You are on page 1of 6

Redundancia entre routers con HSRP Publicado 10 agosto, 2010 | Por Paulo Colomés HSRP (Hot Stand-by Redundancy

Protocol) es un protocolo propietario de Cisco que está diseñado para asegurar la redundancia (o failover) entre dos o más dispositivos Cisco. Funciona enviando mensajes IP Multicast en el puerto 1985/UDP hacia la dirección 224.0.0.2 en formato de paquetes Hello. HSRP ofrece un nivel de escalabilidad bastante bueno ya que además, es posible adaptar el modelo de redundancia hasta, por ejemplo, conexión de VPNs redundantes. La idea detrás de HSRP es tremendamente simple y efectiva. Para explicar bien esto veamos el diagrama de ejemplo: En la red mostrada el PC tiene una IP 192.168.0.2 con máscara 255.255.255.0 y su puerta de enlace es 192.168.0.1. La idea de HSRP es que esta IP no es una dirección real, si no una dirección virtual que ambos routers comparten. Sin embargo, para mantener la conectividad de capa 3, capa router tiene su dirección IP habitual. La conexión a Internet pasará por el enrutador Activo y si éste falla o deja de responder, inmediatamente asume el control el router Standby. Esta operación es completamente transparente para el usuario. La configuración de ambos routers es bastante sencilla: R1(config)# interface fa0/0 R1(config-if)# ip address 192.168.0.253 255.255.255.0 R1(config-if)# standby ip 192.168.0.1 R1(config-if)# standby preempt R2(config)# interface fa0/0 R2(config-if)# ip address 192.168.0.254 255.255.255.0 R2(config-if)# standby ip 192.168.0.1 R2(config-if)# standby priority 99 El comando standby ip asigna la IP virtual que servirá como puerta de enlace a los hosts de la red, y el comando standby priority determina quien será el router Activo y quien será el Standby. La opción preempt asegura que será el router Activo. Todo esto es verificable con el comando show standby R1# show standby FastEthernet0/0 – Group 0 State is Active 2 state changes, last state change 00:30:59 Virtual IP address is 192.168.0.1 Active virtual MAC address is 0004.4d82.7981 Local virtual MAC address is 0004.4d82.7981 (bia) Hello time 4 sec, hold time 12 sec Next hello sent in 1.412 secs Preemption enabled, min delay 50 sec, sync delay 40 sec Active router is local Standby router is 192.168.0.254, priority 75 (expires in 9.184 sec) Priority 95 (configured 120) Tracking 2 objects, 0 up IP redundancy name is “HSRP1″, advertisement interval is 34 sec ////////////////////////////////////////////////////////////////////////////////// VRRP, HSRP, GLBP y sucedáneos Posted on December 27, 2009 by Mike Estos protocolos sirven para ofrecer alta disponiblidad ( y en el caso de GLBP también balanceo de carga) entre diferentes routers o switches L3. La alta disponibilidad nos provee de un un sistema de tolerancia a fallos, balanceando una ip virtual entre los diferentes routers/switches, así al dejar de estar disponible el gw “principal” pasará a ocupar su lugar el siguiente en la lista. La estructura que se muestra a continuación, se va a utilizar con los con los 3 protocolos, VRRP, HSRP y GLBP.

