CCIE试验备考之冗余备份（HSRP)

network · 发表于 2008-10-27 15:03:56

HRRP 热备份路由协议　　多台路由器组成一个“热备份组”，用来模拟为一个虚拟的路由器（拥有虚拟的IP 地址和虚拟的MAC地址），在一个备份组中，只有一台路由器作为活动路由器发送数据包，只有当活动路由器失效后，将选择一台备份路由器才能成为活动路由器转发数据包，但对于网络中的主机来说，虚拟路由器并没有发生任何改变。
　　HSRP有三种广播包：
　　1） Hello包，hello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器，默认为每3秒钟发送一个hello消息；可以修改这个参数。
　　2） Coup包，当一个备用路由器变为一个主动路由器时发送一个coup消息。
　　3） Resign包，当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。
　　HSRP状态类型：
　　1） Initial初始化，HSRP启动时的状态，HSRP还没有运行，一般是在改变配置或端口刚启动时进入该状态。
　　2） Learn学习状态，路由器已经得到了虚拟IP地址，但是它既不是活动路由器也不是备份路由器。它一直监听从活动路由器和备份路由器发来的HELLO报文。
　　3） Listen监听状态，路由器正在监听hello消息。
　　4） Speak对话状态，在该状态下，路由器定期发送HELLO报文，并且积极参加活动路由器或等待路由器的竞选。
　　5） Standby被动状态，当主动路由器失效时路由器准备接包传输功能。
　　6） Active活动状态，路由器执行包传输功能。
　　HSRP路由器体系
　　1）活动路由器，负责转发发送到虚拟路由器的数据。它通过发送HELLO消息（基于UDP，端口号为1985的广播）来通告它的活跃状态
　　2）备份路由器，监视HSRP组中的运行状态，并且在当前活跃路由器不可用时，迅速承担起负责数据转发的任务。备份路由器也发送HELLO消息来通告组中其他的路由器它备份路由器的角色。
　　3）虚拟路由器，向最终的用户来代表一台能持续工作的路由器设备。它有自己的MAC和IP地址。但是实际上它是不用来转发数据包，它的作用仅仅是代表一台可用的路由设备。
　　虚拟MAC地址组成：
　　Vendor ID：厂商ID，构成MAC地址的头3个字节
　　HSRP代码：表示该地址是HSRP虚拟路由器的。XX07.acxx
　　组ID：最后一个字节是组ID，由组号组成
　　如我们可以通过命令：show ip arp命令查看
　　0000.0007.ac01
　　4）其他路由器，也监听HELLO消息，但是不作应答，这样它就不会在备份组有身份的概念，同时它也不参与发送到虚拟路由器的数据包，但是还是转发其他路由器发来的数据包。
　　选举过程
　　1）默认情况下，优先级为100，这时MAC地址最小的成为活动路由器
　　2）当活动路由器失效后，备份路由器替代成为活动路由器，当活动和备份路由器都失效后，其他路由器将参与活动和备份路由器的选举工作
　　a）优先级高的成为活动路由器，默认为100，取值为0~255
　　b）优先级别相同时，接口IP地址高的将成为活动路由器
　　HSRP的抢占Preempt技术
　　HRSP技术能够保证优先级高的路由器失效恢复后总能处于活动状态。活动路由器失效后，优先级最高的备用路由器处于活动状态，如果没有使用preempt技术，则当活动路由器恢复后，只能处于备用状态，先前的备用服务器代替其角色处于活动状态，直到下一次选举发生。
　　HSRP的端口跟踪track技术
　　如果所监测的端口出现故障，则也可以进行路由器的切换。如果主路由器上有多条线路被跟踪，则当一条线路出现故障时，就会切换到备份路由器上，即使其他都线路正常工作，直到主路由器该线路正常工作，才能重新切换回来。接口跟踪使得能够根据HSRP组路由器的接口是否可用，来自动调整该路由器的优先级。当被跟踪的接口不可用时，路由器的HSRP优先级将降低。HSRP跟踪特性确保当HSRP活跃路由器的重要入站接口不可用时，该路由器不再是活跃路由器。
　　多组HSRP
　　为了方便负载均衡，同一台路由器可以是同一个网段或VLAN中多个HSRP备用组的成员。配置多个备用组可进一步提高冗余性，在网络中均衡负载，提高冗余路由器的使用率。路由器在为一个HSRP组转发通信流的同时，可以在另一个HSRP组中处于备用或监听状态。每个备用组都模拟一个虚拟路由器。在VLAN或接口上，最多可以有255个备用组
　　如下图，路由器A和路由器B都是HSRP组1和2的成员，然而，路由器A是HSRP组1的活跃路由器和HSRP组2的备用路由器；而路由器B是HSRP组2的活跃路由器和HSRP组1的备用路由器。

