CCNP SWITCH: Alta disponibilidad y redundancia, HSRP, VRRP Y GLBP

First Hop Redundancy Protocols: HSRP, VRRP Y GLBP son protocolos de redundancia de gateway, cuyo propsito es que si la puerta de enlace de una vlan o red cae, otro switch o router automticamente asuman el control de dicha puerta de enlace, evitando as una cada en la red para los equipos que usan esa gateway. El funcionamiento consiste en que un grupo de switchs, routers sean configurados para que entre ellos formen un router virtual, con una IP, en cuyo grupo un switch o router asume el control de principal, si este cae, otro switch o router del grupo asume su control con la misma IP, por lo que los usuarios cuya puerta de enlace sea esa IP, podrn continuar comunicndose sin problemas. HSRP, VRRP y GLBP se basan en ofrecer ese servicio, pero cada uno con caractersticas determinadas. HSRP (Hot Standby Router Protocol): HSRP es un protocolo propietario de Cisco. En HSRP un grupo de switch de capa 3 o routers forman uno virtual, con el fin de dar redundancia de puerta de enlace. Los switchs tienen dos roles, activo, que es el que est actuando como puerta de enlace activa de los equipos, y standby, que es el que en caso de que el activo caiga, el standby toma su rol y se convierte en activo. El activo ser el switch que tenga una prioridad mayor, por defecto todos switchs tienen una prioridad de 100, pero se puede cambiar. Si varios switchs tienen la misma prioridad, el activo ser el que tenga una IP mayor configurada en su interfaz. En standby slo puede haber un switch, que ser el siguiente en mayor prioridad al activo, o el siguiente en IP ms alta en su interfaz. Cuando el activo cae, el standby pasa a ser activo, y se recalcula otro standby en el grupo de switchs que forman el router virtual. Cuando se usa HSRP y STP a la vez, hay que tener en cuenta que el switch activo de HSRP sea el mismo que el switch root Bridge de STP, as nos evitamos problemas de bucles. Esto lo logramos poniendo a ese switch una prioridad HSRP mayor que la de los dems switchs del grupo. Para configurarlo seguimos estos pasos 1.- Accedemos a la interfaz (SVI) del switch para el cual queramos dar redundancia de puerta de enlace, con el comando interface vlan id desde el modo de configuracin global, por ejemplo, si queremos dar redundancia de gateway a los equipos pertenecientes a la vlan 10, entraremos a la SVI interface vlan 10 2.- Ponemos una IP a la interfaz con el comando ip address ip mascara dentro del modo de configuracin de la SVI. En caso de que los switchs tengan la misma prioridad, esta IP determinar quien ser el activo y el standby, la IP ms alta el activo y la segunda ms alta el standby. 3.- Creamos el grupo y la IP para el router virtual con el comando standby num grupo ip ip router virtual, dentro del modo de configuracin de la SVI. En num grupo ponemos el nmero de grupo al que pertenece esa interfaz para HSRP. Todos los switchs que tengan el mismo grupo configurado formarn el router virtual. En ip, ponemos la IP virtual, esta IP es la que tenemos que configurar a los equipos como puerta de enlace.

