HSRP配置实例.docx

1、HSRP配置实例HSRP配置实例1 HSRP协议原理产生背景随着Internet的日益普及，人们对网络的依赖性也越来越强。这对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样。网络核心层设备是整个网络的心脏，如果设备发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的围将更大，所造成的损失也是难以估计的。因此，对核心设备采用热备份是提高网络可靠性的必然选择。在一个核心设备完全不能工作的情况下，它的全部功能便被系统中的另一个备份设备完全接管，直至出现问题的设备恢复正常，这就是热备份路由协议HSRP（Hot Stand

2、by Router Protocal）要解决的问题。HSRP原理HSRP是Cisco公司制定的专有路由器备份协议，支持多台路由器形成热备而消除单台设备失效造成的网络中断。实现HSRP的条件是系统中有2台以上的路由器组成一个“热备份组”，这个组形成一个虚拟路由器。HSRP协议利用一个优先级(priority)方案来决定哪台配置了HSRP协议的路由器成为活跃路由器(active router)。用户可以手动设置HSRP优先级的值。如果一个路由器的优先级设置的比所有其他路由器的优先级高，则该路由器成为相应备份组的活跃路由器。当在预先设定的一段时间(Hold Time)，不能收到活跃路由器发送的hel

3、lo消息时，优先级最高的备用路由器变为活跃路由器。网络上的所有主机不感知路由器之间的报文交互。其协议基本原理与VRRP类似，如下图所示。图1-1 HSRP协议基本原理示意图基本概念备份组：组成虚拟路由器的一组设备，称为HSRP路由器；活跃路由器(active router)：备份组中代表虚拟路由器转发数据包的路由器；备份路由器（standby router）：备份组中第一备份路由器；Hello Time：设备发送Hello报文的时间间隔，如果未配置Hello Time值，则根据活跃路由器成功发送两个hello消息的时间间隔来确定，否则使用缺省值3秒；Hold Time：HSRP路由器在声明活跃

4、路由器发生故障之前等待的时间，最少为Hello time的3倍；备份优先级：路由器在HSRP备份组的级别，缺省为100。如果优先级相同，那么由IP地址最大的路由器成为活跃路由器，此地址为配置HSRP接口的IP地址。虚拟MAC地址：由三部分组成的虚拟路由器使用的MAC地址以00.00.0c.07.ac.2f为例，厂商ID：前三个字节是厂商ID，00.00.0c是Cisco设备。HSRP编码：用来说明本MAC地址是用于标识一台HSRP虚拟路由器的，总是07.ac。HSRP组号：即组ID，标识HSRP备份组的编号。本例中2f为十六进制，转换为十进制为47。HSRP消息配置了HSRP协议的路由器存在以

5、下三种多点广播消息：Hello：发送该消息表明路由器正在运行HSRP，并且能够成为活跃路由器或者备份路由器。HSRP路由器默认每3秒钟发送一个Hello消息；Coup：当一个备份路由器变为一个活跃路由器时发送一个Coup消息；Resign：当活跃路由器要宕机或者当有优先级更高的路由器发送hello消息时，活跃路由器发送resign消息，表明不想再当活跃路由器；HSRP消息被封装在UDP报文中，使用UDP端口号1985，目的地址是全部路由器(all-router)多点广播地址224.0.0.2，TTL值为1。HSRP状态HSRP定义了配置HSRP功能的路由器中可能有的6种状态：初始状态（Init

6、ial）：HSRP启动时的状态，此时HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态。学习状态（Learn）：路由器等待来自活跃路由器的消息。这时，路由器还没有看到来自活跃路由器的Hello消息，也没有学到虚拟路由器的IP地址。倾听状态（Listen）：路由器正在监听Hello消息。已经知道了虚拟IP地址，除了活跃和备份路由器之外的其他路由器都保持倾听状态。发言状态（Speak）：在该状态下，路由器发送周期性Hello消息，并参与活跃路由器或备份路由器的竞选。备份状态（Standby）：备份组路由器所处的状态，备份组员监视活跃路由器，随时准备在活跃路由故障时，接替其数据传输功能。

7、周期性的发送Hello消息，向其他组员通告自己的状态。活跃状态（Active）：备份组活跃路由器的状态，负责数据传输功能。2 互通性分析从“HSRP协议原理”章节可以看出，HSRP报文的目的MAC与VRRP完全不同，可见两种协议无法对接。因此，华为S系列交换机替换思科设备时，只能选择使用VRRP协议替换HSRP协议，替换思路有如下两种：割接前将Cisco设备HSRP整改为VRRPa.将HSRP备设备三层接口shutdown，此时下行业务会部分受影响，断流时间为路由切换时间；b.将HSRP备设备配置整改为VRRP主设备，保持三层接口down；c.将HSRP主设备三层接口shutdown，然后打开

