ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES

CCNP SWITCH
➢ Total Horas: 90 Horas
➢ Créditos: 10

Víctor Araneda Serrano

Ing. En Telecomunicaciones, Conectividad y Redes – Instructor ITQ
Certificado CCNP R&S - CCDA - CCNA Security - CCNA R&S
Huawei HCIA – MTA Microsoft Networking
varaneda@duoc.cl
ASIGNATURA:

CONFIGURACIÓN AVANZADA DE SWITCHES

CCNP SWITCH

Unidad 2: Configuración y Optimización

de Redes Corporativas

Clase 9: Configuración de HSRP en Redes Empresariales

Objetivos: - Conocer las características y funcionamiento de HSRP.

- Configurar HSRP en redes redundantes.
- Optimizar el funcionamiento de HSRP en redes redundantes. 2
Necesidad de Uso de Redundancia
En la imagen, tanto el router A y el router B se encuentran conectados a la red
10.1.10.0/24 y son anunciados por el protocolo de enrutamiento. Todos los paquetes
destinados a la red 10.1.10.0/24 se encuentran en el router A. Si el router A queda
inalcanzable, el protocolo de enrutamiento dinámico convergerá, y todos los paquetes
serán enviados al router B sin tener que modificar la puerta de enlace.

3
Necesidad de Uso de Redundancia
Los host de la red están configurados con una única dirección IP de puerta de enlace
predeterminada. Todos los paquetes destinados a otra subred se envían a la dirección IP
de puerta de enlace predeterminada, que no cambia cuando se producen cambios en la
topología de red. Si el router cuya dirección IP sirve como puerta de enlace
predeterminada para la red falla, un host de la red, no será capaz de enviar paquetes a
otra subred, por lo que se desconecta del resto de la red. Incluso si existe un router
redundante que podría servir como una puerta de enlace predeterminada para esa
subred, no hay modo dinámico por el cual estos dispositivos puedan determinad la
dirección de una nueva puerta de enlace predeterminada.

4
Revisión sobre HSRP
La puerta de enlace predeterminada para la estaciones de trabajo en una subred IP
específica es la IP virtual del protocolo. Cuando las tramas son enviadas desde la estación
de trabajo a la puerta de enlace predeterminada, el PC utiliza ARP para resolver la
dirección MAC que se asocia con la dirección IP de la puerta de enlace predeterminada. La
resolución ARP resolverá la dirección MAC del router virtual. Las tramas que se envían a la
dirección MAC del router virtual, se pueden procesar por el router activo que forma parte
de ese grupo de router virtual.

Un protocolo es utilizado para identificar dos o más routers como dispositivos

responsables de la tramitación de las tramas que se envían a la dirección MAC o IP del
único router virtual. Los hosts envían tráfico a la dirección del router virtual. Los routers
físicos son transparentes a los host de la red.

5
Revisión sobre HSRP
El funcionamiento de HSRP puede ser de la siguiente manera:

• El router standby deja de ver los mensajes desde el router de reenvío.

• El router standby asume el papel del router de reenvío.
• A medida que el nuevo router de reenvío asume tanto las direcciones IP y MAC del
router virtual, los equipos finales no ven ninguna interrupción en el servicio.

HSRP activo y HSRP standby envían mensajes de saludo a la dirección multicast

224.0.0.2 para la versión 1 o la dirección 224.0.0.102 para la versión 2, utilizando el puerto
UDP 1985. Los mensajes de saludo se utilizan para la comunicación entre los routers del
grupo HSRP. Todos los routers en el HSRP necesitan adyacentes en L2 de modo que los
paquetes de saludo puedan ser intercambiados.

6
Tipos de Routers HSRP
• Router Virtual: Una IP y una dirección MAC que los dispositivos finales han
configurado como su puerta de enlace predeterminada. El router activo procesa todos
los paquetes y tramas enviadas a la dirección del router virtual. El router virtual no
procesa tramas físicas. Solo hay un router virtual en un grupo HSRP.

• Router Activo: Dentro de un grupo HSRP, un router es elegido para ser el router
activo. El router reenvía físicamente paquetes enviados a la dirección MAC del router
virtual. Solo hay un router activo en un grupo HSRP.

• Router Standby: Escucha los mensaje de saludo de manera periódica. Cuando el

router activo falla, los otros routers HSRP dejan de ver mensajes de saludo desde el
router activo. Este router asume la función del router activo.

• Otros Routers: Pueden haber mas de dos routers en un grupo HSRP, pero solo un
activo y otro standby son posibles. Los demás permanecen en el estado inicial, hasta
que el principal falle, donde en el grupo competirán por los papeles de activo y
espera.

7
Estados de Transición de HSRP
Un router en un grupo HSRP puede estar en uno de estos estados: inicial, escuchar,
hablar, espera o activo. Cuando existe un router en uno de estos estados, se realizan las
acciones necesarias para ese estado. No todos los routers del grupo HSRP harán la
transición a través de todos los estados. Por ejemplo, si hay tres routers en el grupo HSRP,
el router que no esté en el modo standby o activo, permanecerá en el estado de escucha.

