CISCO HSRP VRRP GLBP

HSRP
HSRP est un protocole Cisco permettant d’assurer la haute disponibilité de la passerelle d’un
réseau. Ce protocole peut être mis en place sur un routeur ou un switch de niveau 3. Le but est
qu’une éventuelle panne du routeur ne perturbe pas le routage.
1) Principe de fonctionnement
Le principe d’HSRP est relativement simple. Nous avons un groupe de routeur (en général 2),
dont l’un d’eux est le routeur Actif. Le routeur de secours sera en Standby. Les autres en
mode Listen.
Le routeur actif assure le rôle de passerelle par défaut pour le sous réseau. S’il vient à tomber
en panne, le routeur standby prendra le relai. Puis un des routeurs Listen deviendra le nouveau
Standby.
Nous retrouverons un réseau de ce type :
S1 et S2 sont des switches de niveau 3. Si S1 est le switch actif, les PC utiliseront S1 comme
Gateway. Si S1 vient à tomber en panne, S2 prendra le relai, et les PC l’utiliseront comme
Gateway.
Le groupe de routeur est appelé Standby Group. Le routeur actif est celui qui a la priorité la
plus haute. Le routeur standby est celui ayant la deuxième meilleure priorité. Les autres
routeurs sont en mode Listen.
La priorité va de 0 à 255. En cas d’égalité sur la priorité, c’est le routeur avec la plus haute IP
qui devient actif. Tous ces routeurs vont former un groupe. Au sein de ce groupe, le routeur
actif envoie des paquets Hello toutes les 3 secondes. Après 10 secondes sans Hello du routeur
actif, il est considéré comme Dead.

C’est alors le routeur standby qui prend le relai, et deviendra Actif. Le Hold Timer est de 10
secondes, soit 3 * le Hello Timer + 1 seconde. La seconde bonus permet de s’assurer que 3
Hello Timers complets seront attendus avant de mener une action.
Une IP virtuelle sera associée au groupe, et c’est le routeur actif qui va répondre sur cette IP.
Cette IP virtuelle est celle qui sera utilisée par les hôtes comme IP de Default Gateway. Pour
que les paquets soient envoyés au bon routeur, une adresse Mac virtuelle sera aussi créée. Le
routeur actif va répondre aux requêtes ARP sur l’IP virtuelle, par cette adresse Mac virtuelle.
En version 1, l’adresse de multicast 224.0.0.2 est utilisée par les routeurs pour discuter. En
version 2, l’IP 224.0.0.102 est utilisée.
L’adresse Mac utilisée sera de ce type : 00:00:0c:07:ac:XX avec XX qui correspond à l’ID
du groupe de routeur, en hexadécimal.
Etant donné que l’adresse IP et l’adresse Mac sont virtuelles, et qu’elle ne changement pas
lorsqu’un routeur Standby prend le relai, le client n’a pas besoin de changer sa configuration.
Hormis une petite interruption de service, les clients ne remarqueront pas la panne du routeur
Actif. Quand un routeur Standby prend le relai sur le routeur Actif, il envoie une requête
Gratuitous afin de faire savoir aux switches que c’est lui possède l’adresse Mac virtuelle.
Un paquet HSRP se compose de la sorte :
Le champ version indique la version d’HSRP.

Le champ Op Code indique le type de message :
0 – Hello : envoyé par les routeurs Actif et Standby
1 – Coup : envoyé par un routeur qui veut devenir actif
2 – Resign : envoyé par un routeur qui ne veut plus être le routeur actif
Le champ State indique l’état du routeur :
0 – Initial : HSRP ne fonctionne pas
1 – Learn : IP virtuelle non déterminée et aucun Hello reçu du Active router
2 – Listen : IP virtuelle déterminée. Le routeur n’est ni actif ni standby. Il
écoute les Hello.
4 – Speak : Envoie périodique de Hello. Participe à l’élection du routeur actif
8 – Standby : Le routeur est prêt à devenir actif. Il ne peut y avoir qu’un
routeur standby par groupe. Des Hello sont envoyés
16 – Active : Le routeur assure le rôle de Gateway. Un seul routeur actif par
groupe. Des Hello sont envoyés
Comme il ne peut y avoir qu’un routeur actif et qu’un standby, si il y a plus de 2 routeurs, les
excédents seront en mode Listen (jusqu’à la perte de l’actif ou du standby).
Le champ Hellotime indique l’intervalle de temps entre les Hello. Le champ n’est
utile que dans les messages Hello.
Le champ Holdtime indique le temps max après lequel le routeur est considéré
comme Dead. Il est d’au moins trois fois le Hellotime.
Le champ Priority indique la priorité du routeur. En cas d’égalité, c’est le routeur
avec la plus haute IP qui gagne.
Le champ Group indique le numéro du Standby Group.
Le champ Authentication Data sert à l’authentification.
Le champ Virtual IP Address indique l’IP virtuelle du groupe
2) Configuration
Après cet aperçu concis mais complet, voyons ensemble la configuration d’HSRP.
Nous nous baserons sur la topologie suivante :

