演示：思科高可用服务HSRP的配置

第九章实施网络管理与应用功能任务9.4思科的高可用性服务

思科的高可用性服务部分是新版CCNA（200-120）新增加的考点，主要考查对思科网络设备的故障转移，确保无间断延时的冗余方案。在本节中主要描述思科HSRP（HotStandbyRouterProtocol，热备路由器协议）、VRRP(VirtualRouterRedundancyProtoco，虚拟路由器冗余协议)、GLBP（GatewayLoadBalancingProtocol，网关负载均衡协议）的配置。任务9.4.1理解并实施HSRP

思科HSRP（HotStandbyRouterProtocol，热备路由器协议）是企业级网络路由器的故障冗余服务。如图9.117所示，192.168.2.0/24子网需要与目标计算机192.168.5.2通信。192.168.2.0/24子网有两台出口路由器：一台是R1（192.168.2.1）；另一台是R2（192.168.2.2）。现在HSRP可以实现将192.168.2.1网关地址与192.168.2.2网关地址虚拟融合成一个IP地址（192.168.2.100）。此时，192.168.2.0/24子网的主机在填写网关地址时，只需要填写192.168.2.100就可以与整个网络通信。而且就算R1或R2任意一台路由器故障，也不会中断192.168.2.0/24子网与192.168.5.2的持续通信。故障会在R1与R2之间切换，并且192.168.2.0/24子网中的主机无须更改网关地址，为企业网络做到了透明容错的目标。思科HSRP协议是思科的厂商私有标准，其他厂商的路由器不支持，有一个代替HSRP的标准三层容错协议叫作VRRP，在下一小节将描述VRRP。图9.117分析HSRP工作原理的环境任务9.4.1现在需要思考两个问题。事实上，在HSRP的虚拟热容组中，任意一个时刻只有一台路由器进行通信流量的转发，不会两台同时转发通信流量，思科HSRP协议的核心包含了一台活动路由器（ActiveRouter）和备份路由器（StandbyRouters），其中活动路由器负责数据包的转发。一旦活动路由器出现故障，备份路由器将取代活动路由器实现数据的转发（并且不会导致主机出现连续中断通信的现象）。对于活动路由器和备份路由器的选择原则，主要通过路由器的HSRP优先级，优先级最高的为活动路由器，次高优先级的为备份路由器。如果网络中HSRP优先级相同，则比较其IP地址的大小，IP地址大的将会被选举为活动路由器。在如图9.117所示的网络环境中，R2将会是一台活动路由器（ActiveRouter），因为在默认情况下网络中路由器的HSRP优先级都是相同的，由于R2具备更大的IP地址，所以它将成为活动路由器。那么流量转发和故障切换的过程将如图9.118所示。现在192.168.2.0/24子网的所有流量都通过路由器R2转发，因为R2是热容组中的活动路由器，直到某个时候，R2故障了，那么流量才会从R2切换到路由器R1。问题1：192.168.2.0/24子网中的主机填写的网关地址是192.168.2.100（既包括路由器R1又包括R2），那么在两台路由器都正常的情况下，是哪台路由器负责通信流量的转发，或者说两台都负责通信流量转发吗？任务9.4.1图9.118故障切换示意图任务9.4.1这就产生了另一个问题：如果路由器R1和R2都不发生故障，那么就会产生对热容组流量转发的利用率不充分，在这种情况下，路由器R1将永远不被用于流量转发，单纯处于备用状态，因为它不是活动路由器。有没有一种高利用率的方案，比如：当路由器R1和R2没有发生故障时，将转发到主干的流量进行负载均衡，当任意一台路由器出现故障后，对流量转发进行故障切换？答案是：当然有，如图9.119所示，建立两个不同的热容组，其中一个热容组的IP配置为192.168.2.100，另一个配置为192.168.2.101；一个组的活动路由器设置为R1，另一个组的活动路由器设置为R2；如果192.168.2.0子网有100台主机，那么其中50台填写默认网关地址为192.168.2.100，另外50台填写默认网关地址为192.168.2.101。此时，如果路由器R1和R2都工作正常，那么就执行流量均衡；如果其中的一台路由器出现故障，那么流量会自动切换到另一台。图9.119高利用率的故障切换示意图任务9.4.1问题2：192.168.2.0/24子网中的主机填写的网关地址是192.168.2.100（既包括路由器R1又包括R2），那么这个热容组虚拟的IP地址192.168.2.100所使用的MAC地址会是谁的是路由器R1的E1/0，还是路由器R2的E1/0？既不会使用路由器R1的E1/0的MAC地址，也不会使用R2的E1/0的MAC地址，而是针对热容组的虚拟IP地址192.168.2.100生成一个虚拟的MAC地址，这个热容组虚拟的MAC地址由如图9.120所示的3个部分组成。第一部分为厂商编码，思科通常是0000.0c；第二部分为HSRP众所周知的标记，通常是07.ac；第三部分为HSRP热容组编号（转换成十六进制表示）。比如路由器R1和R2的热容组编号为120，那么此时这个热容组所对应的MAC地址就是：0000.0c07.ac78；因为热容组编号120转换为十六进制表示就是78。图9.120HSRP虚拟MAC地址的生产原则任务9.4.1取证思科HSRP的工作原理通过取证HSRP的工作原理，来进一步理解HSRP协议的端口号，理解HSRP的工作过程，理解备份路由器是如何知道活动路由器（主路由器）发生故障、如何进行故障接管的。取证环境如图9.121所示。图9.121取证HSRP工作原理的环境任务9.4.1

