劉侃

摘要：基于對計思科HSRP熱備份路由協(xié)議的研究，探討如何利用HSRP的高可靠性特點，組建具有低故障率和高穩(wěn)定性和企業(yè)局域網(wǎng)。通過分析HSRP網(wǎng)絡結(jié)構、工作過程和網(wǎng)絡設備的配置等方面內(nèi)容，闡述了熱備份路由器的工作原理、優(yōu)勢及配置過程，對于企業(yè)、學校等單位中心機房核心層的建設具有一定的參考價值。

關鍵詞：HSRP;熱備份;三層交換機;路由器;Packet Tracer

中圖分類號：TP3 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）13-0048-02

當下信息技術已滲透到企業(yè)辦公、生產(chǎn)、管理各個環(huán)節(jié)，各種信息系統(tǒng)得到廣泛的應用，這對網(wǎng)絡的穩(wěn)定性提出了更高的要求，所以承載這些信息系統(tǒng)的局域網(wǎng)絡必須擁有低故障率和高穩(wěn)定性，要實現(xiàn)這樣的目標，必須合理地規(guī)劃網(wǎng)絡拓撲。對核心層設備采用熱備份可以大幅度提高網(wǎng)絡可靠性，思科的HSRP協(xié)議正是這樣一種3層冗余協(xié)議，它能實現(xiàn)在一個路由器失效的情況下，其全部任務可以被另一個備份路由器完全接管，使得網(wǎng)絡通迅不會因為某個路由器的失效而中斷，Packet Tracer模擬器可實現(xiàn)此實驗。

1 HSRP相關概念

HSPR（熱備份路由協(xié)議）是思科私有協(xié)議，又稱為第一跳冗余協(xié)議，能防止路由器單點失效而導致的網(wǎng)絡故障。HSRP協(xié)議要求至少有兩臺以上的路由器，這些路由器組成一個HSRP組，我們稱之為“熱備份組”，每個組生成一個虛擬路由器。在任何時候，每個組內(nèi)只有一活動（Active）路由器，數(shù)據(jù)包只能由活動路由器轉(zhuǎn)發(fā)，如果該設備發(fā)生了故障，備份路由器將取而代之成為新的活動路由器，切換速度迅捷，所以網(wǎng)絡內(nèi)主機仍然保持連接，沒有受到故障過多的影響。要完成HSRP熱備份路由配置，需了解一些基本概念。

1）虛擬路由器

HSRP的虛擬路由器包含一個虛擬IP地址，以及虛擬的MAC地址。虛擬IP地址是由HSRP的配置內(nèi)容決定的，虛擬MAC地址則以HSRP配置中的group號，以及cisco自己特有的廠商號為基礎，由HSRP協(xié)議運算自動生成，其格是固定的。

HSRP虛擬MAC地址格式： ? ?0000.0c ? ? ? ?07.ac ? ? xx.xx

cisco固有廠商號 ?HSRP號 ? HSRP的組號（16進制表示）

在這個地址中，最初的3個字節(jié)“0000.0c”是cisco公司的特有的廠商號，全球唯一;接下來的“07.ac”表示的是HSRP代碼（也是固定不變的）;后面剩下8bit的組號則是HSRP配置文件里的HSRP組號的16進制的表現(xiàn)。

2）HSRP組

HSRP組號是用來唯一標識多個路由器所屬的組的一個數(shù)值，一個HSRP組里面往往包含了多個組件，如表1所示。

2 HSRP中各個組件的選舉過程

HSRP中選舉各個組件的基本要素由同一個HSRP組中在各個路由器上設置的優(yōu)先級（priority）值（0-255）來決定。CISCO默認的HSRP的priority值是100，在同一個HSRP組中具有最高priority值的路由器被選為active路由器，第二高的priority值擁有者則成為standby路由器，如果同一個HSRP組中還有其他路由器，則其他路由器成為候選standby路由器（不擔任任何角色，處在listening狀態(tài)）。

HSRP組中的路由器每隔3秒（可配置）以UDP的方式發(fā)送hello報文給組播地址224.0.0.2（表示組內(nèi)的所有路由器）的1985號端口，以表示自己的身份屬于該HSRP組中。另外需要注意，hello報文的ttl值是1，用以防止hello報文經(jīng)過路由器被轉(zhuǎn)發(fā)。

按照hello報文里的priority值確定一個HSRP組中的active路由器之后，該路由器開始轉(zhuǎn)發(fā)那些目的mac地址是自己所屬的HSRP的虛擬mac地址的數(shù)據(jù)報文，standby路由器則保持standby和定期發(fā)送hello報文的狀態(tài)。

3 HSRP配置實例

下面介紹思科模擬器Packet Tracer 6.2中實現(xiàn)基于三層交換機（三層交換機相對路由器應用更廣泛）的HSRP熱備份實驗實例，實驗拓撲結(jié)構如下圖1所示，其中PC3表示外網(wǎng)，PC1和PC2代表內(nèi)部主機，SW1和SW2為三層交換機，SW和SW3為二層交換機。

