CCNP VRRP Configuration

Configuration
de
VRRP
(Virtual Router Redundancy Protocol)
1
Sommaire
Introduction
- Contenu
Restrictions pour VRRP
Informations sur VRRP

- Fonctionnement de VRRP
- Avantages de VRRP
- Support de routeurs virtuels multiples
- Priorit et premption de routeur VRRP
- Annonces VRRP
- Supervision d'objet VRRP
Comment configurer VRRP

- Personnaliser VRRP
- Comment la supervision d'objet affecte la priorit d'un
routeur VRRP
- Validation de VRRP
- Dvalidation de VRRP sur une interface
- Configuration de la supervision d'objet VRRP
- Configuration de l'authentification VRRP
- Comment fonctionne l'authentification VRRP MD5
- Configuration de l'authentification VRRP MD5 en utilisant un chane
de caractres
- Configuration de l'authentification VRRP MD5 en utilisant un chane
de cls
- Vrification de l'authentification VRRP MD5
- Configuration de l'authentification VRRP Texte
- Valider l'mission de de notification SNMP VRRP par le routeur
Exemples de configuration de VRRP
- Configuration de VRRP
- Supervision d'objet VRRP
- Vrification de la supervision d'objet VRRP
- Configuration de l'authentification VRRP MD5 en utilisant
un chane de caractres
- Configuration de l'authentification VRRP MD5 en utilisant
un chane de cls
- Authentification VRRP Texte
- Trap MIB VRRP
2
Rfrences additionnelles
- Documents relatifs VRRP

- Standards
- MIBs
- RFCs
Informations sur les fonctionnalits de VRRP
3
Introduction
Le protocole VRRP (Virtual Router Redundancy Protocol) est un protocole d'lection

qui affecte dynamiquement la responsabilit d'un ou plusieurs routeurs virtuels
des des routeurs VRRP d'un LAN permettant ainsi plusieurs routeurs sur un r-
seau multi-accs d'utiliser la mme adresse IP virtuelle. Un routeur VRRP est confi-
gur pour oprer avec le protocole VRRP et en coopration avec un ou plusieurs au-
tres routeurs attachs au LAN. Dans une configuration VRRP, un routeur est lu
comme le routeur virtuel matre; les autres routeurs agissent comme secours en cas
de dfaillance du routeur virtuel matre.
Contenu
Restrictions de VRRP
Exemple de configuration de VRRP
Informations sur les fonctionnalits de VRRP
Restrictions de VRRP
VRRP est conu pour tre utilis sur des LANs Ethernet Multi-accs, multicast ou
broadcast. VRRP n'est pas prvu comme une substitution des protocoles dynami-
ques existants. VRRP est support sur des interfaces Ethernet, FastEthernet, Bridge
Virtual Interface (BVI), Gigabit et sur des VPNs (Virtual Private Network) MPLS (Multi
-Protocol Label Switching).
Acause du dlai d'acheminement qui est associ l'initialisation d'une interface BVI,
Il est ncessaire de fixer le timer d'annonce VRRP une valeur gale ou suprieure au
dlai d'acheminement sur l'interface BVI. Ce paramtrage vite qu'un routeur VRRP
de prendre inconditionnellement le rle de matre sur une interface BVI rcemment
initialise. Utilisez la commande bridge forward-time pour fixer le dlai d'achemine-
ment sur l'interface BVI. Utilisez la commande vrrp timers advertise pour fixer le ti-
mer d'annonce VRRP.

Avant de configurer VRRP, vous devez comprendre les concepts suivants:
Fonctionnement de VRRP
Avantages de VRRP
Supports de routeurs virtuels multiples
Priorit et premption de routeur VRRP
Annonces VRRP
Supervision d'objet VRRP
4
Fonctionnement de VRRP
Il y a plusieurs faons pour un client LAN de dterminer quel routeur dot tre le pre-
mier saut vers une destination particulire. Le client peut utiliser un processus dyna-
mique ou une configuration statique. Exemples de dcouverte dynamique de routeur:
Proxy ARP : le client utilise ARP (Address Resolution Protocol) pour atteindre la
destination qu'il souhaite et un routeur rpond la requte ARP avec sa propre
adresse MAC.
Protocole de routage : Le client excute les mises jour de protocoles de routage

dynamique (par exemple RIP et remplit sa propre table de routage).
IRDP (ICMP Router Discovery Protocol) / le client opre avec ICMP (Internet Con-
trol Message Protocol) pour dcouvrir le routeur.
L'inconvnient des protocoles de routage dynamique est qu'ils ncessitent de la con-

figuration et de la bande passante sur le client LAN. Dans le cas d'une dfaillance du
routeur, le processus de commutation vers un autre routeur peut tre lent. Une alter-
native aux protocoles de dcouverte dynamique est de configurer le routeur par d-
faut statiquement sur le client. Cette approche simplifie la configuration du client et
le traitement mais cr un point unique de problme possible. Si la passerelle par d-
faut est dfaillante, le client LAN est isol du reste du rseau et limit la communi-
cation sur le segment rseau IP local.
VRRP peut rsoudre le problme de la configuration statique. VRRP permet un

groupe de routeurs de former un routeur virtuel unique. Les clients LAN peuvent
tre ensuite configurs avec ce routeur virtuel comme passerelle par dfaut. Le rou-
teur virtuel, reprsentant un groupe de routeurs est galement appel groupe VRRP.
VRRP est support sur des interfaces Ethernet, FastEthernet, Bridge Virtual Interface
(BVI), Gigabit et sur des VPNs (Virtual Private Network) MPLS (Multi-Protocol Label
Switching) et les VLANs.
La figure de la page suivante montre une topologie LAN dans laquelle VRRP est con-
figur. Dans cet exemple, les routeurs A,B et C sont les routeurs VRRP qui consti-
tuent un routeur virtuel. L'adresse IP du routeur virtuel est la mme que celle confi-
gure sur l'interface Ethernet du routeur A (10.0.0.1).
5
Routeur A Routeur B Routeur C
Routeur Virtuel Routeur Virtuel Routeur Virtuel
Matre Secours Secours
Groupe
Routeur Virtuel
Adresse IP = 10.0.0.1
10.0.0.1 10.0.0.2 10.0.0.3
Client 1 Client 2 Client 3
Comme le routeur virtuel utilise l'adresse IP de l'interface physique Ethernet du rou-

