Cisco - Configurando HSRP

Habilitando o HSRP
(Habilitado em modo de configuração da interface)
Router (config-if)# ip address x.x.x.x mask
Router (config-if)# standby [group-number] ip [ip-address [secondary]]

O conjunto de roteadores que participam do HSRP e emulam um roteador virtual é

denominado Standby group. Se não for especificado nenhum group-number o default é 0. Os
valores variam de 0-255 (v1) e 0-4095 (v2). O ip-address é o endereço IP virtual do roteador
virtual. Para o HSRP eleger um roteador designado você deve configurar o IP virtual para pelo
menos um dos roteadores do grupo.

Configurando HSRP Priority

Router (config-if)# standby [group-number] priority priority

Para configurar um roteador como o roteador ativo é necessário atribuir uma prioridade maior
do que a prioridade de todos os outros roteadores HSRP configurados. Em caso de empate é
feita uma comparação entre os endereços IP primários. Quanto maior o endeço, maior a
prioridade. Os valores variam de 0-255 e o default é 100.

Configurações Opcionais

Configurando HSRP Virtual MAC Addresses or BIA MAC Addresses

Router (config-if)# standby [group-number] mac-address mac-address
ou
Router (config-if)# standby use-bia [scope interface]

O comando standby use-bia configura o HSRP para usar o burned-in address da interface como
seu endereço MAC virtual. Este comando apresenta algumas desvantagens. Quando o roteador
se torna ativo o endereço IP virtual é transferido para um endereço MAC diferente. Esse
roteador envia uma gratuitous ARP response, mas nem todos os hosts entendem o gratuitous
ARPcorretamente. Nas implementações de Proxy ARP o roteador não consegue tratar a perda
de dados do Proxy ARP em caso de falha.

A palavra-chave scope interface especifica que o comando é configurado apenas para a sub-
interface em que foi inserido ao invés da interface principal.

BIA - Burned-in MAC address (BIA), também conhecida como Burned-In Address, corresponde
aos últimos seis bytes de um endereço MAC que são atribuídos pelo fabricante de placa de
rede (NIC).

Configurando HSRP Delay

Router (config-if)# standby delay minimum min-delay reload reload-delay

min-delay – Tempo mínimo em segundos para atrasar a inicialização do HSRP group após uma
interface entrar em estado up. Este período de tempo mínimo é aplicado a todos os eventos
da interface subsequente. Os valores variam de 0-10000 e o default é 1s.

reload-delay – Tempo em segundos para atrasar após o roteador ter sofrido um reload. Este
período de atraso só se aplica para o primeiro evento de interface-up após o roteador ser
restabelecido. Os valores variam de 0-10000 e o default é 5.

O comando standby delay é usado para atrasar a inicialização do HSRP após uma reload ou
quando uma interface entra em estado up. Esta configuração permite um período para que a
interface e o roteador se restabeleçam após um evento e ajuda a prevenir oscilações no
estado do HSRP.

Use o comando standby delay minimum reload para definir um período de atraso para a
inicialização do HSRP group. Este comando permite a passagem dos pacotes um tempo antes
do roteador retornar a função de ativo.

Esse comando é recomendado para os casos em que os standby timers estiverem

configurados em milissegundos ou se o HSRP estiver configurado em uma interface Vlan de um
switch.
Na maioria das configurações, os valores default provêem tempo suficiente para a passagem
dos pacotes não sendo necessário configurar valores de atraso muito longos. O delay será
cancelado se um pacote HSRP for recebido em uma interface.

Configurando HSRP Preempt

Router (config-if)# standby [group-number] preempt
Router (config-if)# standby [group-number] preempt delay [minimum min-delay | reload reload-delay | sync sync-delay]

Se o active router falhar ou for removido da rede, o standby router se tornará ativo
automaticamente. Caso o antigo active router volte a ficar disponível é possível controlar se
este assume novamente como principal através desse comando. É possível também configurar
um tempo (delay) para que o roteador aguarde antes de tornar-se ativo novamente.

