Tweet
1) HSRP là gì? (Ôn nhanh cho chắc)
HSRP (Hot Standby Router Protocol) là giao thức dự phòng gateway của Cisco: nhiều router/L3 switch cùng “đóng vai” một virtual gateway (cặp Virtual IP + Virtual MAC). End host chỉ trỏ default gateway = Virtual IP; còn Virtual MAC thì được học qua ARP. Trong nhóm (standby group) luôn có:
Điểm hay: khi failover, end host không cần đổi default gateway. Mọi thứ diễn ra “trong suốt”.
So sánh nhanh: HSRP là proprietary của Cisco; VRRP là chuẩn mở. Chức năng tương tự, khác biệt nhỏ về chi tiết (như địa chỉ multicast, dải group…).
2) Cơ chế hoạt động & địa chỉ MAC ảo
Trong phạm vi lab này, ta dùng HSRP v1.
3) Các trạng thái HSRP (nhớ theo diễn tiến “khởi động → bầu chọn → vận hành”)
Không phải mọi thiết bị đều đi qua đủ 5 state; thường chỉ 1 active + 1 standby, còn lại listen.
4) Tham số quan trọng bạn phải nắm
5) Topology lab & mục tiêu
LAN 192.168.1.0/24
Mục tiêu:
6) Cấu hình từng bước (kèm giải thích)
Bước 1–3: Cấu hình HSRP cơ bản và kiểm tra ARP
R1
conf t
interface e0/1
ip address 192.168.1.3 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
no shut
end
R2
conf t
interface e0/1
ip address 192.168.1.2 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
no shut
end
Giải thích: Cả hai router tham gia group 1 và cùng “ôm” Virtual IP 192.168.1.1. PC1/PC2 đặt default gateway là 192.168.1.1.
Kiểm tra ARP (trên PC hoặc switch L3 gần host): host sẽ học Virtual MAC tương ứng group 1 (0000.0c07.ac01). Bước 4–5: Ưu tiên & giành quyền (priority + preempt)
R2 (muốn R2 làm active mặc định):
conf t
interface e0/1
standby 1 priority 110
standby 1 preempt
end
R1 (cũng bật preempt để đồng bộ hành vi, phòng kịch bản R1 mới là con “chuẩn” ở VLAN khác):
conf t
interface e0/1
standby 1 preempt
end
Lưu ý: Preempt không bật mặc định. Nếu bạn chỉ đổi priority mà không bật preempt, active hiện tại không tự nhường. Bước 6: Tinh chỉnh timers + preempt delay
Yêu cầu lab:
Cấu hình trên cả R1/R2
conf t
interface e0/1
standby 1
timers msec 200 msec 750
standby 1 preempt delay minimum 300
end
Kinh nghiệm thực chiến:
7) Xác minh trạng thái & lưu lượng
Lệnh kiểm tra nhanh:
show standby brief show standby
Bạn sẽ thấy Interface, Group, State (Active/Standby/Listen), Priority, Virtual IP, Active/Standby router…
Quan sát lưu lượng:
8) Mô phỏng sự cố & theo dõi chuyển trạng thái
Bước 8: Bật debug trên R1:
debug standby events
Bước 9: Từ PC1, chạy ping dài hơi (lab ghi 1.000.000 gói). Một vài gói rơi là bình thường khi chuyển vai.
Bước 10: Trên R2, shutdown e0/1:
conf t interface e0/1 shutdown end
Kỳ vọng: R1 lên active gần như tức thì (hold 750 ms). Ping có thể mất vài gói rồi ổn định.
Bước 11: Xem log/debug & trạng thái:
show standby show standby brief undebug all
Bạn có thể thấy thông điệp tương tự:
*Jul 29 16:22:09.856: HSRP: Et0/1 IP Redundancy "hsrp-Et0/1-1" update, Active -> Active
Bước 12–13: no shutdown e0/1 trên R2 để khôi phục; kiểm tra R2 có giành lại active sau preempt delay 300s (khi mọi route đã hội tụ).