La configuration de base à mettre en place est la suivante :
 Création des VLAN
 Port Access pour les PC
 Trunk entre les switchs
Switch 1 et Switch 2 vont être nos deux switchs L3 qui feront partie du Standby Group. Étant
donné que nous avons des liens redondants, Spanning Tree va en bloquer certains. Pour que le
lien vers la Gateway soit optimal, nous devons accorder le processus Spanning Tree avec
HSRP.
S1 sera le switch Actif en HSRP, et il sera donc aussi le Root Bridge en Spanning Tree.
S2 sera le Switch secondaire en HSRP, il sera donc le Backup Root.
Appliquons déjà la configuration Spanning Tree :
Switch-1(config)#spanning-tree vlan 10 root primary
Switch-2(config)#spanning-tree vlan 10 root secondary
A noter qu’il sera préférable d’utiliser Rapid Spanning Tree, pour des raisons évidentes de
vitesse de convergence. Vérifions le résultat :
Passons à présent à la configuration d’HSRP.
Premièrement, nous devons créer des interfaces virtuelles, et y assigner une IP. Il s’agit là
d’une configuration classique pour du routage. Nous commencerons par le VLAN 10 :
Switch-1(config)#interface vlan 10
Switch-1(config-if)#ip address 10.0.10.2 255.255.255.0
Pour la configuration d’HSRP, nous devons choisir une IP virtuelle, et une priorité :
Switch-1(config-if)#standby 1 ip 10.0.10.1
Switch-1(config-if)#standby 1 priority 150
Le numéro 1 correspond au numéro du groupe HSRP (Standby Group).

La priorité de base est de 100. Avec une priorité de 150, S1 deviendra le routeur actif. Nous
devons aussi activer l’option preempt.
Cette option permet au switch actif de reprendre son rôle après une panne. Le routeur Standby
qui remplaçait le routeur actif lors d’une panne de ce dernier, retournera en mode standby si le
routeur actif revient en ligne.
Switch-1(config-if)#standby 1 preempt
De même pour Switch 2 :
La priorité de S2 restera à 100. Voici le résultat :
Faisons maintenant quelques tests ! Nous allons commencer par faire des Ping sur l’IP de la
Gateway, et procéder à une coupure.
Déjà, la passerelle est joignable.
Nous allons maintenant lancer une série de ping, puis nous allons couper les interfaces de S1 :

Switch-1(config)#interface range fastEthernet 0/1 - 2
Switch-1(config-if-range)#shutdown
Vérifions que c’est bien S2 qui est la passerelle :
En effet, une connexion SSH sur l’IP virtuelle, nous amène sur S2.
Switch-1(config-if-range)#no shutdown
Avant de réactiver les interfaces, j’ai lancé un Ping continu vers la Gateway.
Au moment où S1 est revenu en ligne, une autre (courte) interruption de service a eu lieu :

Grâce à l’option Preempt, S1 est redevenu actif, et S2 standby. Sauf que cela cause une courte
interruption de service. Dans notre topologie, nous avons deux VLAN. L’idée est donc
d’effectuer le routage entre ces deux VLAN. De plus, pour répartir la charge, S1 sera la
Gateway pour le VLAN 10, et S2 la Gateway pour le vlan 20. Commençons par adapter la
configuration STP, pour que S1 et S2 soient Root Bridge de leur propre VLAN :
Configurons maintenant HSRP. Nous allons créer un deuxième Standby Group, dans lequel
S2 sera le routeur actif.
Switch-2(config-if)#standby 2 priority 150
La priorité de 150 fera de S2 le routeur actif. Vérifions le résultat :
Tout semble en ordre. N’oublions pas d’activer le routage :
Switch-1(config)#ip routing

