Cisco Catalyst 3550 - Configuration HSRP.

Présentation au sujet: "Cisco Catalyst 3550 - Configuration HSRP."— Transcription de la présentation:

1 Cisco Catalyst 3550 - Configuration HSRP

2 Sommaire • Introduction • Environnement HSRP et fonctionnement
- Mécanismes de découverte dynamique de routeurs - Fonctionnement HSRP • Adressage HSRP • Release IOS Cisco et matrice de compatibilté • Caractéristiques de HSRP - Préemption - Interface de Recherche - Utilisation d'adresses MAC figées - Groupes HSRP multiples - Adresse MAC configurable - Support de Syslog - Mise au point HSRP - Mise au point avancées HSRP - Authentification - Redondance IP - SNMP Management Information Base (MIB) - HSRP support pour les VPN MPLS - HSRP support pour les ICMP redirects • Interface HSRP et média de support - Ethernet - Token-Ring Q - ISL FDDI - Rafraîchissement adresse MAC - Bridge Group Virtual Interface - Sous-interfaces

3 Environnement HSRP et fonctionnement
Introduction Ce document décrit les caractéristiques et les fonctionnalités de HSRP (Hot Standby Router Protocol). Cette fonctionnalité est propre aux routeurs Cisco. Environnement HSRP et fonctionnement Une des manières pour obtenir une disponibilité proche de 100% pour un réseau est d'utiliser HSRPqui fournit une redondance réseau pour les réseaux IP en assurant que le trafic utilisateur sera toujours acheminé de manière immédiate et transparente en cas de défaillance d'un équipement d'entrée de réseau ou de circuit d'accès. En partageant une adresse Ip et une adresse MAC (Couche 2), deux ou plusieurs routeurs peuvent agir comme un seul routeur "virtuel". Les membres du groupe de routeurs virtuels échangent continuellement des messages d'état. De cette manière un routeur peut assurer la responsabilité de routage d'un autre. Les hosts continuent à acheminer les paquets IP vers une adresse IP et une adresse MAC cohérentes, le basculement sur un autre équipement de routage est transparent. Mécanismes de découverte dynamique de routeurs Les paragraphes qui suivent décrivent les différents mécanismes de découverte des routeurs disponibles sur un réseau. Plusieurs de ces mécanismes ne fournis- sent pas la souplesse demandée par les administrateurs de réseau. Cela est peu- être dû au fait que le protocole n'a pas été conçu dès le départ pour fournir la disponibilité de réseau ou il n'était pas possible d'exécuter le protocole sur tous les hosts du réseau Proxy Address Resolution Protocol Certains hosts IP utilisent le Proxy Address Resolution Protocol pour sélectionner un routeur. Quand un host utilise ce protocole, il transmet une requête ARP pour l'adresse IP du Host qu'il veut joindre. Un routeur répond à la place du host et fournit sa propre adresse MAC. Avec Proxy ARP, le host pense que le host distant est directement connecté au même segment de réseau. Si le routeur est défaillant le host continue à transmettre des paquets pour le host distant vers l'adresse MAC du routeur. Le host peut essayer de joindre un autre routeur en transmettant une autre requête ARP sur le segment local ou vous pouvez redémarrer le host pour forcer une requête ARP. Dans tous les cas le host local ne pourra pas communiquer avec le host distant tant qu'aucune autre passerelle n'aura été trouvée. Protocole de routage dynamique Certains hosts IP exécutent des protocoles de routage tels que RIP ou OSPF pour découvrir les routeurs. L'inconvénient de RIP est sa lenteur d'adaptation aux changements de topologie. Exécuter un protocole de routage dynamique sur chaque host n'est peut-être pas réalisable pour plusieurs raisons telles que la charge administrative supplémentaire, la charge des CPU des équipements, des problèmes de sécurité ou pas d'implémentation de ce protocole pour certaines plateformes.

