EXERCÍCIOS REDUNDÂNCIA HSRP

Respostas aos Exercícios Configuração

Redundância Default Gateway com HSRP

Universidade Técnica de Angola

eusebiochicapa@gmail.com Chicapa, E. 2020
Redes Alto Débito

Configuração HSRP
1) Como devem ser numerados os grupos standby?

A numeração dos grupos standby é feita de forma arbitraria, usando números

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
no intervalo de 0 à 255. Quando existem vários grupos HSRP para muitas
interfaces de VLAN, a designação dos grupos pode seguir a das VLAN,
fazendo coincidir a sua numeração. Porém, só são permitidos até 16 grupos e
pode haver a necessidade de configurar mais VLANs, acima daquele limite.
Uma solução passa por usar o mesmo número de grupo HSRP, para todas as
VLANs; A numeração de grupo é local a interface onde este é aplicado; Assim
podemos ter o grupo HSRP 1, para a interface VLAN 10 e o grupo HSRP 1, para
a interfce VLAN 11; tratar-se-ão de grupos diferentes, apesar de possuirem o
mesmo número.

2) A que se refere o RFC (Request for Comment) 2281?

(Consultar RCF 2281)
3) Descreva o principio de funcionamento da redundância de gateway com
HSRP?
Redes Alto Débito

Configuração HSRP
3) Como é feita a eleição do router activo no grupo standby?

A eleição do router activo é feita com base no valor da prioridade (varia de 0

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
à 255) que é atribuida a cada um dos routers componentes do grupo standby,
sendo 100 o seu valor por defeito. Assim, o router com a maior prioridade
assume a função de activo no grupo. Se a prioridade atribuida a todos os
membros for igual, ou se for para todos a prioridade por defeito, então o router
com o maior valor do endereço atribuido a uma interface HSRP, ascende à
categoria de activo.

4) Diga quais as etapas ou estados por que passa um router, para de atingir a
categoria de router activo?

Tão logo o HSRP é configurado numa interface, o router inicia um processo de

ascenção através de uma série de estados antes de atingir a condição de
router activo. Isto força o router a ficar permanentemente à escuta de outros
membros do grupo afim de poder assegurar-se do seu actual estado.
Redes Alto Débito

Configuração HSRP
São 6 os estados por que um router pode transitar, a saber

� Desabilitado

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
� Inicialização
� Escuta
� Conversação
� Standby
� Activo

Apenas o router no estado standby ( com a segunda maior prioridade) é

capaz de trocar e monitorar a troca de mensagens Hello, vindas do router
activo, numa periocidade de 3 segundos. Se ao cabo de 3 periodos
consecutivos não observar qualque mensagem – tempo de retenção – então
presumir-se-á que o router activo esteja fora de serviço, pelo que o router no
estado standby assumirá temporariamente este papel.

5) Em que condição o router acabado de ser promovido para router activo,

assumirá permanente e incondicionalmente este papel ainda que o anterior
activo volte a funcionar?
R: Terá de ter a opção preempt activa.
Redes Alto Débito

Configuração HSRP
6) Descreva a instrução que permite alterar o valor dos temporizadores do
processo HSRP, keepalive ou Hello e Hold-time?

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Sempre que haver necessidade de alterar este valor, recorre-se à linha de
comando (CLI), no modo de configuração da interface e escreve-se

standby grupo timers [msec] hello [msec] holdtime

Onde grupo repersenta o número do grupo, os valores de hello e holdtime

podem ser dados em segundos ou opcionalmente em milisegundos (sempre
que o argumento msec preceder o valor. O valor hello pode variar entre 1 a
255 segundos, ou entre 15 à 999 milisegundos; enquanto que o valor do
holdtime, costuma ser no mínimo, 3 vezes o do hello. Assim, o valor do holdtime
pode variar entre 1 à 255 segundos ou entre 50 à 3000 milisegundos. Pode-se
assim constatar que a tendência de optmização dos valores acima visa
acelerar o processo de redundancia, ou seja, a ocorrencia de uma falha é
detectada e resolvida mais rapidamete, o que, em contrapartida acarreta o
aumento de tráfego e da carga de processamento.
Redes Alto Débito

Configuração HSRP
7) Qual é a função da claúsula preempt, na configuração de um grupo
standby?

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Normalmente, após a falha do router activo, passando a sê-lo o router standby.
Após recuperado, o ora falhado router activo, este não irá retomar
imediatamente a função de activo, despromovendo o actual para a sua
anterior função de standby. Em condições normais, nenhum router ascende a
activo senão através da falha do outro. Mais ainda, neste caso o router
actualmente na condição de activo tem uma prioridade inferior ao substituido.
Porque convém que o router recuperado da falha reassuma imediatamente a
condição de activo no grupo, deve-se acautelar esta situação activando o
mecanismo “preempção”.

standby grupo preempt [ delay [minimum valor] [reload valor] ]

Em alguns casos recomenda-se que a preempção não ocorra tão logo,

devendo ser atrasada (delay) por algum tempo, cujo valor mínimo deve ser
escolhido no intervalo entre 0 a 3600 segundos. O mesmo acontece quando,
por motivos de manutenção, força-se o router a ter de ser reinicializado.
Redes Alto Débito

Configuração HSRP
Pode-se ainda dizer que a opção delay reload, cujo atraso também varia
entre 0 á 3600 segundos, é aconselhável visto que os processos de routing, dos
quais pode depender o HSRP, podem ter um tempo de convergência superior

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
ao tempo de activação HSRP.