network · 发表于 2008-10-27 15:04:21

配置过程：　　默认配置
　　特性    默认配置
--------------------------------
　　HSRP组             未定义
　　备用组编号       0
　　备用组MAC地址       0000.0c07.acXX， XX是HSRP组号
　　优先级                100
　　延时                0（没有延时）
　　跟踪端口的优先级 10
　　HELLO时间       3秒
　　HOLD时间       10秒
　　配置要求：
　　1. HSRP最多可以配置32个VLAN或路由接口
　　2. 配置接口必须是3层接口
　　路由接口：接口使用no switchport，并且配置ip地址
　　SVI（交换虚拟接口）：使用命令interface vlan vlan号
　　3层以太网通道（EtherChannel）
　　3. 所有3层接口都必须配置IP地址
　　配置HSRP
　　1）进入全局模式 configure terminal
　　2）进入接口模式 interface 接口
　　3）使能HSRP，指定热备份组的组号和虚拟IP 地址
　　standby 组号 ip IP地址
　　组号：取值为0-255，如果是一个备用组，可以不输入组号，默认为0
　　ip地址：是虚拟的Ip地址，不能为接口上的地址
　　4）指定备用组的优先级别
　　standby 组号 priority 优先级别
　　优先级：取值为1-255，默认为100，数值越大级别越高
　　5）指定抢占模式，当活动路由器失效后，备份路由器马上替换为活动路由器，不需要时间等待（hold time）
　　standby 组号 preempt [delay 秒数]
　　d  elay：取值为0-3600（1小时）
　　6）设置端口跟踪（可选）
　　standby 组号 track 端口号降低的优先级别
　　降低的优先级别：默认为10
　　7）人工指定虚拟mac地址（可选）
　　standby 组号 mac mac地址
　　8）使用实际接口的mac地址（可选，只有25系列路由器使用）
　　standby 组号 use-bia
　　9）配置认证（可选）
　　standby 组号 authentication mode text 密码
　　密码：密码是明文，默认为cisco
　　注意：对于IOS12.3以上的版本中，HSRP支持MD5的认证，具体配置命令为
　　standby 组号 authentication md5 key-string 密码
　　10）配置HSRP时间（可选）
　　standby 组号 timers hello秒数 hold秒数
　　hello秒数：取值为1-255，默认为3秒
　　hold秒数：取值为1-255，默认为10秒，hold time= 3*hello time

network · 发表于 2008-10-27 15:04:44

检验和调试：　　检验：
　　show standby [接口 [组]][active|init|listen|standby][brief]
　　如：
　　show standby Ethernet0 init brief
　　调试：
　　debug standby：显示所有的HSRP错误、事件和数据包
　　debug standby terse ：显示除hello和通告以外的所有HSRP错误、事件和数据包
　　debug standby events detail：显示HSRP事件
　　debug standby error：显示HSRP错误
　　debug standby packets [advertise|coup|hello|resign][detail]
　　案例：

案例：
sw1(config)#int vlan 10
sw1(config-if)#ip address 192.168.1.1 255.255.255.0
sw1(config-if)#standby 1 ip 192.168.1.254
sw1(config-if)#standby 1 priority 110
-----------------------------------------------------
sw2(config)#int vlan 10
sw2(config-if)#ip address 192.168.1.2 255.255.255.0
sw2(config-if)#standby 1 ip 192.168.1.254
sw2(config-if)#standby 1 priority 100
------------------------------------------------------
SW1#show standby
Vlan10 - Group 1
State is Active
2 state changes, last state change 00:02:38
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.124 secs
Preemption enabled
Active router is local
Standby router is 192.168.1.2, priority 100 (expires in 7.992 sec)
Priority 110 (configured 110)
IP redundancy name is "hsrp-Vl10-1" (default)
---------------------------------------------------------
SW2#show standy
Vlan10 - Group 1
State is Standby
1 state change, last state change 00:02:32
Virtual IP address is 192.168.1.254
Active virtual MAC address is 0000.0c07.ac01
Local virtual MAC address is 0000.0c07.ac01 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 0.328 secs
Preemption enabled
Active router is 192.168.1.1, priority 110 (expires in 9.456 sec)
Standby router is local
Priority 100 (default 100)
IP redundancy name is "hsrp-Vl10-1" (default)
SW1#show stan brie
P indicates configured to preempt.
|
Interface 　Grp 　Prio 　P State 　Active 　Standby　　Virtual IP
V10　　　1 　　110 　P Active 　local 　　192.168.1.2 　192.168.1.254

　　多组HSRP备用组：

Router A Configuration
Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 10.0.0.1 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 priority 110
Switch(config-if)# standby 1 preempt
Switch(config-if)# standby 2 ip 10.0.0.4
Switch(config-if)# standby 2 preempt
Switch(config-if)# end
Router B Configuration
Switch# configure terminal
Switch(config)# interface gigabitethernet0/1
Switch(config-if)# no switchport
Switch(config-if)# ip address 10.0.0.2 255.255.255.0
Switch(config-if)# standby 1 ip 10.0.0.3
Switch(config-if)# standby 1 preempt
Switch(config-if)# standby 2 ip 10.0.0.4
Switch(config-if)# standby 2 priority 110
Switch(config-if)# standby 2 preempt
Switch(config-if)# end

network · 发表于 2008-10-27 15:05:06

案例：　　CCIE-LAB（V160）
　　题目要求：
　　Configure HSRP on R3 and R4 for hosts on VLAN A：Carefully read the requirements：
　　There are 10 hosts on VLAN A.5 Windows PC‘s and 5 Unix workstations
　　The Windows PC‘s are configured to use 160.YY.10.50 as their default gateway
　　The UNIX workstations are configured to use 160.YY.10.100 as their default gateway
　　R3 is the preferred router for Windows users.
　　R4 is the prefered router for Unix users.
　　If the frame relay connection on R3 goes down，then R4 becomes the preferred router for all users.
　　If the frame relay connection on R4 goes down，then R3 becomes the preferred router for all users.
　　Once either R3 or R4 recover from a failure then the network must operate as outined
　　above，I.e Each router must resume their original role.
　　配置：

R3
config termi
interface f0/0
standby 1 ip 160.11.10.50
standby 1 priority 110
standby 1 track s0/0 20
standby 1 preempt
standby 2 ip 160.11.10.100
standby 2 preempt
R4
config termi
interface f0/0
standby 1 ip 160.11.10.50
standby 1 preempt
standby 2 ip 160.11.10.100
standby 2 priority 110
standby 2 track s0/0 20
standby 2 preempt

