Cisco – Présentation et implémentation de HSRP (v1 – v2 & for IPv6)

 

HSRP pour Hot Standy Router Protocol est une technologie conçu par Cisco dans le but de permettre une reprise de service du routage en cas de défaillance. HSRP permet de garantir une continuité de service si une anomalie survient dans le cadre l’utilisation de la passerelle sur un réseau utilisant des équipements Cisco.

Il est tout de même nécessaire de rappeler plusieurs choses :

  • Cette technologie est propriétaire Cisco
  • HSRP n’est pas un protocole de routage.
  • HSRP présente des similitudes avec VRRP.

Une RFC est associé à cette technologie, la RFC 2281 contient le détail du fonctionnement du protocol HSRP. Attention cette RFC n’est pas un standard, mais uniquement une RFC d’information.

Existe-t-il des technologies  équivalentes ?

Il existe effectivement plusieurs technologies qui sont propriétaires ou non. Ci-dessous une liste de technologies similaire au protocole HSRP :

Propriétaire

  • GLBP : Gateway Load Balancing Protocol est une évolution d’HSRP avec une gestion aussi bien actif/passif qu’actif/actif du service de passerelle (voir le post à ce sujet : http://aghiles.fr/archives/139)
  • NSRP : NeStcreen Redundancy  protocol offer un service équivalant à HSRP sur la gamme de produit Netscreen, avec une gestion actif/actif, ce que ne fait pas HSRP.
  • ESRP : Extreme Standby Routing Protocol est une fonctionnalité similaire à HSRP, mais reste une technologie propriétaire Extreme Network.
  • FSRP : Foundry Standby Router Protocol est une technologie développé par Foundry Network dans le but d’assurer le même type de service.
  • Etc ……..

Standard ou open source :

  • VRRP : Virtual Router Redundancy Protocol RFC 3768
  • CARP : Common Address Redundancy Protocol est un protcole Opend Source développé dans le but d’être une alternative libre à HSRP (problème de brevet Cisco). Disponible sous open BSD.
  • UCARP : Similaire à CARP pour les environnements GNU/Linux.

Quelles sont les différences entre HSRP v1, V2 et HSRP for IPV6:

Ce chapitre a pour objectif de décrire les différentes versions du protocole HSRP. Ces différentes versions présente s chacune des particularités qui leurs sont propres. De plus ces différentes version n’offre pas de compatibilité biunivoque.

HSRP version 1:

Cette version fut la première du protocole et par défaut sur les équipements Cisco.

Premièrement cette version communique via l’adresse IP MULTICAST 224.0.0.2. Attention l’utilisation de la version 1 de HSRP présente un risque de conflit d’adresse avec CGMP/IGMP qui utilise la même adresse.

La version 2 a permis par le biais de la révision du protocole une correction de ce problème.

Le nombre de groupe HSRP pouvant être mis en œuvre est compris entre 0 et 255.

HSRP version 2 :

Cette seconde version d’HSRP a vu le format de la trame évoluer en raison des évolutions de la technologie.

La version 2 du protocole permet une convergence bien plus rapide que celle de la version 1, elle est capable de converger en plusieurs dizaines ou centaines de millisecondes.

Le nombre de groupe HSRP admissible est passé de 256 (valeur 0 à 255) à  4096 (valeur 0 à 4095).

Les messages Hello ne sont plus émis via l’adresse 224.0.0.2 mais via l’adresse 224.0.0.102.

HSRP ipv6 :

Cette version d’HSRP doit contribuer à la disponibilité du service de passerelle sur un réseau IPV6. Le format d’une trame HSRP pour IPV6 est similaire au format d’une trame HSRP pour ipv4 en version 2.