4 Protocole IRDP(ICMP Router Discovery Protocol)
Quelques nouveaux hosts utilisent IRDP (RFC1256) pour trouver un nouveau routeur quand une route devient indisponible. Un host qui exécute IRDP écoute les messages Hello multicast transmis par son routeur passerelle configuré et utilise un routeur alternatif quand il ne reçoit plus de messages Hello. Les valeurs de timers par défaut d'IRDP font que ce procédé n'est pas optimisé pour la détection de la défaillance du premier routeur. L'intervalle de l'annonce est une fois toutes les 7 à 10 minutes et la durée de vie par défaut est de 30 minutes. DHCP (Dynamic Host Configuration Protocol) DHCP(RFC1531) fournit un mécanisme d'obtention d'informations de configuration pour des hosts dans un réseau TCP/IP. Un host client DHCP exécute une requête d'informations de configuration vers un serveur DHCP lors de son initialisation sur le réseau. Ces informations de configuration comprennent typiquement une adresse IP et une adresse de passerelle par défaut. Il n'y a pas de mécanisme pour basculer vers une autre passerelle si celle par défaut est défaillante. Fonctionnement HSRP La majorité des hosts qui ne supportent pas de découverte dynamique sont capables de configurer une adresse de passerelle par défaut. HSRP fournit des services de tolérance de panne à ces hosts. En utilisant HSRP, un ensemble de routeurs travaillent de concert pour donner l'illusion d'un seul routeur virtuel à tous les hosts du LAN. Cet ensemble est connu sous le nom de groupe HSRP ou "Standby Group". Un seul routeur élu dans le groupe est responsable de l'acheminement des paquets que les hosts transmettent au routeur virtuel. Ce routeur est appelé "Active Router". Un autre routeur est élu routeur "Standby Router". Dans l'éventualité d'une défaillance de l'"Active Router", le "Standby Router" assure l'acheminement des paquets comme le faisait l'"Active Router". Bien qu'un nombre quelconque de routeurs peut exécuter HSRP, seul l'"Active Router" achemine les paquets transmis au routeur virtuel. Pour minimiser le trafic du réseau, seuls les routeurs "Active" et "Standby" transmettent des messages HSRP périodiques une fois que le processus d'élection a été achevé. Si l'"Active Router" est défaillant, le "Standby Router" prend sa place. Si le "Standby Router" est défaillant ou devient "Active Router" un autre routeur est élu "Standby Router". Sur un LAN particulier, plusieurs groupes HSRP peuvent coexister et se recouvrir. Chaque groupe émule un routeur virtuel. Un routeur peut faire partie de plusieurs roupes. Dans ce cas le routeur utilise des états et des timers différents pour chaque groupe. Chaque groupe HSRP a une adresse MAC particulière bien connue ainsi qu'une adresse IP.

5 Protocole IRDP(ICMP Router Discovery Protocol)
Quelques nouveaux hosts utilisent IRDP (RFC1256) pour trouver un nouveau routeur quand une route devient indisponible. Un host qui exécute IRDP écoute les messages Hello multicast transmis par son routeur passerelle configuré et utilise un routeur alternatif quand il ne reçoit plus de messages Hello. Les valeurs de timers par défaut d'IRDP font que ce procédé n'est pas optimisé pour la détection de la défaillance du premier routeur. L'intervalle de l'annonce est une fois toutes les 7 à 10 minutes et la durée de vie par défaut est de 30 minutes. DHCP (Dynamic Host Configuration Protocol) DHCP(RFC1531) fournit un mécanisme d'obtention d'informations de configuration pour des hosts dans un réseau TCP/IP. Un host client DHCP exécute une requête d'informations de configuration vers un serveur DHCP lors de son initialisation sur le réseau. Ces informations de configuration comprennent typiquement une adresse IP et une adresse de passerelle par défaut. Il n'y a pas de mécanisme pour basculer vers une autre passerelle si celle par défaut est défaillante. Fonctionnement HSRP La majorité des hosts qui ne supportent pas de découverte dynamique sont capables de configurer une adresse de passerelle par défaut. HSRP fournit des services de tolérance de panne à ces hosts. En utilisant HSRP, un ensemble de routeurs travaillent de concert pour donner l'illusion d'un seul routeur virtuel à tous les hosts du LAN. Cet ensemble est connu sous le nom de groupe HSRP ou "Standby Group". Un seul routeur élu dans le groupe est responsable de l'acheminement des paquets que les hosts transmettent au routeur virtuel. Ce routeur est appelé "Active Router". Un autre routeur est élu routeur "Standby Router". Dans l'éventualité d'une défaillance de l'"Active Router", le "Standby Router" assure l'acheminement des paquets comme le faisait l'"Active Router". Bien qu'un nombre quelconque de routeurs peut exécuter HSRP, seul l'"Active Router" achemine les paquets transmis au routeur virtuel. Pour minimiser le trafic du réseau, seuls les routeurs "Active" et "Standby" transmettent des messages HSRP périodiques une fois que le processus d'élection a été achevé. Si l'"Active Router" est défaillant, le "Standby Router" prend sa place. Si le "Standby Router" est défaillant ou devient "Active Router" un autre routeur est élu "Standby Router". Sur un LAN particulier, plusieurs groupes HSRP peuvent coexister et se recouvrir. Chaque groupe émule un routeur virtuel. Un routeur peut faire partie de plusieurs roupes. Dans ce cas le routeur utilise des états et des timers différents pour chaque groupe. Chaque groupe HSRP a une adresse MAC particulière bien connue ainsi qu'une adresse IP.

