Implementación de HSRP y GLBP
La puerta de enlace se convierte en la luz al final del túnel para los dispositivos finales por donde entra y sale el tráfico, pero esta luz se puede apagar cuando el dispositivo que tiene configurada la puerta de enlace ha presentado alguna falla compromete a todos los dispositivos que dependen de él; aislándolos de redes externas, debido a que los dispositivos finales solamente se les puede configurar una única puerta de enlace.
Los routers o los switch multicapa proporcionan la capacidad de que un cliente utilice una puerta de enlace alternativa en caso de que falle la puerta de enlace principal. Con la utilización de los protocolos de redundancia de primer salto se pueden administrar múltiples dispositivos de capa 3 con una puerta de enlace alternativa en caso de que el dominio de fallas afecta a cierto tramo de red se crea una ruta virtual para mantener la disponibilidad de la infraestructura de red.
El Protocolo de enrutamiento de reserva activa (HSPR) brinda la capacidad de recuperarse dinámicamente de la falla de un dispositivo que funciona como puerta de enlace predeterminada, proporcionando una alta disponibilidad a través de un dispositivo activo que responde las peticiones para enrutar los paquetes y otro dispositivo de reserva que toma el control cuando falla en dispositivo o cuando cumplen condiciones previamente establecidas, porque la función del router de suspensión del HSRP es controlar el estado operativo del grupo de HSRP y asumir rápidamente la responsabilidad de reenvío de paquetes si falla el router activo.
El Protocolo de balanceo de carga de puerta de enlace (GLBP) trabaja de manera similar que HSRP haciendo uso de una única dirección IP virtual que se configura como puerta de enlace predeterminada en los dispositivos finales haciendo que los dispositivos de capa 3 asuman el rol de reenvió utilizando diferentes direcciones MAC virtuales para la misma dirección IP virtual que se usa para reenviar paquetes, logrando así recursos más eficientes y los costos administrativos reducidos.
Existen dos tipos de dispositivos en el grupo GLBP en redundancia y balanceo de carga:
- Puerta de enlace activa virtual (AVG): tiene el valor de prioridad mas alto o la dirección IP en el grupo, responde a todas las solicitudes ARP para las direcciones MAC que envía a la dirección IP del router virtual. Cuando un cliente necesita enviar un paquete a la puerta de enlace predeterminada conocida (AVG) con una dirección IP configurada, solicita la dirección MAC enviando una solicitud ARP (protocolo de resolución de direcciones) en la subred. AVG responderá a estas solicitudes ARP con la dirección MAC virtual de cada reenviador virtual activo, según el algoritmo configurado para compartir carga.
- Promotor virtual activo (AVF): Es responsable de reenviar los paquetes enviados a la dirección MAC devuelta por el router AVG, pueden existir múltiples reenviadores virtuales activos para cada grupo GLBP.
Topología
A continuación, se presenta las siguientes VLAN que deberá agregar a los SW-1, SW-2 y SW-3.
Dispositivo | VLAN | Nombre | IP | Rango de puertos |
SW-1, SW-2, SW-3 | 10 | Ventas | 172.16.1.0/24 | Del e0/0 al e0/3 |
SW-1, SW-2, SW-3 | 20 | Financiera | 172.16.2.0/24 | Del e1/0 al e1/3 |
SW-1, SW-2, SW-3 | 30 | RRHH | 172.16.3.0/24 | Del e2/0 al e1/3 |
SW-1 | SW-2 | SW-3 |
interface range Ethernet0/0-3 switchport access vlan 10 switchport mode access exit
interface range Ethernet1/0-3 switchport access vlan 20 switchport mode access exit
interface range Ethernet2/0-3 switchport access vlan 30 switchport mode access exit
interface range Ethernet3/1-3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,30 switchport mode trunk | interface range Ethernet0/0-3 switchport access vlan 10 switchport mode access exit
interface range Ethernet1/0-3 switchport access vlan 20 switchport mode access exit
interface range Ethernet2/0-3 switchport access vlan 30 switchport mode access exit
interface range Ethernet3/1-3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,30 switchport mode trunk | interface range Ethernet0/0-3 switchport access vlan 10 switchport mode access exit
interface range Ethernet1/0-3 switchport access vlan 20 switchport mode access exit
interface range Ethernet2/0-3 switchport access vlan 30 switchport mode access exit
interface range Ethernet3/1-3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,30 switchport mode trunk |
Configurando HSRP
Las direcciones IP para los dispositivos finales serán asignadas automáticamente mediante DHCP y deberá configurarse lo siguiente en los switches multicapa HSRP-Standby y HSRP-Active.