　　Trunk链路上的HSRP
　　此项功能能通过在子网和VLAN间提供负载均衡和冗余能力提高整个网络的韧性。我们可以实现通过两个路由器来实现在干道上的互为活跃/备份路由器。我们只要设置一下他们在HSRP中的优先级就可以实现。
　　配置步骤：
　　1. 定义封装类型和vlan
　　如：

interface f0/0.10
encapaulation isl 10
interface f0/0.20
encapaulation isl 20

　　2.分配IP地址
　　如：

interface f0/0.10
ip address 10.10.10.2 255.255.255.0
interface f0/0.20
ip address 10.10.20.2 255.255.255.0

　　3.启动HSRP
　　如：

inteface f0/0.10
standby 1 ip 10.10.10.254
standby 1 priority 105
standby 1 preempt
interface f0/0.20
standby 2 ip 10.10.20.254
standby 2 priority 90

network · 发表于 2008-10-27 15:05:32

新：HSRP2　　在CISCO IOS 12.3以上的版本中，HSRP支持V2的版本。HSRP V2和HSRP V1命令上没有什么不同，只是HSRP V2所支持的组号进行了扩展，HSRP V1只支持0-255个组，而HSRP V2可以支持0-4095个组，主要是应用在它可以支持匹配在子接口上的VLAN号（扩展的VLAN可以支持到4094个）
　　HSRP V1和HSRP V2不能同时在一个接口上启用，但是在同一台路由器上的不同接口上，可以应用不同版本的HSRP
　　配置过程：
　　1）进入全局模式 configure terminal
　　2）进入接口模式 interface 接口
　　3）启用HSRP版本2
　　standby version 2
　　4）配置HSRP
　　standby 组号 ip ip地址
　　组号：取值范围0-4095
　　案例：

RouterA#configure terminal
RouterA(config)#interface f0/0
RouterA(config-if)#standby version 2
RouterA(config-if)#standby 4095 ip 10.1.1.1
RouterA(config-if)#standby 4095 timers msec 15 msec 50
RouterA(config-if)#standby 4095 priority 200
RouterA(config-if)#standby 4095 preempt
-----------------------------------------------------------
RouterB#configure terminal
RouterB(config)#interface f0/0
RouterB(config-if)#standby version 2
RouterB(config-if)#standby 4095 ip 10.1.1.1
RouterB(config-if)#standby 4095 timers msec 15 msec 50
RouterB(config-if)#standby 4095 preempt
------------------------------------------------------------
RouterA#show standby
FastEthernet0/0 - Group 4095 (version 2)
State is Active
2 state changes, last state change 00:11:47
Virtual IP address is 10.1.1.1
Active virtual MAC address is 0000.0c9f.ffff
Local virtual MAC address is 0000.0c9f.ffff (v2 default)
Hello time 15 msec, hold time 50 msec
Next hello sent in 0.007 secs
Preemption enabled
Active router is local
Standby router is 10.1.1.3, priority 100 (expires in 0.030 sec)
Priority 200 (configured 200)
IP redundancy name is "hsrp-Fa0/0-4095" (default)

network · 发表于 2008-10-27 15:07:35

Cisco的热备份路由协议(HSRP)可以在工作站A的确省网关失效时提供一个备份路由器，HSRP可以创建一个具有虚拟MAC地址和虚拟IP地址的虚拟路由器。

假设有两个路由器Bluestudy A和Bluestudy B，通过两路指向路由器Bluestudy C：

对于Bluestudy A，假设E0/0的IP地址为192.168.1.1/24对应内部网络是192.168.1.0/24 S0/0的IP地址为192.168.2.1/24 对应外部网络是192.168.2.0/24。

对于Bluestudy B，假设E0/0的IP地址为192.169.1.2/24 对应内部网络是192.168.1.0/24 S0/0的IP地址为192.168.3.1/24 对应外部网络是192.168.3.0/24。

虚拟IP地址为192.168.1.3/24

对于Bluestudy C，因与本实验无太大联系，暂时不做说明。

下面给出两只路由器的配置，其中将Bluestudy A作为主路由器，Bluestudy B作为备份路由器。其中给出Bluestudy A的优先级为120，而Bluestudy B采用默认优先级100，这样就可以使Bluestudy A成为主路由器。

Bluestudy A：

Interface ethernet0/0

Ip address 192.168.1.1 255.255.255.0

No ip redirects

Standby 1 priority 120

Standby 1 preempt

Standby 1 ip 192.168.1.3

！

interface serial0/0

ip address 192.168.2.1 255.255.255.0

no shut

!

router igrp 100

network 192.168.1.0

network 192.168.2.0

　

Bluestudy B：

Interface ethernet0/0

Ip address 192.168.1.2 255.255.255.0

Standby 1 preempt

Standby 1 ip 192.168.1.3

！

interface serial0/0

ip address 192.168.3.1 255.255.255.0

no shut

!

router igrp 100

network 192.168.1.0

network 192.168.3.0

只要将相应的下连主机的网关设成 192.168.1.3就可以了.