teur A, le routeur A assure le rle de routeur virtuel matre et est galement connu
comme le propritaire de l'adresse IP. En tant que routeur virtuel matre, le routeur
A contrle l'adresse IP du routeur virtuel et est responsable de l'acheminement des
paquets transmis cette adresse. Les clients 1 3 sont configurs avec l'adresse IP
de la passerelle par dfaut qui est 10.0.0.1.
Les routeurs B et C fonctionnent comme routeurs virtuels de secours. Si le routeur

virtuel matre est dfaillant, le routeur configur avec la priorit la plus leve devient
le routeur virtuel matre et fournit un service ininterrompu aux hosts du LAN. Quand
le routeur A repasse en service, il redevient routeur virtuel matre nouveau. Pour
plus de dtails sur les rles jous par les routeurs VRRP et ce qui se passe si le rou-
teur virtuel matre est dfaillant, voir la section "Routeur VRRP, priorit et premp-
tion".
La figure de la page suivante montre une topologie LAN dans laquelle VRRP est con-
figur pour que les routeurs A et B se partagent le trafic de et vers les clients 1 4 et
et que les routeurs A et B agissent comme routeurs virtuels de secours l'un pour l'au-
tre si un des deux est dfaillant.
6
Routeur A Routeur B
Matre Routeur Virtuel 1 Matre Routeur Virtuel 2
Secours pour Routeur Virtuel 2 Secours pour Routeur Virtuel 1
10.0.0.2
10.0.0.1
Client 1 Client 2 Client 3 Client 4

Passerelle par dfaut Passerelle par dfaut Passerelle par dfaut Passerelle par dfaut
10.0.0.1 10.0.0.1 10.0.0.2 10.0.0.2
Dans cette topologie, deux routeurs virtuels sont configurs, ( pour plus d'informa-
tions voir la section "Routeur virtuel Multiple"). Pour le routeur virtuel 1, le routeur A
est propritaire de l'adresse IP 10.0.0.1 et routeur virtuel matre. Le routeur B est le
de secours du routeur A. Les clients 1 et 2 sont configurs avec l'adresse IP de passe-
relle par dfaut 10.0.01. Pour le routeur virtuel 2, le routeur B est propritaire de
l'adresse 10.0.0.2 et routeur virtuel matre. Le routeur A est le routeur virtuel de se-
cours pour le routeur B. Les clients 3 et 4 sont configurs avec l'adresse IP de passe-
relle par dfaut 10.0.0.2.
Avantages de VRRP
Redondance
VRRP vous permet de configurer de multiples routeurs comme routeurs passerelles

par dfaut ce qui limine la prsence d'un point de dfaillance totale dans le rseau.
Partage de charge
Vous pouvez configurer VRRP de telle manire que le trafic de et vers les clients LAN
puisse tre partag par plusieurs routeurs et ainsi partager la charge de trafic plus
quitablement entre les routeurs disponibles.
Routeurs Virtuels Multiples
VRRP supporte jusqu' 255 routeurs virtuels (groupe VRRP) sur l'interface physique
d'un routeur selon la plateforme supportant de multiples adresses MAC. Le support
de routeurs virtuels multiples vous permet d'implmenter la redondance et le parta-
ge de charge dans votre topologie LAN.
7
Adresses IP Multiples
Le routeur virtuel peut grer de multiples adresses IP incluant les adresse IP secon-
daires. Par consquent si vous avez plusieurs sous-rseaux configurs sur une inter-
face Ethernet, vous pouvez configurer VRRP dans chaque sous-rseau.
Premption
Le systme de redondance de VRRP vous permet de prempter un routeur virtuel de

secours qui a pris la place d'un routeur virtuel matre dfaillant avec une priorit de
routeur virtuel de secours suprieure.
Authentification
L'algorithme d'authentification MD5 (Message Digest 5) protge contre les logiciels

d'usurpation VRRP et utilise le standard MD5 de l'industrie pour une scurit et une
fiabilit amliore.
Protocole d'annonce
VRRP uitlise une adresse multicast standardise par l'IANA (Internet Assigned Num-
bers Authority) 224.0.0.18 pour les annonces VRRP. Le systme d'adressage minimi-
se le nombre de routeurs qui doivent servir les multicast et permet des quipements
de test de reconnatre de manire prcise les paquets VRRP sur un segment. L'IANA
a affect le numro de protocole 112 VRRP.
Supervision d'objet VRRP
La supervision d'objet par VRRP fournit un moyen d'assurer que le meilleur routeur
VRRP est le routeur virtuel matre pour le groupe en modifiant les priorits VRRP par
rapport l'tat d'objet supervis tel l'tat d'une interface ou l'tat d'une route IP.
Support de routeurs virtuels multiples
Vous pouvez configurer jusqu' 255 routeurs virtuels sur une interface physique de
routeur. Le nombre de routeurs virtuels qu'une interface de routeur peut supporter
dpend des facteurs suivants:
Capacit de traitement du routeur

Capacit mmoire du routeur
Support de plusieurs adresses MAC par interface
Pour une topologie dans laquelle de multiples routeurs virtuels sont configurs sur
une interface du routeur, l'interface peut agir comme un matre pour un routeur vir-
tuel et comme secours pour un ou plusieurs autres routeurs virtuels.
8
Priorit et premption de routeur VRRP
Un aspect important du systme de redondance VRRP est la priorit du routeur