Se pueden configurar varios grupos en un mismo switch. Por ejemplo, el grupo 10 para la vlan 10 y el grupo 20 para la vlan 20. 4.- (OPCIONAL) Establecemos la prioridad del switch para ese grupo de HSRP, cuanta ms alta sea, ms opciones de que se convierta en activo. Si no configuramos la prioridad, se queda con el valor por defecto que es 100. Se hace con el comando standby num grupo priority valor, dentro del modo de configuracin de la SVI. 5.- (OPCIONAL) Se configura el preempt para el grupo. El preempt indica al switch que si se incorpora otro switch al grupo, con mayor prioridad que la que tiene el activo, el nuevo switch pase a ser activo Con el preempt activado se vuelven a recalcular el switch activo y el standby en caso de que un nuevo switch sea incorporado al grupo. Si no configuramos preempt, aunque se incorpore un switch con mayor prioridad al grupo, seguir como activo el que lo est siendo actualmente, sin preempt la nica forma de recalcular de nuevo el activo y el standby es que el activo caiga. Para configurarlo se usa el comando standby num grupo preempt, dentro del modo de configuracin de la SVI. 6.- (OPCIONAL) Podemos agregar autenticacin al grupo con el comando standby num grupo authentication password, dentro del modo de configuracin de la SVI. Cuando no se configura este parmetro, la contrasea usada por defecto entre los switchs es cisco. 7.- (OPCIONAL) Configurar los intervalos de tiempo con los que los switchs del grupo se envan los mensajes hello y holdtime. El holdtime es el tiempo que tiene que pasar para que un switch de por cado a otro si no ha recibido mensajes hello en ese tiempo. Si no se configura este comando, por defecto el tiempo de los mensajes hello es de 3seg y el del holdtime de 10seg. Para configurar los tiempos se usa el comando standby num grupo timers msec seg para hello msec seg para holdtime, dentro del modo de configuracin de la SVI. Por ejemplo, standby 10 timers msec 250 msec 750 establece un tiempo de hello de 250 msec y un tiempo de holdtime de 750msec para los switchs del grupo 10. 8.- (OPCIONAL) Configurar Tracking. Con el tracking lo que conseguimos es ajustar automticamente la prioridad del switch en caso de la alguna interfaz (las que configuremos con track) caiga. Por ejemplo, si un switch que esta como activo, tiene un enlace a Internet a travs de su Fa0/1, si esta interfaz cae, el switch seguira siendo activo pero no dara servicio a Internet porque el enlace esta cado. Lo que conseguimos con track, es bajar la prioridad del switch en caso de que alguna interfaz falle, de esta forma y con el ejemplo anterior, si la Fa0/1 cae, la prioridad del switch baja, y pasara a ser activo otro switch del grupo, que probablemente s tenga el enlace a Internet activo. Para que el track funcione correctamente tambin tenemos que tener activada la opcin preempt, para que pueda haber un cambio de switch activo. El track se configura con el comando standby num grupo track interfaz num de decremento de prioridad, dentro del modo de configuracin de la SVI. Por ejemplo, standby 10 track Fa0/1 50 indica que la prioridad del grupo se debe bajar en 50 para el grupo 10 si la interfaz fa0/1 falla.

EJEMPLO de configuracin completa para HSRP: En el ejemplo tenemos dos switchs, con los que configuraremos un router virtual para los equipos de la vlan 10, El switch A tiene lo configuraremos como activo con una prioridad de 110 y el switch B como standby con una prioridad de 90. Darn servicio de gateway redundante a la red 192.168.1.0, as que la IP debe de estar dentro de ese rango. El switch A que es el activo, a travs de su interfaz Fa0/24 tiene acceso a Internet, as que si este enlace falla, tenemos que bajar automticamente la prioridad al switch en 50, de tal forma que el B pase a ser el activo. La contrasea de autenticacin para el grupo tiene que ser prueba.

---- Configuracin del Switch A ---SwitchA(config)# interface vlan 10 Entramos a la configuracin de la interfaz de la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway redundante. SwitchA(config-if)# ip address 192.168.1.2 255.255.255.0 Establecemos una IP a la interfaz SVI SwitchA(config-if)# standby 10 ip 192.168.1.1 Aadimos el switch al grupo HSRP 10 e indicamos la IP virtual del grupo, esta IP es la que se tiene que configurar en los equipos de la vlan 10 como puerta de enlace. SwitchA(config-if)# standby 10 priority 110 Configuramos la prioridad del switch. SwitchA(config-if)# standby 10 preempt Activamos el preempt, necesario para que si se encuentra otro switch en el grupo con prioridad mayor, pase a ser activo (en este caso si la interfaz fa0/24 falla se baja en 50 la prioridad, as que el switch B pasara a ser activo). SwitchA(config-if)# standby 10 authentication prueba Definimos la autenticacin SwitchA(config-if)# standby 10 track fa 0/24 50 Configuramos el tracking para la interfaz 0/25, si falla, se baja en 50 la prioridad del switch. ---- Configuracin del Switch B ---SwitchB(config)# interface vlan 10 Entramos a la configuracin de la interfaz de la vlan 10 ya que es a los equipos de esta vlan a los que queremos dar un gateway redundante. SwitchB(config-if)# ip address 192.168.1.3 255.255.255.0 Establecemos una IP a la interfaz SVI SwitchB(config-if)# standby 10 ip 192.168.1.1 Aadimos el switch al grupo HSRP 10 e indicamos la IP virtual del grupo, esta IP es la que se tiene que configurar en los equipos de la vlan 10 como puerta de enlace. SwitchB(config-if)# standby 10 priority 90 Configuramos la prioridad del switch.