network · 发表于 2008-10-27 15:12:35

HSRP with Interface VLANs

Introduction
　　In this configuration, we have two Catalyst 6509 switches, each with two Multilayer Switch Feature Cards (MSFCs), for a total of four routers. Our strategy is to have the MSFC-a1 in the diagram below route for odd virtual LANs (VLANs), as the primary router, and MSFC-b1 to route odd VLANs as the backup router. For even VLANs, we want MSFC-b2 to be the primary router and MSFC-a2 to be the backup router.
　　
　　Note: The backup routers (MSFCs) don't have a standby priority explicitly assigned so they default to priority 100. We add the standby preempt statement so that if the primary router goes down and comes back up, it resumes the highest priority, or preempt control.
　　
　　MSFC-a1配置信息：
　　msfc-a1#
　　!
　　hostname msfc-a1
　　!
　　!
　　interface Vlan1
　　ip address 1.1.1.2 255.255.0.0
　　standby 1 priority 110 preempt
　　standby 1 ip 1.1.1.1
　　!
　　interface Vlan3
　　ip address 3.1.1.2 255.255.0.0
　　standby 3 priority 110 preempt
　　standby 3 ip 3.1.1.1
　　!
　　!
　　end
　　
　　MSFC-a2配置信息：
　　msfc-a2#
　　!
　　hostname msfc-a2
　　!
　　!
　　interface Vlan2
　　ip address 2.1.1.3 255.255.0.0
　　standby 2 ip 2.1.1.1
　　!
　　interface Vlan4
　　ip address 4.1.1.3 255.255.0.0
　　standby 4 ip 4.1.1.1
　　!
　　!
　　end
　　
　　MSFC-b1配置信息：
　　msfc-b1#
　　!
　　hostname msfc-b1
　　!
　　!
　　interface Vlan1
　　ip address 1.1.1.3 255.255.0.0
　　standby 1 ip 1.1.1.1
　　!
　　interface Vlan3
　　ip address 3.1.1.3 255.255.0.0
　　standby 3 ip 3.1.1.1
　　!
　　!
　　end
　　
　　MSFC-b2配置信息：
　　msfc-b2#
　　!
　　hostname msfc-b2
　　!
　　!
　　interface Vlan2
　　ip address 2.1.1.2 255.255.0.0
　　standby 2 priority 110 preempt
　　standby 2 ip 2.1.1.1
　　!
　　interface Vlan4
　　ip address 4.1.1.2 255.255.0.0
　　standby 4 priority 110 preempt
　　standby 4 ip 4.1.1.1
　　!
　　!
　　!
　　end
　　
　　相关命令与讲解如下：
　　debug and show Commands
　　Verify that HSRP is working by using the show standby command. In the output below, MSFC-a1 sees its backup router as "Standby router 3.1.1.3."
　　
　　msfc-a1#show standby
　　Vlan1 - Group 1
　　Local state is Active, priority 110, may preempt
　　Hellotime 3 holdtime 10
　　Next hello sent in 00:00:01.588
　　Hot standby IP address is 1.1.1.1 configured
　　Active router is local
　　Standby router is 1.1.1.3 expires in 00:00:08
　　Standby virtual mac address is 0000.0c07.ac01
　　Vlan3 - Group 3
　　Local state is Active, priority 110, may preempt
　　Hellotime 3 holdtime 10
　　Next hello sent in 00:00:02.092
　　Hot standby IP address is 3.1.1.1 configured
　　Active router is local
　　Standby router is 3.1.1.3 expires in 00:00:08
　　Standby virtual mac address is 0000.0c07.ac03
　　
　　When we issue the show standby command from MSFC-b1, we see that for VLAN 1 and 3, MSFC-b1 is the backup or standby router: "Local state is Standby, priority 100." The active router is 1.1.1.2, or MSFC-a1, which has priority 110. Since 110 is greater than 100, MSFC-a1 is the active router.
　　
　　msfc-b1#show standby
　　Vlan1 - Group 1
　　Local state is Standby, priority 100
　　Hellotime 3 holdtime 10
　　Next hello sent in 00:00:01.440
　　Hot standby IP address is 1.1.1.1 configured
　　Active router is 1.1.1.2 expires in 00:00:09
　　Standby router is local
　　Standby virtual mac address is 0000.0c07.ac01
　　Vlan3 - Group 3
　　Local state is Standby, priority 100
　　Hellotime 3 holdtime 10
　　Next hello sent in 00:00:01.478
　　Hot standby IP address is 3.1.1.1 configured
　　Active router is 3.1.1.2 expires in 00:00:09
　　Standby router is local
　　Standby virtual mac address is 0000.0c07.ac03
　　
　　When HSRP isn't configured correctly, you see show standby output similar to that below, which shows MSFC-b2 doesn't see its HSRP partner.
　　
　　msfc-b2#show standby
　　Vlan2 - Group 2
　　Local state is Active, priority 110, may preempt
　　Hellotime 3 holdtime 10
　　Next hello sent in 00:00:02.904
　　Hot standby IP address is 2.1.1.1 configured
　　Active router is local
　　Standby router is unknown expired
　　
　　When you see this output, first check that the configuration is correct. Then verify that all the VLANs are passing through the trunk between the two switches. In the output below, VLANs 1 through 4 are passing through correctly.
　　
　　Switch (enable)#show trunk 8/1
　　Port Mode Encapsulation Status Native vlan
　　-------- ----------- ------------- ------------ -----------
　　8/1 desirable n-isl trunking 1
　　
　　Port Vlans allowed on trunk
　　----------------------------------------------------------------
　　8/1 1-1005
　　
　　Port Vlans allowed and active in management domain
　　----------------------------------------------------------------
　　8/1 1-4
　　
　　Port Vlans in spanning tree forwarding state and not pruned
　　----------------------------------------------------------------
　　8/1 1-4
　　
　　If you're still running into issues, ensure that the virtual VLAN interfaces are up by issuing the show interface vlan command.
　　附图：
　　

network · 发表于 2008-10-27 15:15:49

在整个电力局企业网内，虚网之间的交换（三层交换）是通过7609路由交换机（多层交换特征卡MSFC2）和5500交换机（路由交换模块RSM）来实现的。两台交换机通过Cisco的热备路由器协议（HSRP）可以实现路由设备之间的冗余，即三层交换的冗余。HSRP协议是针对于IP协议，参与HSRP协议的路由设备为IP终端提供一个虚拟IP地址，且IPX等其它网络协议与HSRP兼容。
　　

