Services

Protocole HSRP

Auteur

Noël NICOLAS

Date

25 novembre 2016

Commentaires

1

Services

HSRP = Hot Standby Router Protocol

– Propriétaire CISCO
– Basé sur un modèle Actif / Passif

Ce protocole existe en plusieurs versions :

HSRP v1

– IPv4
– Adresse MAC utilisée : 0000.0C07.ACxx
– Utilise l’adresse multicast 224.0.0.2
– Groupe 0 au groupe 255

HSRP v2

– IPv4 / IPv6
– Adresse MAC utilisée : 0000.0C9F.Fxxx
– Utilise l’adresse multicast 224.0.0.102
– Groupe 0 au groupe 4095

HSRP - Comparaison des protocoles FHRP
Comparaison des protocoles FHRP

Principe de fonctionnement


Le protocole HSRP est basé sur le modèle Actif / Passif. Cela veut dire qu’il n’y aura qu’un seul routeur en mode « Actif » et les autres routeurs en mode « Passif » :

Mode Active (Actif)

Ce routeur portera l’adresse IP et l’adresse MAC virtuelle

Mode Passive (Passif)

Les autres routeurs attendent que le routeur en mode active soit indisponible pour prendre sa place.

HSRP - Schéma de principe
Schéma de principe

Afin de savoir lequel des routeurs va passer en mode Active, il vont organiser une élection.

Élection du routeur actif


Chaque routeur possède une priorité.
Cette priorité est modifiable par l’administrateur.
La priorité par défaut est à 100. Elle est comprise entre 0 et 255.

Le routeur ayant la priorité la plus haute sera en mode Active

En cas d’égalité, le routeur possédant l’adresse IP la plus haute deviendra le routeur actif.

Le routeur en mode Active portera donc notre adresse IP et notre adresse MAC virtuelle.
Le ou les routeurs en mode Passive se tiendront informés de l’état de santé du routeur Active via des paquets « Hello » envoyés en mulitcast.

Paquets « Hello »


– Le routeur en mode Active envoi des paquets « Hello » aux routeurs en mode Passive

Cet intervalle de temps s’appelle « Hello Timer«  (par défaut: toutes les 3 secondes)

– Si nos routeurs en mode Passive ne reçoivent plus de paquets « Hello », ils considèrent que le routeur en mode Active est hors service, il va donc y avoir une nouvelle élection !

Cet intervalle de temps s’appelle « Hold-time Timer«  (par défaut: 10 secondes soit 3x le Hello Timer)

Les valeurs « Hello Timer » et « Hold-time Timer » peuvent être changées administrativement.

Exemple :

Switch(config-if)# standby 1 timers 3 10     < Hello = 3s / Hold-time = 10s

(Mettre ces valeurs ne sert à rien car c’est les valeurs par défaut)

ou

switch(config-if)# standby 1 timers msec 100 msec 300

Nous avons passé l’ »Hello timer » à 100 millisecondes et le « Hold-time » à 300 (3×100) millisecondes
Ce qui nous donne une vitesse de basculement en cas de panne de 300 millisecondes.

Ces temps doivent être communs à tous nos routeurs.

Basculement en cas de panne


Si notre routeur en mode Active n’est plus en état de fonctionner, une nouvelle élection à lieu.
Un routeur en mode Passive va donc passer en mode Active.
Si notre routeur hors ligne est de nouveau en ligne, il n’y aura pas de nouvelle élection !

(il ne récupèrera donc pas son rôle avant la prochaine panne du nouveau routeur en mode Active.)

HSRP - Basculement en cas de panne
Basculement en cas de panne

Préemption


Définition de Préemption :

 La préemption est la capacité d’un système d’exploitation multitâche d’interrompre une tâche en cours en faveur d’une tâche de priorité supérieure. (source: Wikipédia)

La commande « preempt » va permettre à un routeur possédant une priorité supérieure aux autres de remplacer le routeur actuellement en mode Active (sans attendre la prochaine élection, #CoupD’état)

La commande est la suivante :

Switch(config-if)# standby 1 preempt

Authentification (CCNP)


Afin d’authentifier les routeurs présents dans notre groupe de travail HSRP, il est possible de mettre en place de l’authentification.
Pour ce faire, deux méthodes :

Plain-text
MD5

Plain-text


Si les deux routeurs possèdent la même « Plain-test key string » (traduction : Chaine de caractère en texte brut), il pourront donc travailler ensemble.
Cette chaine doit avoir entre 1 et 8 caractères.
Cette méthode d’authentification est déjà utilisée par défaut, « cisco » est la valeur de la chaine.
La chaine de caractère passe en clair sur le réseau ….

Rappel : Les paquets Hello sont envoyés en multicast. Si quelqu’un fait une simple écoute réseau, il obtiendra le numéro de groupe HSRP ainsi que cette chaine de caractère.

Pour changer cette chaine de caractère :

Switch(config-if)# standby 1 authentication Finger

MD5


Pour expliquer ce type d’authentification , mettons-nous en situation :

– R1 et R2 sont dans le même groupe HSRP.
– R1 à un message à envoyer à R2.
– R1 créer un hash avec sa clé MD5
– R1 envoie son message ainsi que le hash de son message.
– R2 créer un hash avec sa clé MD5 du message reçu
Si le hash de R1 est égal à la valeur du hash de R2 , le message est accepté

la clé MD5 :

– Ne circule pas sur le réseau.
– Peut avoir au maximum 64 caractères.

Deux façons de mettre en place une clé MD5 :

Méthode 1 :

Switch(config-if)# standby 1 authentication md5 key-string [ 0 | 7 ] Finger

0 = Clé en clair
7 = Clé cryptée

Méthode 2 :

Switch(config)# key chain Finger-chain
Switch(config-keychain)# key 1
Switch(config-keychain-key)# key-string [ 0 | 7 ] Finger

Switch(config)# interface vlan 10
Switch(config-if)# standby 1 authentication md5 key-chain Finger-chain

Configuration du HSRP


Envie d’en découvrir plus ?

Devenez membre Gold ou Platinium de FingerInTheNet et accédez à l’intégralité des cours et à des contenus exclusifs !

A votre rythme, Réponse prioritaire aux questions sur les cours

Contenus Exclusifs, accès aux articles avancés

Réductions sur les cours spéciaux ou personnalisés

Essayez pour seulement 1€

Expert Réseau
11 ans d’expérience
CCNP Routing and Switching
Fondateur de FingerInTheNet

Les commentaires sont fermés.

%d blogueurs aiment cette page :