SwitchB(config-if)# standby 10 preempt Activamos el preempt, necesario para que si se encuentra otro switch en el grupo con prioridad mayor, pase a ser activo. SwitchB(config-if)# standby 10 authentication prueba Definimos la autenticacin Comando de ayuda para HSRP: Switch# show standby brief Muestra informacin sobre los grupos configurados, si el switch esta como activo en algn grupo, ip virtual de cada grupo etc. Switch# show standby Muestra informacin ms detallada sobre todos los grupos de HSRP que tengamos configurados en el switch. VRRP (Virtual Router Redundancy Protocol): La finalidad de VRRP es la misma que la de HSRP, dar servicio de redundancia de gateway, con varias diferencias HSRP es propietario de Cisco, VRRP es un IEEE estndar. En HSRP se pueden configurar 16 grupos como mximo, en VRRP 255. HSRP usa un switch como activo y otro como standby, VRRP usa un switch como mster, y todos los dems como backups. Los tiempos de hello y holdtime son ms cortos en VRRP. VRRP soporta encriptacin en la autenticacin (HMAC/MD5). Cuando el switch que esta como mster cae, uno de los que est en backup toma el rol de mster, para determinar que switch toma el control, se lleva a cabo un clculo entre todos ellos en los que entran en juego diferentes intervalos de tiempo como el skew time la prioridad etc. En definitiva, todos los switchs hacen un clculo, y a el que menos tiempo le de, es el primero en enviar paquetes al resto de switchs, por lo cual se convierte en mster. Los intervalos de tiempo de hello tambin se pueden configurar en VRRP, a diferencia de HSRP, en VRRP se configuran en el mster y los backups aprenden esos intervalos del mster. Pasos para configurar VRRP 1.- Accedemos a la interfaz (SVI) del switch para el cual queramos dar redundancia de puerta de enlace, con el comando interface vlan id desde el modo de configuracin global, por ejemplo, si queremos dar redundancia de gateway a los equipos pertenecientes a la vlan 10, entraremos a la SVI interface vlan 10 2.- Ponemos una IP a la interfaz con el comando ip address ip mascara dentro del modo de configuracin de la SVI. 3.- Habilitamos VVRP en la interfaz con el comando vrrp num grupo ip ip virtual, dentro del modo de configuracin de la interfaz. 4.- (OPCIONAL) Definimos la prioridad del Switch para ese grupo con el comando vrrp num grupo priority prioridad, dentro del modo de configuracin de la interfaz. Si no se configura este comando, la prioridad por defecto es 100 para todos los switch, en ese caso pasara a ser mster el que mayor IP tenga configurada en su interfaz.

5.- (OPCIONAL) Definimos los intervalos de tiempo de hello. Para ello en mster lo hacemos con el comando vrrp num grupo timers advertise msec seg y los backups con el comando vrrp num grupo timers learn, para que lo aprendan del mster. EJEMPLO de configuracin completo de VRRP. En el ejemplo tenemos 2 switchs que darn servicio de puerta de enlace redundante a los equipos de la vlan 1. El switch A tiene que ser el mster con una prioridad de 110 y el Switch B el backup con una prioridad de 90. La IP del router virtual tiene que ser 10.0.2.254.

---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 10 Interfaz de la vlan a la cual se le dar puerta de enlace redundante SwitchA(config-if)# ip address 10.0.2.1 255.255.255.0 Ip de la interfaz de la vlan 10 SwitchA(config-if)# vrrp 10 ip 10.0.2.254 Ip virtual para el grupo 10 de vrrp, Es la IP que se le tiene que configurar a los equipos como puerta de enlace. SwitchA(config-if)# vrrp 10 priority 110 La prioridad del switch para el grupo 10 SwitchA(config-if)# vrrp 10 timers advertise msec 500 El intervalo en msec de envo de mensajes. ---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 10 Interfaz de la vlan a la cual se le dar puerta de enlace redundante SwitchB(config-if)# ip address 10.0.2.2 255.255.255.0 Ip de la interfaz de la vlan 10 SwitchB(config-if)# vrrp 10 ip 10.0.2.254 Ip virtual para el grupo 10 de vrrp, Es la IP que se le tiene que configurar a los equipos como puerta de enlace. SwitchB(config-if)# vrrp 10 priority 90 La prioridad del switch para el grupo 10 SwitchB(config-if)# vrrp 10 timers learn Aprender del mster los tiempos que tiene que aplicar para el intercambio de mensajes entre los switchs del grupo.