理解HSRP协议的端口号。思科HSRP（HotStandbyRouterProtocol，热备路由器协议）运行在传输层的UDP协议上，使用的端口号为1985，如图9.122所示。

图9.122思科HSRP运行在传输层的UDP协议上Initial状态：HSRP启动时的状态。即HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态，如图9.123所示，显示活动路由器未知，备份路由器也未知。

图9.123活动路由器未知，备份路由器也未知要理解HSRP的工作过程，就必须理解如下所述的5种状态。任务9.4.1Listen状态：路由器已经得到了虚拟IP地址，但是它既不是活动路由器也不是备份路由器，它一直监听从活动路由器或者备份路由器发来的Hello报文，如图9.124所示图9.124Listen状态Speak状态：在该状态下，路由器定期发送Hello报文，并且积极参加活动路由器或备份路由器的选举，如图9.125所示。图9.125Speak状态任务9.4.1HSRP利用Hello数据报文完成活动路由器的选举，成功完成活动路由器与备份路由器的选举。Standby表示备份路由器，指示当活动路由器失效时此路由器准备接管通信流量传输，如图9.126所示；Active表示活动路由器执行通信流量的传输功能，如图9.127所示。图9.126Standby表示备份路由器图9.127Active表示活动路由器执行通信流量的传输功能任务9.4.1

理解备份路由器是如何知道主路由器发生故障、如何进行故障接管的。主路由器与备份路由器之间维持着一个间隔性Hello报文，包含了HSRP的状态信息。Hello消息只在活动路由器和备份路由器之间发送，HSRP路由器默认为每3秒发送一个Hello消息。如果此维持会话中断，那么备份路由器将接管主路由器的功能，并将备份路由器自己设为Coup状态。

Coup（政变）状态：当一台备用路由器变为一台活动路由器时，备份路由器向该网络上的所有路由器发送一个Coup消息。组播地址224.0.0.2代表该网络上的所有路由器，如图9.128所示，路由器R2（192.168.1.2）设置为活动路由器。图9.127Coup状态

注意：还有一种状态叫作Resign（辞职），该状态指示当活动路由器宕机或者有优先级更高的路由器发送Hello消息时，活动路由器发送一个Resign消息。对于配置了HSRP协议的路由器都将处于以上5种状态之一。任务9.4.1演示：思科HSRP协议的配置演示目标：在如图9.117所示的环境中，保证主机192.168.2.3/24和主机192.168.2.4/24能在R1与R2两台路由器出现单点故障时，持续ping通主机192.168.5.2/24。要求：在路由器R1和R2上启动HSRP协议，并且主机192.168.2.3/24和主机192.168.2.4/24的网关IP地址必须为HSRP协议热备份组给出的虚拟IP地址，192.168.2.100。演示环境：如图任务9.4.1演示步骤：