Switch-2(config)#ip routing
Voyons le résultat :
De même pour le PC 2 :
Faisons le test en coupant S1 :
(La commande est entrée au moment de la coupure sur la capture d’écran suivante)
Switch-1(config-if-range)#shutdown

Parfait, la bascule se fait comme il faut ! Afin de rendre la bascule plus rapide, nous pouvons
modifier les timers HSRP :
Switch-1(config-if)#standby 1 timers msec 150 msec 600
150 est le Hello timer, et 600 le Hold Timer
La manipulation est à faire sur S1 et S2 (pour les VLAN 10 et 20 en faisant attention au
numéro de Standby Group) Voici le résultat avec un Timeout de 100ms pour les ping :
La bascule est bien plus rapide.
Il est aussi possible de mettre en place de l’authentification :
Switch-1(config-if)#standby 1 authentication md5 key-string NetworkLab
La manipulation est à faire sur S1 et S2 (pour les VLAN 10 et 20 en faisant attention au
numéro de Standby Group).

VRRP
VRRP est très semblable à HSRP, sauf qu’il est standard. Il y a quelques différences mineures, tels que les
Timers qui ont été réduits.
VRRP étant très semblable à HSRP, la partie théorique de cet article sera relativement courte. Pour bien
comprendre ce protocole,
Tout d’abord, rappelons le principe des protocoles VRRP et HSRP. Ces deux protocoles ont pour but de
redonder la Gateway d’un sous réseau. Deux routeurs (ou plus) fonctionneront ensemble.L’un sera le
routeur principal, qui sera utilisé pour router le trafic. Le deuxième (routeur Standby) sera là pour prendre
le relai en cas de panne du premier.
En VRRP, le groupe de routeur est appelé le VRRP group.
Les routeurs peuvent avoir 2 rôles :
 Master (Actif en HSRP)
 Backup (Standby en HSRP)
Contrairement à HSRP, plusieurs routeurs peuvent avoir le rôle Backup.
Concernant la priorité, elle est de 100 par défaut. Quand un routeur devient Master, il annonce une priorité
de 255. La priorité 0 est réservée au Master pour annoncer qu’il ne participe plus au groupe VRRP. Cela
permet aux routeurs Backup de prendre le relai plus rapidement. En cas d’égalité sur la priorité, c’est le
routeur avec la plus haute IP qui devient Master.
Les messages VRRP sont envoyés sur l’IP de multicast 224.0.0.18.
L’adresse Mac virtuelle de la passerelle est 00-00-5E-00-01-XX, où XX correspond au numéro du VRRP
Group (VRID – Virtual Routeur Identifier). Concernant les Timers, nous en retrouvons 3 :

Le Skew Timer à le même rôle que la seconde bonus du Timer par défaut en HSRP. Il est exprimé en
millisecondes. Seul le Hello Timer peut être changé. Le Dead Timer changera en conséquence.
Il est possible de configurer les routeurs Backup pour qu’ils apprennent le Timer du Master. Par contre,
cela ne fonctionne que si le Timer est supérieur ou égal 1s.
Autre changement, en VRRP l’IP virtuelle peut être configurée directement sur l’interface du routeur
Master. En HSRP il faut 3 IP : une pour R1, une pour R2, et une pour l’IP virtuelle. EN VRRP il n’en faut
que 2 : une pour le master (qui sera l’IP virtuelle) et une pour R2. Néanmoins, nous pouvons aussi utiliser 3
IP, à la manière d’HSRP.
2) Configuration
Le protocole VRRP n’étant pas disponible sur mes switchs de niveau 3, la démonstration sera faite sur
GNS3. Le but sera surtout de montrer les commandes, qui ne changent que très peu par rapport à HSRP.
Pour une démonstration plus complète et sur une topologie plus adaptée à une utilisation réelle, je vous
invite à lire l’article sur HSRP.
De même, pour plus d’explication sur les configurations, je vous renvoie à ce même article. Vous
remarquerez que la configuration est sensiblement la même.
Voici donc la topologie :