VRRP. La priorit dtermine le rle jou par chaque routeur VRRP et ce qui se passe
si le routeur virtuel matre est dfaillant.
Si un routeur VRRP possde l'adresse IP du routeur virtuel et l'adresse IP de l'inter-

face physique alors ce routeur fonctionnera comme routeur virtuel matre.
La priorit dtermine galement si un routeur VRRP fonctionne comme routeur vir-

tuel de secours ainsi que l'ordre d'ascendance des priorits pour devenir routeur
virtuel matre si le routeur virtuel matre actuel est dfaillant. Vous pouvez configurer
la priorit de chaque routeur virtuel de secours avec une valeur allant de 1 254 en
utilisant la commande vrrp priority.
Par exemple si le routeur A, le routeur virtuel dans la topologie LAN, est dfaillant
un processus d'lection se met en place pour dterminer si les routeurs virtuels de
secours B et C doivent prendre la place. Si les routeurs B et C sont configurs avec la
mme priorit de 100, le routeur virtuel de secours avec l'adresse IP la plus leve
sera lu pour devenir routeur virtuel matre.
Par dfaut, un systme de premption est valid. Chaque fois qu'un routeur virtuel
de secours de priorit plus leve devient disponible, celui-ci prend la place du rou-
teur virtuel de secours qui avait t lu routeur virtuel matre. Vous pouvez dvalider
ce systme de premption en utilisant la commande no vrrp preempt. si la premp-
tion est dvalide, le routeur virtuel de secours qui avait t lu routeur virtuel ma-
tre reste routeur virtuel matre jusqu' ce que le routeur virtuel matre d'origine soit
de nouveau disponible et matre.
Annonces VRRP
Le routeur virtuel matre envoie des annonces VRRP aux autres routeurs VRRP du
mme groupe. Les annonces indiquent la priorit et l'tat du routeur virtuel matre.
Les annonces VRRP sont encapsules dans des paquets IP et transmises avec l'adres-
se IP multicast version 4 affecte au groupe VRRP. Les annonces sont transmises
toutes les secondes par dfaut; l'intervalle est configurable.
Supervision d'objets VRRP
La supervision d'objets VRRP est un processus indpendant qui gre la cration, la

supervision et le retrait d'objets superviss tel que l'tat du protocole de liaison d'une
interface. Les clients tels que HSRP (Hot Standby Redundancy Protocol), GLBP (Ga-
teway Load Balancing Protocol) et maintenant VRRP s'enregistrent auprs de la su-
pervision d'objets pour superviser des objets particuliers et ensuite agir quand l'tat
de cet objet change.
Chaque objet supervis est identifi par un numro unique qui est spcifi dans la
commande de supervision de l'interface de ligne de commande. Les processus clients
tels que VRRP utilisent ce numro pour superviser un objet spcifique.
9
Le processus de supervision interroge priodiquement les objets superviss et note
tout changement de valeur. Les changements dans l'objet supervis sont communi-
qus au processus clients intresss soit immdiatement ou aprs un dlai spcifi.
Les valeurs des objets sont rapportes comme "up" ou "down". La supervision d'ob-
sus de supervision des objets individuels tels que ltat du protocole de liaison d'une
interface, l'tat d'une route IP ou l'accessibilit d'une route. VRRP fournit une inter-
face au processus de supervision. Chaque groupe VRRP peut superviser plusieurs
objets qui peuvent affecter la priorit du routeur VRRP. Vous spcifiez le numro de
l'objet superviser et VRRP sera averti de tout changement au sujet de cet objet.
VRRP incrmente (ou dcrmente) la priorit du routeur virtuel sur la base de l'objet
supervis.

Cette section contient les procdures suivantes:
Personnalisation de VRRP (Optionnel)

Validation de VRRP (Requis)
Dvalidation de VRRP sur une interface (Optionnel)
Configuration de supervision d'objet VRRP (Optionnel)
Configuration de l'authentification VRRP (Optionnel)
Permettre au routeur d'mettre des notifications SNMP VRRP (Optionnel)
Personnalisation de VRRP
Excutez cette tche pour personnaliser VRRP.
Personnaliser le comportement de VRRP est optionnel. Sachez que ds que vous avez
valid un groupe VRRP, ce groupe est oprationnel. Il est possible que si vous validez
d'abord le groupe VRRP avant de personnaliser VRRP, le routeur peut prendre le con-
trle du groupe et devenir le routeur virtuel matre avant que vous ayez fini la person-
nalisation. Par colnsquent, si vous dcidez de personnaliser VRRP, il est bon de le
faire avant de valider VRRP.
Comment la supervision d'objets affecte la priorit d'un routeur VRRP
La priorit d'un quipement peut changer dynamiquement si celui-ci a t configur

pour la supervision d'objet et que l'objet supervis passe l'tat "down". Le proces-
sus de supervision interroge priodiquement les objets supervisset note tout chan-
gement de valeur. Les changements d'tat dans l'objet supervis sont communiqus
VRRP soit immdiatement soit aprs un dlai spcifi. Les valeurs de l'objet sont
annonces soit "up" soit "down". Les exemples d'objets qui peuvent tre superviss
sont le protocole de liaison d'une interface ou l'accessibilit d'une route IP. Si l'objet
spcifi passe l'tat "down", la priorit VRRP est diminue. Le routeur avec la prio-
rit la plus leve peut maintenant devenir le routeur virtuel matre si la commande
vrrp preempt a t configure.
10
Rsum des tapes
1. enable
2. configure terminal
3. interface type number
4. ip address ip-address mask
5. vrrp group-number description text
6. vrrp group-number priority level
7. vrrp group-number preempt [delay seconds]
8. vrrp group-number timers advertise [msec] interval
9. vrrp group-number timers learn
Etapes dtailles
Commande ou Action But