HSRP-Standby | HSRP-Active |
ip dhcp excluded-address 172.16.1.1 172.16.1.10 ip dhcp excluded-address 172.16.2.1 172.16.2.10 ip dhcp excluded-address 172.16.3.1 172.16.3.10
ip dhcp pool Ventas network 172.16.1.0 255.255.255.0 default-router 172.16.1.1
ip dhcp pool Financiera network 172.16.2.0 255.255.255.0 default-router 172.16.2.1
ip dhcp pool RRHH network 172.16.3.0 255.255.255.0 default-router 172.16.3.1 | ip dhcp excluded-address 172.16.1.1 172.16.1.10 ip dhcp excluded-address 172.16.2.1 172.16.2.10 ip dhcp excluded-address 172.16.3.1 172.16.3.10
ip dhcp pool Ventas network 172.16.1.0 255.255.255.0 default-router 172.16.1.1
ip dhcp pool Financiera network 172.16.2.0 255.255.255.0 default-router 172.16.2.1
ip dhcp pool RRHH network 172.16.3.0 255.255.255.0 default-router 172.16.3.1 |
La prioridad por defecto de HSRP es 100 y para determinar cuál será el switch multicapa activo deberá modificar la prioridad al switch HSRP-Active por ejemplo a 110, otros de los parámetros a tomar en cuenta es Preempt, ya que un dispositivo con HSRP nunca intenta convertirse en activo ni aun así tenga la prioridad mas alta, con la utilización de preempt producirá que el dispositivo con la prioridad mas alta inicie el proceso para convertirse en activo, pero si ambas prioridades son iguales el dispositivo con la dirección IP mas alta será electo como activo.
Como puede observar cada interfaz VLAN tiene una dirección IP diferente y el valor que repiten es la IP 172.16.1.1 siendo esta la puerta de enlace virtual para todos los dispositivos finales.
HSRP-Standby | HSRP-Active |
interface Vlan10 ip address 172.16.1.2 255.255.255.0 standby 2 ip 172.16.1.1 standby 2 preempt no shutdown
interface Vlan20 ip address 172.16.2.2 255.255.255.0 standby 3 ip 172.16.2.1 standby 3 preempt no shutdown
interface Vlan30 ip address 172.16.3.2 255.255.255.0 standby 4 ip 172.16.3.1 standby 4 preempt no shutdown | interface Vlan10 ip address 172.16.1.3 255.255.255.0 standby 2 ip 172.16.1.1 standby 2 priority 110 standby 2 preempt no shutdown
interface Vlan20 ip address 172.16.2.3 255.255.255.0 standby 3 ip 172.16.2.1 standby 3 priority 110 standby 3 preempt no shutdown
interface Vlan30 ip address 172.16.3.3 255.255.255.0 standby 4 ip 172.16.3.1 standby 4 priority 110 standby 4 preempt no shutdown |
En los switches multicapa deberá troncalizar los puertos que conectan a los switches de capa 2
HSRP-Standby | HSRP-Active |
vlan 10 name Ventas vlan 20 name Financiera vlan 30 name RRHH
interface range Ethernet3/1-3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,30 switchport mode trunk | vlan 10 name Ventas vlan 20 name Financiera vlan 30 name RRHH
Interface range Ethernet3/1-3 switchport trunk encapsulation dot1q switchport trunk allowed vlan 10,20,30 switchport mode trunk |
Asigne la siguiente dirección a la interfaz que conecta al router R2.