  • 0005.73A0.0000 through 0005.73A0.0FFF (4096 addresses)
  • Adresse IP : FF02::66
  • UDP : Port 2029 (HSRP for IPV6)

Identifier HSRP sur un réseau :

HSRP utilise UDP en couche transport pour échanger les informations entre différents équipements d’un groupe :

  • UDP : Port 1985 (HSRP v1 & v2)
  • UDP : Port 2029 (HSRP v2 for IPV6)

HSRP est identifié comme étant le protocole IP, voir la valeur ci-dessous :

  • IP numéro : 17 (valeur correspondant au protocole UDP)

Comme indiqué les échanges HSRP se font via le mode MULTICAST, ci-dessous les adresses :

  • Adresse ip multicast : 224.0.0.2 (version 1)
  • Adresse ip multicast : 224.0.0.102 (version 2)
  • Adresse ip multicast : FF02::66 (version 2 ipv6)
  • La valeur du TTL (Time To live) est fixée par défaut à 1

Les adresses HSRP sont identifiable en couche 2 par une adresse mac disposant du format suivant :

  • HSRP V1 – Mac : 0000.0c07.ACXX, soit XX la valeur du groupe HSRP au format Hexadécimal HSRPV1
  • HSRP V2 –  Mac : 0000.0C9F.FXXX, soit XX la valeur du groupe HSRP au format Hexadécimal, soit 4096 adresses possibles.
  • HSRP IPV6 – Mac : 0005.73A0.0XXX (soit 4096 adresses)

Le fonctionnement de la technologie :

Afin d’assurer la disponibilité du service de passerelle, HSRP nécessite la mise en œuvre d’un minimum de deux équipements. Deux rôles prédomine dans le cadre du fonctionnement de cette technologie, le premier celui du routeur dit actif, le second celui du routeur dit passif.

Figure:

  • v  Le routeur actif « assure le service » :

Dans le cadre de la mise en œuvre du mécanisme, l’équipement actif est celui qui assure la fonction de passerelle pour l’ensemble des utilisateurs (dans le cas actif passif) ou d’un volume partiel (dans le cas d’un partage de la charge manuel).

La notion de partage de charge avec la technologie HSRP nécessite des actions manuelles afin d’identifier quelle est la portion d’utilisateur appartenant à l’un ou l’autre des équipements (routeur actif).

  • v  Le routeur passif « mis en veille »:

Le routeur passif fait office d’équipement de secours dans la cadre de la fourniture du service de passerelle. L’équipement « standby » sera l’équipement privilégié dans le cadre d’une reprise de service suite à la défaillance de l’équipement actif.

  • v  Le groupe « standby » :

La valeur du « standby group » permet à un routeur de connaitre le groupe virtuel d’appartenance. Cette valeur consiste à identifier et par la même occasion isoler les différents groupes HSRP présent sur un même pool d’équipement ou partageant un domaine de broadcast.

  • v  Le Hello time :

Le Hello time représente l’intervalle de temps pour l’envoi de paquets de type Hello par l’équipement primaire au secondaire. La valeur par défaut est de 3 secondes.

Cette valeur peut être réduite, cependant il est nécessaire de fixer des valeurs cohérentes afin de ne pas pénaliser la production.

  • v  Le Hold time :

Le holdtime représente l’intervalle de temps nécessaire à l’équipement primaire en cas d’un changement d’état, afin de lui permettre de reprendre son état initial. Ce champ est réellement utile dans le cas où la fonction preempt est implémentée.

La carte d’identité réseaux du protocole HSRP :

Format de la trame HSRP V1:

1                   2                   3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|   Version     |   Op Code     |     State     |   Hellotime   |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|   Holdtime    |   Priority    |     Group     |   Reserved    |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                      Authentication  Data                     |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                      Authentication  Data                     |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|                      Virtual IP Address                       |

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

Les champs de la trame en V1 :

  • Version (8 bits):

Ce champ permet d’identifier la version d’HSRP en production.

  • Op code (8 bits):

o   Hello : Ce message permet de garantir le bon fonctionnement du service sur le routeur et permet d’identifier le routeur (actif ou passsif).

o   Coup : Indique que le routeur souhaite devenir le routeur actif.

o   Resign : Indique que le routeur ne souhaite plus devenir le routeur actif.

  • State (8 bits):

Permet d’identifier l’état de l’équipement en fonction d’un message d’état reçu ou bien d’un comportement à un instant donnée du système.

0 initial : Etat identifiant que HSRP n’est pas encore actif, mais est en passé d’apprendre suite à l’activation de l’interface.

1 learn : Etat indiquant que le routeur n’a pas de rôle assigné (pas d’ip virtuelle)  et en attente d’un HELLO pour connaitre son rôle.