Comandos de ayuda para VRRP: Switch# show vrrp interface vlan id vlan Muestra todos los detalles de vrrp para la interface de la vlan seleccionada, estado, ip virtual, mac, prioridad etc. Balanceo de carga en HSRP y VRRP: HSRP y VRRP dan servicio de puerta de enlace redundante de la misma forma, ambos crean un router virtual, formado por varios switchs que se integran en el mismo grupo y con la misma IP virtual. El problema es que ambos protocolo slo usan uno de esos switchs como activo o mster, es decir, todo el trfico pasa por ese switch, y si cae, se reenva a otro, que sera el que toma el rol de activo o mster. Por lo tanto, HSRP y VRRP como protocolos en s no ofrecen balanceo de carga. Podemos lograr un balanceo de carga en el que participen dos switchs, con HSRP y VRRP pero tenemos que configurarlo de forma manual, para ello, usamos dos grupos dentro de la misma interfaz, por ejemplo la interface vlan 10, y configuramos dos Ips virtuales dentro del mismo rango. Con dos IPS virtuales dentro del mismo rango, logramos que por ejemplo para una vlan de 100 equipos, 50 equipos salgan a travs de un switch y los otros 50 a travs del otro. Lo malo es que tenemos que configurar como puerta de enlace en 50 equipos una ip virtual, y en los otros 50 la otra IP virtual. Por ltimo, tenemos que hacer un Switch como activo o mster de un grupo (por ejemplo grupo A), y standby o backup del otro (Grupo B) Y el otro switch a la inversa, activo o mster del grupo B, y standby o backup del grupo A. Para lograr esto jugamos con las prioridades de ambos switchs en ambos grupos. Ejemplo de balanceo de carga con VRRP:

Se crean dos grupos (10 y 11) para la vlan 10, con dos ips virtuales dentro de la misma subred (10.0.0.1 y 10.0.0.2) y se configura un switch para que sea mster del grupo 10 y backup del 11. El otro switch se configura a la inversa, mster de 11 y backup de A. Los clientes se configuran con puertas de enlace de los dos routers virtuales. Si por ejemplo, El switch B cae, los equipos 3 y 4 podran seguir teniendo acceso a la red, porque el Switch A se colocara como mster del grupo 11 (estaba como backup). GLBP (Gateway Load Balancing Protocol): GLBP es otro protocolo de puerta de enlace redundante como HSRP y VRRP, pero la principal diferencia es que GLBP s ofrece balanceo de carga por s solo entre varios switchs. Para lograr esto, a parte de una IP virtual, tambin es necesaria una MAC virtual para cada uno de los switchs del grupo. De esta forma todos tendran la misma IP virtual pero diferentes MACA los equipos se les configura como puerta de enlace la IP virtual, y cuando estos hagan un ARP a esa IP (la primera comunicacin que hacen) se les devuelve una MAC de algn switch miembro del grupo de GLBP, de esta forma todos los equipos tendran como puerta de enlace la misma IP, pero no saldran todos a travs del mismo switch ya que en las respuestas del ARP a cada equipo se le habr entregado una MAC diferente. Por ejemplo, si tenemos 3 switchs (A, B y C) formando un grupo de BLGP, los 3 tendrn la misma IP virtual, pero cada uno una MAC virtual diferente Si tenemos 3 equipos en la vlan, a los 3 se les configurar la misma IP como puerta de enlace, pero obtendrn diferentes MAC, al equipo 1 se le dar la MAC del switch A, por lo tanto el equipo 1 se comunicar a travs de ste switch, a el equipo 2 se le dar la MAC del switch B, por lo tanto se comunicar a travs del switch B y as sucesivamentelogrando el balanceo de carga.

Entre los switchs del mismo grupo de BLGP se selecciona a uno como AVG (Active virtual gateway) y a todos los dems del grupo como AVF (Active virtual forwarder). El AVG ser el encargado de asignar MACs virtuales a los switchs de su mismo grupo, y tambin es el encargado de responder a las peticiones ARP de los equipos. A los equipos que soliciten un ARP se les da una MAC de forma consecutiva, es decir, si por ejemplo tenemos 3 switchs (A, B y C) y 6 equipos, al primer equipo que solicite un ARP, se le dar la MAC de A, al segundo la MAC de B, al tercero la MAC de C, al cuarto la MAC de A, al quinto la MAC de B y al sexto la MAC de C. Si algn switch cae, su MAC virtual es asignado a otro switch, de tal forma que algn switch tendra ms de una MAC virtual, de esta manera no hay equipos que se queden sin red. Ejemplo de BLGP.

