10 de agosto de 2014

Distribución de tráfico con HSRP

Hace ya tiempo publiqué un post introductorio sobre HSRP.
Con el paso del tiempo se fueron acumulando preguntas sobre tips de configuración, pero particularmente sobre las posibilidades de distribución de tráfico en redes que implementan este tipo de protocolos. De ahí, este post, que en realidad es complementario y supone algunos conocimientos básicos sobre este protocolo.

Repasando...
  • HSRP es un FHRP (First Hop Redundancy Protocol); un protocolo de gestión de redundancia de gateway o puerta de enlace.
  • Permite que en caso de fallo en el gateway, el dispositivo terminal (nuestra PC) pueda utilizar un gateway alternativo sin necesidad de realizar cambios de configuración. Para esto utiliza el concepto de IP de gateway virtual.
  • HSRP es propietario de Cisco. Una alternativa estándar es VRRP, y un protocolo estándar evolucionado con mejores prestaciones es GLBP (propietario de Cisco también).
Distribución de la carga de tráfico
De suyo HSRP no distribuye o balancea tráfico.
Cuando se integra un conjunto de interfaces en un grupo de HSRP, solo una de esas interfaces estará en estado activo y por lo tanto operativa para el reenvío de tráfico.
Una subred puede tener un sólo gateway IP (en este tipo de implementaciones) y ese gateway puede ser un gateway virtual, con lo cual HSRP permite que haya redundancia y administra esa redundancia. Pero siempre físicamente hay una única puerta de salida.
En este último concepto está la clave:
  • Una subred implementa un grupo de HSRP para administrar la redundancia de gateway.
  • Cada grupo de HSRP tiene un único miembro activo.
  • Cada VLAN es una subred.
  • Diferentes VLANs se asocian a diferentes grupos de HSRP.
  • Si diferentes VLANs se asocian a diferentes grupos HSRP, entonces, diferentes VLANs pueden utilizar diferentes gateways activos.
¿Cómo es esto?
Lo digo de otra forma.


  • Si en mi red tenga una única subred, solamente un gateway estará activo a la vez.
  • Si en mi red tengo dos o más subredes, entonces debo configurar 2 o más grupos de HSRP.
  • Cada grupo de HSRP puede tener un gateway activo diferente.
  • Consecuencia: cada VLAN (cada subred) puede utilizar un gateway diferente.
Voy con un ejemplo simple: una topología LAN con 2 VLANs en el acceso que tiene redundancia de switches layer 3 en la capa de distribución:
Siguiendo la idea que enuncié antes, vamos a configurar los switches de capa de distribución (son los gateways de la LAN), de modo tal que el SW1 (a la izquierda) opere como gateway activo de la VLAN 10 y el SW2 (a la derecha) opere como gateway activo de la VLAN 10; y que cada uno sea respaldo de su contraparte.
Para esto debemos considerar:
  • Configurar STP de modo que el root bridge de cada VLAN coincida con el gateway activo de HSRP.
  • Configurar un grupo HSRP para cada VLAN con su IP virtual respectiva.
  • Configurar HSRP de modo que el dispositivo activo de cada VLAN coincida con el root bridge de esa VLAN. Para esto utilizaré prioridad de HSRP.
  • Dado que HSRP no es "preemptivo", debemos forzar que en caso de fallos, cuando el gateway primario vuelva a estar operativo recupere el rol de activo.
Gráficamente, el objetivo de esta configuración es el siguiente:
En el ejemplo utilizaré PVTSP+, pero también se puede hacer con MST utilizando una instancia de MST diferente para cada VLAN o grupo de VLANs.
Traducido en comandos de configuración:

SW1(config)#spanning-tree vlan 10 root primary
SW1(config)#interface VLAN 10
SW1(config-if)#ip address 172.16.10.1 255.255.255.0
SW1(config-if)#standby 10 ip 172.16.10.3
SW1(config-if)#standby 10 priority 110
SW1(config-if)#standby 10 preempt
SW1(config-if)#interface VLAN 20
SW1(config-if)#ip address 172.16.20.1 255.255.255.0
SW1(config-if)#standby 20 ip 172.16.20.3
SW1(config-if)#standby 20 priority 90
SW1(config-if)#standby 20 preempt

SW2(config)#spanning-tree vlan 20 root primary
SW2(config)#interface VLAN 20
SW2(config-if)#ip address 172.16.20.2 255.255.255.0
SW2(config-if)#standby 20 ip 172.16.20.3
SW2(config-if)#standby 20 priority 110
SW2(config-if)#standby 20 preempt
SW2(config-if)#interface VLAN 10
SW2(config-if)#ip address 172.16.10.2 255.255.255.0
SW2(config-if)#standby 10 ip 172.16.10.3
SW2(config-if)#standby 10 priority 90
SW2(config-if)#standby 10 preempt

Para revisar la introducción general al protocolo que ya publiqué, ingrese aquí.
Para revisar la información sobre HSRP en el sitio de Cisco, ingrese aquí.

Bibliografía recomendada:





8 comentarios:

  1. Hay una que creo que no es correcta los dos switches en ambas vlanes tienen la misma ip fisica. Aunque hagan balanceo creo que no deberían tener la misma ip addres.

    ResponderBorrar
    Respuestas
    1. Estás en lo correcto.
      Muchas gracias por advertirlo. Ya está corregido.

      Borrar
  2. Buenas, si tengo configurado pool dhcp para 3 vlans en un router, y agrego hsrp, como hago para que la ip que se configura por ejemplo: standby 10 ip 172.16.10.3 , esa ip,me la de el dhcp configurado en el router?
    Saludos.

    ResponderBorrar
    Respuestas
    1. Tienes que definir la IP virtual utilizada como dirección de default-gateway del pool de direcciones que creas en el servicio de DHCP.

      Borrar
  3. Que onda banda, si recomiendan estudiar redes o no? aca de caballeros

    ResponderBorrar
    Respuestas
    1. Pues...
      Networking es lo que hago, es lo que disfruto hacer, lo que elegí hacer. Y tengo la suerte de trabajar en lo que elegí porque me gusta.
      ¿Qué más te puedo decir?

      Borrar
  4. inge, que pasa si un sw envia una trama a un router, el sw lo envia con etiqueta vlanx, pero en el router no tengo configurado nada de vlans, ni estandares de encapsulaciones, el router la recibe como una paquete normal sin etiqueta de vlan?

    ResponderBorrar
    Respuestas
    1. Estimado.
      Para que el switch mande la trama etiquetada, el puerto del switch debe estar configurado como troncal y con encapsulación 802.1Q.
      Si no has configurado el puerto del router como troncal, entonces ese enlace no estará operativo pues es requisito que la configuración de ambos puertos (el switch y el router) sea simétrica.
      Por lo tanto, el switch no podrá enviar la trama por ese puerto, y ninguna trama llegará al puerto del router.

      Borrar

Gracias por tu comentario.
En este blog los comentarios están moderados, por lo que su publicación está pendiente hasta la revisión del mismo.