VRRP, Virtual Router Redundancy Protocol  Estándar del IETF definido en el RFC 2338  Multicast 224.0.0.18 protocolo 112  VRRP define el router activo como master, mientras que el resto de routers estan enbackup state  Los grupos se numeran desde 0 a 254. La prioridad desde 0 a 255, por defecto es 100 y la mayor es 254. La mayor prioridad define el router master  Por defecto, los routers VRRP tanto en linux como en Cisco están habilitados con la opción “preempt”, que se asegura de que después de que el master vuelva on-line, después de estar caído, vuelva a ser master, “quitándole” el puesto al master actual. Esto también es común, y configurable en Heartbeat o CARP/UCARP. Tal y como vemos en el mapa de red, los routers balancearan 2 ips virtuales: una de cara a los clientes (hostx) y otra de cara al equipo remote. Vemos que el R2 tiene escrito “high prio”. Cuando todo esté estable, este router tendrá las 2 ips virtuales. En

10.100 y el host “remote” accederá a la red 192.0/24 a través de la ip virtual 10.0 ip virtual-reassembly standby 1 ip 192.168. Esto está bien pero no nos sirve para balancear la carga entre los diferentes GW. define los estados Active y Standby  La opción preempt viene deshabitada por defecto  Permite tracking del estado de interfaces.10.100 vrrp 1 timers advertise 5 vrrp 1 priority 150 R3 HSRP.0 standby 2 ip 10. Gateway Load Balancing Protocol Cuando un equípo quiere comunciarse con otro equipo que está fuera de su red.1 255. este recuperaría su estado de master.255. .168.100 standby 1 priority 150 standby 1 preempt R2 interface Ethernet0/0 ip address 10. Al volver a la vida el R2.1.1.10. ya que todo el tráfico entrará por uno solo de los GWs.10. R1 interface Ethernet0/0 ip address 10. Los hostx tendrán como GW 192.caso de caer este.100 standby 1 priority 200 standby 1 preempt GLBP.0 vrrp 2 ip 10.1.168.255.100 vrrp 2 timers advertise 5 vrrp 2 priority 150 . interface Vlan1 ip address 192. para promover el cambio de estado de un router.2 255.255. advirtiendo su MAC para que el equipo emisor puede registrarla en su cache ARP.0 standby 1 ip 192.0.10.255.255.255. R1 interface Ethernet0/0 ip address 10. realizará un ARP Request de la ip de su siguiente salto a ese destino.100. Vereís que es prácticamente idéntica a la de VRRP. Hot Standby Router Protocol  Protocol propietario de Cisco.255.100 standby 2 priority 150 standby 2 preempt .10.168.10.168.0 vrrp 1 ip 192.10.0 half-duplex standby 2 ip 10.168.1.1. y en ultima instancia.255.100 standby 2 priority 200 standby 2 preempt .0.10. pasarían al R1.10. definido en el RFC 2281  Mismo funcionamiento que VRRP  Multicast 224.255. En VRRP o HSRP (o en un entorno sin ninguno de estos dos protocolos) respondería el equipo que contiene esa Ip en ese momento (el GW). . en base al estado de sus interfaces Esta es la configuración de los 3 routers para HSRP.168.255. interface Vlan1 ip address 192. . ya que tiene menos prioridad que R2 pero más que R3. .1 255.1. ya que la opción preempt está habilitada por defecto.255.255.168.2 UDP 195  Entre otros.1 255.1.10.10. He aquí la configuración de los 3 routers para VRRP.1 255. al R3.1.10. interface Vlan1 ip address 192.2 255. generalmente la ruta por defecto.10.

100 glbp 2 priority 200 glbp 2 preempt . pero responde a cada cliente con la dirección MAC diferente cada vez.1 255.168.GBLP define un router como AVG (Active Virtual Gateway) el cual es responsable de “dispachear” las “ARP Responses” con diferentes MACs para cada cliente.com) .0 glbp 2 ip 10. . . lo que se llama AVF(Active Virtual Forwarders). de acuerdo a las medidas de distancia del protocolo de encaminado). .168. La misión de este tipo de paquetes es evidente: aplicaciones de retransmisión múltiple (broadcast). que uno de los routers llamado AVG(Active Virtual Gateway) se encarga de responder a todas las peticiones de ARP de todo el mundo en esa vlan para la ip virtual. si la primera “cae”.Multicast: Identificador para un conjunto de interfaces (por lo general pertenecientes a diferentes nodos).100 glbp 1 priority 150 glbp 1 preempt R2 interface Ethernet0/0 ip address 10. Un paquete enviado a una dirección unicast es entregado sólo a la interfaz identificada con dicha dirección. que corresponderá a R1.168. .10. experto en la materia.168. a nivel de userspace. Un paquete enviado a unadirección multicast es entregado a todas las interfaces identificadas por dicha dirección.100 