2 listen : Etat spécifiant que l’équipement a reçu une IP virtuel mais ne connait pas encore son rôle dans le groupe, reste en attente du HELLO.

4 speak : Le routeur à reçu le paquet HELLO qui lui permettra de connaitre son rôle dans le groupe (soit actif ou passif).

8 standby : Cet état indique que l’équipement est désigné comme routeur passif et que les HELLO en provenance de l’équipement actif sont  bien reçus. Un seul routeur peut être passif dans un même groupe.

16 active : Cet état indique que l’équipement est désigné comme routeur actif et que les HELLO en provenance de l’équipement actif sont  bien reçus. Un seul routeur peut être actif dans un même groupe.

  • Hellotime(8 bits):

Le Hello time représente l’intervalle de temps pour l’envoi de paquets de type Hello par l’équipement primaire au secondaire. La valeur par défaut est de 3 secondes.

Cette valeur peut être réduite, cependant il est nécessaire de fixer des valeurs cohérentes afin de ne pas pénaliser la production.

  • Holdtime(8 bits):

Le holdtime est un champ définissant un intervalle de temps nécessaire à l’équipement primaire en cas d’un changement d’état pour reprendre son état initial. Ce champ est réellement utile dans le cas ou la fonction preempt utilisée par le protocole.

  • Priority(8 bits):

Ce champ est utilisé pour déterminer en fonction de sa valeur quel routeur sera actif ou passif. La valeur la plus élevée est considéré comme prioritaire, donc le routeur ayant le poids le plus fort sera nommé routeur actif, tandis qu’un routeur disposant d’un poids plus faible sera considéré comme passif.

  • Group (8 bits):

Ce champ permet d’identifier la valeur du groupe HSRP.

  • Reserved(8 bits):

Champ réservé pour une utilisation future.

  • Authentication data :

Ce champ contient , 8 carac max pour le mot de passe.

  • Virtual IP Adress :

Cette adresse IP est annoncé par les routeurs HSRP aux clients afin d’éviter la dépendance à un équipement particulier annonçant une IP configuré sur une interface physique. Cette adresse présente la particularité d’être flottante (adresse non associé à une interface).

Exemple capture d’une trame sous wireshark:


Format  et champs de la trame HSRP V2 et IPV6:

HSRP v2 intégre deux champs supplémentaire dans la trame. Ces deux champs sont « identifier » et « TLV, (Type Length Value) »

  • Identifier (6 octets): Permet d’identifier l’adresse MAC  de l’émetteur d’un message.
  • TLV : Intégration du format type length value
Exemple format pour IPV4:

Exemple format pour IPV6:

Ci-dessous le format de la trame pour un paquet HSRP pour IPV6, vous constaterez que le format est identique, hormis le format des adresses IP passant sous le modèle IPV6.

Implémentation sur des routeurs Cisco :

Implémentation sur des routeurs de HSRP v2: (HSRP v1):

L’implémentation de ce mécanisme est relativement simple, ci-dessous les différentes étapes permettant de le mettre en œuvre.

Les étapes de la configuration :

  1. Passer en mode privilégié.
  2. Passer en mode de configuration globale.
  3. Passer en mode de configuration d’interface.
  4. Affecter une adresse ip à l’interface.
  5. Spécifier la version d’HSRP, en l’occurrence ne rien mettre, HSRP V1 est la valeur par défaut.
  6. Définir la valeur du groupe HSRP puis spécifier l’adresse IP.

Ce qui donne :

  1. R2>Enable
  2. R2#configure terminal
  3. R2(config)#configinterface type number
  4. R2(config-if)#ip address ip-address mask
  5. R2(config-if)#standby version {1 | 2}
  6. R2(config-if)#standby [group-number] ip [ip-address [secondary]]

Les fichiers contenant la configuration :

Router R1 :

Current configuration : 1156 bytes
!
! Last configuration change at 23:48:52 UTC Sat Jan 15 2011
!
upgrade fpd auto
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
key chain hsrp
key 1
key-string hsrp
!
!
redundancy
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Ethernet1/0
ip address 192.168.2.1 255.255.255.0
duplex full
standby 0 ip 192.168.2.254
standby 0 preempt delay minimum 1
standby 0 authentication md5 key-string hsrp
standby 0 name lan
no shut
!
!
………………………………………….
end