Le deux PC sont en fait des routeurs (pour plus de simplicité).
Le switch a été configuré comme ceci :

La configuration va se faire sur des sous interfaces :
R1(config)#interface fastEthernet 0/0
R1(config-if)#no shutdown
R1(config)#interface fastEthernet 0/0.10
R1(config-subif)#encapsulation dot1Q 10
R1(config-subif)#ip address 10.0.10.2 255.255.255.0
R1(config-subif)#vrrp 1 ip 10.0.10.1
R1(config-subif)#vrrp 1 priority 150
R1(config-subif)#vrrp 1 preempt
De même pour R2 :
Voici le résultat :
R1 est bien le Master.
Vous pouvez constater que le Down Timer est de 3.414 Pour rappel, le Down Timer correspond à 3 fois le
Hello, plus le Skeew Timer. Soit dans le cas présent : 3 + Skeew Timer Le Skeew Timer se calcul comme
ceci : Avec une priorité de 150, R1 a un Skeew Timer de 0.414 Le Down Timer est donc bien de 3.414

Appliquons à présent la configuration adéquate pour le VLAN 20 :
R2(config-subif)#vrrp 2 priority 150
Passons aux tests.
Les 2 PC sont en fait des routeurs, avec une configuration simple :
PC1 ip address 10.0.10.5 255.255.255.0
default-gateway 10.0.10.1

PC2(config-if)#ip address 10.0.20.5 255.255.255.0
default-gateway 10.0.10.2
Faisons un premier Ping pour tester la connectivité :
Faisons à présent un test de bascule. Nous allons lancer un ping de PC 1 vers PC 2, puis nous couperons
l’interface de R1. Voici ce que cela donne :
La bascule se fait comme prévue. Nous utilisons bien R2 come passerelle :
De même que pour HSRP, nous pouvons modifier les Timers :
R1(config-subif)#vrrp 1 timers advertise msec 150
Un routeur Backup peut être configuré pour apprendre le Timer du Master, mais cela ne fonctionne qu’avec
un Timer supérieur ou égal à 1 :
R2(config-subif)#vrrp 1 timers learn
3) Conclusion

Nous voici arrivés au terme de cette présentation du protocole VRRP. Comme vous avez pu le constater,
son fonctionnement est très semblable à celui d’HSRP. Il y a quelques rares différences, mais le
fonctionnement reste le même.
GLBP
Le but est toujours le même, créer de la redondance sur la Gateway, le tout avec au moins deux routeurs.
Sauf que GLBP amène une nouvelle fonctionnalité : le Load Ballancing. Il sera possible de répartir la
charge entre nos différents routeurs. Voyons ensemble comment fonctionne le protocole GLBP.
Avant toute chose, il est bon de noter que ce protocole est propriétaire Cisco.
Comme nous l’avons dit, l’avantage de GLBP est qu’il est capable de faire du Load Ballancing.
Prenons la topologie suivante :

R1 et R2 sont tous les deux des routeurs, utilisant GLBP. Nous avons donc deux routeurs qui peuvent
assurer le rôle de Gateway. Plutôt que l’un soit en Standby, les deux seront utilisés.
La charge sera donc répartie entre R1 et R2. Mais comment la charge est-elle répartie ?
Il ne s’agit pas de vrai Load Ballancing, avec un paquet qui va à R1, et le suivant à R2, etc…
Ce qui se passe, c’est que PC 1 va utiliser R1 comme Gateway, et PC 2 va utiliser R2. En cas de panne, ils
utiliseront le routeur restant.
En GLBP nous avons une IP virtuelle, et plusieurs adresses MAC virtuelles (une par routeur).
Le tour de magie s’opère grâce aux requêtes ARP.
Voici ce qui va se passer :
R1 sera un AVG (le maitre) et R2 un AVF (esclave)
PC1 va apprendre l’adresse IP de la Gateway
Il va ensuite chercher l’adresse MAC associée en envoyant une requête ARP
R1 va recevoir la requête puis il va répondre avec son adresse MAC virtuelle
Ensuite, PC2 va faire de même, en envoyant une requête ARP pour la même IP
R1 va recevoir la requête, puis va répondre avec l’adresse MAC virtuelle de R2
Au final, PC1 et PC2 vont utiliser la même IP de Gateway, mais ils n’auront pas la même adresse MAC
associée. Ce qui fait qu’ils n’enverront pas les paquets vers le même routeur. Les clients enverront donc
toujours le trafic au même routeur. Il ne s’agit pas de vrai Load Ballancing, mais au moins, nos deux
routeurs sont utilisés.
Comme nous l’avons dit, en GLBP il y a une IP virtuelle pour le groupe, et une adresse MAC par routeur.
L’adresse MAC se compose comme ceci :
XXX correspond au numéro du groupe. Il va de 1 à 1023.
YY correspond au numéro du routeur dans le group.

