tutoriales.com

Implementación de HSRP en Cisco IOS: Alta Disponibilidad para Gateways Predeterminados

Este tutorial te guiará a través de la implementación del Hot Standby Router Protocol (HSRP) en dispositivos Cisco IOS. Aprenderás a configurar grupos de HSRP para proporcionar redundancia del gateway predeterminado, asegurando así la continuidad del servicio en caso de fallo de un router. Cubriremos los conceptos clave, la configuración paso a paso y la verificación.

Intermedio20 min de lectura9 views
Reportar error

🚀 Introducción a HSRP y la Alta Disponibilidad

En el mundo de las redes, la alta disponibilidad es crucial. Un punto único de fallo puede paralizar toda una operación. Uno de los puntos de fallo más comunes en una red local (LAN) es el gateway predeterminado (default gateway). Si el router que actúa como gateway falla, los dispositivos de la LAN perderán la capacidad de comunicarse fuera de su segmento de red.

Aquí es donde entra en juego el Hot Standby Router Protocol (HSRP), un protocolo propietario de Cisco diseñado para proporcionar redundancia del gateway predeterminado. HSRP permite que múltiples routers compartan una única dirección IP virtual y una dirección MAC virtual, creando una "puerta de enlace" lógica que siempre está disponible.

¿Qué es HSRP? 🤔

HSRP es un protocolo de redundancia de primer salto (First Hop Redundancy Protocol - FHRP) que permite a dos o más routers trabajar juntos para presentar una única dirección IP virtual como gateway predeterminado para las estaciones de trabajo en una LAN. De esta manera, si el router activo falla, otro router en espera (standby) toma el control automáticamente, sin interrupción para los hosts.

¿Por qué necesitamos HSRP? 💡

Imagina una oficina con cientos de empleados. Si el único router que sirve como gateway predeterminado deja de funcionar, todos los empleados perderán acceso a internet, a servidores remotos, etc. Esto se traduce en pérdida de productividad y dinero. HSRP resuelve este problema al proporcionar una conmutación por error transparente y automática, manteniendo la conectividad de la red.

💡 Consejo: HSRP es solo uno de los FHRP disponibles. Otros incluyen VRRP (Virtual Router Redundancy Protocol, estándar abierto) y GLBP (Gateway Load Balancing Protocol, propietario de Cisco para balanceo de carga).

🛠️ Conceptos Clave de HSRP

Antes de sumergirnos en la configuración, es fundamental entender los componentes y roles de HSRP:

Roles de los Routers en HSRP 🚦

En un grupo HSRP, los routers asumen diferentes roles:

  • Router Activo (Active Router): Es el router que reenvía activamente los paquetes enviados a la dirección IP virtual del HSRP. Responde a las solicitudes ARP para la dirección MAC virtual.
  • Router en Espera (Standby Router): Monitorea el estado del router activo. Si el router activo falla, el router en espera asume el rol de activo y toma el control de la dirección IP virtual y MAC virtual.
  • Otros Routers (Listening Routers): Cualquier otro router configurado con HSRP en el mismo grupo que no es ni activo ni en espera. Escuchan los mensajes HSRP para determinar el estado de los routers activo y en espera.

Direcciones IP y MAC Virtuales 🌐

Un concepto central de HSRP es el uso de direcciones virtuales:

  • Dirección IP Virtual: Es la dirección IP que se configura como gateway predeterminado en los hosts de la LAN. Esta dirección no está asignada a ninguna interfaz física de un router, sino que es compartida por el grupo HSRP.
  • Dirección MAC Virtual: HSRP utiliza una dirección MAC virtual específica para un grupo. El router activo es quien responde a las solicitudes ARP para la dirección IP virtual con esta dirección MAC virtual. El formato es 0000.0C07.ACxx, donde xx es el número hexadecimal del grupo HSRP.

Prioridad y Preemption (Preferencia) 🥇

  • Prioridad: Los routers HSRP utilizan un valor de prioridad (0-255, por defecto 100) para determinar cuál router se convertirá en el activo. El router con la prioridad más alta se convierte en el activo. Si las prioridades son iguales, el router con la dirección IP más alta en su interfaz HSRP será el activo.
  • Preemption (Preferencia): Por defecto, si un router con mayor prioridad se enciende o se recupera de un fallo, no tomará automáticamente el rol de activo si ya hay un router activo funcionando. Para que un router con mayor prioridad asuma el rol de activo tan pronto como esté disponible, se debe habilitar la función de preemption.
🔥 Importante: La preemption es crucial para que un router con mayor capacidad o una configuración deseada pueda retomar su rol de activo una vez que se recupere. Sin preemption, un router de menor prioridad podría permanecer como activo indefinidamente.

