Contexte et besoins
Dans une PME multi-sites, la passerelle par défaut représente un point unique de défaillance : si le routeur tombe, l’ensemble des postes du LAN perdent leur sortie vers l’extérieur. L’objectif de cet atelier était donc de doubler la passerelle pour que les postes ne s’aperçoivent de rien en cas de panne d’un routeur.
Le besoin formulé en début de séance était simple : « Je veux pouvoir débrancher physiquement R1 et continuer à pinger Internet depuis un PC du VLAN COMPTA sans rien changer côté client. » Le protocole HSRP, propriétaire Cisco, répond exactement à ce cahier des charges en présentant aux postes une adresse IP virtuelle partagée par deux routeurs.
Rappel théorique sur HSRP
HSRP (Hot Standby Router Protocol) est défini par la RFC 2281 pour la version 1, et par l’implémentation propriétaire Cisco pour la version 2 (groupes 0 à 4095). Le principe est le suivant :
- Deux routeurs (ou plus) forment un groupe HSRP.
- Le groupe possède une IP virtuelle (VIP) partagée entre les routeurs.
- Un seul routeur est Active à un instant donné, c’est lui qui répond aux ARP pour la VIP et qui transporte le trafic.
- Un autre est Standby, prêt à reprendre le rôle si l’Active disparaît.
- Les routeurs s’échangent des messages Hello toutes les 3 secondes (par défaut). Au bout de 10 secondes (
Hold time) sans Hello, le Standby bascule en Active.
Astuce
Le rôle Active s’obtient par la priorité la plus élevée (par défaut 100). En cas d’égalité, c’est l’IP la plus haute qui l’emporte. Cela permet de prévoir précisément quel routeur sera Active avant même de mettre la configuration en place.
États HSRP
D’après le tableau d’état de la documentation officielle Cisco, un routeur HSRP peut être dans l’un des six états suivants : Initial, Learn, Listen, Speak, Standby, Active. En production, on observe surtout les transitions Init → Listen → Speak → Standby ou Init → Listen → Speak → Active.
Topologie de laboratoire
L’atelier reprend une topologie classique de PME : deux VLAN clients (COMPTA et INFO), un switch de distribution, deux routeurs redondants, et un routeur de sortie (FAI) simulé.
| Élément | VLAN | Sous-réseau | IP réelle | IP virtuelle (HSRP) |
|---|---|---|---|---|
| R1 sous-interface .10 | 10 | 192.168.10.0/24 | 192.168.10.253 | 192.168.10.254 |
| R2 sous-interface .10 | 10 | 192.168.10.0/24 | 192.168.10.252 | 192.168.10.254 |
| R1 sous-interface .20 | 20 | 192.168.20.0/24 | 192.168.20.253 | 192.168.20.254 |
| R2 sous-interface .20 | 20 | 192.168.20.0/24 | 192.168.20.252 | 192.168.20.254 |
Préparation du switch SW1
Le switch SW1 transporte deux VLAN vers les routeurs en mode trunk 802.1Q. Voici la configuration commentée.
enable
configure terminal
hostname SW1
! Création des VLAN avec un nom explicite
vlan 10
name COMPTA
exit
vlan 20
name INFO
exit
! Affectation des ports d'accès des postes utilisateurs
interface range FastEthernet 0/1 - 10
switchport mode access
switchport access vlan 10
exit
interface range FastEthernet 0/11 - 20
switchport mode access
switchport access vlan 20
exit
! Sécurité : on coupe les ports inutilisés
interface range FastEthernet 0/21 - 22
shutdown
exit
! Liens montants vers les routeurs : trunk 802.1Q
interface range FastEthernet 0/23 - 24
switchport mode trunk
exit
end
write memoryExplications ligne par ligne :
vlan 10/name COMPTA: crée le VLAN 10 et lui attribue un nom métier.switchport mode access: le port appartient à un seul VLAN (poste utilisateur).switchport mode trunk: le port transporte plusieurs VLAN avec étiquetage 802.1Q, indispensable pour la liaison vers R1 et R2.shutdownsur les ports inutilisés : recommandation de l’ANSSI dans son guide « Recommandations de sécurité relatives à un commutateur de desserte ».