8
 Estados de Transición de HSRP
En la imagen de a continuación, el router A comienza debido a que es el primer router
en la subred que está configurado para el grupo standby 1, que transita a través de los
estado de escuchar y hablar, y luego se convierte en el router activo. Router B, se inicia
después del router A. Mientras que el router B se encuentra en el estado de escuchar, el
router A ya está asumiendo el modo de standby, y luego el rol de activo. Debido a que hay
un router activo ya presente, el router B asume el rol de standby.

9
Alineación de HSRP con STP
STP se ejecuta entre los switch de Capa 2 y Capa 3. En una topología de STP
redundante, algunos enlaces están bloqueados. La topología de Spanning-Tree no tiene
coincidencia con la configuración de HSRP. No existe relación automática entre el proceso
del router activo HSRP y el proceso de la elección del puente raíz en Spanning-Tree.

Como se muestra en la imagen, el tráfico de VLAN destinado para el núcleo se envía por
SW1, porque es un puente raíz STP, y se han bloqueado los otros enlaces. Sin embargo,
SW2 es una puerta de enlace HSRP activo, por lo que el tráfico debe ser reenviado a SW2
antes de ser enrutado a la red central. El caminio del trafico, es subóptima, ya que pasa
por más dispositivos de lo necesario. Por lo tanto, es importante que el router activo
configurado sea el mismo que puente raíz STP.

10
Configuración de HSRP
A continuación, se muestra la configuración de HSRP en una red, en donde se utilizará
la siguiente red como referencia para todas las configuraciones posteriores.

11
Verificación de Funcionamiento HSRP
A continuación, se muestra comando para comprobar el funcionamiento de HSRP.

12
 Balanceo de Carga con HSRP
En la imagen, switch capa 2 participan en dos VLAN separadas de dos HSRP habilitados,
utilizando troncales IEEE 802.1Q. Si se deja los valores de prioridad HSRP por defecto, un
único switch de capa probablemente se convierta en una puerta de enlace activa para
ambas VLAN, utilizando efectivamente solo un enlace ascendente hacia el núcleo de la red.

13
Interfaces Tracking en HSRP
La interfaz de enlace ascendente no es una interfaz habilitada para HSRP, por lo que su
falla no afecta para HSRP. Por ende para el router activo, seguirá siendo la puerta de
enlace predeterminada. Todo el tráfico desde los PC hacia otra red tienen que ir primero
por el router principal y luego por el router standby para llegar a destino, lo cual resulta
ser una ruta de tráfico ineficiente.

14
 Objetos de Tracking en HSRP
En ciertos escenarios, el seguimiento de interfaz HSRP no puede proporcionar la ruta
óptima o proporcionar soluciones, incluso si los puerto de enlaces ascendentes se
encuentra abajo mediante tracking. Por tal motivo, el mecanismo de seguimiento de la
interfaz nativa HSRP puede reconocer las elecciones si la interfaz de enlace ascendente
falla, siempre cuando la preferencia también se encuentre implementada.

15
 Configuración Autenticación HSRP
La autenticación HSRP impide accesos no autorizados en capa 3 para los equipos que se
unan al grupo HSRP. Un dispositivo puede reclamar el rol de activo y puede evitar que los
host puedan comunicarse con el resto de la red, creando un ataque de denegación de
servicio (DoS). Un router no autorizado podría también podría reenviar todo el tráfico
desde todo los host, logrado un ataque de hombre en el medio.

La autenticación HSRP proporciona dos tipos:

• Autenticación en Texto Plano

• Autenticación con Algoritmo MD5.

16
Configuración Temporizadores HSRP
Un mensaje de saludo contiene la prioridad del router, el tiempo de saludo, y el tiempo
de espera. El valor de tiempo indica el intervalo entre los mensajes de saludo que el
router envía. El valor del parámetro de tiempo de espera indica cuanto tiempo se
considera el tiempo de saludo valido. El temporizador de tiempo de espera incluye un
parámetro de milisegundos para permitir procesos por debajo del segundo. La reducción
de los temporizadores genera un aumento del tráfico de mensaje de saludos, por ende,
debe utilizarse con precaución.

Si un router envía un mensaje de saludo, los routers receptores considera que el

mensaje de saludo es valido por un tiempo de espera. El valor de tiempo de espera debe
ser al menos tres veces que el tiempo de saludo. El valor de tiempo de espera debe ser
mayor que el tiempo de saludo.

17
 Versiones de HSRP
Existe dos versiones para HSRP disponible en la mayoría de los routers Cisco y switch de
capa 3: HSRPv1 y HSRPv2.

La versión 1 es una versión por defecto en los dispositivo Cisco. HSRPv2 es compatible
con las IOS 12.2 (46) SE. HSRPv2 permite números de grupo hasta 4095, lo que permite
utilizar varias VLAN como número de grupo. HSRPv2 debe estar habilitado en una interfaz
antes de que HSRP IPv6 pueda ser configurado.

HSRPv2 no puede operar con HSRPv1. Todos los dispositivos de un grupo HSRP deben
tener la misma versión configurada, de lo contrario, no se entenderán los mensajes de
saludo. Una interfaz no puede operar en versión 1 y 2 al mismo tiempo, ya que utilizan
parámetros distintos. HSRPv2 tiene un formato de paquete diferente. Se incluye un campo
de identificador de 6 bytes que se utiliza para identificar el remitente del mensaje por la
dirección MAC de la interfaz, haciendo más fácil al resolución de problemas.

18
Preguntas ¿?

19