Grupos HSRP (HSRP Groups) 👥

Un grupo HSRP es un conjunto de routers que cooperan para proporcionar redundancia para una dirección IP virtual específica. Cada grupo HSRP tiene un número de grupo (1-255) y está asociado con una dirección IP virtual única.

Timers de HSRP ⏰

Los routers HSRP intercambian mensajes Hello para monitorear el estado de los miembros del grupo. Estos mensajes se envían a intervalos regulares y contienen información sobre el estado del router, la prioridad, etc. Los timers clave son:

  • Hello Time: El intervalo en segundos en el que se envían los mensajes Hello (por defecto 3 segundos).
  • Hold Time: El tiempo en segundos que un router espera sin recibir un mensaje Hello del router activo o en espera antes de declararlos como caídos (por defecto 10 segundos). El Hold Time debe ser al menos tres veces el Hello Time.
📌 Nota: Los timers deben ser idénticos en todos los routers del mismo grupo HSRP para un funcionamiento correcto.

🗺️ Escenario de Implementación

Para ilustrar la configuración de HSRP, usaremos un escenario común con dos routers y una única LAN.

Internet Router R1 192.168.1.1 Gi0/0 Router R2 192.168.1.2 Gi0/0 Back-to-Back Switch LAN VIP HSRP: 192.168.1.254 PC 1 PC 2 Red LAN: 192.168.1.0 /24

Detalles del Escenario:

  • LAN: 192.168.1.0/24
  • Gateway Predeterminado Virtual (HSRP): 192.168.1.254
  • Router 1 (R1):
    • Interfaz LAN: GigabitEthernet0/0
    • Dirección IP LAN: 192.168.1.1/24
    • Conectividad a Internet/WAN: GigabitEthernet0/1 (IP 10.0.0.1/30 hacia ISP o router frontera)
  • Router 2 (R2):
    • Interfaz LAN: GigabitEthernet0/0
    • Dirección IP LAN: 192.168.1.2/24
    • Conectividad a Internet/WAN: GigabitEthernet0/1 (IP 10.0.0.5/30 hacia ISP o router frontera)
  • Hosts (PC1, PC2, etc.):
    • Dirección IP: 192.168.1.X
    • Gateway Predeterminado: 192.168.1.254

Requisitos Previos 📋

Antes de configurar HSRP, asegúrate de que:

  1. Ambos routers tienen conectividad básica y sus interfaces LAN están configuradas con direcciones IP únicas en la misma subred (192.168.1.1 y 192.168.1.2 en nuestro ejemplo).
  2. Los hosts de la LAN pueden alcanzar ambas direcciones IP físicas de los routers.
  3. Los routers están configurados con enrutamiento adecuado (estático o dinámico) para alcanzar destinos fuera de la LAN.

⚙️ Configuración Paso a Paso de HSRP

Ahora vamos a configurar HSRP en R1 y R2 siguiendo nuestro escenario.

Paso 1: Configuración Básica de Interfaces 💻

Asegúrate de que las interfaces LAN de ambos routers estén configuradas y activas.

En R1:

configure terminal
interface GigabitEthernet0/0
 ip address 192.168.1.1 255.255.255.0
 no shutdown
interface GigabitEthernet0/1
 ip address 10.0.0.1 255.255.255.252
 no shutdown
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.2  ! Suponiendo el siguiente salto del ISP/router frontera

En R2:

configure terminal
interface GigabitEthernet0/0
 ip address 192.168.1.2 255.255.255.0
 no shutdown
interface GigabitEthernet0/1
 ip address 10.0.0.5 255.255.255.252
 no shutdown
exit
ip route 0.0.0.0 0.0.0.0 10.0.0.6  ! Suponiendo el siguiente salto del ISP/router frontera

Paso 2: Configuración del Grupo HSRP 🌟

Configuraremos HSRP en la interfaz GigabitEthernet0/0 de ambos routers.