6 Adressage HSRP Dans la majorité des cas quand vous configurez un routeur pour qu'il fasse partie d'un groupe HSRP, celui-ci écoute les trames avec l'adresse MAC HSRP de ce groupe ainsi que sa propre adresse MAC figée. Les exceptions concernent les controleurs qui ne reconnaissent qu'une seule adresse MAC (Controleurs LANCE sur les routeurs Cisco 2500 et 4500). Ces routeurs utilisent l'adresse MAC HSRP quand ils sont "Active Router" et leur propre adresse MAC lorsqu'ils ne le sont pas. HSRP utilise les adresses MAC suivantes sur tous les média sauf pour Token-Ring 0000.0C07.ac** (** représente le groupe HSRP) Les interfaces Token-Ring utilisent des adresses fonctionnelles comme adresses MAC HSRP. Les adresses fonctionnelles sont le seul mécanisme de multicast général disponible. Il y a un nombre limité d'adresses fonctionnelles Token-Ring et un certain nombre d'entre-elles sont réservées pour d'autres fonctions. Vous pouvez utiliser ces trois adresses pour HSRP: C (Groupe 0) C (Groupe 1) C (Groupe 2) Note: Quand HSRP s'exécute dans un environnement multi-anneau et "Source-Route -Bridging" (SRB) et que les routeurs HSRP sont situés sur des anneaux différents, l'utilisation d'une adresse fonctionnelle peut entrainer des erreurs avec le champ RIF (Routing Information Field). Par exemple dans un environnement SRB, il est possible que le routeur "Standby" réside sur un anneau différent de celui de l'"Active Router". Quand ce "Standby Router" devient actif, les stations sur le même anneau ainsi que l'ancien "Active Router" ont besoin d'un nouveau champ RIF pour transmettrte les informations vers le nouveau "Active Router". Comme le nouveau "Active Router" utilise la même adresse fonctionnelle que l'"Active Router" précédent, les stations ne sont pas au courant qu'il faut qu'elles transmettent des messages d'exploration pour obtenir le nouveau champ RIF. La commande use-bia a été introduite à cet effet.

7 Release IOS Cisco et matrice de compatibilité
Ce document indique comment les fonctionnalités HSRP sont supportées par les différentes release de l'IOS Cisco. Un numéro de release intermédiaire indique dans quelle release la fonctionnalité a été introduite ou une release dans laquelle la fonctionnalité a été modifiée. Fonctionnalités 10.0 10.2 10.3 11.0 11.1 11.2 11.3 12.0 12.0T 12.1 12.1T Préemption X Groupes Multiples (MHSRP) Ethernet SDE Interface Tracking Use BIA 8.0 Délai de 6.1 LANE Token-Ring ISL Support Syslog Intervall MAC Refresh 1.0 SNMP MIB 3.0 MHSRP et 3.4 Redondance IP BVI 6.2 802.1Q 8.1 Debug HSRP amélioré 0.2 HSRP ICMP Redirects 3 HSRP MPLS VPNs