glbp 1 priority 200 glbp 1 preempt Otro protocolo que permite tanto Ips Virtuales como balanceo de carga entre diferentes GW de una LAN.1.1.0 glbp 1 ip 192. des pues de recalcular el algoritmo al cual nos atengásemos a la hora de configurar el protocolo.2 255. por ejemplo. Nos permite crear. realmente lo único que hace es. Según me comenta Eduardo Collado (http://eduangi. interface Vlan1 ip address 192. . los clientes “se repartirian” entre los routers que quedasen activos.2 255.100. Un paquete enviado a una dirección anycast es entregado en una (cualquiera) de las interfaces identificadas con dicha dirección (la más próxima.100 que corresponderá a R2 y los hosts4 y 5 lo propio con R3. utilizado en entornos BSD y portado a Linux como UCARP.10. Aquí os dejo un link a las míticas songs de Opensbsd.1.1. dadas las patentes de Cisco que contiene VRRP. El algoritmo por defecto es round-robin. el host2 y host3 tendrá una MAC registrada para 192.100 glbp 2 priority 150 glbp 2 preempt . de forma que varias máquinas puedan ocuparse del mismo tráfico según una secuencia determinada (por el routing). Así.255.1. el host1 tendrá una MAC en su tabla ARP para 192.1 255. GLBP tampoco es que sea un protocolo con una tecnología especialmente novedosa.Anycast: Identificador para un conjunto de interfaces (típicamente pertenecen a diferentes nodos).10. por ejemplo. donde hacen una parodia entre VRRP y CARP. ya la realizan los balanceadores actuales mediante ARP Proxy. es CARP (Common Address Redudancy Protocol). ya que la funcionalidad de balanceo de carga.10.255.0 glbp 2 ip 10. GLBP está en desuso.0 glbp 1 ip 192.10. ámbitos de redundancia. Es el equivalente a las direcciones IPv4 actuales. que corresponderá a la de los routers que forman parte del grupo de GLBP.10.10.168.1.255. En caso de que cualquiera de los routers se cayese.Unicast: Identificador para una única interfaz.255. Aquí os muestro la configuración para GBLP del ejemplo mostrado arriba: R1 interface Ethernet0/0 ip address 10.255.255. interface Vlan1 ip address 192.255.168.255. Ipv6 Tipos de direcciones .10.

es decir. con la posibilidad de asignar direcciones únicas globales a nuevos dispositivos. no nodos. y se pueden asociar múltiples prefijos de subred a un mismo enlace. desde el punto de vista de internet. cualquiera de las direcciones unicast de las interfaces del nodo puede ser empleado para referirse a dicho nodo. donde “x” es un valor hexadecimal de 16 bits.Los campos de las direcciones reciben nombres específicos. denominamos “ prefijo” a la parte de la dirección hasta el nombre indicado (incluyéndolo).Diferencias respecto a IPv4 . por el direccionamiento que se ha definido.Una única interfaz puede tener también varias direcciones IPv6 de cualquier tipo (unicast. No es preciso escribir los ceros a la izquierda de cada campo. lo que permite balanceo de carga entre múltiples dispositivos.52. es x:x:x:x:x:x:d:d:d:d. cuando nos hallemos en un entorno mixto IPv4 e IPv6. como una única.1. de la porción correspondiente a la dirección IPv6. mediante el uso de “::”. . . . Dado que cada interfaz pertenece a un único nodo. indistintamente de su tipo (unicast. .longitud-del-prefijo = valor decimal indicando cuantos bits contiguos de la parte izquierda de la dirección componen el prefij Características de IPv6    El esquema de direcciones de 128 bits provee una gran cantidad de direcciones IP. promoviendo un enrutamiento eficiente y escalable al Internet.52.Una misma dirección o conjunto de direcciones unicast pueden ser asignados a múltiples interfaces físicas.144.68. anycast o multicast) o ámbito.Las direcciones IPv6. anycast o multicast).Dicho prefijo nos permite conocer donde esta conectada una determinada dirección. .Todas las interfaces han de tener. podrán existir largas cadenas de bits “cero”. . son asignadas a interfaces. Ejemplos: FEDC:BA98:7654:3210:FEDC:BA98:7654:3210 1080:0:0:0:8:800:200C:417A 2) Dado que.dirección-IPv6 = una dirección IPv6 en cualquiera de las notaciones válidas . una dirección unicast link-local (enlace local). al menos. Ejemplos: 0:0:0:0:0:0:13. donde “x” representa valores hexadecimales de 16 bits (6 porciones de mayor peso). siempre que la implementación trate dichas interfaces. y “d” representa valor es decimales de las 4 porciones de 8 bits de menor peso (representación estándar IPv4). Los múltiples niveles de jerarquía permiten juntar rutas.1. que representa múltiples grupos consecutivos de 16 bits “cero”.38 La representación de los prefijos IPv6 se realiza del siguiente modo: dirección-IPv6/longitud-del-prefijo donde: . Representacion de direcciones en IPv6 La representación de las direcciones IPv6 sigue el siguiente esquema: 1) x:x:x:x:x:x:x:x. se permite la escritura de su abreviación.No hay direcciones broadcast (su función es sustituida por direcciones multicast). su ruta de encaminado.3 ::FFFF:129. El proceso de autoconfiguración permite que los nodos de la red IPv6 configuren sus propias direcciones IPv6. facilitando su uso.144. se asocia un prefijo de subred con un enlace. .Al igual que en IPv4.68.38 Pueden representarse como: ::13. .3 0:0:0:0:0:FFFF:129. Este símbolo sólo pu ede aparecer una vez en la dirección IPv6. .Cualquier campo puede contener sólo ceros o sólo unos. salvo que explícitamente se indique lo contrario. Ejemplos: Las direcciones: 1080:0:0:0:8:800:200C:417A (una dirección unicast) FF01:0:0:0:0:0:0:101 (una dirección multicast) 0:0:0:0:0:0:0:1 (la dirección loopback) 0:0:0:0:0:0:0:0 (una dirección no especificada) Pueden representarse como: 1080::8:800:200C:417A (una dirección unicast) FF01::101 (una dirección multicast) ::1 (la dirección loopback) :: (una dirección no especificada) 3) Una forma alternativa y muy conveniente.

Se crearon varios mecanismos junto con el protocolo para tener una transición sin problemas de las redes IPv4 a las IPv6. El Id. Los Puertos promiscuos son por lo general los que están conectados a routers. Las nuevas extensiones de encabezado reemplazan el campo Opciones de IPv4 y proveen mayor flexibilidad. IPv6 fue esbozado para manejar mecanismos de movilidad y seguridad de manera más eficiente que el protocolo IPv4. pero el Id. o dispositivos que tienen que comunicarse con todos. la dirección se administra universalmente Si el bit U/L =1. Promiscuous (promiscuo): Un puerto promiscuo se puede comunicar con todos los puertos de la VLAN privada. El encabezado de IPv6 es más eficiente que el de IPv4: tiene menos campos y se elimina la suma de verificación del encabezado. es importante que el tráfico entre dispositivos sea aislada aun perteneciendo a la misma RED y a pesar de que todos los puertos permanecen en la misma vlan. Este valor permite reconocer que identificadores fueron generados a partir de una dirección Mac 2 2 MA Universal/Local (U/L): el bit situado junto al bit de orden inferior en el primer byte se utiliza para indicar si la dirección se administra universal o localmente. Permite a un host generar su propia dirección mediante una combinación de información disponible localmente e información anunciada por los Routers Los routers anuncian los prefijos que identifican la subred (o subredes) asociadas con el enlace. que de forma automática se calcula a partir de la dirección MAC utilizando el estándar EUI-64 IEEE EUI-64 Representa un nuevo estándar en el direccionamiento de interfaces de red. incluida la comunidad y los puertos aislados. la dirección se administra localmente. pero cada puerto promiscuo puede asignar a más de una VLAN secundaria privada. de la compañía también tiene 24 bits. Si el bit U/L = 0. mientras el host genera un “identificador de interfaz” identificador de interfaz Se trata de un identificador de 64 bits. PRIVATE VLANs (VLAN PRIVADAS) En muchas ocasiones los proveedores de servicio poseen equipos de múltiples clientes. TIPOS DE PVLANs isolated (aislado): El puerto aislado está separado a nivel de capa 2 de otros puertos de la misma PVLAN a excepción de los puertos promiscuos. en estos casos los problemas de seguridad aumentan. servidores backup. Un puerto promiscuo es sólo parte de una VLAN primaria. además de sus propios servidores en un solo segmento DMZ o VLAN de segmento. El valor hexadecimal de 16 bits FF--FE se inserta entonces entre estos dos mitades para formar una dirección de 64 bits.       La transición entre proveedores de IPv6 es transparente para los usuarios finales con el mecanismo de renumerado. La difusión ARP es reemplazada por el uso de multicast en el link local. de extensión es de 40 bits. Puede hacerse diferenciación de tráfico utilizando los campos del encabezado. . el tráfico generado por un puerto aislado solo puede ser reenviado hacia un puerto promiscuo.  Stateless (sin intervención)  Statefull (predeterminada Stateless N0 requiere ninguna configuración manual del host.