En R1 (Será el router activo preferido):

configure terminal
interface GigabitEthernet0/0
 standby 1 ip 192.168.1.254    ! Define el grupo HSRP 1 y la IP virtual
 standby 1 priority 150         ! Establece la prioridad para R1 (más alta que el valor por defecto)
 standby 1 preempt              ! Habilita la preemption para que R1 tome el control si es el de mayor prioridad
 standby 1 authentication md5 key-string CISCO_HSRP_KEY ! Opcional: Autenticación para seguridad
 standby 1 timers 1 3           ! Opcional: Configura los timers Hello y Hold (1s y 3s)
exit

En R2 (Será el router en espera por defecto):

configure terminal
interface GigabitEthernet0/0
 standby 1 ip 192.168.1.254    ! Define el mismo grupo HSRP 1 y la misma IP virtual
 standby 1 priority 100         ! Deja la prioridad por defecto o establece una menor que R1
 standby 1 preempt              ! Habilita la preemption (opcional pero recomendado para consistencia)
 standby 1 authentication md5 key-string CISCO_HSRP_KEY ! Opcional: La autenticación debe coincidir con R1
 standby 1 timers 1 3           ! Opcional: Los timers deben coincidir con R1
exit
⚠️ Advertencia: Asegúrate de que todos los routers en el mismo grupo HSRP tengan la misma dirección IP virtual y, si usas, la misma autenticación y los mismos timers. Un error en esto puede causar un comportamiento impredecible.

Paso 3: Verificación de HSRP ✅

Después de la configuración, es vital verificar que HSRP esté funcionando como se espera.

En R1 (debería ser el activo):

show standby

Deberías ver una salida similar a esta:

GigabitEthernet0/0 - Group 1
  State is Active
    2 state changes, last state change 00:01:30
    Active virtual MAC address is 0000.0C07.AC01
    Local virtual MAC address is 0000.0C07.AC01 (v1 default)
    Hello time 1 sec, Hold time 3 sec
    Next hello sent in 0.024 secs
    Authentication MD5, key-string "CISCO_HSRP_KEY"
    Preemption is enabled
    Active router is Local
    Standby router is 192.168.1.2, priority 100 (expires in 00:00:02)
    Priority 150 (configured 150)
    Group name is "hsrp-Gi0/0-1" (default)
    Virtual IP address is 192.168.1.254

En R2 (debería ser el en espera):

show standby

Deberías ver una salida similar a esta:

GigabitEthernet0/0 - Group 1
  State is Standby
    2 state changes, last state change 00:01:45
    Active virtual MAC address is 0000.0C07.AC01
    Local virtual MAC address is 0000.0C07.AC01 (v1 default)
    Hello time 1 sec, Hold time 3 sec
    Next hello sent in 0.008 secs
    Authentication MD5, key-string "CISCO_HSRP_KEY"
    Preemption is enabled
    Active router is 192.168.1.1, priority 150 (expires in 00:00:02)
    Standby router is Local
    Priority 100 (configured 100)
    Group name is "hsrp-Gi0/0-1" (default)
    Virtual IP address is 192.168.1.254

También puedes usar show standby brief para un resumen rápido del estado de HSRP.

show standby brief

📈 Monitoreo y Troubleshooting de HSRP

Una vez que HSRP está configurado, es importante saber cómo monitorear su estado y solucionar problemas si surgen.

Comandos Útiles de Verificación 🔍

  • show standby: Muestra el estado detallado de HSRP en todas las interfaces o en una interfaz específica.
  • show standby brief: Proporciona un resumen conciso del estado de HSRP.
  • show standby <interface> group <group-number>: Muestra el estado de un grupo HSRP específico en una interfaz.
  • debug standby: Habilita mensajes de depuración en tiempo real para eventos HSRP (usar con precaución en entornos de producción).

Simulación de Fallos para Pruebas 🧪

Para probar la funcionalidad de HSRP, puedes simular fallos:

  1. Apagar la interfaz LAN del Router Activo:

    • En R1 (activo): configure terminal, interface GigabitEthernet0/0, shutdown
    • Verifica en R2 (anteriormente en espera) que se convierte en activo con show standby.
    • Verifica la conectividad de los hosts a internet.
    • Vuelve a encender la interfaz en R1: no shutdown.
    • Si preemption está habilitada en R1, debería volver a ser el activo.

  2. Apagar el Router Activo (por ejemplo, desconectar el cable de alimentación o simular un crash): El comportamiento será similar al punto anterior.