HSRP-Standby | HSRP-Active |
interface Ethernet0/0 no switchport ip address 10.10.10.2 255.255.255.252 no shutdown | interface Ethernet0/0 no switchport ip address 10.10.10.5 255.255.255.252 no shutdown |
Aplique el enrutamiento OSPF multitarea para la comunicación entre dispositivos, el área 1 le corresponde a las VLAN y el área 0 al enlace troncal hacia el router R2 (no olvide habilitar el proceso de enrutamiento para el switch multicapa con el comando ip routing).
HSRP-Standby | HSRP-Active |
ip routing
router ospf 1 network 10.10.10.0 0.0.0.3 area 0 network 172.16.1.0 0.0.0.255 area 1 network 172.16.2.0 0.0.0.255 area 1 network 172.16.3.0 0.0.0.255 area 1 | ip routing
router ospf 1 network 10.10.10.4 0.0.0.3 area 0 network 172.16.1.0 0.0.0.255 area 1 network 172.16.2.0 0.0.0.255 area 1 network 172.16.3.0 0.0.0.255 area 1 |
NOTA: Utilice el comando show standby para verificar el estado de los dispositivos donde configuro HSRP.
HSRP-Standby | HSRP-Active |
Vlan10 - Group 2 State is Standby 1 state change, last state change 01:30:10 Virtual IP address is 172.16.1.1 Active virtual MAC address is 0000.0c07.ac02 (MAC Not In Use) Local virtual MAC address is 0000.0c07.ac02 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.128 secs Preemption enabled Active router is 172.16.1.3, priority 110 (expires in 8.864 sec) Standby router is local Priority 100 (default 100) Group name is "hsrp-Vl10-2" (default) Vlan20 - Group 3 State is Active 2 state changes, last state change 01:30:12 Virtual IP address is 172.16.2.1 Active virtual MAC address is 0000.0c07.ac03 (MAC Not In Use) Local virtual MAC address is 0000.0c07.ac03 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.320 secs Preemption enabled Active router is unknown Standby router is unknown Priority 100 (default 100) Group name is "hsrp-Vl20-3" (default) Vlan30 - Group 4 State is Active 2 state changes, last state change 01:30:13 Virtual IP address is 172.16.3.1 Active virtual MAC address is 0000.0c07.ac04 (MAC Not In Use) Local virtual MAC address is 0000.0c07.ac04 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.300 secs Preemption enabled Active router is unknown Standby router is unknown Priority 100 (default 100) Group name is "hsrp-Vl30-4" (default) | Vlan10 - Group 2 State is Active 2 state changes, last state change 01:30:54 Virtual IP address is 172.16.1.1 Active virtual MAC address is 0000.0c07.ac02 (MAC In Use) Local virtual MAC address is 0000.0c07.ac02 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 0.192 secs Preemption enabled Active router is local Standby router is 172.16.1.2, priority 100 (expires in 8.160 sec) Priority 110 (configured 110) Group name is "hsrp-Vl10-2" (default) Vlan20 - Group 3 State is Active 2 state changes, last state change 01:30:56 Virtual IP address is 172.16.2.1 Active virtual MAC address is 0000.0c07.ac03 (MAC In Use) Local virtual MAC address is 0000.0c07.ac03 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 0.320 secs Preemption enabled Active router is local Standby router is unknown Priority 110 (configured 110) Group name is "hsrp-Vl20-3" (default) Vlan30 - Group 4 State is Active 2 state changes, last state change 01:30:55 Virtual IP address is 172.16.3.1 Active virtual MAC address is 0000.0c07.ac04 (MAC In Use) Local virtual MAC address is 0000.0c07.ac04 (v1 default) Hello time 3 sec, hold time 10 sec Next hello sent in 1.680 secs Preemption enabled Active router is local Standby router is unknown Priority 110 (configured 110) Group name is "hsrp-Vl30-4" (default) |
**Las direcciones MAC pueden variar dependerá de las interfaces que estén participando.
Asigne las siguientes direcciones IP al router R2 según la topología, además configure OSPF para las redes conectadas a los switches multicapa y coloque una ruta estática predeterminada tanto para el ISP1 e ISP2 y una ruta de respaldo cambiando la distancia administrativa, no olvide propagar el enrutamiento estático dentro del enrutamiento dinámico.
