[FHRP] HSRP에 대해

First Hop Redundancy Protocol

게이트웨이 이중화 프로토콜이다.
동작 중인 게이트웨이가 Down됐을 때, 다른 장비가 게이트웨이 역할을 위임받는 것이다.

단, FHRP로 이중화하는 것보다 라우팅을 통해 이중화 구성하는 것이 더 효율적일 수 있으므로 잘 선택해서 사용해야한다.

FHRP에는 크게 3가지 프로토콜이 있다. 오늘은 HSRP에 대해 알아보자.
┌ ─ HSRP
├ ─ VRRP
└ ─ GLBP

  1. HSRP
  2. HSRP 패킷 구조
  3. HSRP 설정
  4. MHSRP

1. HSRP

Hot Standby Router Protocol

그림1. HSRP

Cisco 에서 개발한 게이트웨이 이중화 프로토콜이다.

1-1. HSRP 역할

HSRP를 사용하는 장비 중 하나가 Active 라우터, 나머지 하나는 Standby 라우터로 지정된다.

Active 라우터
게이트웨이 역할을 하는 장비. 내부 클라이언트/장비들은 가상 IP로 접근할 수 있다.

Standby 라우터
Active 라우터가 잘 동작하는 지 감시하는 장비. Active 라우터가 제대로 동작하지 않을 때, Active 라우터 역할을 이어 받는다.

1-2. HSRP 버전

HSRP 버전은 1, 2가 있다. 버전 1과 버전 2는 서로 호환할 수 없다.
인터페이스마다 각 다른 버전을 사용할 수 있다.

HSRP version 1
– 기본으로 동작하는 버전.
– 목적지 IP : 224.0.0.2 , Multicast , UDP 1985
– 기본 MAC : 0000.0c07.acNN
– HSRP 그룹번호 : 0 – 255
시스코 그룹 관리 프로토콜과 멀티캐스트 IP가 중복되어 같이 사용할 수 없다. MAC 뒤 2자리는 그룹 번호이다.

HSRP version 2
– 기본으로 동작하는 버전.
– 목적지 IP : 224.0.0.102 , Multicast , UDP 1985
– 기본 MAC : 0000.0c9f.fNNN
– HSRP 그룹번호 : 0 – 4095
version 1에서 시스코 그룹 관리 프로토콜 동시에 사용할 수 없었으나, version 2에서는 멀티캐스트 IP가 변경되어 동시에 할 수 있게 되었다.

1-3. HSRP 상태

① Initial State
아직 HSRP가 동작하지 않는 상태이다.

② Learn State
아직 가상 IP가 결정되지 않은 상태이다.
Active 라우터로부터 Hello Message를 대기한다.

③ Listen State
가상 IP가 결정된 상태이다.
Active / Standby 라우터로부터 Hello Message를 대기한다.

④ Speak State
주기적으로 Hello Message를 전송한다.
Active / Standby 라우터 선출에 참여한다.

⑤ Active State / Standby State

1-4. HSRP 인증

HSRP Spoofing(공격자의 장비가 HSRP Active 라우터가 되는 것)을 막기 위해 인증을 추가할 수 있다.

Plain-text 또는 MD5로 인증을 설정할 수 있다.


2. HSRP 패킷 구조

HSRP 패킷 형식
  • Version (1 Byte) : HSRP 버전.
  • Op Code (1 Byte) : 패킷 종류.
    • 0 – Hello packet
    • 1 – Coup packet
      자신이 Active 역할을 하고자할 때.
    • 2 – Resign packet
      Active 역할을 다른 라우터로 넘겨줄 때.
  • State (1 Byte) : HSRP 상태.
  • Hello Time (1 Byte) : Hello Message 주기 (초 단위)
  • Hold Time (1 Byte) : Hold Time 내 Hello Message를 수신하지 못하면, 해당 장비는 Down된 것으로 간주. (초 단위)
  • Priority (1 Byte) : Active / Standby 라우터를 선출할 때 사용. 높은 우선순위 장비가 Active로 선출.
  • Group (1 Byte) : HSRP 그룹 번호.
  • Authentication Data (8 Byte) : HSRP에서 사용되는 암호.
  • Virtual IP Address (4 Byte) : HSRP 그룹의 가상 IP 주소.