Troubleshooting Común de HSRP 🩹

  • Roles incorrectos: Si los routers no asumen los roles esperados (activo/en espera):
    • Verifica las prioridades. El router con mayor prioridad debe tener preempt habilitado para tomar el control.
    • Verifica que la dirección IP virtual sea la misma en ambos routers del grupo.
    • Asegúrate de que los routers puedan comunicarse entre sí a través de la interfaz HSRP (pueden hacer ping a sus IPs físicas).
  • Flapping de estado (cambios constantes):
    • Esto suele indicar problemas de conectividad o timers inconsistentes.
    • Asegúrate de que los hello time y hold time sean idénticos en todos los routers del grupo.
    • Verifica que no haya bucles de red o problemas de switching que afecten la comunicación entre los routers.
  • Hosts no usan el gateway HSRP:
    • Asegúrate de que el gateway predeterminado configurado en los hosts de la LAN sea la dirección IP virtual HSRP (192.168.1.254 en nuestro ejemplo).
💡 Consejo: Usa `clear standby` para reiniciar los estados de HSRP en una interfaz. Esto puede ser útil durante las pruebas.

🔐 HSRP y Tracking de Interfaces (Seguimiento de Interfaz)

La funcionalidad básica de HSRP solo conmuta por error si la interfaz donde HSRP está configurado falla. Pero, ¿qué pasa si el router activo pierde su conectividad a Internet, mientras que su interfaz LAN sigue funcionando?

Aquí es donde el tracking de interfaz (interface tracking) se vuelve indispensable. Permite a HSRP monitorear el estado de otras interfaces en el router (por ejemplo, la interfaz WAN) y ajustar dinámicamente la prioridad de HSRP si una de esas interfaces monitoreadas falla.

¿Cómo funciona el Tracking? 🎯

Cuando se configura el tracking de una interfaz, si la interfaz monitoreada falla (va a estado down), la prioridad HSRP del router disminuye en un valor preconfigurado. Si esta disminución de prioridad hace que la prioridad del router activo sea menor que la del router en espera (y este último tiene preemption habilitada), el router en espera tomará el rol de activo.

1. Router Activo opera normalmente 2. La interfaz WAN del Router Activo falla 3. El tracking detecta la falla y disminuye la prioridad HSRP 4. La nueva prioridad del Activo es menor que la del Standby 5. El Router Standby toma el rol de Activo (Preemption)

Configuración de Tracking de Interfaz 📝

Vamos a modificar la configuración de R1 para que rastree su interfaz WAN (GigabitEthernet0/1).

En R1:

configure terminal
interface GigabitEthernet0/0
 standby 1 track GigabitEthernet0/1 decrement 60  ! Disminuye la prioridad en 60 si G0/1 falla
exit

Explicación:

  • standby 1 track GigabitEthernet0/1: Le dice a HSRP en el grupo 1 que monitoree la interfaz GigabitEthernet0/1.
  • decrement 60: Si GigabitEthernet0/1 falla, la prioridad HSRP de R1 se reducirá en 60. Como la prioridad original de R1 era 150, pasaría a ser 90 (150 - 60). Dado que R2 tiene una prioridad de 100, R2 se convertiría en el nuevo router activo.

Verificación del Tracking 🧐

Para verificar el tracking, puedes revisar el estado de HSRP y luego simular una falla:

  1. Estado inicial en R1 (activo) y R2 (en espera).
  2. En R1, apaga la interfaz G0/1:
configure terminal
interface GigabitEthernet0/1
shutdown
exit
  1. Verifica en R1 la prioridad HSRP:
show standby

Deberías ver que la prioridad efectiva ha disminuido (e.g., de 150 a 90) y el estado de HSRP puede cambiar a `Listen` o `Speak` si el router en espera se convierte en activo.

4. Verifica en R2 que ha tomado el rol de activo:

show standby

R2 debería mostrar `State is Active`.

5. Vuelve a encender la interfaz G0/1 en R1:

configure terminal
interface GigabitEthernet0/1
no shutdown
exit
  1. Verifica en R1 que su prioridad ha vuelto a la normalidad y, si preemption está habilitada, que ha recuperado el rol de activo.
🔥 Importante: Sin `preempt` en el router en espera, el tracking por sí solo no garantiza que el router en espera tome el control. La prioridad del router en espera debe ser mayor que la nueva prioridad reducida del router activo PARA QUE PUEDA HACERSE ACTIVO. Por eso, es buena práctica habilitar `preempt` en ambos routers y establecer prioridades adecuadas.