8 Fonctionnalités HSRP Préemption
La fonctionnalité préemption HSRP permet au routeur qui a la plus haute priorité de devenir immédiatement "Active Router". La priorité est déterminée d'abord par la priorité configurée et ensuite par l'adresse IP. Dans chaque cas la valeur la plus élevée est la priorité la plus élevée. Quand un routeur de plus haute priorité préempte un routeur de plus basse priorité, il transmet un "coup message". Quand un routeur de plus basse priorité reçoit un "coup message" ou un message Hello d'un routeur de priorité plus élevée, il transmet un message "Resign". Délai de préemption La fonctionnalité Délai de préemption ou "Preempt Delay" permet à la préemption d'être retardée avec un délai configurable permettant au routeur de remplir sa table de routage avant de devenir "Active Router". Avant la release de l'IOS Cisco 12.0(9), le délai débutait lors du rechargement du routeur. Dans la release IOS Cisco 12.0(9) le délai débute lorsque la préemption est activée. Pour configurer la priorité HSRP et la préemption, utilisez la commande standby [group][priority number][preempt [delay[minimum] seconds] [sync seconds]] Interface de Recherche ou Interface Tracking "Interface Tracking" vous permet de spécifier une autre interface à superviser sur le routeur pour le processus HSRP afin de modifier la priorité pour un groupe donné. Si le protocole de liaison de l'interface passe hors-service, la priorité HSRP est diminuée, permettant ainsi à un autre routeur avec une priorité plus élevée de devenir "Active Router" (si la préemption est activée). Pour configurer "Interface Tracking" HSRP, utilisez la commande standby [group] track interface [priority]. Quand plusieurs interfaces de recherche sont hors-service, la priorité est diminuée d'une valeur cumulée. Si vous définissez de manière explicite la valeur de décrément ,la valeur de la priorité est diminuée de la valeur de ce décrément. Les décréments sont cumulatifs. Si vous ne spécifiez pas de manière explicite une valeur de décré- ment, la valeur de la priorité sera diminuée par 10 pour chaque interface qui passe hors service et les décréments sont cumulatifs.

9 L'exemple suivant utilise une configuration avec une valeur de décrément par défaut égale à 10.
Note: Quand un numéro de groupe HSRP n'est pas spécifié, le numéro de groupe par défaut est 0. interface Ethernet ip address standby ip standby pririty standby track serial standby track serial1 Le comportement de HSRP avec cette configuration est: • 0 interface hors-service = Pas de décrémentation (Priorité = 110) • 1 interface hors-service = Décrémentation de 10 (Priorité = 100) • 2 interfaces hors-services = Décrémentation de 10 (Priorité = 90) Le comportement de HSRP ci-dessus est vrai même si la valeur de décrémentation est fixée de manière explicite interface Ethernet ip address standby ip standby pririty standby track serial standby track serial1 10 Avant la release 12.1, si vous démarrez un routeur avec une interface hors-service, HSRP Interface Tracking considère l'interface comme en-service. Ce défaut est répertorié par ID CSCdp Utilisation d'adresses MAC figées (Burned-In-Address ou BIA) L'utilisation d'adresses MAC figées (Burned In Address) permet aux groupes HSRP d'utiliser une adresse MAC figée pour une interface au lieu d'une adresse MAC HSRP L'utilisation d'adresses MAC figées fut implémentée dans l'IOS Cisco release 11.1(8). Pour configurer HSRP avec l'utilisation d'une adresse MAC figée, vous devez utiliser la commande standby use-bia [scope interface]. La commande use-bia a été implémentée pour supprimer les limitations de l'usage d'adresses fonctionnelles pour les adresses MAC HSRP des interfaces Token-Ring. Note: Quans HSRP s'exécute dans un environnement Multi-anneau "Source-Routed- Bridging" et que les routeurs HSRP résident sur des anneaux différents, l'utilisation d'adresses fonctionnelles peut entrainer des erreurs d'utilisation du champ RIF. Pour cette raison la commande use-bia a été introduite. La fonctionnalité use-bia permet aussi l'utilisation de DECnet, XNS et HSRP sur le même routeur en autorisant l'utilisation des adresses MAC DECnet comme adresse HSRP.

10 La commande use-bia a quelques désavantages : • Quand un routeur devient "Active Router", l'adresse IP virtuelle est liée à une autre adresse MAC. Le nouveau "Active Router" transmet un paquet réponse ARP "gratuit" mais tous les hosts ne gèrent pas correctement ce genre de paquet • Le Proxy ARP n'est plus opérationnel quand use-bia est configuré. Un routeur "Standby" ne peut pas remplacer la base de données d'un Proxy ARP d'un routeur défaillant • Avant la release IOS Cisco 12.0(3.4)T, un seul groupe HSRP est autorisé si use-bia est configuré Quand vous utilisez la commande use-bia sur une sous-interface, elle est affichée avec l'interface principale et s'applique à toutes les sous-interfaces. Dans la release 12.0(6.2) et après, la commande use-bia est étendue pour pouvoir être appliquée à une seule sous-interface. Ce défaut est répertorié ID CSCdm Groupes HSRP Multiples La fonctionnalité groupes HSRP multiples a été ajouté dans l'IOS Cisco release Cette fonctionnalité permet la redondance et le partage de charge dans les réseaux. Elle permet également aux routeurs redondants d'être totalement utilisés. Quand un routeur achemine du trafic pour groupe HSRP, il peut être routeur "Standby" ou à l'écoute pour un autre groupe. Comme avec l'IOS Cisco release 12.0(3?4)T, vous pouvez utiliser la commande use-bia avec de multiples groupes HSRP validés. Adresse MAC configurable Normalement vous utilisez HSRP pour aider les stations à localiser leur passerelle par défaut pour le routage IP. Les stations sont configurées avec une adresse IP de passerelle par défaut. Toutefois HSRP peut fournir une redondance de passerelle pour d'autres protocoles. Des protocoles comme APPN (Advanced Peer to Peer Networking) utilisent l'adresse MAC du premier saut pour des besoins de routage Dans ce cas il souvent nécessaire de spécifier l'adresse MAC virtuelle en utilisant la commande standby mac-address. L'adresse IP virtuelle n'a pas pas d'importance pour ces protocoles. La syntaxe actuelle de cette commande est standby [group] mac-address mac-address. Note: Vous ne pouvez pas utiliser cette commande pour une interface Token-Ring Support Syslog Le support de messagerie Syslog pour HSRP fut ajouté dans l'IOS Cisco release Cette fonctionnalité vous permet de réaliser un traçage des évènements plus efficace pour les routeurs "Active Router" et "Standby Router" sur les serveurs Syslog.