　　图：热备路由协议（HSRP）示意图
　　HSRP的工作原理
　　HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。
　　通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段（Hold Time 缺省为10秒）时间内主动路由器不能发送hello消息，或者说HSRP检测不到主动路由器的hello消息时，将认为主动路由器有故障，这时HSRP会选择优先级最高的备用路由器变为主动路由器，同时将按HSRP优先级在配置了HSRP的路由器中再选择一台路由器作为新的备用路由器。
　　所有参与HSRP的路由器共享一个虚的IP地址，网络中的工作站将缺省网关指向该虚地址，被选出的主动路由器负责转发由工作站发到虚地址的数据包。
　　Hello消息是基于UDP的信息包，配置了HSRP的路由器将会周期性的广播Hello消息包，并利用Hello消息包来选择主动路由器和备用路由器及判断路由器是否失效。
　　如图所示，PC将数据包发送到设置的缺省网关（配置HSRP路由器所共享的虚拟IP地址），假设图中的7609设置了较高的优先级，7609将被选为主动路由器，并负责转发网络中所有由PC发送到其网关（HSRP地址）的数据包。当7609发生故障时，7609就不会广播Hello信息包，HSRP如果经过Hold Time还未收到来自7609的Hello信息包，将认为7609实效，这时HSRP将选择备用的5500作为主动路由器，并由5500来负责转发网络中所有由PC发送到其网关（HSRP地址）的数据包。而当7609恢复后，将继续发送Hello信息包，HSRP检测到其发送的Hello信息包具有高的优先级，则会重新将7609选为主动路由器，5500则仍将恢复成为备用路由器。
　　配置了HSRP协议的路由器交换以下三种多点广播消息：
　　●Hello──hello消息通知其他路由器，发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；
　　●Coup──当一个备用路由器变为一个主动路由器时发送一个coup消息；
　　●Resign──当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。
　　在任一时刻，配置了HSRP协议的路由器处于由以下六种状态：
　　●Initial ——表示路由器的HSRP还未运行，一般在配置第一台HSRP路由器时会显示此状态；
　　●Learn——表示配置HSRP的路由器还未知道虚地址，并一直监听来自主动路由器的消息包；
　　●Listening──表示配置HSRP的路由器还已知道虚地址，路由器还在监听hello消息；
　　●Speaking and listening──路由器正在发送和监听hello消息；
　　●Standby──处于被用状态，当主动路由器失效时路由器可被选为主动路由器，接管包转发功能；
　　●Active──路由器执行包转发功能。

network · 发表于 2008-10-27 15:18:25

　　对于IP网络来说，Cisco的热备份路由协议(HSRP, Hot Standby Routing Protocol)允许网络在一个路由器失效不能工作时，网络中的另一个路由器自动接管失效路由器，从而实现IP路由容错。HSRP协议还允许两个或多个配置HSRP协议的路由器使用一个虚拟路由器的MAC地址和IP地址。
　　
　　虚拟路由器物理上并不存在，它表示一个能为它们提供备份容错的公共路由器对象。图1显示了配置HSRP协议的广域网中的北京网段。其中，每个物理路由器都配置了虚拟路由器的MAC地址和IP地址。
　　在图1中，虚拟路由器的MAC地址是0000.0c07.ac01。当配置HSRP协议时，路由器自动地在Cisco IOS软件的地址池中选择一个虚拟MAC地址，该虚拟MAC地址在Cisco 公司的MAC地址块范围内。以太网和FDDI局域网使用预先指定的MAC地址作为虚拟MAC地址，令牌环局域网使用一个功能地址作为虚拟MAC地址。
　　在图1中，网络192.1.1.0中的主机的缺省路由器没有设置为路由器A，而设置为虚拟路由器的IP地址。当用户A的工作站给位于广州网段的用户B的工作站发送数据包时，它将数据包发送到虚拟路由器的MAC地址。
　　　

　　在图1中，路由器A设置为主动路由器。它被配置为虚拟路由器的IP地址和MAC地址，所有发往虚拟路由器的数据包都经由接口发送到广州网段。作为备份路由器，路由器B也被配置为虚拟路由器的IP地址和MAC地址。如果由于某种原因路由器A停止转发数据包，路由协议发生收敛，路由器B接管路由器A变为主动路由器。也就是说，路由器B对虚拟MAC地址和虚拟IP地址进行反应。用户A的工作站继续使用虚拟路由器的IP地址将数据包发往用户B的工作站，路由器B接受这些数据包，并通过上海网段将其发送到广州网段。直到路由器A重新工作，HSRP允许路由器B为北京网段的用户提供不间断的与广州网段的用户进行通信服务。当路由器B是主动路由器时，路由器B执行正常功能：转发北京网段和上海网段之间的数据包。
　　
　　HSRP的工作原理
　　
　　HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置得比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。
　　通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时，优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
　　配置了HSRP协议的路由器交换以下三种多点广播消息：
　　● Hello──hello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；
　　● Coup──当一个备用路由器变为一个主动路由器时发送一个coup消息；
　　● Resign──当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。
　　在任一时刻，配置了HSRP协议的路由器处于以下四种状态之一：
　　● Active──路由器执行包传输功能；
　　● Standby──当主动路由器失效时路由器准备接管包传输功能；
　　● Speaking and listening──路由器正在发送和监听hello消息；
　　● Listening──路由器正在监听hello消息。
　　
　　配置HSRP
　　
　　图2给出了一个IP网络的拓扑结构图，其中两个路由器配置了HSRP协议。
　　　