🔒 Seguridad en HSRP

Aunque HSRP no es un protocolo de seguridad en sí mismo, se pueden implementar medidas para proteger el grupo HSRP de configuraciones no autorizadas o ataques:

  • Autenticación: HSRP admite autenticación de texto plano (menos segura) o MD5 (recomendada). Si se configura, todos los miembros del grupo HSRP deben tener la misma clave de autenticación. Sin una autenticación coincidente, los routers no podrán formar un grupo HSRP.
standby 1 authentication md5 key-string <clave_secreta>

O la forma más segura con keychain:

key chain HSRP_KEYCHAIN
key 1
key-string <clave_secreta>
accept-lifetime 00:00:00 Jan 1 2020 infinite
send-lifetime 00:00:00 Jan 1 2020 infinite
exit
interface GigabitEthernet0/0
standby 1 authentication md5 key-chain HSRP_KEYCHAIN
  • ACLs: Se pueden aplicar Listas de Control de Acceso (ACLs) en las interfaces para permitir solo el tráfico HSRP (UDP puerto 1985) de IPs de origen conocidas o subredes específicas. Sin embargo, esto debe hacerse con cuidado para no bloquear el tráfico HSRP legítimo.
⚠️ Advertencia: La autenticación MD5 es preferible al texto plano. Asegúrate de que las claves de autenticación sean robustas y se gestionen de forma segura.

📝 Resumen y Mejores Prácticas

La implementación de HSRP es un paso fundamental para garantizar la alta disponibilidad del gateway predeterminado en redes empresariales. Al seguir las pautas y mejores prácticas, puedes construir una infraestructura de red más robusta y resiliente.

Mejores Prácticas para HSRP ✨

  • Prioridades bien definidas: Asigna prioridades de forma clara para designar al router activo preferido. Generalmente, el router con mayor capacidad o el más cercano a la salida a Internet es el preferido.
  • Habilitar Preemption: Asegúrate de habilitar preempt en al menos el router activo preferido, y a menudo en todos los routers, para que un router con mayor prioridad pueda retomar el rol de activo una vez que se recupere.
  • Usar Tracking de Interfaces: Configura el tracking de interfaces clave (como las interfaces WAN) para que HSRP pueda conmutar por error si el router activo pierde su conectividad externa, incluso si su interfaz LAN sigue activa.
  • Timers Consistentes: Mantén los timers HSRP (hello time y hold time) consistentes en todos los miembros del grupo HSRP para evitar inestabilidades.
  • Autenticación: Implementa autenticación (preferiblemente MD5 o keychain) para evitar que dispositivos no autorizados se unan al grupo HSRP o inyecten mensajes HSRP maliciosos.
  • Documentación: Documenta la configuración de HSRP, incluyendo números de grupo, IPs virtuales, prioridades y cualquier tracking configurado.

Consideraciones Adicionales 🧐

  • Versiones de HSRP: HSRPv1 (por defecto) y HSRPv2. HSRPv2 soporta IPv6, asignación automática de direcciones MAC virtuales (en lugar de las predecibles de HSRPv1), y un rango de grupos HSRP más amplio (0-4095). Si necesitas soporte para IPv6 o más grupos, considera HSRPv2 (standby version 2).
  • Balanceo de Carga: HSRP no ofrece balanceo de carga directamente para un mismo gateway virtual. Sin embargo, puedes lograr un balanceo de carga por VLAN o por grupo de hosts configurando múltiples grupos HSRP en diferentes VLANs o segmentos, con routers diferentes como activos para cada grupo. Para balanceo de carga real en un solo gateway, podrías considerar GLBP (Gateway Load Balancing Protocol) si usas equipos Cisco.
📌 Nota: Para entornos puramente IPv6, se utiliza HSRP for IPv6, que tiene una configuración similar pero con direcciones IPv6.

Esperamos que este tutorial te haya proporcionado una comprensión clara y práctica de cómo implementar HSRP para mejorar la resiliencia de tu infraestructura de red. La alta disponibilidad es un pilar fundamental en el diseño de redes modernas, y HSRP es una herramienta poderosa para lograrla.

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!