11 Mise au point HSRP Avant l'IOS Cisco Release 12
Mise au point HSRP Avant l'IOS Cisco Release 12.1, la commande de mise au point HSRP était très simple. Pour valider la mise au point HSRP, vous devez simplement utiliser la com- mande debug standby qui valide l'affichage de l'état HSRP et l'affichage des infor- mations pour tous les groupes HSRP sur toutes les interfaces. Une condition de mise au point à été ajoutée dans l'IOS Cisco release 12.0(2.1) pour permettre à l'affichage de la commande debug standby d'être filtré d'après l'interface et le numéro de groupe. La commande utilise le paradigm debug condition introduit dans l'IOS Cisco release 12.0 : debug condition standby interface group. L'interface doit être une interface valide capable de supporter HSRP. Le groupe peut être compris entre 0 et Vous pouvez fixer des conditions de mise au point pour des groupes inexistants ce qui vous permet de capturer des informations de mise au point lors de l'initialisation d'un nouveau groupe. Vous devez valider standby debug pour que l'affichage soit exécuté. Si vous spécifiez pas de condition, l'affichage sera effectué pour tous les groupes et toutes les interfaces. Mise au point HSRP Avant l'IOS Cisco 12.1(0.2), la mise au point HSRP était d'un usage limité car les informations étaient noyées dans les messages Hello périodiques. Pour cela une mise au point améliorée a été ajoutée dans l'IOS Cisco 12.1(0.2). La table suivante explique les options des commandes de mise au point. Commande Description debug standby Affiche tous les paquets, les erreurs, et les évènements HSRP debug standby terse Affiche tous les évènements, les erreurs, les paquets exceptés les paquets Hello et les paquets d'annonce HSRP. debug standby errors Affiche les erreurs HSRP debug standby events [[all | terse]|[icmp| protocol|redundancy|track]] [detail] Affiche les évènements HSRP debug standby packets [[all | terse] |[advertise|coup|hello|resign]] [detail] Affiche les paquets HSRP Vous pouvez filtrer l'affichage du résultat de la commande debug en utilisant la mise au point conditionnelle. Pour valider la mise au point conditionnelle pour une interface, utiliser la commande debug condition interface interface. Pour valider la mise au point conditionnelle HSRP, utilisez la commande debug condition standby interface group. Une condition de mise au point interface s'applique seulement quand vous n'avez pas spécifié de condition avec standby debug. La mise au point HSRP a été de nouveau améliorée dans l'IOS Cisco release 12.1(1.3) avec des améliorations basées sur la table d'états HSRP. Ce défaut est décrit dans ID CSCdp57811