L’adresse de Multicast utilisée est la suivante : 224.0.0.102.
En GLBP les routeurs peuvent avoir trois rôles :
 AVG – Active Virtual Gateway
 Standby AVG
 AVF – Active Virtual Forwarders
L’AVG est le routeur maitre. C’est lui qui se charge de répondre aux requêtes ARP.
L’AVG est le routeur avec la plus haute priorité, ou en cas d’égalité, celui avec la plus haute IP.
La priorité de base est 100.
L’AVG doit donc répondre aux requêtes ARP, de manière à répartir la charge entre les AVF.
Le Standby AVG est le deuxième routeur avec la plus haute priorité. Il prendra la place de l’AVG
en cas de panne de celui-ci.
Les AVF sont les routeurs qui routent le trafic. Un AVG est aussi AVF.
La charge est donc répartie entre les AVF.
Il peut y avoir maximum 4 AVF par group.
En cas de panne d’un AVF, les AVF restants vont entrer en compétition pour le remplacer. L’AVF qui
gagne aura pour rôle de répondre aux messages de l’adresse MAC virtuelle de l’AVF en panne, en plus des
messages sur sa propre adresse MAC. L’AVF gagnant est celui avec le plus haute poids.
Il existe trois méthodes pour répartir la charge en GLBP :
Round Robin
Weighted
Host-Dependent
En Round Robin, l’AVG répond aux requêtes ARP en utilisant à tour de rôle les adresses MAC des AVF.
Exemple pour trois AVF :
Requête ARP 1 : réponse avec l’adresse MAC de l’AVF 1

Etc…
En Weighted, un poids est attribué à chaque AVF. Le poids sera pris en compte dans la réparation de
charge : Exemple pour 2 AVF, l’AVF 1 avec un poids de 200, et l’AVF 2 avec un poids de 100 :
Etc…
Enfin, en Host-Dependent, la même adresse MAC est toujours attribuée au même client.
Si un client envoie une requête ARP, puis qu’il vide son cache ARP et renvoie une requête, il recevra
ànouveau la même adresse MAC de Gateway.
En GLBP, il existe 4 Timers :
Hello
Holdtime
Redirect time
Secondary holdtime
Le Hello, indique tous les combien de temps un Hello est envoyé. Par défaut il est de 3 secondes.
Le Holdtime indique le temps max entre deux Hello, avant que le routeur soit considéré comme Dead.
Le Redirect Time indique combien de temps l’AVG continue de répondre aux requêtes ARP avec
l’adresse MAC d’un AVF Dead. Par défaut il est de 600s.
Le Secondary Holdtime indique combien de temps un AVF va supporter l’adresse MAC d’un AVF Dead.
Par défaut il est de 14400s.
En GLBP, il existe différents états avant de devenir AVG :
Disabled : L’IP virtuelle n’est pas encore configurée, mais une configuration GLBP existe
déjà
Initial : L’IP virtuelle est configurée, mais la configuration n’est pas complète
Listen : Le routeur reçoit des paquets Hello, et il est prêt à passer en mode Speak si l’AVG ou
le Standby AVG tombe
Speak : Le routeur tente de devenir AVG ou Standby AVG
Standby : Le routeur est un Standby AVG. Il deviendra AVG en cas de panne de ce dernier
Active : Le routeur est l’AVG du groupe