enable Entre en mode EXEC privilgi.
Entrez le mot de passe si celui-ci est
Exemple: demand
Routeur> enable
configure terminal Entre en mode de configuration global.
Exemple:
Routeur# configure terminal
interface type number Entre en mode de configuration interface
Exemple:
Routeur(config)# interface ethernet 0
ip address ip-address mask Configure l'adresse IP de l'interface.
Exemple:
Routeur(config-if)# ip address 172.16.6.5
255.255.255.0
vrrp group-number description text Donne un nom au groupe VRRP.
Exemple:
Routeur(config-if)# vrrp 10 description
working-group
vrrp group-number priority priority-level Fixe la priorit du routreur dans un groupe
VRRP.
Exemple:
Routeur(config-if)# vrrp 10 priority 110 La priorit par dfaut est 100.
vrrp group-number preempt [delay seconds] Configure le routeur pour qu'il prenne la place
de routeur virtuel matre pour un groupe
VRRP si sa priorit est plus leve que celle du
routeur virtuel matre courant.
Exemple: Le dlai par dfaut est 0 secondes.

Routeur(config-if)# vrrp 10 preempt delay 180
Le routeur qui est propritaire de l'adresse
IP premptera sans tenir compte de cette
commande.
11
vrrp group-number timers advertise [msec] Configure l'intervalle entre les annonces suc-
interval cessives du routeur virtuel matre dans un
groupe VRRP.
L'unit de l'intervalle est en secondes sauf

Exemple: si le mot-cl msec est spcifi. La valeur par
Routeur(config-if)# vrrp 10 timers advertise 110 dfaut de l'intervalle est 1 seconde.
vrrp group-number timers learn Configure le routeur, quand il opre comme

routeur virtuel de secours pour un groupe
Exemple: VRRP, pour qu'il apprenne l'intervalle d'an-
nonce utilis par le routeur virtuel matre.
Routeur(config-if)# vrrp 10 timers learn
Validation de VRRP
Excutez cette tche pour valider VRRP.
Rsum des tapes
1. enable
5. vrrp group-number ip ip-address [secondary]
6. end
7. show vrrp [brief | group]
8. show vrrp interface type number [brief]
Etapes dtailles

Exemple: demand
Routeur> enable
Exemple:
Exemple:
Exemple:
255.255.255.0
12
vrrp group-number ip ip-address [secondary] Valide VRRP sur une interface.
Aprs avoir identifi une adresse IP primai-

re, vous pouvez utiliser de nouveau la com-
Exemple: mande vrrp ip avec le mot-cl secondary
Routeur(config-if)# vrrp 10 ip 172.16.6.1 pour configurer les adresses IP additionnel-
les supportes par ce groupe.
end Retour en mode EXEC privilgi.
Exemple:
Routeur(config-if)# end
Routeur# show vrrp [brief | group] (Optionnel) Affiche un tat minimum ou dtail-
l d'un ou de tous les groupes VRRP sur le
Exemple: routeur.
Routeur# show vrrp 10
Routeur# show vrrp interface type number (Optionnel) Affiche les groupes VRRP et leurs
[brief] tats sur une interface donne.
Exemple:
Routeur# show vrrp interface ethernet 0
Dvalider VRRP sur une interface
Dvalider VRRP sur une interface permet de dvalider le protocole mais la configura-
tion est maintenue. Cette possibilit a t ajoute avec l'introduction de VRRP MIB
RFC 2787, "Definition of managed Objects for the Virtual Router Redondancy Proto-
col".
Vous pouvez utiliser un outil SNMP (Simple Network Management Protocol) pour va-
lider ou dvalider VRRP sur une interface. A cause des capacits de gestion SNMP,
la commande vrrp shutdown a t introduite comme une mthode via la CLI pour
VRRP de montrer l'tat qui a t configur en utilisant SNMP.
Quand la commande show running-config est entre, vous pouvez voir immdiate-
ment si le groupe VRRP a t configur et valid ou non. C'est la mme fonctionna-
lit qui est valide dans la MIB.
La forme no de la commande valide la mme opration que celle ralise dans la MIB.
Si la commande vrrp shutdown est spcifie en utilisant l'interface SNMP, entrez en-
suite la commande no vrrp shutdown en utilisant la CLI de l'IOS Cisco pour revali-
der le groupe VRRP.
Rsum des tapes
1. enable
5. vrrp group-number shutdown
13
Etapes dtailles

Exemple: demand.
Routeur> enable
Exemple:
interface type number Entre en mode de configuration interface.
Exemple:
Exemple:
255.255.255.0
vrrp group-number shutdown Dvalide VRRP sur une interface.
Exemple: La commande est maintenant visible sur le

routeur.
Routeur(config-if)# vrrp 10 shutdown
Note: Vous pouvez avoir un groupe VRRP d-
valid tout en maintenant sa configuration et
un autre groupe VRRP valid.
Configuration de la supervision d'objet
Excutez cette tche pour pour configurer la supervision d'objet VRRP.
Rsum des tapes
1. enable
3. track object-number interface type number {line-protocol | ip routing}
5. vrrp [group-number] ip ip-address
6. vrrp [group-number] priority level
7. vrrp [group-number] track object-number [decrement priority]
8. end
9. show track [object-number]
14
Etapes dtailles

Exemple: demand.
Routeur> enable
Exemple:
track object-number interface type number Configure une interface pour tre supervise
{line-protocol | ip routing} lorsque des changements dans l'tat de
l'interface affectent la priorit d'un groupe
VRRP.
Cette commande configure l'interface et

Exemple: le numro d'objet correspondant devant
Routeur(config)# track 2 interface serial 6 tre utiliss avec la commande vrrp track.
line-protocol
Le mot-cl line-protocol supervise l'tat
"up" de l'interface. Le mot-cl ip routing
vrifie que le routage IP est valid et actif
sur l'interface.
Vous pouvez galement utiliser la comman-

de track ip route pour superviser l'accessi-
bilit d'une route IP ou un objet de type
mtrique.
interface type number Entre en mode de configuration interface.
Exemple:
Routeur(config)# interface Ethernet 2
vrrp [group-number] ip ip-address Valide VRRP sur une interface et identifie
l'adresse IP du routeur virtuel.
Exemple:
Routeur(config-if)# vrrp 1 ip 10.0.1.20
vrrp [group-number] priority level Fixe le niveau de priorit du routeur dans le
groupe VRRP.
Exemple:
Router(config-if)# vrrp 1 priority 120
vrrp [group-number] track object-number Configure VRRP pour superviser un objet.