12 Les améliorations réalisées affichent la table des évènements HSRP
Les améliorations réalisées affichent la table des évènements HSRP. Dans le listing ci-dessous, les a/, b/, c/, etc... font référence aux évènements de la machine d'états finis HSRP qui sont documentés dans le RFC SB1: Ethernet0/2 Init: a/HSRP enabled SB1: Ethernet0/2 Active: b/HSRP disabled (interface down) SB1: Ethernet0/2 Listen: c/Active timer expired (unknown) SB1: Ethernet0/2 Active: d/Standby timer expired ( ) SB1: Ethernet0/2 Speak: f/Hello rcvd from higher pri Active router SB1: Ethernet0/2 Active: g/Hello rcvd from lowerer pri Active router SB1: Ethernet0/2 Standby: i/Resign rcvd SB1: Ethernet0/2 Active: j/Coup rcvd from higher pri router SB1: Ethernet0/2 Standby: k/Hello rcvd from higher pri Standby router SB1: Ethernet0/2 Standby: l/Hello rcvd from lower pri Standby router SB1: Ethernet0/2 Active: m/Standby mac address changed SB1: Ethernet0/2 Active: n/Standby IP address configured Authentification La fonctionnalité d'authentification HSRP consiste en une clé texte en clair partagée dans les paquets HSRP. Cette fonctionnalité empêche un routeur de plus basse priorité d'apprendre l'adresse IP Standby ainsi que les valeurs des timers depuis le le routeur de plus haute priorité. Pour configurer la chaîne d'authentification, utilisez la commande standby authentication string. Redondance IP HSRP fournit une redondance sans état pour le routage IP. HSRP se limite à main- tenir son propre état. Il suppose que chaque routeur batît et maintient sa propre table de routage indépendamment des autres routeurs. La fonctionnalité de redondance IP fournit un mécanisme qui permet à HSRP d'offrir un service à des applications clientes qui peuvent implémenter la tolérance de panne. La redondance IP ne fournit pas de mécanisme à des applications d'égal à égal pour échanger des informations. Ceci est laissé aux applications elles-mêmes et c'est essentiel si les applications doivent fournir un service à tolérance de panne. La redondance IP est couranment (Depuis janvier 99) implémentée mais uniquement pour les Mobile IP Home Agents. Voici un exemple de configuration: Router(config)#router mobile Router(config-router)# ip mobile home-agent standby hsrp-group1 ! interface Ethernet0/2 no shutdown ip address standby 1 ip standby 1 name hsrp-group1 Note: Comme pour l'IOS Cisco release 12.1(3)T, le mot-clé redondancy est accepté en addition au mot-clé standby. Le mot-clé standby sera supprimé dans les release suivantes de l'IOS Cisco. La commande correcte sera ip mobile home-agent redundancy hsrp-group1 .

13 Les utilisdations futures de la redondance IP peuvent inclure: • NAT - Besoin de fournir des passerelles redondantes • IPSEC - Besoin de synchroniser l'information d'état dans le but d'opérer avec un routeur HSRP actif • Serveur DHCP - Serveurs DHCP implémentés dans les routeurs • NBAR, CBAC - Besoin de répliquer les états de pare-feu pour un routage assymétrique • GPRS - Besoin d'une méthode pour tracer les état TCP • PIX SNMP MIB (Management Information Base) Le support de la MIB SNMP a été ajouté à l'IOS Cisco release 12.0(3.0)T. Il y a deux MIB pour HSRP: • ciscoMgmt106 : Module MIB pour gérer HSRP • ciscoMgmt107 : Module d'extension MIB pour HSRP Avant l'IOS Cisco release 12.0(6.1)T., un accès à la MIB étendue quand un Bridge Virtual Group Interface (BVI) est présent entraine un arrêt du routeur. Ce défaut est identifié par ID CSCdm Support HSRP pour Multiprotocol Label Switching Virtual Private Network HSRP pour MPLS VPN a été ajouté dans l'IOS Cisco release 12.1(3)T. HSRP sur une interface MPLS VPN est très utile quand vous avez un réseau Ethernet connecté à une extrémité à un "Provider Edge" ou PE et que l'autre extrémité est connectée à : • "Customer Edge" ou CE avec une route par défaut vers l'adresse IP virtuelle HSRP • Un ou plusieurs hosts avec l'adresse IP virtuelle HSRP comme adresse de passerelle par défaut. Le schéma du réseau page suivante montre deux PEs avec HSRP opérant entre leurs interfaces VRF( VPN Routing Forwarding). Le CE (Customer Edge) est configuré avec l'adresse IP virtuelle HSRP comme route par défaut. HSRP est configurer pour superviser les interfaces du PE connectées avec le reste du réseau de l'opérateur. Par exemple si l'interface E1 du PE1 est défaillante, la priorité HSRP diminue de manière à ce PE2 prend la main et achemine les paquets vers l'interface MAC virtuelle.