No entanto, em alguns casos, mesmo que o comando standby preempt não esteja configurado
o antigo active router retorna a função de ativo após seu restabelecimento.

Os valores variam de 0-3600. O período de atraso padrão é 0, ou seja, se o roteador quiser

reassumir irá fazê-lo imediatamente. Por padrão, o roteador que chega mais tarde se torna
o standby router.

Configurando HSRP Timers

Router (config-if)# standby [group-number] timers [sec | msec] hellotime [sec | msec] holdtime

Hello time – Intervalo em segundos entre sucessivas HSRP hello messages de um determinado
roteador. Os valores variam de 1-254 e o default é 3. Se a opção for em ms o intervalo varia
de 15 -999.

Hold time – Intervalo entre a recepção de uma hello message e a identificação de falha no
roteador. Os valores variam de X-255 e o default é 10. Se a opção for em ms o intervalo varia
de Y-3000.

Sendo:
X – É o valor do hellotime mais 50 milissegundos arredondando para o mais próximo (1s).
Y – É maior ou igual a 3 vezes o hellotime e não inferior a 50ms.

Por default, o hello timer e o hold timer posuem os valores de 3 e 10 segundos

respectivamente. A cada 3 segundos uma hello message é enviada entre os dispositivos
do HSRP group. Caso os dispositivos em estado standby não recebam o pacote hello em 10
segundos estes se tornam ativos. É possível alterar os valores do timer para acelerar
o failover ou preemption, mas para evitar o aumento de uso da CPU ou a desnecessária
variação no estado do standby, é aconselhável não definir o hello timer inferior a 1s ou o hold
timer abaixo de 4s.

Configurando HSRP Authentication

Text Authentication
Router (config-if)# standby [group-number] authentication text string
Configura uma string de autenticação. A string default é cisco.

MD5 – Key-Chain
Router (config)# key chain name-of-chain
Habilita a autenticação para os protocolos de roteamento e identifica um grupo de chaves
autenticadas.
Router (config-keychain)# key key-id
O key-id deve ser um número.
Router (config-keychain-key)# key-string string
A string pode ser de 1 – 80 caracteres alfanuméricos sendo que o primeiro não pode ser
número.
Router (config-if)# standby [group-number] authentication md5 key-chain key-chain-name
O key-chain-name deve ser compatível com o nome especificado anteriormente.
Key chains permite usar diferentes key strings em tempos diferentes de acordo com a
configuração. O HSRP irá consultar o key chain apropriada para obter a chave atual e o key
id.
MD5 – Key-String
Router (config-if)# standby [group-number] authentication md5 key-string [0|7] key [timeoutseconds]

A chave pode conter até 64 caracteres sendo recomendado pelo menos o uso de 16. O
parâmetro 0 corresponde a uma chave não criptografada e 7 a criptografia. Lembrando que
a key-string estará automaticamente criptografada se o comando service password-
encryption estiver habilitado.

Os valores de timeout correspondem ao período de tempo em que a chave antiga será aceita
em um HSRP group com chave nova.

A autenticação de Texto não pode ser combinada com a autenticação MD5 em um grupo
HSRP. Quando a autenticação MD5 é configurada, o campo text authentication em uma hello
message é zerado e ignorado no roteador de destino.

Configurando HSRP Redirect

Router (config)# standby redirects enable

Quando usado no modo de configuração global o comando habilita o filtro de ICMP redirect
messages em todas as interfaces configuradas para HSRP.
Router (config-if)# standby redirect [timers | advertisement | unknown]

Advertisement – Redireciona mensagens de aviso.

Timers – Ajustar o intervalo de anúncios e de holddown time.
Unknown – Redireciona para roteadores não HSRP.

ICMP é um protocolo Internet de camada 3 que fornece pacotes de mensagens para relatar
erros e outras informações relevantes do processamento IP. O ICMP fornece muitas funções de
diagnóstico e pode enviar e redirecionar os erros de pacotes para os hosts.