1）SW1的配置

sw1（config）#interface vlan 100

sw1（config-if）#ip address 10.14.100.100 255.255.255.0 ?//配置VLAN100的ip

sw1（config-if）#standby 100 ip 10.14.100.254 ?//配置HSRP組的虛擬ip

sw1（config-if）#standby 100 priority 200 ?//配置HSRP組的優(yōu)先級

sw1（config-if）#standby 100 preempt ?//SW1修復故障修重新在線時，此指令可讓SW1搶回Active權力

sw1（config）#interface vlan 200

sw1（config-if）#ip address 10.14.200.100 255.255.255.0

sw1（config-if）#standby 200 ip 10.14.200.254

sw1（config-if）#standby priority 150

sw1（config-if）#standby preempt

sw1（config）#interface fastEthernet 0/1

sw1（config-if）#switchport trunk encapsulation dot1q ?//確定trunk封裝協(xié)議

sw1（config-if）#switchport mode trunk ?//切換trunk模式

sw1（config）#interface fastEthernet 0/2

sw1（config-if）#no switchport ?//使端口變?yōu)槿龑佣丝冢J為二層端口）

sw1（config-if）#ip address 210.1.1.10 255.255.255.0

sw1（config-if）#standby 210 ip 210.1.1.200 ?//創(chuàng)建第2個HSRP組連接外網(wǎng)

sw1（config）#ip routing ?//打開三層交換機sw1路由功能

2）sw2的配置

sw2（config-if）#ip address 10.14.100.200 255.255.255.0 ?//vlan100配置ip地址

sw2（config-if）#standby 100 ip 10.14.100.254 ?//配置HSRP組的虛擬IP

sw2（config-if）#standby 100 priority 150 ?//注意SW2中HSRP組優(yōu)先級的變化

sw2（config-if）#standby 100 preempt

sw2（config-if）#ip address 10.14.200.200 255.255.255.0 ?//vlan100配置ip地址

sw2（config-if）#standby 200 ip 10.14.200.254

sw2（config-if）#standby 200 priority 200

sw2（config-if）#standby 200 preempt

sw2（config）#interface fastEthernet 0/1

sw2（config-if）#switchport trunk encapsulation dot1q

sw2（config-if）#switchport mode trunk

sw2（config）#interface fastEthernet 0/2

sw2（config-if）#no switchport

sw2（config-if）#ip address 210.1.1.20 255.255.255.0 ?//注意與sw1的配置區(qū)分

sw2（config-if）#standby 210 ip 210.1.1.200

sw2（config）#ip routing ?//打開三層交換機sw2路由功能

3）sw3的配置

Sw3（config）# interface fastEthernet 0/3

Sw3（config-if）#switchport access vlan 100

Sw3（config）# interface fastEthernet 0/4

Sw3（config-if）#switchport access vlan 200

sw3（config）#interface range fastEthernet 0/3-4 ?//指定端口

sw3（config-if-range）#switchport mode trunk ?//切換trunk模式

4）配置驗證

完成HSRP配置后（SW無須配置），PC1和PC2都可以拼通PC3，表示網(wǎng)絡內(nèi)部主機都可連通外網(wǎng)?，F(xiàn)把SW1斷電，模擬HSRP組的一臺路由設備出現(xiàn)故障，PC1和PC2還是可以連通PC3，表明SW2已全部接管SW1功能。SW1斷電后，HSRP信息發(fā)生明顯變化，下圖2所示SW1斷電前后SW2設備HSRP信息對比情況。

通過查看HSRP信息可知，SW2設備在SW1斷電后，已從210組和100組的備用（standby）狀態(tài)切換為活動狀態(tài)，實驗驗證成功。

4 HSRP存在的問題

HSRP技術應用在OSI參考模型的第三層，也就是在二層或者二層交換機上不存在HSRP技術的應用，其在實際應用中，還存在著一些不足需要重點注意：

1）HSRP協(xié)議最大的不足是沒有安全防護功能，在HSRP協(xié)議環(huán)境中，局域網(wǎng)中的路由器極容易被虛假的UDP多播數(shù)據(jù)實施攻擊，這種攻擊會形成拒絕服務攻擊（Denial-of-Service Attack）并產(chǎn)生數(shù)據(jù)包黑洞（Packet Black Hole）。

2）HSRP協(xié)議雖然實現(xiàn)了路由器的平滑切換，這種切換基本上不會讓用戶感覺到，對網(wǎng)絡的穩(wěn)定性有很大幫助。但是，HSRP組內(nèi)的路由器不能互通其他網(wǎng)絡配置信息，例如訪問控制列表等。所以在實施管理時，為了保證一致性，必須對它們進行同樣的配置，這無疑增加了管理的復雜性，這也許是為了提升網(wǎng)絡穩(wěn)定性避免不了的一些小代價吧。

參考文獻：

[1] 汪海濤， 簡碧園. HSRP技術實現(xiàn)雙核心交換機冗余的研究與應用[J]. 微型機與應用， 2017（18）.

[2] 馬婷. 基于HSRP多設備活動網(wǎng)關的實現(xiàn)[J]. 電腦迷， 2016（12）：20.

[3] 譚碩， 石金年. 熱備份路由協(xié)議（HSRP）在企業(yè)局域網(wǎng)中的應用[J]. 甘肅科技縱橫， 2015， 44（6）：40-42.

【通聯(lián)編輯：代影】