8. Qual é a função da claúsula preempt, na configuração de um grupo

standby?

9) O mecanismo de redundancia de gateway, realizado por HSRP ou outros

protocolos, visa a garantia da alta disponibilidade da rede. Os ataques á rede,
conhecidos por, ataques por negação de serviço (DoS) perseguem muitas
vezes a não concretização da alta disponibilidade. Um dos aspectos sensíveis
no processo HSRP, é a troca de mensagens entre os pares do grupo.
Aborde os mecanismos de autenticação que o HSRP pode dispor, para
minimizar os efeitos provocados por ataques que comprometam o
funcionamento do HSRP.
Redes Alto Débito

Configuração HSRP
O HSRP dispõe de dois tipos de autenticação

� A autenticação com senha em texto claro e

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
� Autenticação com suporte à criptografia MD5 (Message Digest)

No primeiro caso, embora se trate de um método simples e muito fraco, do

ponto de vista da segurança, aplica-se ao grupo standby, uma chave (string
de até 8 caracteres), em texto claro, não codificado.

standby grupo authentication chave

No segundo caso, que deve ser preferível ao primeiro, o HSRP utiliza a

autenticação mais robusta, com suporte à criptografia. É utilizado o algorítmo
de hashing MD5, que gera uma síntese da mensagem (message digest) de 128
bits, independentemente do tamanho da mensagem. Esta síntese é calculada
e verificada entre as partes que trocam a mensagem, garantindo a sua
integridade. Para obter a autenticação das partes, podem ser usado o
mecanismo baseado no HMAC (Hashed Message Authentication Code) ou
troca prévia de chaves ou ainda assinaturas digitais.
Redes Alto Débito

Configuração HSRP
Autenticação com suporte à criptografia MD5 é habilitada no grupo standby
pela instrução
standby grupo authentication md5 key-string [ 0 | 7 ] string

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Por defeito, a chave (string até 64 caracteres) escreve-se em texto claro, o que
corresponde a especificar o valor zero antes de escrevê-la. Após ter sido escrita
a chave aparece codificada, se por exemplo, for lida apartir do arquivo de
configuração do switch. A utilização da opção 7, requer que a senha seja
escrita na sua forma codificada, que tenha sido gerada anteriormente.

Como alternativa à geração da chave, pode-se definir uma cadeia de chaves

MD5, conhecida por (key chain); Assim, quando for necessário alterar a chave
corrente, basta adicionar à configuração uma nova chave apartir da cadeia.
Para criar a key chain, invoca-se a instrução a partir do modo global de
configuração, como segue

key chain nome-da-cadeia

key numero-chave
key-string [ 0 | 7 ] nome-chave
Redes Alto Débito

Configuração HSRP

As chaves são inseridas à cadeia, uma de cada vez. O argumento key, cujo
valor é numero-chave, é um valor numérico que exprime a ordem de inserção

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
da chave. Ao seleccionar a chave o HSRP vai seguir a ordem em que estas
forem dispostas na cadeia.
Após criada a cadeia, pode-se então utilizar a autenticação com base nesta
modalidade, conforme a instrução

standby grupo authentication md5 key-chain nome-da-cadeia

Redes Alto Débito

Configuração HSRP
10) Dada uma rede local, pretende-se habilitar o mecanismo de redundancia
ao nível de gateway, com HSRP, sabendo que a rede dispõe de dois switchs
de nível 3 que interligam através de um switch de nível de acesso, um conjunto

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
de várias estações terminais (aqui podem ser apenas 4 computadores)
Elabore um diagrama lógico da rede, indicando os seus elementos estruturais e
respectiva identificação em termos de endereçamento IP ( indique um
endereço privado de classe C e para simplificar, apenas uma VLAN)

a) Estabeleça a configuração simples de apenas um grupo standby

b) Mostre a seguir a necessidade de balanceamento de carga entre os dois
routers do grupo standby, configurando-o convenientemente.
( Utilize dois grupos standby sobre a mesma VLAN da alínea anterior.
c) Utilize a autenticação HSRP segura, com MD5.
Notas sobre EtheChannel

Exemplo de Configuração Grupos HSRP

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Notas sobre EtheChannel

Exemplo de Configuração Grupos HSRP

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Notas sobre EtheChannel

Exemplo de Configuração Grupos HSRP

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Notas sobre EtheChannel

Exemplo de Configuração Grupos HSRP

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
Notas sobre Etherchannel

Notas sobre EtherChannel

11. Como é feito o balanceamento de carga no grupo ethechannel?

De acordo com o diagrama, o grupo interliga 4 switchs e é formado por 4

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
ligações físicas, com capacidade de 1 GibitEthernet.
� Qual é o débito máximo suportado
pelo grupo etherchannel?

