实存在,不占用物理端口。但是虚拟路由器也会同两台真实路由器一样连接到网络中,也可以作为网关。网关就要配置IP–虚拟路由器的IP称为虚拟IP。
创建好组,出现了虚拟路由器并配置虚拟IP后,就可以将网关加入到组中,当1.253网关加入HSRP组后会学习虚拟网关IP为1.252,当1.254网关加入到HSRP组后也同样会学习1.252,双发达成一致后,即加入HSRP组成功,此时组中有三个成员,那么三个成员中要有老大,虚拟路由器做老大,但是老二老三怎么选呢,就要用到HSRP优先级
-
活跃路由器:加入组中的真实路由器HSRP优先级高的作为活跃路由器
-
备份路由器:HSRP优先级低的作为备份路由器
-
其他路由器:如果公司中又多买了一台路由器设置网关,HSRP优先级比备份路由器优先级更低的叫其他路由器
3)HSRP优先级
- 虚拟路由器没有HSRP优先级,永远都是HARP组中的老大
- HSRP优先级范围:1-255。默认为100,值越大表示优先级越高。可以自己设置
4)HSRP组中成员交流
- HSRP组成员如何知道自己的HSRP优先级高低呢?多台路由器如何知道自己和对方属于同一个HSRP组的呢?就需要发包来交流
- HSRP组成员通过定时发送hello包来交流,默认每隔3秒发送一次
- hello时间间隔为3秒,坚持时间(活跃路由器故障,备份路由器抢占活跃路由时间)为10秒
- 包中的内容:会表明自己属于哪一个HSRP组(组号),并且会表明自己的HSRP优先级等
5)占先权preempt
- 设置占先权后,如果备份路由器检测不到组中其他成员,或检测到对方优先级低于自己,立即抢占活跃路由名分
- 可以提高切换速度
4.HSRP工作原理
-
所有员工需要指向虚拟路由器网关的虚拟IP
-
当虚拟路由器收到上网请求帧后,会将流量全部发给活跃路由器,即虚拟路由器只认活跃路由器
-
如果现在活跃路由器1.254故障了,由于HSRP组成员会不断发包交流,所以备份路由器此时发现活跃路由器1.254没有交流了,那么备份路由器1.253会等3秒,再发包交流发现活跃路由器依然没反应,那么再等3秒,再发。最多过坚持时间间隔–10秒,如果活跃路由器还没有回应,则备份路由器1.253此时会变成活跃路由器,虚拟路由器收到员工的上网信息,则会转发给此时的活跃路由器,即1.253
-
但是现在原先的活跃路由器1.254又修好了,那么组成员根据发包交流比较HSRP优先级值,经过坚持时间10秒后,1.254路由器又会成为活跃路由,1.253降级为备份路由器
-
如果设置了占先权,那么备份路由器1.253会立即抢占活跃路由;同理当真正的活跃路由器修好,也会立即抢占活跃。
5.配置跟踪
-
为什么需要配置跟踪:比如下图中的1.254这个活跃路由器的网关、路由器本身正常,但是连接外网的端口故障,那么由于内网和路由器本身正常,则依然可以发送hello包正常通信,那么即使现在活跃路由器已经无法与外网通信,备份路由器也不会抢占活跃路由器,所以导致员工无法上网。那么此时如果能够在1.254路由器的网关上配置跟踪track,跟踪此路由器连接外网的端口情况,那么一旦跟踪到外网端口故障,则内网端口–网关就会得知,做相关操作,让备份路由器抢占活跃名分
-
配置跟踪track:跟踪外网端口状态,一旦外网down调,则自降优先级。降多少由工程师配置。不如现在活跃路由器HSRP优先级为150,备份路由器优先级为100,那么至少要降51
二、配置热备份HSRP命令
热备份是备份网关,所以一定要先进入网关接口配置模式,再输入命令
1.配置活跃路由器热备份
- 组号、虚拟IP、优先级、占先权(可选)、跟踪
int f0/0 #进入活跃路由器网关的接口
standby 1 ip 10.1.1.254 #加入哪个HSRP组(组号1-255),并且配置虚拟IP(即虚拟路由器的IP)
standby 1 priority 200 #设置活跃路由器内网端口的优先级为200
standby 1 preempt #给活跃路由器配置占先权,其实活跃路由器不需要配置占先权
----------------------------------------------------------
第一种配置方法:standby 1 track f0/1 51 #为活跃路由器网关设置跟踪,跟踪连接外网的f0/1端口,如果发现f0/1down掉,优先级自减51(这里是自己自定义降多少优先级)
第二种配法:standby 1 track f0/1 #不加参数也可以,因为软件默认有自降优先级(思科是10)
2.配置备份路由器热备份
- 组号、虚拟IP、优先级、占先权、跟踪(看情况)
int f0/0 #进入配置路由器网关的接口配置模式
standby 1 ip 10.1.1.254 #同一个内网中的连接内外网的多个路由器应在同一个HSRP组中,且虚拟IP也是一样的
standby 1 priority 190 #备份路由器网关的优先级比活跃路由器网关的低
standby 1 preempt #备份路由器一定要配置占先权
----------------------------------------------------------