Pasos para configurar BLGP 1.- Acceder a la interfaz SVI en la cual crearemos el grupo BLGP, con el comando interface vlan id, dentro del modo de configuracin global. 2.- Asignar una IP a la interfaz con el comando ip address ip mascara, dentro del modo de configuracin de la intefaz. 3.- Aadir la interfaz a blgp, configurando un numero de grupo y la ip virtual, con el comando glbp num grupo ip virtual, dentro del modo de configuracin de la intefaz. 4.- (OPCIONAL) Se configura el preempt, para en caso de que algn switch con mayor prioridad se incorpore al grupo, pueda convertirse en AVG. El preempt se configura sobre todo cuando tambin se configura el tracking sobre algunas interfaces, para si estas fallan, se baje la prioridad del switch y otro pueda convertirse en AVG. Lo hacemos con el comando blgp num grupo preempt, dentro del modo de configuracin de la intefaz. 5.- (OPCIONAL) Definimos la prioridad del Switch para ese grupo con el comando blgp num grupo priority prioridad, dentro del modo de configuracin de la interfaz. Si no

se configura este comando, la prioridad por defecto es 100 para todos los switch, en ese caso pasara a ser AVG el que mayor IP tenga configurada en su interfaz. 6.- (OPCIONAL) Definimos los intervalos de tiempo de hello y holdtime. lo hacemos con el comando blgp num grupo timers msec hello msec holdtime, dentro del modo de configuracin de la intefaz. 7.- (OPCIONAL) Definimos la autenticacin, con el comando glbp num grupo authentication md5 keystring password, dentro del modo de configuracin de la intefaz. 8.- (OPCIONAL) Configurar tracking para si alguna interfaz cae, bajar la prioridad del switch. EJEMPLO de configuracin completo para BLGP: En el ejemplo configuramos 2 switchs para que usen BLGP en la vlan 1. El switch A actuara como AVG con una prioridad de 90, y el switch B como AVF con una prioridad de 80, la IP virtual que se usa es la 10.88.1.10. Las MACS virtuales son asignadas por el AVG. La clave de autenticacin para el grupo tiene que ser prueba. El tiempo de hello de 200msec y el holdtime de 800msec. Si se incorpora un switch con mayor prioridad que el AVG, que se convierta en AVG

---- Configuracin en el Switch A ---SwitchA(config)# interface vlan 1 Interfaz de la vlan a la cual se le dar puerta de enlace redundante SwitchA(config-if)# ip address 10.88.1.1 255.255.255.0 Ip de la interfaz de la vlan 1 SwitchA(config-if)# blgp 1 10.88.1.10 Ip virtual para el grupo 1 de blgp, Es la IP que se le tiene que configurar a los equipos como puerta de enlace. SwitchA(config-if)# blgp 1 priority 90 La prioridad del switch para el grupo 1 SwitchA(config-if)# blgp 1 preemtp Para si se incorpora un switch con mayor prioridad, que se convierta en AVG. SwitchA(config-if)# blgp 1 timers msec 200 msec 800 El intervalo en msec de envo de mensajes hello y el holdtime. SwitchA(config-if)# blgp 1 authentication md5 keystring prueba La autenticacin a usar entre los switchs miembros del grupo.

---- Configuracin en el Switch B ---SwitchB(config)# interface vlan 1 Interfaz de la vlan a la cual se le dar puerta de enlace redundante SwitchB(config-if)# ip address 10.88.1.2 255.255.255.0 Ip de la interfaz de la vlan 1 SwitchB(config-if)# blgp 1 10.88.1.10 Ip virtual para el grupo 1 de blgp, Es la IP que se le tiene que configurar a los equipos como puerta de enlace. SwitchB(config-if)# blgp 1 priority 80 La prioridad del switch para el grupo 1 SwitchB(config-if)# blgp 1 preemtp Para si se incorpora un switch con mayor prioridad, que se convierta en AVG. SwitchB(config-if)# blgp 1 timers msec 200 msec 800 El intervalo en msec de envo de mensajes hello y el holdtime. SwitchB(config-if)# blgp 1 authentication md5 keystring prueba La autenticacin a usar entre los switchs miembros del grupo.