Avertissement
Sur les switch Cisco Catalyst, il faut souvent forcer le mode trunk avec switchport trunk encapsulation dot1q avant switchport mode trunk. Packet Tracer accepte directement le second.
Configuration de R1 (routeur prioritaire)
R1 est désigné comme routeur Active grâce à une priorité supérieure (110 contre 100 par défaut). On utilise la technique du router-on-a-stick : une seule interface physique découpée en sous-interfaces 802.1Q.
enable
configure terminal
hostname R1
! Activation de l'interface physique vers SW1
interface GigabitEthernet 0/0
no shutdown
exit
! Sous-interface VLAN 10 (COMPTA)
interface GigabitEthernet 0/0.10
encapsulation dot1Q 10
ip address 192.168.10.253 255.255.255.0
standby version 2
standby 10 ip 192.168.10.254
standby 10 priority 110
standby 10 preempt
standby 10 timers msec 500 msec 1500
standby 10 name HSRP-COMPTA
exit
! Sous-interface VLAN 20 (INFO)
interface GigabitEthernet 0/0.20
encapsulation dot1Q 20
ip address 192.168.20.253 255.255.255.0
standby version 2
standby 20 ip 192.168.20.254
standby 20 priority 110
standby 20 preempt
standby 20 timers msec 500 msec 1500
standby 20 name HSRP-INFO
exit
end
write memoryExplications ligne par ligne :
encapsulation dot1Q 10: la sous-interface acceptera et émettra des trames étiquetées VLAN 10.standby version 2: on active HSRPv2, qui supporte les groupes jusqu’à 4095, l’IPv6, et un timer en millisecondes (recommandé sur tout équipement récent).standby 10 ip 192.168.10.254: déclare la VIP pour le groupe 10.standby 10 priority 110: R1 a une priorité supérieure à la valeur par défaut (100), il sera donc élu Active.standby 10 preempt: si R1 redémarre puis revient avec une priorité plus haute, il reprend le rôle Active. Sans cette ligne, R2 garderait la main.standby 10 timers msec 500 msec 1500: Hello toutes les 500 ms, déclaration de panne après 1500 ms. La détection est nettement plus rapide que les 10 secondes par défaut.standby 10 name HSRP-COMPTA: facilite le diagnostic dansshow standby brief.
Astuce
Toujours mettre la même valeur de timers sur les deux routeurs du groupe. Une asymétrie provoque des bascules erratiques.
Configuration de R2 (routeur de secours)
R2 est volontairement laissé avec une priorité inférieure (90) pour qu’il reste Standby tant que R1 est joignable.
enable
configure terminal
hostname R2
interface GigabitEthernet 0/0
no shutdown
exit
interface GigabitEthernet 0/0.10
encapsulation dot1Q 10
ip address 192.168.10.252 255.255.255.0
standby version 2
standby 10 ip 192.168.10.254
standby 10 priority 90
standby 10 preempt
standby 10 timers msec 500 msec 1500
standby 10 name HSRP-COMPTA
exit
interface GigabitEthernet 0/0.20
encapsulation dot1Q 20
ip address 192.168.20.252 255.255.255.0
standby version 2
standby 20 ip 192.168.20.254
standby 20 priority 90
standby 20 preempt
standby 20 timers msec 500 msec 1500
standby 20 name HSRP-INFO
exit
end
write memoryLa VIP, le numéro de groupe et les noms doivent strictement correspondre à ceux configurés sur R1, sinon le groupe ne se forme pas.
Vérifications
Quelques commandes incontournables après une configuration HSRP :
R1# show standby brief
P indicates configured to preempt.
|
Interface Grp Pri P State Active Standby Virtual IP
Gi0/0.10 10 110 P Active local 192.168.10.252 192.168.10.254
Gi0/0.20 20 110 P Active local 192.168.20.252 192.168.20.254R1# show standby GigabitEthernet 0/0.10
GigabitEthernet0/0.10 - Group 10 (version 2)
State is Active
7 state changes, last state change 00:01:42
Virtual IP address is 192.168.10.254
Hello time 500 msec, hold time 1500 msec
Preemption enabled
Active router is local
Standby router is 192.168.10.252, priority 90 (expires in 1.408 sec)
Priority 110 (configured 110)
Group name is "HSRP-COMPTA"D’autres commandes utiles :
show standby all ! tous les groupes, tous les détails
show running-config | section standby
debug standby events ! voir les transitions en direct (à manier avec précaution)Test de bascule
- Depuis un poste du VLAN COMPTA, lancer un
ping -t 8.8.8.8(ou vers la VIP du VLAN INFO si on n’a pas Internet dans Packet Tracer). - Sur R1, exécuter
interface Gi0/0puisshutdown. - Observer le ping : on doit voir 1 ou 2 paquets perdus, puis la connectivité revient (R2 a basculé en Active).
