First Hop Redundacy Protocols - FHRP

Ridondanza nella Rete

Prima di vedere questi protocolli dobbiamo capire meglio il funzionamento della ridondanza e il perché sia una caratteristica molto utile in una rete.
Nell'immagine sopra, tutte i dispositivi che costituiscono l'infrastruttura della rete vengono definiti "singoli punti di vulnerabilità", perché se uno qualsiasi dei dispositivi smette di funzionare correttamente, tutti i PC perderanno la connessione ad Internet.
Questo è molto comune per i piccoli uffici dove non è giustificato il costo di aggiungere dispositivi di ridondanza.

In questa seconda immagine vediamo che sono stati aggiunti dispositivi di ridondanza, per poter eliminare i singoli punti di vulnerabilità.
Adesso i PC avranno connessione ad Internet anche se uno dispositivo, che sia router o switch, va offline.
Notare che non c'è ridondanza al livello d'accesso perché gli end-host hanno solo una NIC, tuttavia se gli end-host fossero dei server (che hanno due NIC), allora potremmo aggiungere dei dispositivi di ridondanza anche a questo livello.
Configuriamo ora una route statica e due route di backup su R1:

ip route 0.0.0.0 0.0.0.0 203.0.113.1
ip route 0.0.0.0 0.0.0.0 10.10.20.2 5
ip route 10.10.10.0 255.255.255.0 10.10.20.2

La route statica serve per inoltrare il traffico verso il router dell'ISP (SP1) e avere connettività ad Internet.
La prima route di backup serve ad indirizzare il traffico verso R2 se il collegamento tra R1 e SP1 dovesse cadere.
La seconda route di backup serve ad inoltrare il traffico verso R2 se il collegamento tra R1 e CD1 dovesse cadere.

Ora guardiamo alla rete dal punto di vista dei PC: abbiamo due default gateway ridondanti (R1 con IP 10.10.10.2 e R2 con IP 10.10.10.3).
Potremmo configurare i PC in modo che metà di loro utilizzi R1 e l'altra metà utilizzi R2, ma sarebbe scomodo dover riconfigurare il tutto manualmente se uno tra R1 o R2 dovesse smettere di funzionare.
Per risolvere questo problema possiamo utilizzare FHRP (First Hop Redundancy Protocol), che utilizza un IP Virtuale (Virtual IP - VIP) e un indirizzo MAC che automatizza l'uso del gateway nel caso in cui R1 o R2 smetta di funzionare.
Gli host usano il VIP come loro indirizzo di default gateway, in modo che se uno dei due router smetta di funzionare, l'altro possa prendere il comando della situazione.
Ora, siccome gli host usano un indirizzo che non cambia (il VIP), non c'è bisogno di dover riconfigurare manualmente l'indirizzo del gateway nel caso di un problema ad uno dei router.
Possiamo ora vedere i vari tipi di FHRP:

• Hot Standby Router Protocol (HSRP): Sviluppato da cisco, viene usato nella coppia attivo/standby. Nel nostro esempio R1 diventa il default gateway attivo, mentre R2 è quello di standby che si attiva solo nel caso in cui l'altro router abbia dei problemi di funzionamento.

• Virtual Router Redundancy Protocol (VRRP): Protocollo open standard. Anche questo usa la coppia attivo/standby ed è molto simile ad HSRP.

• Gateway Load Balancing Protocol (GLBP): Anche questo protocollo è sviluppato da Cisco e si differenzia dall'HSRP perché supporta la coppia attivo/attivo ed esegue un bilanciamento del carico su più router.
  Rispetto ad HSRP è più complicato da configurare e su cui eseguire il troubleshooting e, per questi motivi, è meno utilizzato rispetto ad HSRP.