Router R2 :

Current configuration : 1156 bytes
!
! Last configuration change at 23:48:52 UTC Sat Jan 15 2011
!
upgrade fpd auto
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
key chain hsrp
key 1
key-string hsrp
!
!
redundancy
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Ethernet1/0
ip address 192.168.2.2 255.255.255.0
duplex full
standby 0 ip 192.168.2.254
standby 0 preempt delay minimum 1
standby 0 authentication md5 key-string hsrp
standby 0 name lan
!
!
interface Ethernet1/1
ip address 192.168.1.50 255.255.255.0
shutdown
duplex half
!
!
………………………..
!
end
R2#

Implémentation sur des routeurs de HSRP v2:

L’implémentation est identique à celle de HSRP version 1, cependant il est nécessaire de préciser la version du protocole si l’on souhaite utiliser la version 2

Exemple ci-dessous :

interface Ethernet1/0
standby version 2
ip address 192.168.2.2 255.255.255.0
duplex full
standby 0 ip 192.168.2.254
standby 0 preempt delay minimum 1
standby 0 timers 3  9
standby 0 authentication md5 key-string hsrp
standby 0 name lan

Implémentation sur des routeurs de HSRP for IPV6:

L’implémentation de la version pour IPV6 est similaire aux autres à l’exception du format d’adressage et des options d’activation d’IPV6.

Les étapes de la configuration :

Routeur>enable
Routeur#configure terminal
Routeur#(conf-if)ipv6 unicast-routing
Routeur#(conf-if)interface type number
Routeur#(conf-if)standby [group-number] ipv6 {ipv6-global-address | ipv6-address/prefix-length | ipv6-prefix/prefix-length | link-local-address | autoconfig}
Routeur#(conf-if)standby [group-number] preempt [delay {minimum seconds | reload seconds | sync seconds}]
Routeur#(conf-if)standby [group-number] priority priority

La configuration ci-dessous :

Router R1 :

Current configuration : 1156 bytes
!
! Last configuration change at 23:48:52 UTC Sat Jan 15 2011
!
upgrade fpd auto
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
ip cef
!
!
ipv6 unicast-routing
ipv6 cef
!
multilink bundle-name authenticated
!
!
key chain hsrp
key 1
key-string hsrp
!
!
redundancy
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Ethernet1/0
no ip address
duplex full
ipv6 address autoconfig
standby version 2
standby 0 ipv6 autoconfig
standby 0 priority 110
standby 0 preempt
!
!
!
!
………………………………………….
end

 

Router R2 :

Current configuration : 1156 bytes
!
! Last configuration change at 23:48:52 UTC Sat Jan 15 2011
!
upgrade fpd auto
version 15.0
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname R2
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
!
ip source-route
ip cef
!
!
no ipv6 cef
!
multilink bundle-name authenticated
!
!
key chain hsrp
key 1
key-string hsrp
!
!
redundancy
!
!
interface FastEthernet0/0
no ip address
shutdown
duplex half
!
!
interface Ethernet1/0
ip address 192.168.2.2 255.255.255.0
duplex full
standby 0 ip 192.168.2.254
standby 0 preempt delay minimum 1
standby 0 authentication md5 key-string hsrp
standby 0 name lan
!
!
interface Ethernet1/1
ip address 192.168.1.50 255.255.255.0
shutdown
duplex half
!
!
………………………..
!
end
R2#

Sécuriser la mise en œuvre du protocole :

HSRP n’offre pas nativement de moyen d’échange sécurisé des messages d’états. Il est nécessaire d’utiliser l’option d’authentification afin de limiter l’impact d’une attaque sur l’implémentation du protocole.

La méthode la plus connue est l’utilisation d’une clé partagée entre les différents routeurs participants au groupe HSRP.

Les implémentations :

Cisco propose deux méthodes :

  • L’utilisation d’un échange de clé en texte claire :
  • L’utilisation d’un échange de clé avec un HASH MD5 pour chiffrement.
  • Filtrer les annonces entre les deux routeurs.
  • Chiffrer les communication entre les deux équipements (GETVPN par exemple).

