정보보안 스터디 - 5주차 2일 - HSRP/VRRP

 

HSRP 설정

 

게이트웨이가 2개가 있을 경우, 그냥 아무런 설정을 안했을 때는 

내부에서 장애가 생기면 자동으로 다른 게이트웨이를 사용하겠지만

외부에서 장애가 생기면 내부 인터페이스는 up상태이기 때문에 판단하지 못하고 신호를 계속 내보냅니다.

 

그걸 막기위해

HSRP 라는 것을 사용합니다. 

 

그리고 보통 때는 한 게이트웨이 쪽으로만 사용하면

나머지 하나는 전기세만 내고 놀게 되는거니까

vlan 11은 GW1쪽으로 보내고, vlan 12는 GW2쪽으로 보내줘야합니다.

로드 분산시켜주는 것입니다.

 

HSRP는 시스코에서만 사용가능한 규약이기 때문에 

모두 사용가능한 VRRR을 사용합니다.

적용방법은 같습니다.

 

virtual router를 VPC는 게이트웨이로 설정해서

장애가 안생겼다면 우선순위는 120으로 더 높기때문에 GW1쪽(x.201)에서 VR을 땡겨옵니다.

외부에서 장애가 생겼다면 우선순위는 30이 낮아져, 90이 되고 GW2쪽(x.202)에서 VR을 땡겨옵니다.

 

 

 

 

환경구성

 

기본설정

모든 장비
conf t
hostname 이름
enable secret cisco
no ip domain-lookup
no cdp run

line con 0
logg syn
exec-timeout 0 0

line vty 0
logg syn
exec-timeout 0 0
password ciscovty
login
transport input all
end

모든 스위치
no ip routing 

VPC IP설정

VPC1~14
ip 10.1.11~14.1 255.255.255.0 10.1.11.254
ip dns 168.126.63.1

관리자 IP 설정,게이트웨이

모든 스위치
core1~ASW102
int vlan 1
no sh
ip address 192.168.100.1~102 255.255.255.0
ip default-gateway 192.168.100.254

 

스위치끼리 ping 테스트


트렁크, rstp, portfast 연결

GW1
int e0/0
ip address 192.168.2.251 255.255.255.0
no sh

int e0/1
switchport trunk encapsulation dot1q
switchport mode trunk

core1
spanning-tree mode rapid-pvst

int e0/0
switchport trunk encapsulation dot1q
switchport mode trunk
spanning-tree portfast trunk

int range e1/1-2
switchport trunk encapsulation dot1q
switchport mode trunk

DSW11
spanning-tree mode rapid-pvst

int range e1/1-2, e2/1-2
switchport trunk encapsulation dot1q
switchport mode trunk

ASW101
spanning-tree mode rapid-pvst

int range e2/1-2
switchport trunk encapsulation dot1q
switchport mode trunk

int range e0/1-2
spanning-tree portfast

GW2부분도 똑같이 합니다.

vlan 설정
모든 스위치
vlan 11~14

access 연결

ASW101
int e0/1
switchport mode access
switchport access vlan 11
int e0/2
switchport mode access
switchport access vlan 12
ASW102
int e0/1
switchport mode access
switchport access vlan 13
int e0/2
switchport mode access
switchport access vlan 14

inter vlan 게이트웨이 

GW1
int e0/1
no sh
int e0/1.1
encapsulation dot1q 1
ip address 192.168.100.201 255.255.255.0
int e0/1.11~14
encapsulation dot1q 11~14
ip address 10.1.11~14.201 255.255.255.0

각 게이트웨이로 ping 
VPC1
ping 10.1.11.254 안됨. 201로 등록되어있어서.


인터넷연결

정적구성
GW1
ip route 0.0.0.0 0.0.0.0 192.168.2.254 

GW1 > Kt ping 

내부>외부 nat설정
access-list 10 permit 192.168.100.0 0.0.0.255
access-list 10 permit 10.1.0.0 0.0.255.255

ip nat intside source list 10 interface e0/0 overload

int e0/0
ip nat outside
int e0/0.1~0.14
ip nat inside

HSRP설정

 

 

vlan11, 12는 201를 지나도록 (GW1이 active router, GW2가 standby router)

한번에 int e0/1하는 게 아니라
인터 vlan 별로 다른 링크이기 때문에 
확실하게 vlan 11,12에만 virtual router을 땡겨줍니다.

GW1
track 10 interface e0/0 line-protocol

int e0/1.11
standby 11 ip 10.1.11.254 = 이 virtual router를 쓰겟다
standby 11 priority 120
standby 11 preempt
standby 11 track 10 decrement 30

int e0/1.12
standby 12 ip 10.1.12.254
standby 12 priority 120
standby 12 preempt
standby 12 track 10 decrement 30

GW2
int e0/1.11
standby 11 ip 10.1.11.254
standby 11 preempt

int e0/1.12
standby 12 ip 10.1.12.254
standby 12 preempt

show standby brief
show standby all

PVST구성
ASW102-DSW11-core1-GW1을 링크를 지나 프레임을 전송하도록 구성(블락안되게끔 루트브릿지 설정)

spanning-tree vlan 11-12 priority 4096
...
show spanning-tree vlan 11