14 PE2 (Standby) PE1 (Active)
vrf1 P2 PE2 (Standby) E2 E1 P1 PE1 (Active) CE Router PE1 Routeur PE2 ! ip cef ! ip vrf vrf1 rd 100:1 route-target export 100:1 route-target import 100:1 ! interface Ethernet0 ip vrf forwarding vrf1 ip address standby 1 ip standby 1 priority standby 1 preempt delay minimum 10 standby 1 timers standby 1 track ethernet1 10 standby 1 track ethernet2 10 interface Ethernet0 ip vrf forwarding vrf1 ip address standby 1 ip standby 1 priority standby 1 preempt delay minimum 10 Vous pouvez utiliser les commandes suivantes pour vérifier les adresses: R-PE1#show ip arp vrf vrf1 Protocol Address Age(min) Hardware Addr Type Interface Internet d0.bbd3.bc ARPA Ethernet0/2 Internet c07.ac ARPA Ethernet0/2 ed1-pe1#show ip cef vrf vrf1 Prefix Next Hop Interface / Ethernet0/3 / receive / Ethernet0/2 / attached Ethernet0/2 / receive / receive / receive /32 receive

15 HSRP support des ICMP redirects
HSRP est basé sur le concept qui dit que les routeurs protégeant un sous réseau peuvent fournir un accès à tous les autres sous-réseaux du réseau. Par conséquent il n'est pas important de savoir quel routeur devient l'Active Router" car tous les routeurs ont des routes vers tous les sous-réseaux. HSRP utilise une adresse MAC virtuelle spéciale et une adresse IP virtuelle qui sont logiquement attachées à "l'Active router". Les ICMP redirects sont automatiquement dévalidés sur une interface lorsqu'elle est utilisée avec HSRP. Ceci est fait pour empécher les hosts d'être redirigés vers une adresse autre que l'adresse virtuelle HSRP. Il est possible que deux routeurs (ou plus) sur un sous-réseau n'aient pas la même connectivité que le reste du sous-réseau. Ceci signifie que pour une adresse destination particulière, l'un ou l'autre des routeurs peut avoir une meilleure route vers cette adresse ou c'est peut-être le seul routeur attaché à cette adresse. Le protocole ICMP permet à un routeur de rediriger les stations terminales pour qu'elles transmettent les paquets pour une destination particulière vers un autre routeur du sous-réseau, si le premier routeur sait que l'autre routeur a un meilleur chemin vers cette destination. Comme dans le cas des passerelles par défaut, si le routeur vers lequel une station terminale a été redirigée pour une destination particulière est défaillant, les paquets ne pourront être acheminés vers cette destination. Dans HSRP standard c'est ce qui se passe. C'est pour cela qu'il est recommandé de dévalider les ICMP redirects quand HSRP est validé. Etablir des relations entre HSRP et ICMP redirects peut fournir une solution à ce problème. Cela permet également de bénéficier des avantages de HSRP et des ICMP redirects. Deux (ou plusieurs) groupes HSRP sont actifs sur chaque sous-réseau avec au moins autant de groupes HSRP que routeurs concernés. Les priorités sont configurées de telle sorte que chacun des routeurs est maître d'un groupe HSRP. Quand un routeur détermine qu'il doit rediriger une station vers un autre routeur pour une destination particulière, au lieu de rediriger vers l'adresse IP du routeur, il trouve un groupe HSRP qui est géré par ce routeur et redirige la station vers l'adresse IP virtuelle du groupe HSRP. Si par la suite ce routeur est défaillant, HSRP assure que'un autre routeur prendra la place du précédent et redirigera si nécessaire la station vers un autre routeur virtuel.