9) Lỗi thường gặp & mẹo xử lý
10) Tóm tắt “cầm về triển khai”
11) Bài lab rút gọn (copy–paste nhanh)
R1
interface e0/1
ip address 192.168.1.3 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
standby 1 preempt
standby 1 timers msec 200 msec 750
standby 1 preempt delay minimum 300 no shut
R2
interface e0/1
ip address 192.168.1.2 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
standby 1 priority 110
standby 1 preempt
standby 1 timers msec 200 msec 750
standby 1 preempt
delay minimum 300 no shut
Verify
show standby brief show standby
Failover test
! trên R2 interface e0/1 shutdown
12) Câu hỏi ôn tập cuối bài
Đáp án tham khảo
HSRP (Hot Standby Router Protocol) là giao thức dự phòng gateway của Cisco: nhiều router/L3 switch cùng “đóng vai” một virtual gateway (cặp Virtual IP + Virtual MAC). End host chỉ trỏ default gateway = Virtual IP; còn Virtual MAC thì được học qua ARP. Trong nhóm (standby group) luôn có:
- Active router: trả lời ARP bằng Virtual MAC, chuyển tiếp lưu lượng cho Virtual IP, gửi hello.
- Standby router: lắng nghe hello; nếu không còn nghe active → lên làm active.
- Các router còn lại (nếu có) ở trạng thái listen.
Điểm hay: khi failover, end host không cần đổi default gateway. Mọi thứ diễn ra “trong suốt”.
So sánh nhanh: HSRP là proprietary của Cisco; VRRP là chuẩn mở. Chức năng tương tự, khác biệt nhỏ về chi tiết (như địa chỉ multicast, dải group…).
2) Cơ chế hoạt động & địa chỉ MAC ảo
- HSRP v1:
- Group ID: 0–255
- Multicast hello: 224.0.0.2, UDP 1985
- Virtual MAC: 0000.0c07.acXX (XX = group ID ở dạng hex, 2 ký tự)
- HSRP v2 (tham khảo mở rộng):
- Group ID: lên tới 4095
- Multicast: 224.0.0.102, UDP 1985
- Virtual MAC: 0000.0c9f.fXXX (XXX = group ID hex, 3 ký tự)
- Hữu ích khi nhiều VLAN/Group lớn hoặc cần IPv6.
Trong phạm vi lab này, ta dùng HSRP v1.
3) Các trạng thái HSRP (nhớ theo diễn tiến “khởi động → bầu chọn → vận hành”)
- initial: mới lên/đổi config, HSRP chưa chạy.
- listen: biết Virtual IP, ngồi nghe hello.
- speak: bắt đầu gửi hello, tham gia bầu chọn.
- standby: ứng viên kế vị active (tối đa 1 con ở trạng thái này).
- active: đang chuyển tiếp cho Virtual MAC, gửi hello định kỳ (tối đa 1 con).
Không phải mọi thiết bị đều đi qua đủ 5 state; thường chỉ 1 active + 1 standby, còn lại listen.
4) Tham số quan trọng bạn phải nắm
- Group: standby <group> ip <virtual-ip>
Nhớ: group number chỉ có ý nghĩa cục bộ theo interface/VLAN. Thực tế triển khai hay map group = VLAN ID cho dễ vận hành/troubleshoot. - Priority: 0–255 (mặc định 100). Con priority cao hơn sẽ thành active.
standby <group> priority <0-255> - Preempt: không bật mặc định. Bật để router có priority cao giành lại vai trò active khi quay lại.
standby <group> preempt - Timers: hello/hold (giây hoặc msec). Mặc định 3s/10s.