Quando o HSRP está rodando é importante evitar que o host descubra o endereço MAC real do
roteador em um grupo HSRP. Caso o host esteja enviando pacotes ICMP para o endereço real
do roteador e este dispositivo venha a falhar os pacotes serão perdidos.

Essa funcionalidade trabalha filtrando ICMP redirect messages onde o endereço IP do próximo
salto pode ser alterado para o endereço virtual do HSRP.

O endereço do próximo salto é comparado em uma lista de roteadores HSRP ativos na rede.
Se uma correspondência é encontrada então o endereço do próximo salto é substituído pelo IP
virtual correspondente e o redirecionamento de mensagens é permitido.

Se nenhuma correspondência for encontrada, então a mensagem somente é enviada se o

roteador correspondente não rodar HSRP. O redirecionamento para passive routers não é
permitido.

Os passive routers enviam mensagens de aviso HSRP periodicamente ou quando entram ou

saem do estado passivo. Assim todos osHSRP routers podem determinar o estado do grupo de
qualquer roteador na rede. Esses avisos informam a outros roteadores do estado da interface.
As mensagens são as seguintes:

Dormant: Inativo, a interface não possui grupos HSRP. Um único anúncio é enviado quando o
último grupo é removido.

Passive - Interface não possui grupos ativos ou pelo menos um grupo não-ativo. Os anúncios
são enviados periodicamente.

Active - Interface tem pelo menos um grupo ativo. Um único anúncio é enviado quando o
primeiro grupo se torna ativo.

O comando configura o envio de mensagens de redirecionamento ICMP com o endereço IP

virtual do HSRP como o endereço do gateway. Por default o HSRP faz filtro de ICMP redirect
messages.

Configurando HSRP Object Tracking

Router (config)# track object-number interface interface-typer [line-protocol | ip routing]

Configura uma interface para ser rastreada e entrar no modo de configuração tracking.
Router (config-if)# standby [group-number] track object-number [decrement decrement value]

A prioridade de um dispositivo pode alterar dinamicamente se tiver sido configurado

para object tracking e o objeto monitorado entrar em status down. O processo de
rastreamento periodicamente pesquisa os objetos monitorados e observa qualquer alteração
de valor.

As mudanças no objeto rastreado são comunicadas ao HSRP, seja imediatamente ou após um

tempo especificado. Exemplos de objetos que podem ser rastreados são: o status de um
protocolo de linha, uma interface ou a acessibilidade de uma rota IP.

Se o objeto monitorado alterar seu status para down a prioridade do HSRP é reduzida. O
roteador HSRP com uma alta prioridade pode se tornar o active router caso esteja
configurado com o comando standby preempt.

Por default, a priority do roteador é diminuida em 10 se o objeto rastreado alterar seu status
para down. Use a palavra chavedecrement priority-decrement e a combinação de argumentos
para alterar o comportamento padrão.

Quando múltiplos objetos rastreados ficam indisponíveis e os valores da priority-

decrement foram configurados, esta configuração de priority é acumulativa. Se os objetos
rastreados estão down, e nenhum deles foi configurado com o priority decrements o valor
padrão do decrement é 10.

Configurando HSRP Versão 2

Router (config-if)# standby version [1 | 2]

A versão 2 do HSRP introduz melhorias e aumenta a capacidade da versão anterior. A versão 2

tem um formato de pacote diferente do HSRP versão 1. As duas versões não podem operar em
uma mesma interface mas podem coexistir em um mesmo roteador (em interfaces
diferentes). A v2 não está disponível para interfaces ATM rodando LANE.

Os números de Standby Groups permitidos nessa versão variam de 0 a 4095. Não é possível
alterar a versão 2 para versão 1 caso o número de grupos atual (v2) esteja acima do permitido
para versão 1 (0 a 255).