[decrement priority]
Exemple:
Routeur(config-if)# vrrp 1 track 2 decrement 15
Exemple:
show track [object-number] Affichage des informations de supervision.
Exemple:
Routeur# show track 1
15
Configuration de l'authentification VRRP
VRRP ignore les messages de protocole VRRP non authentifis. Le type d'authentifica-
tion par dfaut est l'authentification type texte. Les sections suivantes dcrivent les
tches de configuration pour l'authentification VRRP. La tche que vous ralisez d-
pend soit de l'authentification texte, d'une chane de caractres MD5 ou d'une chane
de cls MD5 que vous dsirez.
Configuration de l'authentification VRRP MD5 en utilisant une cl chane de

caractres.
Configuration de l'authentification VRRP MD5 en utilisant une chane de cls.
Vrification de l'authentificaton MD5.
Configuration de l'authentification VRRP texte.
Comment fonctionne l'authentification VRRP MD5
L'authentification VRRP MD5 fournit une scurit plus leve que le systme d'au-
thentification type texte. L'authentification MD5 permet chaque membre d'un grou-
pe VRRP d'utiliser une cl secrte pour gnrer un hash MD5 du paquet qui fait par-
tie de ce mme paquet mis. Un hash MD5 du paquet entrant est excut et si le
hash MD5 gnr n'est pas gal au hash MD5 contenu dans le paquet entrant alors
le paquet est ignor.
La cl pour le hash MD5 peut tre soit donne directement dans la configuration en
utilisant une cl chane de caractres ou fournie indirectement par une chane de
cls.
Un routeur ignorera les paquets entrants venant de routeurs qui n'ont pas la mme
configuration d'authentification pour le groupe VRRP. VRRP a trois systmes d'au-
thentification:
Pas d'authentification
Authentificaton mode texte
Authentification MD5
Les paquets VRRP sont rejets dans les cas suivants:
Les systmes d'authentification sont diffrents entre le routeur et le paquet entrant

Les digests MD5 diffrent entre le routeur et le paquet entrant.
La chane de texte d'authentificatuon diffre entre le routeur et le paquet entrant.
Restrictions
L'interoprabilit avec des constructeurs qui ont implment la mthode du RFC2328

n'est pas assure. L'authentification type texte ne paut pas tre combine avec l'au-
thentification MD5 pour un groupe VRRP. Quand l'authentification MD5 est configu-
re, le champ "text athentication" dans les messages Hello VRRP est mis zro lors
de l'mission et ignor en rception en supposant galement que le routeur rcepteur
a galement l'authentification MD5 configure.
16
Configuration de l'authentification VRRP MD5 avec une cl chane de
caractres
Excutez cette tche pour configurer l'authentification VRRP MD5 avec une cl
chane de caractres.
Rsum des tapes
1. enable
4. ip address ip-address mask [secondary]
5. vrrp [group-number] priority priority
6. vrrp [group-number] authentication md5 key-string [0 | 7] key [timeout
seconds]
7. vrrp [group-number] ip [ip-address [secondary]]
8. Rptez les tapes 1 7 sur chaque routeur qui va communiquer.
9. end
Etapes dtailles

Exemple: demand
Routeur> enable
Exemple:
Exemple:
ip address ip-address mask [secondary] Spcifie une adresse IP primaire ou secondaire

pour l'interface.
Example:
255.255.255.0
vrrp [group-number] priority priority Spcifie la priorit VRRP.
Exemple:
Routeur(config-if)# vrrp 1 priority 110
17
vrrp [group-number] authentication md5 Configure une chane d'authentification pour
key-string [0 |7] key [timeout seconds] l'authentification VRRP MD5.
L'argument key peut avoir 64 caractres de

long et il est recommand d'utiliser au
Exemple: moins 16 caractres.
Routeur(config-if)# vrrp 1 authentication md5
key-string d00b4r987654321a timeout 30 Pas de prfixe ou spcifier 0 pour l'argument
key signifie que la cl n'est pas crypte.
Spcifier 7 signifie que la cl sera crypte. La

cl d'uthentification key-string sera automa-
tiquement crypte si la commande service
password encryption est valide en mode
de configuration global.
La valeur timeout est la priode pendant

laquelle l'ancienne chane cl sera accepte
pour permettre la configuration de tous les
routeurs d'un groupe avec une nouvelle cl.
vrrp [group-number] ip [ip-address Valide VRRP sur une interface et identifie
[secondary]] l'adresse IP du routeur virtuel.
Exemple:
Rptez les tapes 1 7 sur chaque routeur -
qui va communiquer.
Exemple:
18
Configuration de l'authentification VRRP MD5 avec une chane de cls
Excutez cette tche pour configurer l'authentification VRRP MD5 avec une chane
de cls. Les chanes de cls vous permettent d'allouer une cl chane de caractres
diffrente pour tre utilise diffrents moments selon la configuration de la chane
de cls. VRRP demandera la chane de cls approprie pour obtenir la cl courante
valide et l'ID de cl pour la chane de cls spcifie.
Rsum des tapes
1. enable
3. key chain name-of-chain
4. key key-id
5. key-string string
6. exit
9. vrrp [group-number] priority priority
10. vrrp [group-number] authentication md5 key-chain key-chain-name
11. vrrp [group-number] ip [ip-address [secondary]]
12. Rptez les tapes 1 11 sur chaque routeur qui va communiquer.
13. end
Etapes dtailles

Exemple: demand
Routeur> enable
Exemple:
key chain name-of-chain Valide l'authentification pour les protocoles

de routage et identifie un groupe de cls pour
Exemple: l'authentification.
Routeur(config)# key chain vrrp1
key key-id Identifie une cl dans la chane de cls.
Exemple: Le key-id doit tre un nombre.