R2 |
interface Ethernet1/0 ip address 10.10.10.1 255.255.255.252 no shutdown
interface Ethernet1/1 ip address 10.10.10.5 255.255.255.252 no shutdown
interface Ethernet1/2 ip address 168.243.1.1 255.255.255.252 no shutdown
interface Ethernet1/3 ip address 168.243.1.5 255.255.255.252 no shutdown
router ospf 1 network 10.10.10.0 0.0.0.3 area 0 network 10.10.10.4 0.0.0.3 area 0 default-information originate
ip route 0.0.0.0 0.0.0.0 168.243.1.2 ip route 0.0.0.0 0.0.0.0 168.243.1.6 5
|
Configurando GLBP
Al contrario que HSRP todos los routers con GLBP están activos con lo cual el balanceo de carga se cumple entre todos los routers del grupo. De acuerdo con la topología configuraremos como Soporte-AVG y Soporte-AVF con siguiente dirección ip virtual 192.168.1.254.
Soporte-AVG | Soporte-AVF |
interface e1/0 ip address 192.168.1.1 255.255.255.0 glbp 1 ip 192.168.1.254 glbp 1 authentication md5 key-string eportillo glbp 1 priority 110 glbp 1 preempt glbp 1 load-balancing round-robin no shutdown
interface e1/1 ip address 10.10.10.10 255.255.255.252 no shutdown
router ospf 1 network 10.10.10.8 0.0.0.3 area 0 network 192.168.1.0 0.0.0.255 area 2 | interface e1/0 ip address 192.168.1.2 255.255.255.0 glbp 1 ip 192.168.1.254 glbp 1 authentication md5 key-string eportillo glbp 1 preempt glbp 1 load-balancing round-robi no shutdown
interface e1/1 ip address 10.10.10.14 255.255.255.252 no shutdown
router ospf 1 network 10.10.10.12 0.0.0.3 area 0 network 192.168.1.0 0.0.0.255 area 2 |
El comando show glbp permite verificar el estado de las interfaces involucradas en el proceso de GLBP.
Soporte-AVG | Soporte-AVF |
Ethernet1/0 - Group 1 State is Active 2 state changes, last state change 01:18:26 Virtual IP address is 192.168.1.254 Hello time 3 sec, hold time 10 sec Next hello sent in 0.332 secs Redirect time 600 sec, forwarder time-out 14400 sec Authentication MD5, key-string "eportillo" Preemption enabled, min delay 0 sec Active is local Standby is 192.168.1.2, priority 100 (expires in 9.816 sec) Priority 110 (configured) Weighting 100 (default 100), thresholds: lower 1, upper 100 Load balancing: round-robin Group members: ca02.691f.001c (192.168.1.1) local ca13.ba41.001c (192.168.1.2) authenticated There are 2 forwarders (1 active) Forwarder 1 State is Active 1 state change, last state change 01:18:16 MAC address is 0007.b400.0101 (default) Owner ID is ca02.691f.001c Redirection enabled Preemption enabled, min delay 30 sec Active is local, weighting 100 Arp replies sent: 2 Forwarder 2 State is Listen MAC address is 0007.b400.0102 (learnt) Owner ID is ca13.ba41.001c Redirection enabled, 599.344 sec remaining (maximum 600 sec) Time to live: 14399.176 sec (maximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.2 (primary), weighting 100 (expires in 8.836 sec) | Ethernet1/0 - Group 1 State is Standby 4 state changes, last state change 01:15:57 Virtual IP address is 192.168.1.254 Hello time 3 sec, hold time 10 sec Next hello sent in 2.824 secs Redirect time 600 sec, forwarder time-out 14400 sec Authentication MD5, key-string "eportillo" Preemption enabled, min delay 0 sec Active is 192.168.1.1, priority 110 (expires in 7.356 sec) Standby is local Priority 100 (default) Weighting 100 (default 100), thresholds: lower 1, upper 100 Load balancing: round-robin Group members: ca02.691f.001c (192.168.1.1) authenticated ca13.ba41.001c (192.168.1.2) local There are 2 forwarders (1 active) Forwarder 1 State is Listen 2 state changes, last state change 01:16:17 MAC address is 0007.b400.0101 (learnt) Owner ID is ca02.691f.001c Time to live: 14399.140 sec (maximum 14400 sec) Preemption enabled, min delay 30 sec Active is 192.168.1.1 (primary), weighting 100 (expires in 8.600 sec) Forwarder 2 State is Active 1 state change, last state change 01:16:03 MAC address is 0007.b400.0102 (default) Owner ID is ca13.ba41.001c Preemption enabled, min delay 30 sec Active is local, weighting 100 |
show glbp brief muestra el grupo, prioridad, estado, dirección IP, el router activo y el router de promotor.