L’utilisation d’un échange de clé en texte claire :

Cette solution repose sur un principe simple, identifier le voisin par le biais d’une simple vérification de champs contenant un mot clé attendu. Cependant ce mode de fonctionnement rend visible le contenu du champ « authentication », ceci devenant un facteur de risque.

Ci-dessous la capture d’une trame HSRP (HELLO) qui montre clairement le risque associé à ce mode de fonctionnement.

Voir le résultat ci-dessous :

L’utilisation d’un échange de clé protégé par un hash MD5 :

L’utilisation d’un échange de la clé par le biais d’un hachage de mot clé par MD5 est similaire à la première méthode, cependant celle-ci offre l’avantage de ne pas rendre lisible la clé échangé.

Voir le résultat ci-dessous :

Filtrer les annonces entre les deux routeurs par des ACL

Ce principe est une étape supplémentaire dans la sécurisation de l’infrastructure contre les attaques HSRP. La mise en œuvre est relativement simple est efficace. L’objectif est de limiter la source des échanges HSRP entre les deux équipements participant au groupe.

La mise en oeuvre:

Mise en œuvre via la méthode en claire

Sécuriser les échanges par un une clé partagée.

La configuration via un échange en claire:

R2(config-if)#standby 0 authentication ?
WORD  Plain text authentication string
md5   Use MD5 authentication
text  Plain text authentication
R2(config-if)#standby 0 authentication cisco

 

  • Vérification de l’application du paramètre:

Comme vous pouvez le constater le champ « authentication » n’apparait pas, cependant une capture de trame permet de prouver le contraire.

La configuration avec échange sécurisé (MD5):

R2(config-if)#standby 0 authentication ?

WORD  Plain text authentication string

md5   Use MD5 authentication

text  Plain text authentication

R2(config-if)#standby 0 authentication cisco

  • Vérification de l’application du paramètre:

R1#sh standby

Ethernet1/0 – Group 0 (version 2)

State is Active

8 state changes, last state change 00:32:18

Virtual IP address is 192.168.2.254

Active virtual MAC address is 0000.0c9f.f000

Local virtual MAC address is 0000.0c9f.f000 (v2 default)

Hello time 3 sec, hold time 10 sec

Next hello sent in 1.664 secs

Authentication MD5, key-string

Preemption enabled, delay min 1 secs

Active router is local

Standby router is 192.168.2.2, priority 100 (expires in 8.336 sec)

Priority 150 (configured 150)

Track object 1 state Up decrement 70

Group name is « lan » (cfgd)

Voir le résultat ci-dessous :

Configurer le Filtrage des annonces entre les deux routeurs par des ACL.

La première étape consiste à identifier les adresses logiques des interfaces physiques concernées.

La seconde étape consiste à mettre en œuvre les access-list.

La dernière étape consiste à appliquer l’access-list à l’interfaces concernées.

La format de l’accès liste :

IPv4 pour HSRP V1 et v2 :

La syntaxe de l’access-list:

permit udp « source_ip » « wildcard_mask » host « dst_ip_multicast » eq « udp_hsrp_port »

Ci-dessous un exemple de mise en œuvre d’un filtrage d’HSRP pour une implémentation IPV4:

R1(config)#
R1(config-ipv6-acl)#permit udp 192.168.2.1 0.0.0.0 host 224.0.0.2 eq 1985
R1(config)#interface ethernet1/0
R1(config-if)#ip access-group 100 in

IPv6 pour HSRP for IPV6 :

Ci-dessous un exemple de mise en œuvre d’un filtrage d’HSRP pour une implémentation IPV6:

Switch(config)# ipv6 access-list filter_hsrp
R1(config-ipv6-acl)# permit udp host FE80::C802:FF:FECC:1C host FF02::66 eq 2029
R1(config-if)#ipv6 ipv6 traffic_filter filter_hsrp in

 

Diagnostique du protocole HSRP V1 & V2 et for IPV6:

Les commandes de diagnostique de HSRP :

Ce chapitre présente un ensemble de commande permettant de procéder au diagnostic du protocole HSRP.