8、VRRP备设备的三层接口，完成业务切换；d.将HSRP主设备整改为VRRP备设备，打开三层接口，HSRP切换VRRP完成；e.将VRRP备设备的业务割接至华为VRRP备设备；f.将VRRP主设备的业务割接至华为VRRP主设备。直接将HSRP下行主备链路同时割接至华为VRRP主备设备a.割接前保证华为设备有网络侧路由，以使业务平台割接至华为设备后业务损失降到最低；b.将HSRP备设备下行接口shutdown，将物理线缆割接是VRRP主设备，保持端口down；c.将HSRP主设备下行接口shutdown，随即打开VRRP主设备端口，业务完成切换；d.将原互连HSRP主设备的物理线缆割接至VRRP备

9、设备，打开VRRP备设备端口，割接完成。实际上第一种整改方式不常用，因为在第3步切换的时候，会有约3秒左右业务中断，因此通常直接选择将HSRP主备下行端口同时割接至华为的VRRP主备下行端口。3 实现对比协议对比表3-1 HSRP与VRRP协议对比参数HSRPVRRP通用性Cisco私有协议，通用性差标准协议，通用性好协议报文目的MAC00-00-0c-07-ac-Group_ID00-00-5e-00-01-VRID协议报文目的IP224.0.0.2224.0.0.18TTL1255封装方式封装在UDP报文，端口号1985封装在IP报文Hello报文缺省发送频率发送周期3秒，9秒超时发送周期

10、1秒，3秒超时Track接口能力支持支持协议状态机六种：Initial, Learn, Listen, Speak, Standby, Active三种：Initialize, Master, Backup命令对比表3-2 HSRP与VRRP命令对比功能HSRP命令VRRP命令配置备份组standby group-number ip virtual-ip-addressvrrp vrid virtual-router-id virtual-ip virtual-address 配置备份组优先级standby group-number priority priority-valuevrrp vr

11、id virtual-router-id priority priority-value 配置抢占standby group-number Preemptvrrp vrid virtual-router-id preempt-mode disable配置hello消息计时器standby group-number timers hellotime holdtimevrrp vrid virtual-router-id timer advertise advertise-interval查看备份组配置情况show standby vlan vlan-numbershow stanby brief

12、debug standbydisplay vrrp briefdebugging vrrp4 state interface interface-type interface-number vrid virtual-router-iddebugging vrrp4 packet interface interface-type interface-number vrid virtual-router-id verbose debugging vrrp4 timer interface interface-type interface-number vrid virtual-router-id配

13、置与接口联动standby group-number track type number interface-priorityvrrp vrid virtual-router-id track interface interface-type interface-number increased value-increased | reduced value-reduced 4 对接替换方案简介HSRP与VRRP协议无法实现对接，因此替换方案为将HSRP下行主备链路同时割接至华为VRRP主备设备。组网需求如图4-1所示，组网中均为思科交换机。两台核心交换机采用堆叠方式。两台汇聚交换机之间使用手

14、工模式的Eth-trunk进行链路冗余备份，上行通过配置OSPF与核心交换机建立OSPF邻居关系收发路由，下行通过配置HSRP实现虚拟网关备份，其中CiscoA为主用网关设备，CiscoB为备用网关设备。组网换机通过Rapid PVST 进行破环操作。现根据需要，使用华为S系列交换机替换组网中的两台汇聚交换机，且不改变原网络规划。思科汇聚设备HSRP相关配置如下：CiscoAinterface Vlan110 ip address 172.31.217.156 255.255.255.224 standby 110 ip 172.31.217.158 standby 110 priority

15、110 standby 110 preempt delay minimum 60 standby 110 authentication hsrp110 interface Vlan120 ip address 172.31.218.157 255.255.255.224 standby 120 ip 172.31.218.158 standby 120 authentication hsrp120 CiscoBinterface Vlan110 ip address 172.31.217.155 255.255.255.224 standby 110 ip 172.31.217.158 sta

16、ndby 110 authentication hsrp110 interface Vlan120 ip address 172.31.218.156 255.255.255.224 standby 120 ip 172.31.218.158 standby 120 priority 110 standby 120 preempt delay minimum 60 standby 120 authentication hsrp120 图4-1 HSRP组网图配置思路采用如下配置思路：1.配置华为S系列交换机的OSPF功能，实现与上行核心交换机建立OSPF邻居关系收发路由。2.通过手工模式配置华

17、为S系列交换机之间的链路聚合，实现负载分担。3.配置华为S系列交换机的VRRP功能替换原思科交换机HSRP，实现虚拟网关备份。4.配置华为S系列交换机，实现与网络中其他思科交换机的环网互通，实现破坏。具体对接方案参见思科生成树协议和华为生成树协议对接/替换指导5.依据原网络规划，配置华为S系列交换机相关业务转发功能。操作步骤步骤 1通过show standby brief命令查看设备的主备状态。# 查看CiscoA设备的HSRP主备状态。CiscoA# show standby brief P indicates configured to preempt. Interface Grp Pri

18、 P State Active Standby Virtual IP Vlan110 110 110 P Active local 172.31.217.155 172.31.217.158 Vlan120 120 100 Standby 172.31.218.156 local 172.31.218.158 # 查看CiscoB设备的HSRP主备状态。CiscoB# show standby brief P indicates configured to preempt. | Interface Grp Pri P State Active Standby Virtual IP Vlan11