Routeur(config-keychain)# key 100
key-string string Spcifie la chane d'authentification pour une
cl.
Exemple:
string prut avoir 80 caractres alphanum-
Routeur(config-keychain-key)# key-string riques; le premier caractre ne peut pas
mno172 tre un chiffre.
19
exit Retour en mode de configuration global.
Exemple:
Routeur(config-keychain-key)# exit
Exemple:
Routeur(config)# interface Ethernet0/1
ip address ip-address mask [secondary] Spcifie une adresse IP primaire ou secon-

daire pour l'interface.
Exemple:
255.255.255.0
vrrp [group-number] priority priority Spcifie la priorit VRRP.
Exemple:
Routeur(config-if)# vrrp 1 priority 110
vrrp [group-number] authentication md5 Configure une authentification chane de

key-chain key-chain-name cls MD5 pour une authentification MD5
VRRP.
Exemple: Le nom de la chane de cls doit tre
Routeur(config-if)# vrrp 1 authentication md5 identique celui spcifi l'tape 3.
key-chain vrrp1
vrrp [group-number] ip [ip-address [secondary]] Valide VRRP sur une interface et identifie
Exemple:
Rptez les tapes 1 11 sur chaque routeur qui --

va communiquer.
Exemple:
20
Vrification de la configuration de l'authentification MD5 VRRP
Pour vrifier l'authentification VRRP MD5, excutez les tapes suivantes:
Rsum des tapes
1. show vrrp
2. debug vrrp authentication
Etapes dtailles
1. show vrrp
Utilisez cette commande pour vrifier que l'authentification est correctement

configure.
Routeur# show vrrp

Ethernet0/1 - Group 1
State is Master
Virtual IP address is 10.21.0.10
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 100
Authentication MD5, key-string f00d4s, timeout 30 secs
Master Router is 10.21.0.1 (local), priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.609 sec
Cette sortie montre que l'authentification MD5 est configure et que la chane cl
f00d4s est utilise. La valeur du timeout est fixe 30 secondes.
2. debug vrrp authentication
Utilisez cette commande pour vrifier que les deux routeurs ont l'authentification
configure, que le key ID MD5 est le mme sur chaque routeur et que les cls
sont identiques sur chaque routeur.
Routeur# debug vrrp authentication

VRRP: Grp 1 Advertisement from 10.24.1.1 has incorrect authentication
type 0 expected 254
!MD5 key IDs differ on each router.
VRRP: Grp 1 recalculate MD5 digest: 3n};oHp8_)_7 C

VRRP: Grp 1 Advertisement from 10.24.1.1 has FAILED MD5 authentication
!The MD5 key strings differ on each router.
VRRP: Grp 1 received MD5 digest: _M_^uMiWo^|t?t2m

VRRP: Grp 1 Advertisement from 10.24.1.1 has FAILED MD5 authentication
!The text authentication strings differ on each router.
VRRP: Grp 1 Advertisement from 172.24.1.1 has FAILED TEXT authentication
21
Configuration de l'authentification VRRP texte
Excutez cette tche pour configurer l'authentification VRRP texte.
Rsum des tapes
1. enable
5. vrrp group-number authentication text string
6. vrrp [group-number] ip ip-address
7. Repeat Steps 1 through 6 on each router that will communicate.
8. end
Etapes dtailles

Exemple: demand
Routeur> enable
Exemple:
Exemple:
ip address ip-address mask [secondary] Spcifie une adresse IP primaire ou secondaire

pour l'interface.
Exemple:
255.255.255.0
vrrp [group-number] authentication Authentifie les paquets VRRP reus des autres
text string routeurs dans le groupe.
Si vous configurez l'authentification, tous les

Exemple:
routeurs dans le groupe VRRP doivent utili-
Routeur(config-if)# vrrp 1 ser la mme chane pour l'authentification.
authentication text sanjose
La chane par dfaut est cisco.
vrrp [group-number] ip ip-address Valide VRRP sur une interface et identifie
Exemple:
22
Rptez les tapes 1 6 sur chaque routeur --
qui va communiquer.
Exemple:
Valider l'mission de notification SNMP VRRP sur le routeur
La MIB VRRP supporte les oprations SNMP Get ce qui permet aux quipements de
rseau d'obtenir des rapports au sujet des groupes VRRP dans un rseau partir de
la station de gestion.
La validation du support de Trap MIB VRRP est ralise au travers de la CLI et la MIB
est utilise pour obtenir les rapports. Un trap est notifi la station de gestion du r-
seau quand un routeur entre ou quitte l'tat actif ou secours. Quand une entre est
configure partir de la CLI, le "RowStatus" pour ce groupe dans la MIB passe imm-
diatement l'tat actif.
Rsum des tapes
1. enable
3. snmp-server enable traps vrrp
4. snmp-server host host community-string vrrp
Etapes dtailles

Exemple: demand.
Routeur> enable
Exemple:
snmp-server enable traps vrrp Permet au routeur de transmettre des notifi-

cations (traps et informs).
Exemple:
Routeur(config)# snmp-server enable traps vrrp
snmp-server host host community-string vrrp Spcifie le rcepteur des notifications SNMP.
Exemple:
Routeur(config)# snmp-server host
myhost.comp.com public vrrp
23
Exemples de configuration de VRRP
Cette section fournit les exemples de configuration suivants:

Exemple de supervision d'objet VRRP
Exemple de vrification de supervision d'objet VRRP
Configuration de l'authentification MD5 VRRP en utilisant une cl chane de
caractres
Configuration de l'authentification MD5 VRRP en utilisant une cl chane de cls
Exemple d'authentification VRRP texte
Dvalidation d'un groupe VRRP sur une interface
Exemple de Trap MIB VRRP

Dans l'exemple suivant, le routeur A et le routeur B appartiennent chacun trois
groupes VRRP. Dans la configuration, chacun des groupes a les proprits suivantes:
Groupe 1
- Adresse IP virtuelle 10.1.0.10

- Le routeur A sera le matre pour ce groupe avec une priorit de 120.
- Intervalle d'envoi des annonces: 3 secondes
- Premption valide
Groupe 5
- Le routeur B sera le matre pour ce groupe avec une priorit de 200.

