20T52 Konfiguracja Cisco HSRP

Zabezpieczenie Bramy (GW) Przy 2 Routerach.

Link do artykułu.

0:00 Powitanie

0:11 Scenariusz

2:20 Konfiguracja

3:10 Konfiguracja Router 9

3:55 Konfiguracja Router 10

6:47 Konfiguracja na pozostałych dwóch routerach

7:50 Konfiguracja na Routerze Stand By

8:39 Konfiguracja wirtualnego adresu IP

11:09 Przypisanie Adresu IP dla Routera Stand By

12:10 Symulacja Awarii Routera

14:55 Podsumowanie

Transkrypcja:

Cześć. Interesuje Cię jak skonfigurować protokół HSRP? Jeżeli tak, to właśnie dzisiaj o tym protokole będę opowiadał. Najpierw scenariusz.

Protokół HSRP jak i odpowiednik zestandaryzowany, czyli VRRP odpowiada za redundancję bramy, czyli gatewaya. Wyobraź sobie, że ja jestem hostem i mam jedną bramę, na razie jedną. I wiadomo, że dostaję, z DHCP najczęściej, adres, udaję się do tej bramy i wychodzę do świata. Tylko co się stanie, jeżeli ta brama ulegnie uszkodzeniu. Czyli jest awaria i nie ma komunikacji ze światem. I na taki wypadek tworzy się dwie bramy. Czyli mam dwie bramy, ale z punktu widzenia urządzenia końcowego, takiego mnie, komputera, ja muszę mieć jedną bramę. Nie mogę mieć jednocześnie dwóch wyjść do świata, bo najczęściej ja, jako urządzenie końcowe sobie z tym nie poradzę. Więc jeżeli mamy te dwie bramy to ustawiamy jedną, która będzie utrzymywała wirtualny adres Mac i wirtualny adres IP. Załóżmy, że ta brama będzie podstawową.

Teraz, jeżeli ustawiamy drugą bramę, to ta brama zapasowa, ona odpytuje podstawową cały czas komunikatami 'hello, czy jesteś?”.

Jeżeli te komunikaty powracają, czyli potwierdza podstawowy gateway, że jest, to ta brama zapasowa nic więcej nie robi, czeka po prostu. Jeżeli ulegnie awarii podstawowa brama, to brama zapasowa przestaje dostawać te hardbity, czyli te pakiety kontrolne. W tym momencie zaczyna rozgłaszać ten adres wirtualny IP i Mac adres dla hostów pozostałych. Nie zmieniają się adresy IP z DHCP, tylko brama zaczyna odpowiadać na innym urządzeniu. Jeżeli podstawowa brama wróci, to w scenariuszu, który dzisiaj będziesz oglądał jest ustawiona funkcjonalność preemptive, która powoduje, że z powrotem podstawowa brama będzie odpowiadała hostom. Czyli mamy pierwotny scenariusz podstawowy. No dobra, jak to skonfigurować. Już pokazuję.

Tą konfigurację przygotował nam Mateusz, więc dziękujemy Mateuszowi za to i sprawdzamy jak skonfigurować całą topologię.

Zaczynamy od dwóch routerów. Czyli spójrz, mamy tutaj router 9 i to będzie router dla nas podstawowy, ten aktywny i po prawej stronie mamy router 10, który będzie dla nas stand-by’em, czyli tym zapasowym routerem i będzie zapasowym gatewayem.

Więc rozpoczynamy tą konfigurację. Oczywiście od podstawowej konfiguracji routera, czyli nazywamy najpierw ten router, hostname. Ten będzie, przypominam, mówimy o routerze 9 teraz, konfiguruje Mateusz router 9 i on będzie miał nazwę RouterActive. Jak widzisz też tutaj po lewej stronie na rysunku, są czerwone oznaczenia linków, czyli one nie działają w tym momencie prawidłowo. Dobrze, patrzymy co tu jest dalej przez Mateusza przypisywane. Widzimy interfejs Gigabit 0/0/0 i adres IP na tym interfejsie. 0/0/0 to jest tutaj interfejs i adres przypisywany, który tu widzimy na schemacie.

Kolejny interfejs Gigabit 0/0/1 i adres przypisywany, tak jak jest na tym schemacie. Widać, że jak zostały zmienione te adresy, kolory interfejsów tutaj się zmieniły na zielone. No i teraz Mateusz przechodzi do konfiguracji routera 10, tego po prawej stronie, który będzie stand-by’em. Czyli najpierw interfejs 0/0/0. Tutaj przypisuje adres IP, widzimy adres IP powinien być o tak, jak tu Mateusz teraz ustawił, z końcówką 1.3. Tak, patrzymy 1.3 maska 24 bity. Ten interfejs jest ustawiony na shutdown, czyli podniesienie interfejsu. Widać, że interfejs się podniósł i kolejny interfejs G 0/0/1, adres IP zgodnie z rysunkiem 11.11.11.2 i 24 bity maska. Podniesienie interfejsu. Widzimy, że interfejsy zamieniły się na zielone. Więc wszystko jest zgodnie z oczekiwaniem.