standby <group> timers [msec] <hello> [msec] <hold>
Quy tắc vàng: hold ≥ 3 × hello. Tuning cần phối hợp với IGP (EIGRP/OSPF/BGP) để tránh “failover HSRP nhanh hơn IGP hội tụ”, gây mất gói do next-hop chưa cập nhật. - ICMP Redirects: khi bật HSRP, khuyến nghị tắt redirect để tránh host bị “lái” sang next-hop khác rồi… fail theo next-hop đó.
no ip redirects trên interface LAN-facing. - Gratuitous ARP: khi failover, router active mới sẽ bắn 3 gARP để switch học lại cổng chứa Virtual MAC, giúp chuyển tiếp L2 ổn định và nhanh.
5) Topology lab & mục tiêu
LAN 192.168.1.0/24
- R1 e0/1: 192.168.1.3/24
- R2 e0/1: 192.168.1.2/24
- Virtual IP: 192.168.1.1 (default gateway của PC1/PC2)
Mục tiêu:
- Cấu hình HSRP group 1 trên R1/R2.
- Tinh chỉnh priority, preempt, timers.
- Xem state transition khi mô phỏng sự cố.
- Thực hành verify và debug.
6) Cấu hình từng bước (kèm giải thích)
Bước 1–3: Cấu hình HSRP cơ bản và kiểm tra ARP
R1
conf t
interface e0/1
ip address 192.168.1.3 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
no shut
end
R2
conf t
interface e0/1
ip address 192.168.1.2 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
no shut
end
Giải thích: Cả hai router tham gia group 1 và cùng “ôm” Virtual IP 192.168.1.1. PC1/PC2 đặt default gateway là 192.168.1.1.
Kiểm tra ARP (trên PC hoặc switch L3 gần host): host sẽ học Virtual MAC tương ứng group 1 (0000.0c07.ac01). Bước 4–5: Ưu tiên & giành quyền (priority + preempt)
R2 (muốn R2 làm active mặc định):
conf t
interface e0/1
standby 1 priority 110
standby 1 preempt
end
R1 (cũng bật preempt để đồng bộ hành vi, phòng kịch bản R1 mới là con “chuẩn” ở VLAN khác):
conf t
interface e0/1
standby 1 preempt
end
Lưu ý: Preempt không bật mặc định. Nếu bạn chỉ đổi priority mà không bật preempt, active hiện tại không tự nhường. Bước 6: Tinh chỉnh timers + preempt delay
Yêu cầu lab:
- Hello = 200 ms
- Hold = 750 ms (≈ 3.75 × hello, ok)
- Preempt delay (min) = 300 s (để thiết bị up hoàn toàn, IGP hội tụ xong rồi mới tranh quyền)
Cấu hình trên cả R1/R2
conf t
interface e0/1
standby 1
timers msec 200 msec 750
standby 1 preempt delay minimum 300
end
Kinh nghiệm thực chiến:
- Đặt hold ≥ 3×hello là an toàn để tránh chớp tắt.
- Preempt delay nên > 1.5× thời gian boot + IGP converge để gateway active “đã sẵn sàng thật sự”.
- Interface/object tracking: nếu uplink WAN của active down, hãy giảm priority để nhường active cho con còn đường tốt.
track 10 interface Gig0/0 line-protocol interface e0/1 standby 1 track 10 decrement 30 - Authentication: bảo vệ HSRP khỏi gói giả mạo.
interface e0/1 standby 1 authentication md5 key-chain HSRP-KC key chain HSRP-KC key 1 key-string <secret> - Phối hợp STP: chọn root bridge trùng với HSRP active cho mỗi VLAN để tối ưu L2/L3 path (tránh hairpin).
7) Xác minh trạng thái & lưu lượng
Lệnh kiểm tra nhanh:
show standby brief show standby
Bạn sẽ thấy Interface, Group, State (Active/Standby/Listen), Priority, Virtual IP, Active/Standby router…
Quan sát lưu lượng:
- ping 192.168.4.22 từ PC1 (có thể chạy liên tục nhiều gói để “soi” failover).