Show standby brief

Nature de la commande :

Cette commande permet d’avoir une visualisation synthétique de la mise en œuvre d’HSRP.

R1#sh standby brief
P indicates configured to preempt.
|
Interface   Grp  Pri P State   Active          Standby         Virtual IP
Et1/0       0    100 P Active  local           192.168.2.2     192.168.2.254

 

Exemple pour IPV6 :

La commande est identique, seul le format de l’adresse change.

R1#sh standby brief
P indicates configured to preempt.
|
Interface   Grp  Pri P State   Active          Standby                               Virtual IP
Et1/0       0    100 P Active  local           FE80::C802:FF:FECC:1C           FE80::5:73FF:FEA0

Show standby <interface>

Nature de la commande :

Cette commande permet de consulter l’application des paramètres HSRP pour une interface donnée.

R1#sh standby eth1/0
Ethernet1/0 – Group 0
State is Active
2 state changes, last state change 00:57:28
Virtual IP address is 192.168.2.254
Active virtual MAC address is 0000.0c07.ac00
Local virtual MAC address is 0000.0c07.ac00 (v1 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 1.424 secs
Authentication MD5, key-string
Preemption enabled, delay min 1 secs
Active router is local
Standby router is 192.168.2.2, priority 100 (expires in 9.920 sec)
Priority 100 (default 100)
Group name is « lan » (cfgd)

debug standby terse

Nature de la commande :

Cette commande est une conbinaison de plusieurs debug HSRP. Cette commande contient les debug errors, events, and packets.

R1#debug standby terse
HSRP:
HSRP Errors debugging is on
HSRP Events debugging is on
(protocol, neighbor, redundancy, track, arp, interface)
HSRP Packets debugging is on
(Coup, Resign)
R1(config-if)#
*Jan 22 18:30:29.047: HSRP: Et1/0 Interface going DOWN
*Jan 22 18:30:29.051: HSRP: Et1/0 Grp 0 Resign out 192.168.2.1 Active  pri 100 vIP 192.168.2.254
*Jan 22 18:30:29.067: HSRP: Et1/0 Interface DOWN
*Jan 22 18:30:29.067: HSRP: Et1/0 Grp 0 Active: b/HSRP disabled
*Jan 22 18:30:29.071: HSRP: Et1/0 Grp 0 Active router is unknown, was local
*Jan 22 18:30:29.071: HSRP: Et1/0 Grp 0 Active -> Init
*Jan 22 18:30:29.075: %HSRP-5-STATECHANGE: Ethernet1/0 Grp 0 state Active -> Init
*Jan 22 18:30:29.075: HSRP: Et1/0 Grp 0 Redundancy « lan » state Active -> Init
*Jan 22 18:30:29.083: HSRP: Et1/0 Grp 0 Removed 192.168.2.254 from ARP
*Jan 22 18:30:29.099: HSRP: Et1/0 Grp 0 Standby router is unknown, was 192.168.2.2
*Jan 22 18:30:29.099: HSRP: Et1/0 Nbr 192.168.2.2 no longer standby for group 0 (Init)
*Jan 22 18:30:29.103: HSRP: Et1/0 Nbr 192.168.2.2 Was active or standby – start passive holddown
*Jan 22 18:30:29.107: HSRP: Et1/0 IP Redundancy « lan » update, Active -> Init
*Jan 22 18:30:29.107: HSRP: Et1/0 IP Redundancy « lan » standby, 192.168.2.2 -> unknown
*Jan 22 18:30:31.055: %LINK-5-CHANGED: Interface Ethernet1/0, changed state to administratively down
*Jan 22 18:30:32.055: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1/0, changed state to down

Show standby

Nature de la commande :

Cette commande permet de consulter l’état des différents paramètres HSRP pour l’ensemble des interfaces utilisant le mécanisme.