　　网络上的所有主机都将虚拟路由器的IP地址（本文中为1.0.0.3）配置为缺省的网关。配置缺省网关的命令与主机的操作系统、TCP/IP实现和配置有关。
　　以下是路由器A的配置：
　　hostname RouterA
　　!
　　interface ethernet 0
　　ip address 1.0.0.1 255.0.0.0
　　standby 1 ip 1.0.0.3
　　standby 1 preempt
　　standby 1 priority 110
　　standby 1 authentication example
　　standby 1 timers 5 15
　　!
　　interface ethernet 1
　　ip address 3.0.0.1 255.0.0.0
　　!
　　router eigrp 1
　　network 1.0.0.0
　　network 3.0.0.0
　　以下是路由器B的配置：
　　hostname RouterB
　　!
　　interface ethernet 0
　　ip address 1.0.0.2 255.0.0.0
　　standby 1 ip 1.0.0.3
　　standby 1 preempt
　　standby 1 authentication example
　　standby 1 timers 5 15
　　!
　　interface ethernet 1
　　ip address 2.0.0.2 255.0.0.0
　　!
　　router eigrp 1
　　network 1.0.0.0
　　network 2.0.0.0
　　其中的standby ip接口设置命令启动HSRP协议并设置1.0.0.3作为虚拟路由器的IP地址。两个路由器的配置中均包含了这个命令，这样两个路由器共享同一个虚拟IP地址。1建立备用组1（如果不指定一个组号，则缺省组号为0）。在建立的备用组中必须有一个路由器指定虚拟路由器的IP地址，备用组中的其他路由器指定虚拟路由器的IP地址则是可选的。
　　其中的standby preempt接口设置命令允许当该路由器的优先级比组中的其他的路由器的优先级高时，该路由器成为主路由器。在本文的配置中，两个路由器都包含该命令，这样其中的任何一个路由器都可以成为另一个路由器的备份路由器。其中的1表示此命令适用于备用组1。如果其中的一个路由器配置中不包含此命令，则该路由器不能成主动路由器。
　　其中的standby priority接口设置命令设置路由器的HSRP优先级为110，这比缺省的100优先级高。在本文的配置中只有路由器A包含这个命令，这使路由器A成为缺省的主动路由器。1表示该命令适用于备用组1。
　　其中的standby authentication接口设置命令建立一个8字符的明文认证字符串，此认证字符串包含在每个HSRP多点广播消息中。
　　该命令是可选的，如果使用，则组中的每个配置HSRP协议的路由器必须使用相同的认证字符串，以保证每个路由器能确认接收到的HSRP消息的来源。1表示此命令应用于备用组1。
　　其中，standby timers接口设置命令设置hello消息之间的间隔，称为hello时间，此时间间隔为5秒; 路由器在等待8秒钟保持时间之后宣布主动路由器宕机（缺省的hello时间和保持时间分别为3秒和10秒）。如果修改此参数，则各路由器必须使用相同的hello时间和保持时间。1表示此命令应用于备用组1。
　　
　　配置多个HSRP组
　　
　　多组HSRP协议（MHSRP）是HSRP协议的扩展，它允许路由器的一个端口隶属于多个热备份组。MHSRP协议需要Cisco IOS 10.3或以上的版本支持，并且路由器硬件允许一个以太网端口绑定多个单点广播MAC地址，如AGS、AGS+以及Cisco 7000系列路由器。如图3所示，这些特殊路由器硬件允许配置路由器中的一个端口，使得该路由器成为多个备份组的备份路由器。
　　在图3中，路由器A的以太网端口0属于组1，路由器B的以太网端口0属于组1、2和3，路由器C的以太网端口0属于组2，路由器D的以太网端口0属于组3。可以按照部门组织结构来建立各组。在这中情况下，组1可能表示工程部门，组2表示制造部门，组3表示财务部门。
　　　

　　路由器B配置为组1和组2的主动路由器，组3的备份路由器。路由器D配置为组3的主动路由器。如果路由器D因为某种原因失效，路由器B将执行路由器D的数据转发功能，从而允许财务部门的用户可以继续访问其他子网的数据。
　　以下是路由器A的配置：
　　hostname RouterA
　　!
　　interface ethernet 0
　　ip address 1.0.0.1 255.0.0.0
　　standby 1 ip 1.0.0.5
　　standby authentication sclara
　　!
　　interface serial 0
　　ip address 2.0.0.1 255.0.0.0
　　!
　　router eigrp 1
　　network 1.0.0.0
　　network 2.0.0.0
　　以下是路由器B的配置，要求路由器B必须是AGS、AGS+或者Cisco 7000系列路由器：
　　hostname RouterB
　　!
　　interface ethernet 0
　　ip address 1.0.0.2 255.0 0.0
　　standby 1 ip 1.0.0.5
　　standby 1 priority 110
　　standby 1 preempt
　　standby 1 authentication sclara
　　standby 2 ip 1.0.0.6
　　standby 2 priority 110
　　standby 2 preempt
　　standby 2 authentication mtview
　　standby 3 ip 1.0.0.7
　　standby 3 preempt
　　standby 3 authentication svale
　　!
　　interface serial 0
　　ip address 3.0.0.1 255.0.0.0
　　!
　　router eigrp 1
　　network 1.0.0.0
　　network 3.0.0.0
　　以下是路由器C的配置：
　　hostname RouterC
　　!
　　interface ethernet 0
　　ip address 1.0.0.3 255.0 0.0
　　standby 2 ip 1.0.0.6
　　standby 2 authentication mtview
　　!
　　interface serial 0
　　ip address 4.0.0.1 255.0.0.0
　　!
　　router eigrp 1
　　network 1.0.0.0
　　network 4.0.0.0
　　以下是路由器D的配置：
　　hostname RouterD
　　!
　　interface ethernet 0
　　ip address 1.0.0.4 255.0 0.0
　　standby 3 ip 1.0.0.7
　　standby 1 priority 110
　　standby 1 preempt
　　standby 3 authentication svale
　　!
　　interface serial 0
　　ip address 4.0.0.1 255.0.0.0
　　!
　　router eigrp 1