16 Interface HSRP et média de support
Cette section explique quelles interfaces et médias supportent HSRP et les problèmes possibles lorsque HSRP opère sur ces médias. Depuis l'IOS Cisco 10.0, HSRP est disponible sur Ethernet, Token-Ring et FDDI. Les interfaces FastEthernet et ATM supportent également HSRP. Les VLANs (Virtual LANs) permettent de réaliser des topologies logiques pour recou- vrir une infrastructure physique commutée. Le support HSRP VLAN a été introduit dans l'IOS Cisco release 11.1 pour l'IEEE (Secure Data Exchange) et dans l'IOS Cisco Release 11.3 pour Cisco InterSwitch Link (ISL). Ethernet Quelques controleurs Ethernet (LANCE et QUICC) utilisés dans des produits anciens ne peuvent avoir qu'une seule adresse MAC dans leur filtre d'adresse. Sur ces plateformes un seul groupe HSRP est autorisé et l'adresse de l'interface est changée par l'adresse MAC virtuelle HSRP quand le groupe HSRP devient actif. Si vous utilisez HSRP sur des routeurs avec plusieurs interfaces de ce type, vous devez configurer chaque interface avec un groupe HSRP différent. Note : Le routeur Cisco utilise un controleur Ehternet LANCE mais supporte également HSRP. Cisco recommande un maximum de 24 "HSRP Ethernet Interface Processors" à cause du temps pris pour la mise à jour des filtres HSRP. Ce défaut est répertorié par ID CSCdj Si vous vous avez plus de 24 interfaces HSRP, remplacez les Ethernet Interface Processors par un VIP (Versatile Interface Processor) et un adaptateur de port Ethernet. Le VIP est approuvé pour 80 groupes HSRP. Vous pouvez également réduire le nombre de groupe HSRP et augmenter le Hello time et le Hold time. Token-Ring Une des limitations pour exécuter HSRP sur Token-Ring est que l'on ne peut pas reprogrammer les filtres sur le composant Token-Ring comme cela est fait pour Ethernet, FDDI ou ATM LANE. Token-Ring utilise des adresses fonctionnelles parmi lesquelles un petit nombre est disponible et ne crée par de conflit avec le reste des adresses fonctionnelles. Quand vous utilisez HSRP dans un environnement Source-Route Bridging(SRB), l'utilisation d'adresses fonctionnelles peut causer des erreurs avec le champ RIF. Voir le paragraphe Adressage HSRP. Essayer de configurer HSRP avec la commande use-bia. 802.1Q Cisco recommande l'utilisation de l'IOS Cisco release 12.0(8.1)T ou suivants pour HSRP sur 802.1Q. ISL HSRP sur ISL est disponible depuis l'IOS Cisco release 11.2(6)F,11.3,12.X. Il est recommandé d'utiliser l'IOS Cisco release 12.0(7) ou suivants pour éviter le problème référencé IDS CSCdm68811.

17 FDDI FDDI retire les trames de l'anneau s'il voit une de ses propres adresses MAC dans l'adresse MAC source. Si un événement réseau fait que deux routeurs passent "Active" en même temps, les deux routeurs vont transmettre des paquets Hello avec la même adresse MAC virtuelle. Chaque routeur élimine par erreur les paquets de l'autre routeur et les deux routeurs restent "Active". Ce défaut est répertorié par ID CSCdj30049 La solution à ce problème dans l'IOS Cisc release 11.2(11.1) est pour les routeurs HSRP dans un environnement FDDI d'utiliser leur propre adresse MAC figée pour échanger des messages et exécuter le protocole HSRP. Pour s'assurer que les ponts et les commutateurs apprenants cachent le bon port pour l'adresse MAC virtuelle, le routeur "Active" transmet des rafraichissements périodiques en utilisant l'adresse MAC virtuelle HSRP. Note : La mémoire CAM (Content Addressable Memory) du Hardware du routeur Cisco d'une interface FDDI peut ne pas se remplir correctement après un rechargement du routeur si vous utilisez plusieurs réseaux RIP et des groupes HSRP. La seule solution à l'heure actuelle est de réinitialiser l'interface pour restaurer la mémoire CAM. Ce défaut est identifié par ID CSCdm Rafraichissement adresse MAC Les routeurs HSRP dans un environnement FDDI d'utiliser leur propre adresse MAC figée pour échanger des messages et exécuter le protocole HSRP. Pour s'assurer que les ponts et les commutateurs apprenants cachent le bon port pour l'adresse MAC virtuelle, le routeur "Active" transmet des rafraichissements périodiques en utilisant l'adresse MAC virtuelle HSRP. Si vous ne devez pas utiliser de pont ou de commutateur apprenant sur votre réseau, vous pouvez dévalider la transmission de paquets de rafraichissement. interface fddi 1/0/0 ip address standby ip standby mac-refresh 0 Bridge Group Virtual Interface (BVI) Le support HSRP pour le Bridge Virtual Interface (BVI) a été ajouté dans l'IOS Cisco release 12.0(6.2)T. Sous-interfaces Les groupes HSRP sur des sous-interfaces doivent avoir un numéro unique parmi tous les autres groupes sur toues les sous-interfaces de la même interface princi- pale. C'est parce que les sous-interfaces ne reçoivent pas un index d'interface SNMP unique. Si vous avez deux groupes avec le numéro N sur deux sous- interfaces différentes, dans la MIB le groupe N de la sous-interface 1 et le group N de la sous-interface 2 apparaitraient comme un seul et unique groupe.