Soporte-AVG
Interface Grp Fwd Pri State Address Active router Standby route
Et1/0 1 - 110 Active 192.168.1.254 local 192.168.1.2
Et1/0 1 1 7 Active 0007.b400.0101 local -
Et1/0 1 2 7 Listen 0007.b400.0102 192.168.1.2 -
Soporte-AVF
Interface Grp Fwd Pri State Address Active router Standby route
Et1/0 1 - 100 Standby 192.168.1.254 192.168.1.1 local
Et1/0 1 1 7 Listen 0007.b400.0101 192.168.1.1 -
Et1/0 1 2 7 Active 0007.b400.0102 local -
Aplique las siguientes configuraciones para el router R1, además incluya el enrutamiento ospf multiarea, enrutamiento estático por defecto, una ruta de respaldo cambiando la distancia administrativa y propague la ruta estática.
R1 |
interface Ethernet1/1 ip address 10.10.10.9 255.255.255.252 no shutdown
interface Ethernet1/2 ip address 10.10.10.13 255.255.255.252 no shutdown
interface Ethernet1/3 ip address 168.243.1.9 255.255.255.252 no shutdown
interface Ethernet1/4 ip address 168.243.1.13 255.255.255.252 no shutdown
router ospf 1 network 10.10.10.8 0.0.0.3 area 0 network 10.10.10.12 0.0.0.3 area 0 default-information originate
ip route 0.0.0.0 0.0.0.0 168.243.1.10 ip route 0.0.0.0 0.0.0.0 168.243.1.14 5 |
Para finalizar asignar las direcciones IP a los router ISP1 y ISP2 según la topología además aplique el enrutamiento estático (puede agregar una ruta resumen).
ISP1 | ISP2 |
interface Ethernet1/2 ip address 168.243.1.2 255.255.255.252 no shutdown
interface Ethernet1/3 ip address 168.243.1.10 255.255.255.252 no shutdown
ip route 10.10.10.0 255.255.255.240 168.243.1.9 ip route 10.10.10.0 255.255.255.240 168.243.1.1 ip route 172.16.0.0 255.255.252.0 168.243.1.1 ip route 172.16.0.0 255.255.252.0 165.243.1.9 ip route 192.168.1.0 255.255.255.0 168.243.1.9 ip route 192.168.1.0 255.255.255.0 165.243.1.1 | interface Ethernet1/3 ip address 168.243.1.6 255.255.255.252 no shutdown
interface Ethernet1/4 ip address 168.243.1.14 255.255.255.252 no shutdown
ip route 10.10.10.0 255.255.255.240 168.243.1.13 ip route 10.10.10.0 255.255.255.240 168.243.1.5 ip route 172.16.0.0 255.255.252.0 168.243.1.13 ip route 172.16.0.0 255.255.252.0 165.243.1.5 ip route 192.168.1.0 255.255.255.0 168.243.1.13 ip route 192.168.1.0 255.255.255.0 165.243.1.5 |
Para los dispositivos finales de las VLANs Ventas, Financiera y RRHH está configurado DHCP, mientras que para los dispositivos DBA, SoporteTecnico y AdminSys deberá asignarse manualmente dentro del rango permitido de la dirección IP 192.168.1.0/24 (la ip 192.168.1.1 y 192.168.1.2 ya están utilizadas) y como puerta de enlace la ip 192.168.1.254.
Edwin Portillo / edpo90@gmail.com