在路由器R1和R2上完成HSRP的配置，配置HSRP的虚拟IP地址为192.168.2.100，R1为主路由器，R2为备份路由器。

R1的HSRP配置指令：R1(config)#inte1/0R1(config-if)#ipadd192.168.2.1255.255.255.0R1(config-if)#standby100ip192.168.2.100R1(config-if)#standby100preemptR1(config-if)#standby100tracke1/1R1(config-if)#standby100priority120R2的HSRP配置指令：R2(config)#inte1/0R2(config-if)#ipadd192.168.2.2255.255.255.0R2(config-if)#standby100ip192.168.2.100R2(config-if)#standby100preemptR2(config-if)#standby100tracke1/1R2(config-if)#standby100priority110任务9.4.1配置指令分析：standby100ip192.168.2.100中的Standby表示热备份组的编号，笔者自定义的编号为100，其取值范围为0～255；ip表示配置虚拟IP地址。standby100preempt中的preempt表示设置路由器抢占功能，抢占功能主要指：保证优先级高的路由器失效恢复后总能处于活动状态，也就是进行活动路由器的选举。standby100tracke1/1中的track表示设置HSRP的跟踪功能，跟踪功能主要指：当活动路由器监控到某一链路出现故障时，能快速地切换活动路由器。standby100priority120中的priority表示设置HSRP优先级。查看HSRP配置的结果，确定谁是主路由器，谁是备份路由器。可以在路由器R1或者R2上利用ShowStandbyEthernet1/0指令查看HSRP配置的情况。在路由器R1上查看，结果如图9.129所示，可以明确地看出192.168.2.1为热容组100的主路由器，备份路由器为192.168.2.2。

图9.129HSRP配置的结果任务9.4.1在主机192.168.2.3上填写网关地址192.168.2.100，然后执行到192.168.5.2的路由跟踪，可以得到如图9.130所示的路径，以及通过主路由器转发的流量。如果要进一步证实HSRP的故障切换功能，则可把R1的E1/0或者E1/1接口shutdown，然后再次ping192.168.5.2，如果配置没有错误，则可看见通信仍然能进行。图9.130通过当前活动路由器R1转发流量任务9.4.1特别说明track参数的作用与配置注意事项如图9.131所示，如果是路由器R1和R2形成HSRP的热容组，R1为活动路由器，R2为备份路由器，当R1的E1/0接口出现故障时，由于存在间隔性Hello报文的监控，所以故障很快会被发现，并且热容组的备份路由器R2会去接管故障路由器R1。但是如果故障出现在原活动路由器R1的S2/0接口上，比如R1的T1链路接口，那么会出现一个什么样的现象？HSRP组中的备份路由器R2能正常接管故障路由器吗？答案是不能接管，因为R1和R2的S2/0接口上不存在HSRP的间隔性Hello监控报文。内部网络中所有通过活动路由器转发的数据包将被丢弃，因为此时的活动路由器R1的S2/0接口出现故障了，但是它的内部接口E1/0将正常地发送表示生命存活迹象的HSRP的Hello报文。那么备份路由器将永远无法成为故障接管路由器。除非在路由器R1和R2上配置“Standby组号

tracks2/0”指令，对两台路由器的T1链路进行监控，此时，如果活动路由器R1的S2/0接口出现故障了，即使E1/0接口正常，备份路由器也将进行故障接管。首先活动路由器R1会将自已的优先级调低，默认是以10为单位进行调整，比如：原来活动路由器R1的优先级是120，此时就会降级为110，然后会在R1的E1/0接口上停止发送HSRP的Hello报文。此时备份路由器R2会成功接管故障。图9.131使用track参数的环境任务9.4.1任务9.4.1注意：为了确保HSRP备用跟踪将优先级降低到足以让备用路由器接管出现故障的活动路由器，需要对所有HSRP路由器的优先级进行正确的规划。如下列举一个正确规划和一个错误规划的实例，以帮助大家理解！正确的HSRP优先级规划实例：R1(config-if)#st