Tu jeszcze na chwilę się zatrzymam. Zobacz, że w tej topologii mamy pecety, 2 pecety, pecet 6, pecet 7. Podłączone do przełączników i każdy z przełączników do swojego routera. Teraz wracamy do konfiguracji routera, tutaj oznaczonego jako ISP, czyli router teraz będzie konfigurowany między innymi ten, który symuluje nam operatora. No i zmienia tutaj Mateusz nazwy routerów Active i Stand-by. Tak, żebyś bardziej wiedział, który jaką rolę będzie pełnił.

Teraz konfiguracja routera ISP, czyli tego głównego na górze. On dostarcza nam Internet w tym scenariuszu i podnosimy interfejs 0/0/0. Adres IP, który jest tutaj z boku wypisany 11.11.11 .3, taki adres zostanie przypisany. Teraz Mateusz konfiguruje router ten ISP, do roli routera w OSPF-ie. Czyli numer instancji 1.

Sieć jaka będzie rozgłaszana na tym routerze, cofnę się jeszcze na chwilę. Sieć jaka będzie rozgłaszana, to jest router OSPF i numer inny tego procesu, network 11.11.11 z maską 24 bity a w zasadzie z whitecardem tutaj 24 bity. Oznacza, że router powiąże ten proces OSPF z interfejsem, który jest powiązany z tą siecią, czyli w naszym przypadku to będzie interfejs G0/0/0, bo taki adres z tej sieci jest przypisany do tego interfejsu. Czyli w ten sposób konfigurujemy na tym routerze sieć OSPF, przypisujemy do strefy w tym przypadku area 0. Podobną konfigurację OSPF-a wykonuje Mateusz na pozostałych dwóch routerach, po to, żeby wymieniać informacje dla routera ISP i ewentualnych routerów, które są za nim schowane, czyli tu na górze jakby tego rysunku. O tu, z tej strony, informacje o tym, jakie sieci są po stronie RouterStandby i RouterActive z tej strony. Po to, żeby ten router ISP wiedział, z dwóch stron, jakie sieci ma dostępne, po to jest konfiguracja tego OSPF-a. Co więcej, zobacz, że jeżeli chodzi o RouterActive, to mamy tutaj tą sieć, którą widziałeś wcześniej na routerze ISP, czyli 11.11.11, ale oprócz tego mamy sieć 192.168.1.0 , czyli żeby nam sieć na interfejsie RouterActive G0/0/0, żeby ta sieć się rozgłaszała, to musimy dodać sieć, która jest związana z adresacją, przypisaną do tego interfejsu. Czyli mamy już OSPF-a na roterze Active dodanego.

Teraz konfiguracja na routerze Standby. Adekwatna konfiguracja OSPF-a w procesie pierwszym i dodanie dwóch sieci, tak żeby można było rozgłaszać obie sieci i komunikować OSPF-a dla pozostałych routerów. Wszystko zostało skonfigurowane.

Widać, że pojawił się komunikat na routerze, że zostały wykryte informacje o sąsiadach, proces pierwszy i informacje, że stan tego procesu OSPF-a zmienił się z loading na full, czyli jest ewidentnie komunikacja w OSPF-ie z sąsiadami. Podobnie dla drugiej sieci też widać, że jest komunikacja. Na poziomie OSPF-a.

Teraz Mateusz przechodzi do konfiguracji adresu IP. Wirtualnego adresu IP. Czyli tutaj widzisz ten wirtualny adres: 192.168.1.2 z maską 24 bity. To będzie wirtualny adres, który będzie przedstawiany przez urządzenia aktywne jako gateway dla wszystkich urządzeń, które są po stronie LAN-u, czyli tych urządzeń z pecetami. I taki adres tutaj będzie do konfiguracji na routerze Active i na routerze Standby. Z różnymi priorytetami oczywiście. Tutaj przedstawia Mateusz priorytet 150 na routerze Active. I widać, że stan zmienił się na Standby, który jest początkowy do stanu Active dla tego wirtualnego adresu IP. Tu oczywiście z tym wirtualnym adresem jest również rozgłaszany wirtualny adres Mac. On jest domyślny, jego nie trzeba konfigurować. Natomiast jakbyś popatrzył na stronę pecetów, to tutaj się pojawi inny Mac adres dla tej komunikacji niż Mac adres związany z fizycznymi mac adresami dla tych portów, które są do routera Active i do routera Standby na interfejsach G0/0/0.