3. HSRP 설정

토폴로지1. HSRP 예시

기본설정 → HSRP 설정HSRP 설정 확인HSRP 인증 설정

[기본]
– Access 포트 설정
SW1 fa2/1
SW2 fa2/3
SW3 fa2/0, fa2/1, fa2/3
SW4 fa2/1, fa2/10, fa2/11

– IP 설정
각 장비의 인터페이스
(PC GW는 Virtual IP로 설정)

– OSPF 라우팅
SW1 fa0/0
SW2 fa0/0
R1 fa0/0, fa1/0, loopback 0

[HSRP 설정]

SW1(config)# int vlan 120
SW1(config-if)# standby 1 ip 10.10.100.254
SW1(config-if)# standby 1 track f0/0
SW1(config-if)# standby 1 priority 105
SW1(config-if)# standby 1 preempt delay minimum 180


SW2(config)# int vlan 120
SW2(config-if)# standby 1 ip 10.10.100.254
SW2(config-if)# standby 1 preempt

3: 버전을 별도로 설정하지 않으면, Version 1이므로 그룹번호는 0 -255 사이 수를 사용할 수 있다.
4: f0/0 이 Down될 경우 우선순위를 10 낮춘다.
5: 기본 Priority는 100이다. SW1을 Active 라우터로 설정하기 위해 105로 설정했다. 또한, 6번째 줄 설정에 의해 f0/0이 Down되면, 우선순위 10이 감소되어 95가 된다. 이 때, Standby 라우터는 계속 우선순위가 100이므로 Standby 라우터가 Active로 동작하게 되는 것이다. 따라서 우선순위는 101-109 사이의 값을 사용하는 것이 편리하다고 한다.
6: Active 라우터가 Standby 라우터로 변경되었을 때, 다시 Active 라우터 역할로 수행하게 한다. 기본적으로는 인터페이스가 살아났을 때 바로 Active 역할을 수행하지만, 라우팅 테이블이 완성되지 못해 특정 목적지로 라우팅이 안될 수 있다. 그래서 인터페이스가 다시 활성화되어도 180초 후 Active 라우터로 동작하게끔 설정한다.

[HSRP 확인]
– show standby brief

SW1은 Active , SW2는 Standby 상태인 것을 확인할 수 있다.

– show standby

그룹 1 , Virtual IP , 상대 HSRP 라우터에 대한 정보 , 우선순위를 확인할 수 있다.

[HSRP 인증 설정]

– Plain-text 인증

SW1(config)# int vlan 120
SW1(config-if)# standby 1 authentication text <WORD>


SW2(config)# int vlan 120
SW2(config-if)# standby 1 authentication text <WORD>

– MD5 인증 (Key-String 사용)

SW1(config-if)# standby 1 authentication md5 key-string <WORD>

SW2(config-if)# standby 1 authentication md5 key-string <WORD>

– MD5 인증 (Key-Chain 사용)

SW2(config)# key chain <NAME>
SW2(config-keychain)# key [0-2147483647]
SW2(config-keychain-key)# key-string <WORD>
SW2(config-keychain-key)# exit
SW2(config-keychain)# exit
SW2(config)#
SW2(config)# int vlan 120
SW2(config-if)# standby 1 authentication md5 key-chain <NAME>


SW1(config)# key chain <NAME>
SW1(config-keychain)# key [0-2147483647]
SW1(config-keychain-key)# key-string <WORD>
SW1(config-keychain-key)# exit
SW1(config-keychain)# exit
SW1(config)#
SW1(config)# int vlan 120
SW1(config-if)# standby 1 authentication md5 key-chain <NAME>


4. MHSRP

Multiple HSRP

HSRP = Interface 1 개 — HSRP Group 1 개
MHSRP = Interface 1 개 — HSRP Group 여러 개

기존 HSRP를 사용하게 되면, Active 라우터로만 라우팅이 된다.
이러한 문제를 해결하고자 MHSRP를 사용한다.

토폴로지2. MHSRP 예시

SW1과 SW2를 HSRP 두 그룹으로 나누고,
각각 10.10.100.253 / 10.10.100.254를 할당한다.
PC의 GW도 각각 지정한다.
이렇게 MHSRP를 사용할 수 있다.

[MHSRP 설정]

SW1(config)# int vlan 120
SW1(config-if)# standby 1 ip 10.10.100.253
SW1(config-if)# standby 1 priority 105
SW1(config-if)# standby 1 preempt delay minimum 180
SW1(config-if)# standby 1 track f0/0
SW1(config-if)#
SW1(config-if)# standby 2 ip 10.10.100.254
SW1(config-if)# standby 2 preempt


SW2(config)# int vlan 120
SW2(config-if)# standby 1 ip 10.10.100.253
SW2(config-if)# standby 1 preempt
SW2(config-if)#
SW2(config-if)# standby 2 ip 10.10.100.254
SW2(config-if)# standby 2 priority 105
SW2(config-if)# standby 2 preempt delay minimum 180
SW2(config-if)# standby 2 track f0/0

답글 남기기

이메일 주소는 공개되지 않습니다.