19、0 110 100 Standby 172.31.217.156 local 172.31.217.158 Vlan120 120 110 P Active local 172.31.218.157 172.31.218.158 步骤 2 将两台华为S系列交换机上电并通过旁挂的方式连接之间链路及上行链路。核心交换机新增下行接口地址，华为S系列交换机新增上行接口地址及loopback地址，配置VRRP功能，其中HuaweiB配置为Master设备。完成华为S系列交换机所有配置，并将下行链路接入侧的VLANIF接口shutdown。# 配置HuaweiB的VRRP功能，配置其为VRRP备份组1的的

20、Master设备，备份组2的Backup设备。 system-view Quidway syaname HuaweiB HuaweiB interface vlanif 110 HuaweiB-Vlanif110 ip address 172.31.217.156 255.255.255.224 HuaweiB-Vlanif110 vrrp vrid 110 virtual-ip 172.31.217.158 HuaweiB-Vlanif110 vrrp vrid 110 priority 110 HuaweiB-Vlanif110 vrrp vrid 110 preempt-mode tim

21、er delay 60 HuaweiB-Vlanif110 vrrp vrid 110 authentication-mode simple cipher vrrp110 HuaweiB-Vlanif110 quit HuaweiB interface vlanif 120 HuaweiB-Vlanif120 ip address 172.31.218.157 255.255.255.224 HuaweiB-Vlanif120 vrrp vrid 120 virtual-ip 172.31.218.158 HuaweiB-Vlanif120 vrrp vrid 120 authenticati

22、on-mode simple cipher vrrp120 HuaweiB-Vlanif120 quit # 配置HuaweiA的VRRP功能，配置其为VRRP备份组1的Backup设备，备份组2的Master设备。 system-view Quidway syaname HuaweiA HuaweiA interface vlanif 110 HuaweiA-Vlanif110 ip address 172.31.217.155 255.255.255.224 HuaweiA-Vlanif110 vrrp vrid 110 virtual-ip 172.31.217.158 HuaweiA-

23、Vlanif110 vrrp vrid 110 authentication-mode simple cipher vrrp110 HuaweiA-Vlanif110 quit HuaweiA interface vlanif 120 HuaweiA-Vlanif120 ip address 172.31.218.156 255.255.255.224 HuaweiA-Vlanif120 vrrp vrid 120 virtual-ip 172.31.218.158 HuaweiA-Vlanif120 vrrp vrid 120 priority 110 HuaweiA-Vlanif120 v

24、rrp vrid 120 preempt-mode timer delay 60 HuaweiA-Vlanif120 vrrp vrid 120 authentication-mode simple cipher vrrp120 HuaweiA-Vlanif120 quit 步骤 3 根据思科设备的HSRP配置可以判断，CiscoA为活跃路由器，先将CiscoB下行接口shutdown，将连接CiscoD的物理线缆割接至HuaweiB，保持端口down。如下图所示：图4-2 VRRP替换步骤一步骤 4 将CiscoA下行接口shutdown，随即打开HuaweiB端口，业务完成切换。步骤 5

25、测试HuaweiB下挂业务。验证无问题后，将原互连CiscoA和CiscoD的物理线缆割接至HuaweiA，打开HuaweiA端口。完成CiscoD的割接。如下图所示：图4-3 VRRP替换步骤二步骤 6 采用如上步骤，逐个完成下挂接入交换机的割接。步骤 7 配置完成后，查看华为设备的VRRP主备状态。# 查看HuaweiB设备的VRRP主备状态。HuaweiB display vrrp brief VRID State Interface Type Virtual IP - 110 Master Vlanif110 Normal 172.31.217.158 120 Backup Vlani

26、f120 Normal 172.31.218.158 - Total:2 Master:1 Backup:1 Non-active:0 # 查看HuaweiA设备的VRRP主备状态。HuaweiA display vrrp brief VRID State Interface Type Virtual IP - 110 Backup Vlanif110 Normal 172.31.217.158 120 Master Vlanif120 Normal 172.31.218.158 - Total:2 Master:1 Backup:1 Non-active:0-结束配置文件HuaweiB配置文

27、件#interface Vlanif110ip address 172.31.217.156 255.255.255.224 vrrp vrid 110 virtual-ip 172.31.217.158 vrrp vrid 110 priority 110 vrrp vrid 110 preempt-mode timer delay 60 vrrp vrid 110 authentication-mode simple cipher %#!e$Ql28W2S&kJl;mU#/)n59kqh%9rF_E8EFWIF%# # interface Vlanif120 ip address 172.31.218.157 255.255.255.224 vrrp vrid 120 virtual-ip 172.31.218.158 vrrp vrid 120 authentication-mode simple cipher %#S0rDt=7I1aEUzzpSN2BoIHvN%Ho&0M2_A=&%# #HuaweiA配置文件# interface Vlanif110 ip address 172.31.217.155 255.255.25