- Intervalle d'envoi des annonces: 30 secondes
- Premption valide
Groupe 100
- Le routeur A sera le matre pour ce groupe car il a une adresse IP plus leve.
- Intervalle d'envoi des annonces: 1 seconde
- Premption dvalide
Routeur A
interface ethernet 1/0

ip address 10.1.0.2 255.0.0.0
vrrp 1 priority 120
vrrp 1 authentication cisco
vrrp 1 timers advertise 3
vrrp 1 timers learn
vrrp 1 ip 10.1.0.10
vrrp 5 priority 100
vrrp 5 timers learn
vrrp 5 ip 10.1.0.50
vrrp 100 timers learn
no vrrp 100 preempt
vrrp 100 ip 10.1.0.100
24
Routeur B
interface ethernet 1/0

ip address 10.1.0.1 255.0.0.0
vrrp 1 priority 100
vrrp 1 authentication cisco
vrrp 1 timers learn
vrrp 1 ip 10.1.0.10
vrrp 5 priority 200
vrrp 5 timers learn
vrrp 5 ip 10.1.0.50
vrrp 100 timers learn
no vrrp 100 preempt
vrrp 100 ip 10.1.0.100
Exemple de supervision d'objet VRRP

Dans l'exemple suivant, le processus de supervision est configur pour superviser
l'tat du protocole de liaison sur l'interface Serial 0/1. VRRP sur l'interface Ethernet
1/0 s'enregistre auprs du processus de supervision pour tre inform de tout chan-
gement dans l'tat du protocole de liaison de l'interface Serial0/1. Si le protocole de
liaison de l'interface Serial0/1 passe l'tat "down" alors la priorit du groupe VRRP
est rduite de 15.
track 1 interface Serial0/1 line-protocol

!
interface Ethernet1/0
ip address 10.0.0.2 255.0.0.0
vrrp 1 ip 10.0.0.3
vrrp 1 priority 120
vrrp 1 track 1 decrement 15
Exemple de vrification de supervision d'objet VRRP

Les exemples suivants vrifient la configuration montre dans la section "Exemple de
supervision d'objet VRRP".
Routeur# show vrrp
Ethernet1/0 - Group 1
State is Master
Virtual IP address is 10.0.0.3
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 105
Track object 1 state Down decrement 15
Master Router is 10.0.0.2 (local), priority is 105
Master Advertisement interval is 1.000 sec
Master Down interval is 3.531 sec
25
Routeur# show track
Track 1
Interface Serial0/1 line-protocol
Line protocol is Down (hw down)
1 change, last change 00:06:53
Tracked by:
VRRP Ethernet1/0 1
Configuration de l'authentification MD5 VRRP en utilisant une

cl chane de caractres
Cet exemple montre comment configurer l'authentification VRRP MD5 en utilisant

une cl chane de caractres et un timeout de 30 secondes.
interface Ethernet0/1
description ed1-cat5a-7/10
vrrp 1 ip 10.21.0.10
vrrp 1 priority 110
vrrp 1 authentication md5 key-string f00c4s timeout 30
Configuration de l'authentification MD5 VRRP en utilisant une

chane de cls
Cet exemple montre comment configurer l'authentification VRRP MD5 en utilisant

une chane de cls.
key chain vrrp1

key 1
key-string f00c4s
!
interface ethernet0/1
description ed1-cat5a-7/10
vrrp 1 priority 110
vrrp 1 authentication md5 key-chain vrrp1
vrrp 1 ip 10.21.0.10
Dans cet exemple, VRRP fait une requte sur la chane de cls pour connatre la cl
courante en usage et l'ID de cl spcifi pour la chane de cls.
Exemple d'authentification VRRP texte
L'exemple suivant montre comment configurer l'authentification VRRP texte en utili-

sant du texte.
interface fastethernet 0/0

ip address 10.21.8.32 255.255.255.0
vrrp 10 authentication text stringxyz
vrrp 10 ip 10.21.8.10
26
Dvalider un groupe VRRP sur une interface
Cet exemple montre comment dvalider un groupe VRRP sur l'interface Ethernet0/1
tout en gardant VRRP pour le groupe 2sur l'interface Ethernet 0/2.
ip address 10.24.1.1 255.255.255.0
vrrp 1 ip 10.24.1.254
vrrp 1 shutdown
ip address 10.168.42.1 255.255.255.0
vrrp 2 ip 10.168.42.254
Exemple de Trap MIB VRRP
Cet exemple montre comment valider la fonctionnalit support de Trap MIB VRRP.
snmp-server enable traps vrrp

snmp-server host 10.1.1.0 community abc vrrp
Les sections suivantes fournissent des rfrences additionnelles en relation avec
VRRP.
Documents relatifs VRRP
Sujet Titre du document