� Se, o balanceamento for realizado

na base dos endereços IP de
origem e de destino, qual será o link
a selecionar, para transportar o
pacote com os endereços
172.20.10.33 e 172.20.10.62,
respectivamente, de origem e de
destino?

� Mostre a instrução que configura o

balanceamento de carga no
grupo etherchannel?
Notas sobre EtheChannel

Notas sobre EtherChannel

Um grupo etherchannel pode ser constituido até um máximo de 8 portas, com

o mesmo tipo de meio e velocidade. Também é comum as portas de um

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
mesmo grupo pertencerem a uma mesma VLAN ( se forem de acesso);
Entretanto se as portas forem de tronco, deverão estar sob o mesmo modo de
trunking e estarem na mesma VLAN nativa.

A distribuição do tráfego no grupo etherchannel faz-se individualmente, por

cada ligação física, numa ordem pre-estabelecida; Entretanto, a carga nem
sempre é igualmente balanceada entre todas as ligações (a distribuição da
carga não é simétrica). Os quadros são encaminhados por uma determinada
porta, com base numa no resultado de uma operação hash, que pode usar os
endereços IP de origem e de destino (ou sua combinação); endereços físicos
de origem e de destino ou mesmo números de portas TCP/UDP.
A operação hash calcula um padrão binário, através do qual é possível
seleccionar-se uma das portas no grupo, para encaminhar cada frame.
O resultado da operação hash, reservará alguns bits menos significativos, cujo
valor indexará o grupo afim de se obter a porta.
 Notas sobre EtheChannel

Notas sobre EtherChannel

O algorítmo hash utiliza normalmente a operação XOR (OU exclusivo),
aplicada aos bits menos significativos do par de endereços.
De acordo com o diagrma em análise, o grupo etherchannel ( uma ligação

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
lógica) é formado por quatro ligações físicas, logo para seleccionar uma das
quatro ligações, bastam os dois bits menos significativos, ou quanto muito, três
bits menos significativos, atendendo a um máximo de oito ligações por grupo
etherchannel.
Assim, se a operação incidir sobre os endereços IP de origem e de destino,
digamos, 172.20.10.33 e 172.20.10.62, vamos ter:

Últimos 2 bits retirados de cada endereço

Valor do último octeto
172.20.10.33 0010 00 01
172.20.10.62 0011 11 10
Resultado da operação XOR
sobre os dois bits menos significativos 11
Conclusão: A porta (ligação) 3 é seleccionada para encaminhar o tráfego
entre a origem e o destino indicados.
Usando os mesmos endereços do exemplo, qual seria a porta a seleccionar se
o grupo fosse formado por 8 links?
Notas sobre EtheChannel

Notas sobre EtherChannel

Como se configura o balanceamento de carga no grupo etherchannel?

A operação hash pode ser realizada, quer sobre o endereço MAC, quer sobre

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
o endereço IP e pode abarcar apenas um endereço - de origem ou de
destino, ou ambos.
A instrução seguinte no modo global, serve para configurar a distribuição de
frames, para todos os grupos etherchannel existentes no switch:
port-channel load-balance método

Onde método, indica um dos possíveis métodos de balanceamento;

Por exemplo, se a distribuição for feita com base ao endereço IP de origem, o
método é src-ip; Se for com base no endereço físico (MAC) de origem, o
método é src-mac; Se for uma combinação entre os endereços IP de origem
e de destino, src-dst-ip, etc.

Repare que se o método for com base em um único endereço, os bits menos
significativos é que vão ditar a porta a seleccionar, enquanto que no caso de
uma combinação de endereços, a porta a seleccionar é o resultado
operação XOR entre os bits menos significativos. Por defeito, o método
utilizado, basea-se no endereço MAC de origem.
Notas sobre EtheChannel

Notas sobre EtherChannel

Será de todo conveniente, que o balanceamento se faça de modo

equilibrado, evitando que algumas portas do grupo etherchannel sejam

Chicapa E. 2020
Resolução Exercícios Redundância HSRP
sobrecarregadas em detrimento das demais.
A escolha correcta do método a utilizar pode ajudar a uma melhor
distribuição do tráfego sobre as portas.

Repare o que pode acontecer se, para o acesso a um servidor, o método

utilizado for dst-ip; O que se pode esperar é que se produza muito tráfego
através de uma única porta, uma vez que o padrão binário se irá manter
inalterado, conduzindo à sobrecarga da porta e o desbalanceamento da
carga; Esta situação pode ser corrigida, alterando o método, passando a
distribuição a ser baseada, por exemplo, pelo endereço MAC de origem.
Dado que a tendência de variação dos clientes que contactam o servidor é
acentuada, o balanceamento entre as portas do grupo se fará mais presente.
���������������������������������������������������������������������������
���������������������������������������������������������������������������������
�����������������������������������������������������