En GLBP, il existe différents états avant de devenir AVF :
Disable : Le routeur ne connait pas encore son adresse MAC virtuelle
Initial : L’adresse MAC virtuelle est connue, mais la configuration GLBP n’est pas complète
Listen : Le routeur reçoit des Hello, et tentera de passera en mode AVF
Active : Le routeur est un AVF
2) Configuration
Voyons à présent la configuration du protocole GLBP.
Ne disposant pas de switchs L3 supportant GLBP, je ferais la démonstration sous GNS3.
Voici la topologie que nous utiliserons :
Les PC sont en fait des routeurs, avec une configuration basique.
Le switch doit être configuré comme ceci :

Commençons la configuration GLBP.
R1(config-if)#ip address 10.0.10.2 255.255.255.0
R1(config-if)#glbp 1 ip 10.0.10.1
R1(config-if)#glbp 1 priority 150
R1(config-if)#glbp 1 preempt
R1(config-if)#glbp 1 load-balancing round-robin
L’option Preempt permet à un AVG de de redevenir AVG après une panne.
L’option round-robin est la méthode de Load Ballancing par défaut

Faisons de même pour R2 :
R2(config-if)#ip address 10.0.10.3 255.255.255.0
R2(config-if)#glbp 1 ip 10.0.10.1
R2(config-if)#glbp 1 preempt
R2(config-if)#glbp 1 load-balancing round-robin
La première partie concerne l’AVG.
Nous pouvons voir que R1 est l’AVG.

La deuxième partie concerne les AVF.
Nous pouvons voir qu’il y en a deux.
R1 est l’AVF 1, d’où son statut Active pour le Forwarder 1.
R2 est l’AVF 2, ce qui explique pourquoi R1 est en mode Listen pour le Forwarder 2. Il prendra le relai en
cas de panne de R2.
Faisons maintenant quelques tests.
Les PC doivent être configurés comme suit :
PC1(config)#ip default-gateway 10.0.10.1
PC1(config)#interface fastEthernet 0/0
PC1(config-if)#no shutdown
PC1(config-if)#ip address 10.0.10.5 255.255.255.0
A adapter en fonction des PC.
Commençons par tester la connectivité :
Voyons à présent vers quel AVF chaque PC pointe :

Comme prévu, ils n’utilisent pas le même AVF.
Nous pouvons jeter un oeil aux tables ARP des PC :
Effectivement, ils n’ont pas la même adresse mac pour 10.0.10.1.
Avant de réaliser un tester de coupure, il nous faut configurer les routeurs pour le VLAN 20 :
R1(config-subif)#glbp 2 ip 10.0.20.1
R1(config-subif)#glbp 2 preempt
R2(config-subif)#glbp 2 ip 10.0.20.1
R2(config-subif)#glbp 2 priority 150
R2(config-subif)#glbp 2 preempt

Testons le routage :
Pour rappel, PC1 utilise R2 comme Gateway :
Nous allons donc lancer un Ping de PC1 vers PC3, puis nous couperons l’interface Fa0/0 de R2, comme
ceci :
R2(config-if)#shutdown
La bascule semble avoir eu lieu.
Voyons quelle Gateway utilise PC1 :
Il utilise à présent R1 (au lieu de R2 qui était utilisé précédemment).
Voyons la table ARP :

PC1 utilise toujours l’adresse MAC de R2, sauf que c’est R1 qui y répond.
Au final, PC1 n’a pas vu le changement, hormis la coupure.
En parlant de ça, nous pouvons réduire les Timers :
R1(config-subif)#glbp 1 timers msec 150 msec 500
A faire sur les deux routeurs, et pour les deux groupes.
Réactivons l’interface de R2, avant de refaire le test :
Cette fois ci, la bascule est bien plus rapide.
Voici comment configurer le Load Ballancing :
Voici la commande pour configurer le poids :

L’AVG se basera sur le poids des routeurs pour le Load Ballancing.
3) Conclusion
Nous voici arrivés au terme de ces trois articles sur HSRP, VRRP et GLBP. Nous avons pu voir que HSRP
et VRRP sont très proches. GLBP quant à lui apporte une réparation de charge. Même si la charge n’est
pas parfaitement répartie, le concept n’en est pas moins intéressent.

CISCO HSRP VRRP GLBP

Contenu connexe

Tendances

En vedette

Similaire à CISCO HSRP VRRP GLBP

Plus de YACINE MESSAOUI

Dernier

CISCO HSRP VRRP GLBP