R2#show standby
Ethernet1/0 – Group 0 (version 2)
State is Standby
7 state changes, last state change 00:03:49
Virtual IP address is 192.168.2.254
Active virtual MAC address is 0000.0c9f.f000
Local virtual MAC address is 0000.0c9f.f000 (v2 default)
Hello time 3 sec, hold time 10 sec
Next hello sent in 2.656 secs
Authentication MD5, key-string
Preemption enabled, delay min 1 secs
Active router is 192.168.2.1, priority 150 (expires in 8.992 sec)
MAC address is ca07.09f4.001c
Standby router is local
Priority 100 (default 100)
Group name is « lan » (cfgd)

show standby neighbors

Nature de la commande:

Cette commande permet de consulter l’état HSRP du ou des routeurs voisins.

R2#show standby neighbors
HSRP neighbors on Ethernet1/0
192.168.2.1
Active groups: 0
No standby groups
R2#show standby br
R2#show standby brief
P indicates configured to preempt.
|
Interface   Grp  Pri P State   Active          Standby         Virtual IP
Et1/0       0    100 P Standby 192.168.2.1     local           192.168.2.254

show standby capability

Nature de la commande :

Cette commande permet de consulter les interfaces supportant la technologie HSRP.

R2#show standby capability
7206VXR                                       * indicates hardware may support HSRP
|
Interface          Type                       H  Potential Max Groups per subin
FastEthernet0/0    18  DEC21140               *  4096 (0x602FC084, 0x602FC174)
Ethernet1/0        64  AmdP2                  *  4096 (0x600DAF24, 0x600DAFE4)
Ethernet1/1        64  AmdP2                  *  4096 (0x600DAF24, 0x600DAFE4)
Ethernet1/2        64  AmdP2                  *  4096 (0x600DAF24, 0x600DAFE4)
Ethernet1/3        64  AmdP2                  *  4096 (0x600DAF24, 0x600DAFE4)
VoIP-Null0         222 VoIP-Null                 –

show standby internal

Nature de la commande :

Cette commande permet de consulter la valeurs des flags Hard et soft, également d’autres informations comme les mécanismes HSRP implémentés (preempt, version de HSRP, authentification etc …).

R2#show standby internal
HSRP common process running
MsgQ size 0, max 2
HSRP IPv4 process running
HSRP IPv6 process not running
HSRP Timer wheel running
Global           Confg: 0000
Et1/0 If hw      AmdP2 (64), Status 0x210040
Et1/0 If hw      Confg: 0000
Et1/0 If hw      Flags: 0000
Et1/0 If hw      Intf vectors: Lstn 600DAF24, Add 600DAFE4, Rem 602202E0, Rst 600DD568
Et1/0 If sw      ifnumber 4, idb 0x66FDE560
Et1/0 If sw      Confg: 0040, VERSION
Et1/0 If sw      Flags: 0000
Et1/0 Grp 0      Confg: 081A, IP_PRI, PREEMPT, AUTH, NAME
Et1/0 Grp 0      Flags: 0002, ACTIVE_TIMERS
Et1/0 Grp 0      Virtual MAC 0000.0c9f.f000, type: v2 default
Et1/0 Grp 0      Active MAC 0000.0c9f.f000
Et1/0 Grp 0      AddrF: 1 (pdb 0x66930D04)
HSRP virtual IP Hash Table (global)
104 192.168.2.254                    Et1/0      Grp 0
HSRP MAC Address Table
240 Et1/0 0000.0c9f.f000
Et1/0 Grp 0

show standby redirect

Nature de la commande :

Cette commande permet de vérifier que les interfaces supportant la technologie HSRP utilise l’option redirect ICMP (voir le document suivant pour plus de détail : http://www.cisco.com/en/US/tech/tk648/tk362/technologies_tech_note09186a0080094afd.shtml#topic9).

R2#show standby redirect
Interface    Redirects Unknown   Adv      Holddown
Et1/0        enabled   enabled   30       180
Active                Hits  Interface Group Virtual IP            Virtual MAC
192.168.2.1           0     Et1/0     0     192.168.2.254         0000.0c9f.f000

show udp detail

Nature de la commande :

Cette commande permet de vérifier l’état du processus au niveau de la couche transport. Cela permet de s’assurer que le protocole HSRP communique sur le port UDO 1985.

R2#show udp detail
Proto        Remote      Port      Local       Port  In Out  Stat TTY OutputIF
17       –listen–          192.168.2.2      1985   0   0  1001   0
Queues: output 0
input  0 (drops 0, max 50, highwater 1)


Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *