Habilitando o HSRP
(Habilitado em modo de configuração da interface)
Router (config-if)# ip address x.x.x.x mask
Router (config-if)# standby [group-number] ip [ip-address [secondary]]
O conjunto de roteadores que participam do HSRP e emulam um roteador virtual é denominado Standby group. Se não for especificado nenhum group-number o default é 0. Os valores variam de 0-255 (v1) e 0-4095 (v2). O ip-address é o endereço IP virtual do roteador virtual. Para o HSRP eleger um roteador designado você deve configurar o IP virtual para pelo menos um dos roteadores do grupo.
Configurando HSRP Priority
Router (config-if)# standby [group-number] priority priority
Para configurar um roteador como o roteador ativo é necessário atribuir uma prioridade maior do que a prioridade de todos os outros roteadores HSRP configurados. Em caso de empate é feita uma comparação entre os endereços IP primários. Quanto maior o endeço, maior a prioridade. Os valores variam de 0-255 e o default é 100.
Configurações Opcionais
Configurando HSRP Virtual MAC Addresses or BIA MAC Addresses
Router (config-if)# standby [group-number] mac-address mac-address
ou
Router (config-if)# standby use-bia [scope interface]
O comando standby use-bia configura o HSRP para usar o burned-in address da interface como seu endereço MAC virtual. Este comando apresenta algumas desvantagens. Quando o roteador se torna ativo o endereço IP virtual é transferido para um endereço MAC diferente. Esse roteador envia uma gratuitous ARP response, mas nem todos os hosts entendem o gratuitous ARP corretamente. Nas implementações de Proxy ARP o roteador não consegue tratar a perda de dados do Proxy ARP em caso de falha.
A palavra-chave scope interface especifica que o comando é configurado apenas para a sub-interface em que foi inserido ao invés da interface principal.
BIA - Burned-in MAC address (BIA), também conhecida como Burned-In Address, corresponde aos últimos seis bytes de um endereço MAC que são atribuídos pelo fabricante de placa de rede (NIC).
Configurando HSRP Delay
Router (config-if)# standby delay minimum min-delay reload reload-delay
min-delay – Tempo mínimo em segundos para atrasar a inicialização do HSRP group após uma interface entrar em estado up. Este período de tempo mínimo é aplicado a todos os eventos da interface subsequente. Os valores variam de 0-10000 e o default é 1s.
reload-delay – Tempo em segundos para atrasar após o roteador ter sofrido um reload. Este período de atraso só se aplica para o primeiro evento de interface-up após o roteador ser restabelecido. Os valores variam de 0-10000 e o default é 5.
O comando standby delay é usado para atrasar a inicialização do HSRP após uma reload ou quando uma interface entra em estado up. Esta configuração permite um período para que a interface e o roteador se restabeleçam após um evento e ajuda a prevenir oscilações no estado do HSRP.
Use o comando standby delay minimum reload para definir um período de atraso para a inicialização do HSRP group. Este comando permite a passagem dos pacotes um tempo antes do roteador retornar a função de ativo.
Esse comando é recomendado para os casos em que os standby timers estiverem configurados em milissegundos ou se o HSRP estiver configurado em uma interface Vlan de um switch.
Na maioria das configurações, os valores default provêem tempo suficiente para a passagem dos pacotes não sendo necessário configurar valores de atraso muito longos. O delay será cancelado se um pacote HSRP for recebido em uma interface.
Configurando HSRP Preempt
Router (config-if)# standby [group-number] preempt
Router (config-if)# standby [group-number] preempt delay [minimum min-delay | reload reload-delay | sync sync-delay]
Se o active router falhar ou for removido da rede, o standby router se tornará ativo automaticamente. Caso o antigo active router volte a ficar disponível é possível controlar se este assume novamente como principal através desse comando. É possível também configurar um tempo (delay) para que o roteador aguarde antes de tornar-se ativo novamente.
No entanto, em alguns casos, mesmo que o comando standby preempt não esteja configurado o antigo active router retorna a função de ativo após seu restabelecimento.
Os valores variam de 0-3600. O período de atraso padrão é 0, ou seja, se o roteador quiser reassumir irá fazê-lo imediatamente. Por padrão, o roteador que chega mais tarde se torna o standby router.
Configurando HSRP Timers
Router (config-if)# standby [group-number] timers [sec | msec] hellotime [sec | msec] holdtime
Hello time – Intervalo em segundos entre sucessivas HSRP hello messages de um determinado roteador. Os valores variam de 1-254 e o default é 3. Se a opção for em ms o intervalo varia de 15 -999.
Hold time – Intervalo entre a recepção de uma hello message e a identificação de falha no roteador. Os valores variam de X-255 e o default é 10. Se a opção for em ms o intervalo varia de Y-3000.
Sendo:
X – É o valor do hellotime mais 50 milissegundos arredondando para o mais próximo (1s).
Y – É maior ou igual a 3 vezes o hellotime e não inferior a 50ms.
Por default, o hello timer e o hold timer posuem os valores de 3 e 10 segundos respectivamente. A cada 3 segundos uma hello message é enviada entre os dispositivos do HSRP group. Caso os dispositivos em estado standby não recebam o pacote hello em 10 segundos estes se tornam ativos. É possível alterar os valores do timer para acelerar o failover ou preemption, mas para evitar o aumento de uso da CPU ou a desnecessária variação no estado do standby, é aconselhável não definir o hello timer inferior a 1s ou o hold timer abaixo de 4s.
Configurando HSRP Authentication
Text Authentication
Router (config-if)# standby [group-number] authentication text string
Configura uma string de autenticação. A string default é cisco.
MD5 – Key-Chain
Router (config)# key chain name-of-chain
Habilita a autenticação para os protocolos de roteamento e identifica um grupo de chaves autenticadas.
Router (config-keychain)# key key-id
O key-id deve ser um número.
Router (config-keychain-key)# key-string string
A string pode ser de 1 – 80 caracteres alfanuméricos sendo que o primeiro não pode ser número.
Router (config-if)# standby [group-number] authentication md5 key-chain key-chain-name
O key-chain-name deve ser compatível com o nome especificado anteriormente.
Key chains permite usar diferentes key strings em tempos diferentes de acordo com a configuração. O HSRP irá consultar o key chain apropriada para obter a chave atual e o key id.
MD5 – Key-String
Router (config-if)# standby [group-number] authentication md5 key-string [0|7] key [timeout seconds]
A chave pode conter até 64 caracteres sendo recomendado pelo menos o uso de 16. O parâmetro 0 corresponde a uma chave não criptografada e 7 a criptografia. Lembrando que a key-string estará automaticamente criptografada se o comando service password-encryption estiver habilitado.
Os valores de timeout correspondem ao período de tempo em que a chave antiga será aceita em um HSRP group com chave nova.
A autenticação de Texto não pode ser combinada com a autenticação MD5 em um grupo HSRP. Quando a autenticação MD5 é configurada, o campo text authentication em uma hello message é zerado e ignorado no roteador de destino.
Configurando HSRP Redirect
Router (config)# standby redirects enable
Quando usado no modo de configuração global o comando habilita o filtro de ICMP redirect messages em todas as interfaces configuradas para HSRP.
Router (config-if)# standby redirect [timers | advertisement | unknown]
Advertisement – Redireciona mensagens de aviso.
Timers – Ajustar o intervalo de anúncios e de holddown time.
Unknown – Redireciona para roteadores não HSRP.
ICMP é um protocolo Internet de camada 3 que fornece pacotes de mensagens para relatar erros e outras informações relevantes do processamento IP. O ICMP fornece muitas funções de diagnóstico e pode enviar e redirecionar os erros de pacotes para os hosts.
Quando o HSRP está rodando é importante evitar que o host descubra o endereço MAC real do roteador em um grupo HSRP. Caso o host esteja enviando pacotes ICMP para o endereço real do roteador e este dispositivo venha a falhar os pacotes serão perdidos.
Essa funcionalidade trabalha filtrando ICMP redirect messages onde o endereço IP do próximo salto pode ser alterado para o endereço virtual do HSRP.
O endereço do próximo salto é comparado em uma lista de roteadores HSRP ativos na rede. Se uma correspondência é encontrada então o endereço do próximo salto é substituído pelo IP virtual correspondente e o redirecionamento de mensagens é permitido.
Se nenhuma correspondência for encontrada, então a mensagem somente é enviada se o roteador correspondente não rodar HSRP. O redirecionamento para passive routers não é permitido.
Os passive routers enviam mensagens de aviso HSRP periodicamente ou quando entram ou saem do estado passivo. Assim todos os HSRP routers podem determinar o estado do grupo de qualquer roteador na rede. Esses avisos informam a outros roteadores do estado da interface. As mensagens são as seguintes:
Dormant: Inativo, a interface não possui grupos HSRP. Um único anúncio é enviado quando o último grupo é removido.
Passive - Interface não possui grupos ativos ou pelo menos um grupo não-ativo. Os anúncios são enviados periodicamente.
Active - Interface tem pelo menos um grupo ativo. Um único anúncio é enviado quando o primeiro grupo se torna ativo.
O comando configura o envio de mensagens de redirecionamento ICMP com o endereço IP virtual do HSRP como o endereço do gateway. Por default o HSRP faz filtro de ICMP redirect messages.
Configurando HSRP Object Tracking
Router (config)# track object-number interface interface-typer [line-protocol | ip routing]
Configura uma interface para ser rastreada e entrar no modo de configuração tracking.
Router (config-if)# standby [group-number] track object-number [decrement decrement value]
A prioridade de um dispositivo pode alterar dinamicamente se tiver sido configurado para object tracking e o objeto monitorado entrar em status down. O processo de rastreamento periodicamente pesquisa os objetos monitorados e observa qualquer alteração de valor.
As mudanças no objeto rastreado são comunicadas ao HSRP, seja imediatamente ou após um tempo especificado. Exemplos de objetos que podem ser rastreados são: o status de um protocolo de linha, uma interface ou a acessibilidade de uma rota IP.
Se o objeto monitorado alterar seu status para down a prioridade do HSRP é reduzida. O roteador HSRP com uma alta prioridade pode se tornar o active router caso esteja configurado com o comando standby preempt.
Por default, a priority do roteador é diminuida em 10 se o objeto rastreado alterar seu status para down. Use a palavra chave decrement priority-decrement e a combinação de argumentos para alterar o comportamento padrão.
Quando múltiplos objetos rastreados ficam indisponíveis e os valores da priority-decrement foram configurados, esta configuração de priority é acumulativa. Se os objetos rastreados estão down, e nenhum deles foi configurado com o priority decrements o valor padrão do decrement é 10.
Configurando HSRP Versão 2
Router (config-if)# standby version [1 | 2]
A versão 2 do HSRP introduz melhorias e aumenta a capacidade da versão anterior. A versão 2 tem um formato de pacote diferente do HSRP versão 1. As duas versões não podem operar em uma mesma interface mas podem coexistir em um mesmo roteador (em interfaces diferentes). A v2 não está disponível para interfaces ATM rodando LANE.
Os números de Standby Groups permitidos nessa versão variam de 0 a 4095. Não é possível alterar a versão 2 para versão 1 caso o número de grupos atual (v2) esteja acima do permitido para versão 1 (0 a 255).
Veja também:
Implementing HSRP Over LANE
RFC 792, Internet Control Message Protocol
RFC 2281, Cisco Hot Standby Router Protocol
Nenhum comentário:
Postar um comentário