no shutdownsur R1 : grâce àpreempt, R1 reprend la main au bout de quelques secondes.
Avertissement
Sans preempt, R1 resterait Standby après son retour. Il faut penser à le rajouter.
Problèmes rencontrés et solutions
| Symptôme | Cause probable | Correction |
|---|---|---|
| Les deux routeurs se déclarent Active | Trunk mal configuré, VLAN absent côté switch ou ACL bloquante | Vérifier le mode trunk, lister les VLAN autorisés, contrôler les ACL d’interface |
| Bascule jamais déclenchée | preempt oublié | Ajouter standby <grp> preempt sur le routeur prioritaire |
| Bascule très lente (~10 s) | Timers par défaut | Passer en msec 500 msec 1500 |
| Oscillations permanentes | Priorités trop proches ou interface qui flap | Espacer les priorités, ajouter preempt delay minimum 60 |
| Groupe HSRP non formé | VIP, numéro de groupe ou version HSRP différents entre R1 et R2 | Aligner la configuration, vérifier standby version 2 des deux côtés |
HSRP, VRRP, GLBP : quel choix ?
| Critère | HSRP | VRRP | GLBP |
|---|---|---|---|
| Standardisation | Cisco propriétaire | RFC 5798 (ouvert) | Cisco propriétaire |
| Priorité par défaut | 100 | 100 | 100 |
| Load-balancing natif | Non | Non | Oui |
| Compatibilité multi-vendor | Non | Oui | Non |
Pour une infrastructure mixte (Cisco / Juniper / MikroTik), VRRP est généralement préférable. HSRP reste pertinent en environnement 100 % Cisco, surtout pour profiter de l’intégration native avec les autres mécanismes IOS.
Compétences du bloc 1 mobilisées
| Compétence officielle | Mobilisation concrète |
|---|---|
| Recenser et identifier les ressources numériques | Plan d’adressage du LAN documenté : deux routeurs, un switch, deux postes, VIP .254 réservée à HSRP, adresses physiques .253 et .252 consignées dans le tableau de la topologie. |
| Exploiter des référentiels, normes et standards | Configuration alignée sur la RFC 2281 (HSRPv1) et sur le chapitre FHRP du CCNA 200-301 Official Cert Guide : choix des priorités 110/100, du preempt, et des timers justifiés par la doc Cisco. |
| Vérifier les conditions de la continuité d’un service informatique | Mise en place d’un mécanisme de redondance de passerelle : si R1 tombe, R2 reprend la VIP sans rupture côté postes. Bascule mesurée à moins de 2 secondes. |
| Réaliser les tests d’intégration et d’acceptation d’un service | Scénario rejoué : ping continu depuis un poste, extinction de R1, vérification du basculement via show standby brief et reprise transparente de la connectivité. |
Bilan
À l’issue de l’atelier, la passerelle des deux VLAN est bien redondée. Couper R1 ne provoque qu’une coupure inférieure à 2 secondes côté utilisateur. Le travail sur les timers et la priorité m’a permis de comprendre que la haute disponibilité ne se limite pas à « avoir deux routeurs » mais à orchestrer correctement leurs interactions.
Sources
- RFC 2281 — Cisco Hot Standby Router Protocol (HSRP) , IETF, 1998.
- Cisco First Hop Redundancy Protocols Configuration Guide, Cisco IOS XE 17.x .
- CCNA 200-301 Official Cert Guide (Volume 2), Wendell Odom, Cisco Press, 2019 , chapitres sur les FHRP.
- ANSSI — Recommandations de sécurité relatives à un commutateur de desserte (NT-027) .
Fichier Packet Tracer
Le fichier .pkt correspondant à cette configuration est disponible ici.