Hot Standby Router Protocol - HSRP

Come abbiamo visto HSRP usa un IP Virtuale e un indirizzo MAC per il backup automatico del gateway.
I nostri gateway di default sono R1 e R2, con l'indirizzo IP di 10.10.10.2 e 10.10.10.3 rispettivamente, si trovano nella sottorete 10.10.10.0 ed entrambi hanno la loro interfaccia GigabitEthernet 0/1 che è rivolta verso i PC.
HSRP viene configurato al livello interfaccia.
Abbiamo configurato il VIP come 10.10.10.1, e tramite HSRP i router negozieranno chi sarà attivo e chi sarà in standby.
Una volta decise le "parti", il router attivo assume il VIP come indirizzo IP e l'indirizzo MAC virtuale ad esso associato, dopodiché cominciano a mandarsi pacchetti "keep alive".
Se R2 smette di ricevere questi pacchetti, capisce che R1 ha dei problemi e sarà lui ad assumere il VIP e il suo indirizzo MAC.
I PC vengono configurati per usare 10.10.10.1 come loro unico gateway: non sono a conoscenza della ridondanza e nemmeno del router di backup.
Entrambi i router hanno un normale indirizzo fisico IP e MAC sulle loro interfacce HSRP, ma hanno anche l'indirizzo IP virtuale e MAC di HSRP configurato sull'interfaccia. Questi due indirizzi vengono usati su entrambi i router.
Quando i router vanno online, uno viene eletto come router HSRP attivo e l'altro viene messo in standby.
Il router attivo possiede l'indirizzo virtuale IP e MAC e risponde alle richieste ARP, inoltre tutto il traffico per il VIP passa attraverso il router attivo.
Vediamo ora la configurazione prima di R1 e poi di R2:

R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1

R2(config)#interface g0/1
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1

Per la verifica del tutto possiamo inserire il comando "show standby"

Priorità e Prelazione

Si può scegliere quale router sarà quello attivo quando si imposta, su questi, la priorità.
Il router con la priorità più alta sarà quello preferito (il default è 100), ma nel caso di un pareggio vince il router con l'indirizzo IP più alto.
Se la prelazione è attivata, quando un router con priorità maggiore torna online dopo aver avuto dei problemi, ritornerà ad essere quello attivo.
Se, invece, la prelazione è disattivata, il router con priorità minore rimane quello attivo anche dopo che quello con priorità maggiore torna online.
E' utile disattivare la prelazione se il router con priorità più alta continua ad alterare il suo stato tra on e off.
Configurazione sui due router:

R1(config)#interface g0/1
R1(config-if)#ip address 10.10.10.2 255.255.255.0
R1(config-if)#no shutdown
R1(config-if)#standby 1 ip 10.10.10.1
R1(config-if)#standby 1 priority 110
R1(config-if)#standby 1 preempt

R2(config)#interface g0/1
R2(config-if)#ip address 10.10.10.3 255.255.255.0
R2(config-if)#no shutdown
R2(config-if)#standby 1 ip 10.10.10.1
R2(config-if)#standby 1 priority 90

Si può configurare anche la versione di HSRP da utilizzare: la versione di default è la 1, mentre la 2 ha introdotto alcune piccole migliorie.
Il comando per scegliere la versione è "standby version 2"
Attenzione: i router devono avere la stessa versione di HSRP per poter funzionare insieme.

HSRP Attivo/Attivo

Per la stessa sottorete IP, la coppia HSRP è sempre attivo/standby, ma se ci si trova in diverse sottoreti avremo anche VLAN diverse.
Possiamo quindi fare in modo che un router sia attivo per una sottorete e l'altro sia attivo per un'altra sottorete, o nel caso in cui avessimo 4 sottoreti, potremmmo rendere attivo ogni router per due sottoreti.
Immaginiamo che i PC del reparto d'ingegneria siano nella sottorete 10.10.10.0/24 e i PC del reparto di vendita siano nella sottorete 10.10.20.0/24.
Possiamo far mandare il traffico del primo reparto a R1 ed a R2 il traffico del secondo reparto.