在思科模拟器Packet Tracer中实现HSRP热备份路由实验

刘侃

摘要：基于对计思科HSRP热备份路由协议的研究，探讨如何利用HSRP的高可靠性特点，组建具有低故障率和高稳定性和企业局域网。通过分析HSRP网络结构、工作过程和网络设备的配置等方面内容，阐述了热备份路由器的工作原理、优势及配置过程，对于企业、学校等单位中心机房核心层的建设具有一定的参考价值。

关键词：HSRP;热备份;三层交换机;路由器;Packet Tracer

中图分类号：TP3        文献标识码：A

文章编号：1009-3044（2019）13-0048-02

当下信息技术已渗透到企业办公、生产、管理各个环节，各种信息系统得到广泛的应用，这对网络的稳定性提出了更高的要求，所以承载这些信息系统的局域网络必须拥有低故障率和高稳定性，要实现这样的目标，必须合理地规划网络拓扑。对核心层设备采用热备份可以大幅度提高网络可靠性，思科的HSRP协议正是这样一种3层冗余协议，它能实现在一个路由器失效的情况下，其全部任务可以被另一个备份路由器完全接管，使得网络通迅不会因为某个路由器的失效而中断，Packet Tracer模拟器可实现此实验。

1 HSRP相关概念

HSPR（热备份路由协议）是思科私有协议，又称为第一跳冗余协议，能防止路由器单点失效而导致的网络故障。HSRP协议要求至少有两台以上的路由器，这些路由器组成一个HSRP组，我们称之为“热备份组”，每个组生成一个虚拟路由器。在任何时候，每个组内只有一活动（Active）路由器，数据包只能由活动路由器转发，如果该设备发生了故障，备份路由器将取而代之成为新的活动路由器，切换速度迅捷，所以网络内主机仍然保持连接，没有受到故障过多的影响。要完成HSRP热备份路由配置，需了解一些基本概念。

1）虚拟路由器

HSRP的虚拟路由器包含一个虚拟IP地址，以及虛拟的MAC地址。虚拟IP地址是由HSRP的配置内容决定的，虚拟MAC地址则以HSRP配置中的group号，以及cisco自己特有的厂商号为基础，由HSRP协议运算自动生成，其格是固定的。

HSRP虚拟MAC地址格式：    0000.0c        07.ac     xx.xx

cisco固有厂商号  HSRP号   HSRP的组号（16进制表示）

在这个地址中，最初的3个字节“0000.0c”是cisco公司的特有的厂商号，全球唯一;接下来的“07.ac”表示的是HSRP代码（也是固定不变的）;后面剩下8bit的组号则是HSRP配置文件里的HSRP组号的16进制的表现。

2）HSRP组

HSRP组号是用来唯一标识多个路由器所属的组的一个数值，一个HSRP组里面往往包含了多个组件，如表1所示。

2 HSRP中各个组件的选举过程

HSRP中选举各个组件的基本要素由同一个HSRP组中在各个路由器上设置的优先级（priority）值（0-255）来决定。CISCO默认的HSRP的priority值是100，在同一个HSRP组中具有最高priority值的路由器被选为active路由器，第二高的priority值拥有者则成为standby路由器，如果同一个HSRP组中还有其他路由器，则其他路由器成为候选standby路由器（不担任任何角色，处在listening状态）。

HSRP组中的路由器每隔3秒（可配置）以UDP的方式发送hello报文给组播地址224.0.0.2（表示组内的所有路由器）的1985号端口，以表示自己的身份属于该HSRP组中。另外需要注意，hello报文的ttl值是1，用以防止hello报文经过路由器被转发。

按照hello报文里的priority值确定一个HSRP组中的active路由器之后，该路由器开始转发那些目的mac地址是自己所属的HSRP的虚拟mac地址的数据报文，standby路由器则保持standby和定期发送hello报文的状态。

3 HSRP配置实例

下面介绍思科模拟器Packet Tracer 6.2中实现基于三层交换机（三层交换机相对路由器应用更广泛）的HSRP热备份实验实例，实验拓扑结构如下图1所示，其中PC3表示外网，PC1和PC2代表内部主机，SW1和SW2为三层交换机，SW和SW3为二层交换机。