Nota: Un puerto promiscuo puede dar servicio a una sola VLAN principal. VLAN PRIVADA PRINCIPAL: Una PVLAN primaria puede estar compuesta de muchas VLAN secundarias privadas. Una VLAN comunidad debe ser a la vez creó a los servidores host de DNS y una VLAN aislada debe ser creado para alojar los servidores Web y SMTP. Los dispositivos finales están conectados a las PVLAN secundarias. Soporte para las VLANs PRIVADAS. PASO4: Asociar la PVLAN secundarias a las pVLAN primarias. aislado.202 Switch(config-if)# interface range fastethernet 0/1 .202 Switch(config-vlan)# interface fastethernet 0/24 Switch(config-if)# switchport mode private-vlan promiscuous Switch(config-if)# switchport private-vlan mapping 100 201. Un puerto promiscuo puede dar servicio a una PVLAN aislada o varias vlan en comunidad. PASOS PARA CONFIGURAR VLANs PRIVADAS PASO1: configuración de VTP en modo transparente.2 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 202 Switch(config-if)# interface range fastethernet 0/3 . comunidad y otros A puertos promiscuos en la misma PVLAN primaria. PASO3: crear las pVLAN primarias. CONFIGURACION Switch(config)# interface fastethernet 5/2 Switch(config-if)# switchport mode private-vlan trunk secondary Switch(config-if)# switchport private-vlan trunk native vlan 10 Switch(config-if)# switchport private-vlan trunk allowed vlan 10. El puerto de la Internet debe ser ajustado a promiscuo. Lleva el tráfico de los puertos. Los diseñadores de redes podría utilizar ACL para configurar esta red.4 Switch(config-if)# switchport mode private-vlan host Switch(config-if)# switchport private-vlan host-association 100 201 ESCENARIO 2 MULTPLES SWITCHES Un puerto de enlace troncal transporta el la VLAN principal y La VLAN secundaria a un switch vecino como cualquier otra VLAN. PASO7: configurar las interfaces a puertos promiscuos PASO8: Mapear el puerto promiscuo a la pVLAN primario-secundario ESCENARIO 1. 3. PASO2: crear las pVLAN secundarias. VLAN PRIVADA SECUNDARIA: Cada PVLAN secundaria es asociada o asignada a una PVLAN PRIMARIA.301-302 Switch(config-if)# switchport private-vlan association trunk 3 301 Switch(config-if)# switchport private-vlan association trunk 3 302 . pero las PVLANs son una solución más simple.Community (comunidad): Este Puerto permite la comunicación de cualquier interfaz asociada a la misma comunidad y también permite la comunicación con sus puertos promiscuos. PASO5: Configurar una interfaz a un puerto aislado o de la comunidad. y estas pertenecen a la misma subred de la pvlan principal. Las PVLAN se pueden extender a lo largo de varios switches que soporten esta característica. PASO6: Asociar el puerto aislado o el puerto en comunidad con los pvlan primario-secundario. CONFIGURACION Switch(config)# vtp transparent Switch(config)# vlan 201 Switch(config-vlan)# private-vlan isolated Switch(config)# vlan 202 Switch(config-vlan)# private-vlan community Switch(config-vlan)# vlan 100 Switch(config-vlan)# private-vlan primary Switch(config-vlan)# private-vlan association 201.