network · 发表于 2008-10-27 15:28:37

运用STP VTP HSRP 构建冗余的网络
STP（生成树协议）详解
　　二层管理协议。在一个扩展的局域网中参与STP的所有交换机之间通过交换桥协议数据单元BPDU（Bridge Protocol Data Unit）来实现；为稳定的生成树拓扑结构选择一个根桥；为每个交换网段选择一台指定交换机；将冗余路径上的交换机置为Blocking，来消除网络中的环路。
　　IEEE 802.1d是最早关于STP的标准，它提供了网络的动态冗余切换机制。STP使您能在网络设计中部署备份线路，并且保证：
　　在主线路正常工作时，备份线路是关闭的。
　　当主线路出现故障时自动使能备份线路，切换数据流。
　　VTP：思科VLAN中继协议（VTP：Cisco VLAN Trunking Protocol）
　　VLAN 中继协议（VTP）是思科第2层信息传送协议，主要控制网络范围内 VLANs 的添加、删除和重命名。VTP 减少了交换网络中的管理事务。当用户要为 VTP 服务器配置新 VLAN 时，可以通过域内所有交换机分配 VLAN，这样可以避免到处配置相同的 VLAN.VTP 是思科私有协议，它支持大多数的 Cisco Catalyst 系列产品。
　　通过 VTP，其域内的所有交换机都清楚所有的 VLANs 情况，但当 VTP 可以建立多余流量时情况例外。这时，所有未知的单播（Unicasts）和广播在整个 VLAN 内进行扩散，使得网络中的所有交换机接收到所有广播，即使 VLAN 中没有连接用户，情况也不例外。而 VTP Pruning 技术正可以消除该多余流量。
　　缺省方式下，所有Cisco Catalyst交换机都被配置为 VTP 服务器。这种情形适用于 VLAN 信息量小且易存储于任意交换机（NVRAM）上的小型网络。对于大型网络，由于每台交换机都会进行 NVRAM 存储操作，但该操作对于某些点是多余的，所以在这些点必须设置一个“判决呼叫”（Judgment Call）。基于此，网络管理员所使用的 VTP 服务器应该采用配置较好的交换机，其它交换机则作为客户机使用。此外需要有某些 VTP 服务器能提供网络所需的一定量的冗余。
　　到目前为止，VTP 具有三种版本。其中 VTP v2 与 VTP v1 区别不大，主要不同在于：VTP v2 支持令牌环 VLANs，而 VTP v1 不支持。通常只有在使用 Token Ring VLANs 时，才会使用到 VTP v2，否则一般情况下并不使用 VTP v2.
　　VTPv3 不能直接处理 VLANs 事务，它只负责管理域（Administrative Domain）内不透明数据库的分配任务。与前两版相比，VTP v3 具有以下改进：
　　* 支持扩展 VLANs.
　　* 支持专用 VLANs 的创建和广告。
　　* 提供服务器认证性能。
　　* 避免“错误”数据库进入 VTP 域。
　　* 与 VTP v1 和 VTP v2 交互作用。
　　* 支持每端口（On a Per-Port Basis）配置。
　　* 支持传播VLAN数据库和其它数据库类型。
　　HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）
　　热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的 IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
　　负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP 将激活备份路由器（Standby Routers）取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。
　　HSRP 运行在 UDP 上，采用端口号1985.路由器转发协议数据包的源地址使用的是实际 IP 地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别。

备注：
　　使用的是2950.所以在交换机SW1 SW2 的f 0/5 没有封装 dot1q（默认）。
　　R3 没有静态路由。这个拓扑只保障了到网关的负载均衡与冗余备份。没有写连接外网。
　　网络拓扑：

　　配置指令:
　　SW1

switch > enable
switch # configure terminal
switch (config) # hostname sw1
sw1 (config) # vtp domain cisco
sw1 (config) # vtp mode server
sw1 (config) # vtp password cisco
sw1 (config) # exit
sw1 # vlan database
sw1 (vlan) # vlan 2
sw1 (vlan) # vlan 3
sw1 (vlan) # exit
sw1 # configure terminal
sw1 (config) # interface range fastethernet 0/1 - 5
sw1 (config-if) # switchport mode trunk
sw1 (config-if) # no shutdown
sw1 (config-if) # interface range fastethernet 0/3 - 4
sw1 (config-if) # channel-group 1 mode on
sw1 (config-if) # exit
sw1 (config) # spanning-tree vlan 2 root primary
sw1 (config) # spanning-tree vlan 3 root secondby
sw1 (config) # exit
sw1 #