1）SW1的配置

sw1（config）#interface vlan 100

sw1（config-if）#ip address 10.14.100.100 255.255.255.0  //配置VLAN100的ip

sw1（config-if）#standby 100 ip 10.14.100.254  //配置HSRP组的虚拟ip

sw1（config-if）#standby 100 priority 200  //配置HSRP组的优先级

sw1（config-if）#standby 100 preempt  //SW1修复故障修重新在线时，此指令可让SW1抢回Active权力

sw1（config）#interface vlan 200

sw1（config-if）#ip address 10.14.200.100 255.255.255.0

sw1（config-if）#standby 200 ip 10.14.200.254

sw1（config-if）#standby priority 150

sw1（config-if）#standby preempt

sw1（config）#interface fastEthernet 0/1

sw1（config-if）#switchport trunk encapsulation dot1q  //确定trunk封装协议

sw1（config-if）#switchport mode trunk  //切换trunk模式

sw1（config）#interface fastEthernet 0/2

sw1（config-if）#no switchport  //使端口变为三层端口（默认为二层端口）

sw1（config-if）#ip address 210.1.1.10 255.255.255.0

sw1（config-if）#standby 210 ip 210.1.1.200  //创建第2个HSRP组连接外网

sw1（config）#ip routing  //打开三层交换机sw1路由功能

2）sw2的配置

sw2（config-if）#ip address 10.14.100.200 255.255.255.0  //vlan100配置ip地址

sw2（config-if）#standby 100 ip 10.14.100.254  //配置HSRP组的虚拟IP

sw2（config-if）#standby 100 priority 150  //注意SW2中HSRP组优先级的变化

sw2（config-if）#standby 100 preempt

sw2（config-if）#ip address 10.14.200.200 255.255.255.0  //vlan100配置ip地址

sw2（config-if）#standby 200 ip 10.14.200.254

sw2（config-if）#standby 200 priority 200

sw2（config-if）#standby 200 preempt

sw2（config）#interface fastEthernet 0/1

sw2（config-if）#switchport trunk encapsulation dot1q

sw2（config-if）#switchport mode trunk

sw2（config）#interface fastEthernet 0/2

sw2（config-if）#no switchport

sw2（config-if）#ip address 210.1.1.20 255.255.255.0  //注意與sw1的配置区分

sw2（config-if）#standby 210 ip 210.1.1.200

sw2（config）#ip routing  //打开三层交换机sw2路由功能

3）sw3的配置

Sw3（config）# interface fastEthernet 0/3

Sw3（config-if）#switchport access vlan 100

Sw3（config）# interface fastEthernet 0/4

Sw3（config-if）#switchport access vlan 200

sw3（config）#interface range fastEthernet 0/3-4  //指定端口

sw3（config-if-range）#switchport mode trunk  //切换trunk模式

4）配置验证

完成HSRP配置后（SW无须配置），PC1和PC2都可以拼通PC3，表示网络内部主机都可连通外网。现把SW1断电，模拟HSRP组的一台路由设备出现故障，PC1和PC2还是可以连通PC3，表明SW2已全部接管SW1功能。SW1断电后，HSRP信息发生明显变化，下图2所示SW1断电前后SW2设备HSRP信息对比情况。

通过查看HSRP信息可知，SW2设备在SW1断电后，已从210组和100组的备用（standby）状态切换为活动状态，实验验证成功。

4 HSRP存在的问题

HSRP技术应用在OSI参考模型的第三层，也就是在二层或者二层交换机上不存在HSRP技术的应用，其在实际应用中，还存在着一些不足需要重点注意：

1）HSRP协议最大的不足是没有安全防护功能，在HSRP协议环境中，局域网中的路由器极容易被虚假的UDP多播数据实施攻击，这种攻击会形成拒绝服务攻击（Denial-of-Service Attack）并产生数据包黑洞（Packet Black Hole）。

2）HSRP协议虽然实现了路由器的平滑切换，这种切换基本上不会让用户感觉到，对网络的稳定性有很大帮助。但是，HSRP组内的路由器不能互通其他网络配置信息，例如访问控制列表等。所以在实施管理时，为了保证一致性，必须对它们进行同样的配置，这无疑增加了管理的复杂性，这也许是为了提升网络稳定性避免不了的一些小代价吧。

参考文献：

[1] 汪海涛， 简碧园. HSRP技术实现双核心交换机冗余的研究与应用[J]. 微型机与应用， 2017（18）.

[2] 马婷. 基于HSRP多设备活动网关的实现[J]. 电脑迷， 2016（12）：20.

[3] 谭硕， 石金年. 热备份路由协议（HSRP）在企业局域网中的应用[J]. 甘肃科技纵横， 2015， 44（6）：40-42.

【通联编辑：代影】