Co tu więcej jest konfigurowane. Jest dodatkowa konfiguracja trucka, czyli dodatkowego badania na interfejsie G0/0/1, czyli jest to interfejs uplinkowy. Po to, że jeżeli będzie awaria nie urządzenia a będzie awaria tego linku uplinkowego to, żeby została podjęta akcja wyłączenie interfejsu od strony LAN-u. Po to, że wtedy się przełączy ten ruch na gatewaya na routerze Standby. Jeżeli tego nie zrobimy, urządzenie będzie działało, będzie head bit szedł do drugiego urządzenia.

To mimo, że uplink będzie uszkodzony, to i tak ten router będzie dostawał te informacje jako gateway i będzie próbował je gdzieś wysłać. W zależności od tego czy będzie miał tą trasę czy nie, to te pakiety będą tracone lub nie. Więc, żeby uniknąć takiej sytuacji niekontrolowanej, konfiguruje się track, czyli taki pomiar i jeżeli interfejs G0/0/1 będzie uszkodzony, wtedy interfejs G0/0/0 będzie również wyłączony na tym routerze. I to jest właśnie konfiguracja, którą tutaj Mateusz teraz wykonuje.

Teraz drugi router. Czyli dla routera Standby będzie wykonany podobny proces, czyli przypisanie standby’owego adresu IP i niższy priorytet. Jeżeli pamiętasz, tam na Active był priorytet 150 na Stanby’u jest priorytet 100. Ten, który ma wyższy priorytet, ten staje się aktywnym routerem. Teraz przypisanie adresu IP na stacji końcowej, na PC 6 z odpowiedniej podsieci, gateway wirtualny jak widziałeś, czyli z końcówką 2. No i test. Można z peceta zapingować adres, który jest na WAN-ie, czyli tutaj jest adres z trójką, to jest adres routera ISP i widać, że on odpowiada.

No i przechodzimy do testu, czyli w tym momencie Mateusz wyłączy interfejs G0/0/0 na routerze Active i będzie symulował awarię tego routera. Widać, że linki zostały wyłączone od strony LAN-u na tym routerze. No i teraz ping. I widać, że jest timeout. Czyli nasza konfiguracja jeszcze nie działa prawidłowo.

Dlaczego nie działa prawidłowo? Czy zwróciłeś uwagę już na tą sytuację? Jeżeli nie, to już za chwilę będzie odpowiedź. No więc odpowiedź jest taka, że brakowało wcześniej w topologii linka LAN-owego, który łączyłby ten pecet 6, który był w poprzednim rysunku z routerem Standby, czyli ten HSRP był właściwie skonfigurowany, wirtualny router był skonfigurowany, hard bity pomiędzy tymi urządzeniami jak najbardziej funkcjonowały, ale nie było połączenia LAN-em. Czyli jeżeli nie zrobisz redundancji w połączeniach LAN-owych, no to oczywiście ten mechanizm nie ma szans zadziałać.

W tym schemacie, który teraz widzisz zostało to poprawione, czyli jest dodatkowy interfejs FastEthernet pomiędzy 0/2 na jednym switchu i 0/2 na drugim switchu. No i teraz podobny test możemy wykonać, który był wcześniej wykonywany, tu jest jeszcze jedna zmiana. Zauważ, że został wyłączony uplink, czyli ten link, który jest pomiędzy interfejsem G0/0/1 a routerem ISP przez switch pośredniczący.

Teraz jest dokonfigurowanie mechanizmu trackera. Czyli mamy położony uplinkowy interfejs, ale widać że od strony LAN-u ten router nadal ma aktywny interfejs i widzimy, że mimo, że nie ma przejścia przez router active, to komunikacja z tym uplinkowym routerem ISP do adresu 11.11.11.3, to jest ten adres tutaj na górze. To ruch widać, że z tego peceta idzie przez switch 13, switch 14, RouterStandby, switch na FastEthernet 1/0/1 i RouterISP. I widać, że komunikacja z tego peceta 8, tutaj mamy w tym przykładzie pecet 8 jest jak najbardziej prawidłowa.

Tracker, który był skonfigurowany powiązał wyłączenie tego ruchu na tym LAN-owym porcie z awarią uplinkowego połączenia. No i to jest cała konfiguracja HSRP. Jeżeli jesteś ciekaw więcej szczegółów na temat działania tego protokołu i architektury, to opowiem o tym więcej w moim podcaście.

Zapraszam Cię do posłuchania.

Jeżeli masz jakieś inne pytania to oczywiście napisz w komentarzu. Daj lajka, jeżeli uważasz, że jest w porządku lub jakikolwiek inny sygnał swojego odczucia na temat tego odcinka. Do usłyszenia już za tydzień.