- traceroute sẽ lộ IP thật của router active (hữu ích khi cần xác định “con nào đang gánh”).
8) Mô phỏng sự cố & theo dõi chuyển trạng thái
Bước 8: Bật debug trên R1:
debug standby events
Bước 9: Từ PC1, chạy ping dài hơi (lab ghi 1.000.000 gói). Một vài gói rơi là bình thường khi chuyển vai.
Bước 10: Trên R2, shutdown e0/1:
conf t interface e0/1 shutdown end
Kỳ vọng: R1 lên active gần như tức thì (hold 750 ms). Ping có thể mất vài gói rồi ổn định.
Bước 11: Xem log/debug & trạng thái:
show standby show standby brief undebug all
Bạn có thể thấy thông điệp tương tự:
*Jul 29 16:22:09.856: HSRP: Et0/1 IP Redundancy "hsrp-Et0/1-1" update, Active -> Active
Bước 12–13: no shutdown e0/1 trên R2 để khôi phục; kiểm tra R2 có giành lại active sau preempt delay 300s (khi mọi route đã hội tụ).
9) Lỗi thường gặp & mẹo xử lý
- Quên bật preempt: đổi priority xong mà active không đổi.
- Timers không khớp giữa các router: nhóm không hình thành đúng, log báo mâu thuẫn – luôn cấu hình giống nhau.
- Failover HSRP nhanh hơn IGP: mất gói do next-hop chưa cập nhật → cân bằng timers hoặc dùng tracking/preempt delay.
- ICMP Redirect còn bật: host bị “lái” sang next-hop khác → tắt no ip redirects.
- Không khớp với STP root: đường đi vòng vèo/hairpin → căn lại root/STP priority theo design.
10) Tóm tắt “cầm về triển khai”
- Dùng Virtual IP làm default gateway cho host.
- Priority + Preempt quyết định ai làm active và giành lại khi hồi phục.
- Timers có thể hạ xuống sub-second, nhưng đừng nhanh hơn khả năng hội tụ IGP.
- Tắt ICMP Redirects, cân chỉnh với STP root, cân nhắc tracking & authentication.
11) Bài lab rút gọn (copy–paste nhanh)
R1
interface e0/1
ip address 192.168.1.3 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
standby 1 preempt
standby 1 timers msec 200 msec 750
standby 1 preempt delay minimum 300 no shut
R2
interface e0/1
ip address 192.168.1.2 255.255.255.0
no ip redirects
standby 1 ip 192.168.1.1
standby 1 priority 110
standby 1 preempt
standby 1 timers msec 200 msec 750
standby 1 preempt
delay minimum 300 no shut
Verify
show standby brief show standby
Failover test
! trên R2 interface e0/1 shutdown
12) Câu hỏi ôn tập cuối bài
- Mặc định, HSRP v1 gửi hello tới địa chỉ nào và cổng UDP nào?
- Vì sao nên tắt ICMP Redirect khi dùng HSRP trên interface LAN?
- Mối quan hệ giữa hello và hold timers nên như thế nào để giảm khả năng flap?
- Bạn thay đổi priority để R2 cao hơn nhưng active không đổi. Cần cấu hình gì thêm?
- Hai lệnh nào trên IOS giúp bạn xem nhanh group, priority và state của HSRP trên router?
Đáp án tham khảo
- 224.0.0.2, UDP 1985.
- Tránh việc host bị “chỉ đường” sang next-hop khác (không thuộc Virtual IP). Khi next-hop đó hỏng, lưu lượng đến đích thất bại dù HSRP vẫn còn, gây rối.
- Hold ≥ 3 × Hello (ví dụ hello 200ms → hold 750ms là hợp lý).
- Bật preempt (và cân nhắc preempt delay để đợi IGP hội tụ trước khi giành lại).
- show standby brief và show standby.
Attached Files