　　SW2

switch > enable
switch # configure terminal
switch (config) # hostname sw 2
sw2 (config) # vtp domain cisco
sw2 (config) # vtp mode server
sw2 (config) # vtp password cisco
sw2 (config) # interface range fastethernet 0/1 - 5
sw2 (config-if) # switchport mode trunk
sw2 (config-if) # no shutdown
sw2 (config-if) # interface range fastethernet 0/3 - 4
sw2 (config-if) # channel-group 1 mode on
sw2 (config-if) # exit
sw2 (config) # spanning-tree vlan 3 root primary
sw2 (config)# spanning-tree vlan 2 root secondby
sw2 (config) # exit
sw2 #

　　SW3

switch > enable
switch # configure terminal
switch (config) # hostname sw 3
sw3 (config) # vtp domain cisco
sw3 (config) # vtp mode client
sw3 (config) # vtp password cisco
sw3 (config) # interface range fastethernet 0/1 - 2
sw3 (config-if) # switchport mode trunk
sw3 (config-if) # no shutdown
sw3 (config-if) # interface fastethernet 0/3
sw3 (config-if) # switchport mode access
sw3 (config-if) # switchport access vlan 2
sw3 (config-if) # spanning-tree portfast
sw3 (config-if) # interface fastethernet 0/4
sw3 (config-if) # switchport mode access
sw3 (config-if) # switchport access vlan 3
sw3 (config-if) # spanning-tree portfast
sw3 (config-if) # exit
sw3 (config) # spanning-tree uplinkfast
sw3 (config) # spanning-tree vlan3
sw3 (config) # spanning-tree vlan2
sw3 (config) # exit
sw3 #

　　SW4

switch > enable
switch # configure terminal
switch (config) # hostname sw 4
sw4 (config) # vtp domain cisco
sw4 (config) # vtp mode client
sw4 (config) # vtp password cisco
sw4 (config) # interface range fastethernet 0/1 - 2
sw4 (config-if) # switchport mode trunk
sw4 (config-if) # no shutdown
sw4 (config-if) # interface fastethernet 0/3
sw4 (config-if) # switchport mode access
sw4 (config-if) # switchport access vlan 2
sw4 (config-if) # spanning-tree portfast
sw4 (config-if) # interface fastethernet 0/4
sw4 (config-if) # switchport mode access
sw4 (config-if) # switchport access vlan 3
sw4 (config-if) # spanning 每tree portfast
sw4 (config-if) # exit
sw4 (config) # spanning-tree uplinkfast
sw4 (config) # spanning-tree vlan3
sw4 (config) # spanning-tree vlan2
sw4 (config) # exit
sw4 #

　　R1

router > enable
router # configure terminal
router (config) # hostname r1
r1 (config) # interface fastethernet 0/0.1
r1 (config-subif) # ip add 192.168.2.254 255.255.255.0
r1 (config-subif) # encapsulation dot1q 2
r1 (config-subif) # standby 2 ip 192.168.2.1
r1 (config-subif) # standby 2 priority 105
r1 (config-subif) # standby 2 preempet
r1 (config-subif) # standby 2 track fastethernet 0/1
r1 (config-subif) # interface fastethernet 0/0.2
r1 (config-subif) # ip add 192.168.3.254 255.255.255.0
r1 (config-subif) # encapsulation dot1q 3
r1 (config-subif) # standby 3 ip 192.168.3.1
r1 (config-subif) # standby 3 preempet
r1 (config-subif) # standby 3 track fastethernet 0/1
r1 (config-if) # interface fastethernet 0/0
r1 (config-if) # no shutdown
r1 (config-if) # interface fastethernet 0/1
r1 (config-if) # ip add 192.168.4.2 255.255.255.0
r1 (config-if) # no shutdown
r1 (config-if) # exit
r1 (config) # exit
r1 #

　　R2

router > enable
router # configure terminal
router (config) # hostname r2
r2 (config) # interface fastethernet 0/0.1
r2 (config-subif) # ip add 192.168.2.253 255.255.255.0
r2 (config-subif) # encapsulation dot1q 2
r2 (config-subif) # standby 2 ip 192.168.2.1
r2 (config-subif) # standby 2 preempet
r2 (config-subif) # standby 2 track fastethernet 0/1
r2 (config-subif) # interface fastethernet 0/0.2
r2 (config-subif) # ip add 192.168.3.253 255.255.255.0
r2 (config-subif) # encapsulation dot1q 3
r2 (config-subif) # standby 3 priority 105
r2 (config-subif) # standby 3 preempet
r2 (config-subif) # standby 3 ip 192.168.3.1
r2 (config-subif) # standby 3 track fastethernet 0/1
r2 (config-if) # interface fastethernet 0/0
r2 (config-if) # no shutdown
r2 (config-if) # interface fastethernet 0/1
r2 (config-if) # ip add 192.168.5.2 255.255.255.0
r2 (config-if) # no shutdown
r2 (config-if) # exit
r2 (config) # exit
r2 #

　　R3

router > enable
router # configure terminal
router (config) # hostname r3
r3 (config) # interface thernet 0/0
r3 (config-if) # ip add 192.168.4.1 255.255.255.0
r3 (config-if) # no shutdown
r3 (config) # interface ethernet 0/1
r3 (config-if) # ip add 192.168.5.1 255.255.255.0
r3 (config-if) # no shutdown
r3 (config-if) # exit
r3 (config) # exit
r3 #

账号		自动登录	找回密码
密码			注册