#如果公司中就准备了两台路由器,一台作为活跃路由器,一台作为备份路由器,那么作为最后一台备份路由器,坏了就彻底坏了,所以一般不配置跟踪track了,因为如果备份路由器连接外网的端口也坏了,你网关自降优先级也没有任何意义,也没有其他路由器来抢占你了
3.查看HSRP相关配置列表
show standby brief #查看此路由器上加入HSRP组的端口的配置信息
show standby #查看HSRP详细信息
三、配置HSRP实验
1.实验说明
-
下列拓扑图为一个简单的公司内部网络连接简单的外网网络,以前学过的实验是公司只用一个路由器连接外网,但是如果此路由器损坏,公司员工都无法上网,则现在要额外给公司添加一台路由器,作为备份,当主路由器故障,这台备份的路由器可以快速的实现热切换,不用让公司员工做任何操作,甚至感觉不到切换。所以我们为了实现快速切换网关的想法,就需要用到热备份路由协议HSRP协议,现在就来给图中的r1和r2配置HSRP,r1设置为活跃路由器,r2设置为备份路由器,验证当r1故障时,r2能否实现快速切换
-
可能遇到的问题:**如何选择从外网流入内网的消息应该走哪个路由器?**r3路由器一般是由运营商拉了一跟网线过来,所以一定要让运营商配置路由表时配置好,从外网发送到内网的的数据应该从备份路由器的外网端口进入,即20.1.1.1。因为如果从活跃路由器上进入,r1没坏的时候正常通信,但是如果r1故障,由于设置了HSRP,那么快速切换到r2,员工与外网通信的消息都从r2发送到外网,但是外网进入内网是设置的走r1,r1由于故障,则内网收不到外网发来的消息。能出去但是进不来。所以在配置r3路由表的时候一定要注意从备份路由器进入内网;或者设置浮动路由。(后面学习NAT以后就不需要考虑这个问题了)
2.实验步骤
1)将所有路由器端口开启配置IP
-
开启r1的端口并配置IP
-
开启r2的端口并配置IP
-
开启r3的端口并配置IP
2)将所有路由器路由表配置完整
-
配置r1的路由表,并查看路由表
-
配置r2的路由表,并查看路由表
-
配置r3的路由表,并查看路由表
3)r1作为活跃路由器配置HSRP
-
①定义组号并配置虚拟IP
组号任选1-255中其中一个,并配置虚拟IP
192.168.1.254
-
②设置HSRP优先级
保证活跃路由器网关优先级比备份路由器网关优先级高,且活跃路由器如果配置了跟踪,则当活跃路由器故障自降优先级后,活跃路由器网关优先级比备份路由器网关优先级低。可以查看r1的HSRP配置详细信息中自降优先级为10,所以当活跃路由器的优先级为200时,备份路由器优先级为191及以上、200以下
-
③设置追踪
当活跃路由器连接外网的端口故障,网关可以检测到并自降优先级低于备份路由器,备份路由器抢占活跃名分
4)查看r1的HSRP配置信息
在r1和r2都设置好后再查看完整的信息
-
查看活跃路由器的HSRP设置详细说明:所在HSRP组号为6,此路由器状态为
active
表示备份,所在HSRP组的虚拟路由器的虚拟IP为192.168.1.254
,hello时间间隔为3
秒,坚持时间为10
秒,同组中的备份路由器网关为192.168.1.253
,优先级为200
,且跟踪检测到外网端口故障自降优先级为10
-
查看活跃路由器网关的HSRP设置信息:所在HSRP组号为
6
,优先级为200
,P
表示设置了占先权,状态为active
备份,此组中备份路由器为网关为192.168.1.253
,此组中的虚拟路由器的虚拟IP为192.168.1.254
5)r2作为备份路由器配置HSRP
-
①定义组号并配置虚拟IP
如果r1和r2为同一HSRP组成员,则组号和虚拟IP应当保持一致
-
②设置HSRP优先级
保证备份路由器网关优先级比活跃路由器网关优先级低,且活跃路由器如果配置了跟踪,则当活跃路由器故障自降优先级后,活跃路由器网关优先级比备份路由器网关优先级低
-
③设置占先权
备份路由器一定要设置占先权实现快速抢占活跃名分
6)查看r2的HSRP配置信息
在r1和r2都设置好后再查看完整的信息
-
查看备份路由器的HSRP设置详细说明:所在HSRP组号为6,此路由器状态为
standby
表示备份,所在HSRP组的虚拟路由器的虚拟IP为192.168.1.254
,hello时间间隔为3
秒,坚持时间为10
秒,同组中的活跃路由器网关为192.168.1.252
,优先级为191
… -
查看备份路由器网关的HSRP设置信息:所在HSRP组号为
6
,优先级为191
,P
表示设置了占先权,状态为standby
备份,此组中活跃路由器为网关为192.168.1.252
,此组中的虚拟路由器的虚拟IP为192.168.1.254
3.验证实验
-
将公司内网中所有PC的IP地址和网关配好:公司内所有员工PC的网关都指向HSRP组中的虚拟路由器的虚拟IP
-
再将外网的PCIP和网关也配置好
-
192.168.1.1不断向30.1.1.2ping
-
此时将r1路由器的f0/1人工关闭,看看192.168.1.1能否不做任何操作,还是能ping通外网,即实现网关热备份
实验成功!