VRRP commands: complete command Cisco IOS IP Command Reference, Volume 1 of
syntax, command mode, command 4: Addressing and Services, Release 12.4
history, defaults, usage guidelines, and
examples.
Key chains and key management: Cisco IOS IP Command Reference, Volume 2 of 4:
complete command syntax, command Routing Protocols, Release 12.4
mode, command history, defaults,
usage guidelines, and examples
Object tracking Configuring Enhanced Object Tracking module
HSRP Configuring HSRP module
GLBP Configuring GLBP module
Standards
Aucune modification d'un standard ni de nouveaux standards n'ont t raliss pour

le support de cette fonctionnalit.
27
MIBs
MIBs Lien MIBs

No new MIBs are supported by this To locate and download MIBs for selected
feature, and support for existing MIBs platforms, Cisco IOS releases, and feature sets,
has not been modified by this feature. use Cisco MIB Locator found at the following URL:
http://www.cisco.com/go/mibs
RFCs
RFCs Titre
RFC 2338 Virtual Router Redundancy Protocol
Information sur les fonctionnalits de VRRP

Le tableau suivant liste les caractristiques contenues dans ce module et fournit les
liens pour des informations de configuration spcifiques. Seules les caractristiques
introduites et modifies dans la Release 12.2(1) ou la Release 12.2(14)S ou suivantes
de l'IOS Cisco apparaissent dans cette table.
Toutes les commandes ne sont peut-tre pas disponibles dans votre Release de l'IOS
Cisco. pour des dtails sur la date d'introduction du support d'une commande parti-
culire, voir la documentation de rfrence des commandes.
Si vous recherchez une information sur une caractristique de cette technologie qui
n'est pas documente ici voir "VRRP Feature Roadmap".
Les images de l'IOS Cisco sont spcifiques une release de l'IOS Cisco, un ensemble
de fonctionnalits et une plateforme.
Nom de la fonctionnalit Release Information de configuration

Virtual Router Redundancy Protocol 12.2(13)T VRRP enables a group of routers to form a
12.2(14)S single virtual router to provide redundancy.
The LAN clients can then be configured
with the virtual router as their default
gateway. The virtual router, representing a
group of routers, is also known as a VRRP
group.
All sections provide information about this

feature.
The following commands were introduced

by this feature: debug vrrp all, debug vrrp
error, debug vrrp events, debug vrrp
packets, debug vrrp state, show vrrp,
show vrrp interface, vrrp authentication,
vrrp description,vrrp ip, vrrp preempt,
vrrp priority, vrrp timers advertise, vrrp
timers learn.
28
VRRP Object Tracking 12.3(2)T The VRRP Object Tracking feature extends
12.2(25)S the capabilities of the VRRP to allow
tracking of specific objects within the
router that can alter the priority level of a
virtual router for a VRRP group.
The following sections provide information
about this feature:
VRRP Object Tracking

Configuring VRRP Object Tracking
The following command was introduced by

this feature:
vrrp track.
The following command was modified by

this feature:
show track.
VRRP MIBRFC 2787 12.3(11)T The VRRP MIBRFC 2787 feature enables
an enhancement to the MIB for use with
SNMP-based network management. The
feature adds support for configuring,
monitoring, and controlling routers that
use VRRP.
about this feature:
Disabling VRRP on an Interface

Enabling the Router to Send SNMP VRRP
Notifications

this feature:
vrrp shutdown.
The following commands were modified by

this feature:
snmp-server enable traps and snmp-
server host.
29
FHRPVRRP Enhancements 12.3(14)T The FHRPVRRP Enhancements feature
adds support for the following capabilities:
MD5 AuthenticationAdded to routers

that are configured for VRRP, similar to
HSRP, to provide a method of authentica-
ting peers using a more simple method
than the method in RFC 2338.
Bridged Virtual Interface (BVI)Added

the capability to configure VRRP on BVIs.
This functionality is similar to the existing
HSRP support for BVIs.

about this feature:
Restrictions for VRRP

Configuring VRRP Authentication

this feature:
debug vrrp authentication.
The following commands were modified by

this feature:
vrrp authentication and show vrrp.
30

CCNP VRRP Configuration

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CCNP VRRP Configuration

Transféré par

Droits d'auteur :

Formats disponibles

Configuration

Restrictions pour VRRP

Informations sur VRRP

Comment configurer VRRP

- Valider l'mission de de notification SNMP VRRP par le routeur

Exemples de configuration de VRRP

- Documents relatifs VRRP

Informations sur les fonctionnalits de VRRP

Le protocole VRRP (Virtual Router Redundancy Protocol) est un protocole d'lection

Informations sur VRRP

Protocole de routage : Le client excute les mises jour de protocoles de routage

L'inconvnient des protocoles de routage dynamique est qu'ils ncessitent de la con-

VRRP peut rsoudre le problme de la configuration statique. VRRP permet un

Client 1 Client 2 Client 3

Comme le routeur virtuel utilise l'adresse IP de l'interface physique Ethernet du rou-

Les routeurs B et C fonctionnent comme routeurs virtuels de secours. Si le routeur

Client 1 Client 2 Client 3 Client 4

VRRP vous permet de configurer de multiples routeurs comme routeurs passerelles

Routeurs Virtuels Multiples

Le systme de redondance de VRRP vous permet de prempter un routeur virtuel de

L'algorithme d'authentification MD5 (Message Digest 5) protge contre les logiciels

Supervision d'objet VRRP

Support de routeurs virtuels multiples

Capacit de traitement du routeur

Un aspect important du systme de redondance VRRP est la priorit du routeur

Si un routeur VRRP possde l'adresse IP du routeur virtuel et l'adresse IP de l'inter-

La priorit dtermine galement si un routeur VRRP fonctionne comme routeur vir-

Supervision d'objets VRRP

La supervision d'objets VRRP est un processus indpendant qui gre la cration, la

Comment configurer VRRP

Personnalisation de VRRP (Optionnel)

Excutez cette tche pour personnaliser VRRP.

Comment la supervision d'objets affecte la priorit d'un routeur VRRP

La priorit d'un quipement peut changer dynamiquement si celui-ci a t configur

Commande ou Action But

configure terminal Entre en mode de configuration global.

interface type number Entre en mode de configuration interface

ip address ip-address mask Configure l'adresse IP de l'interface.

Exemple: Le dlai par dfaut est 0 secondes.

L'unit de l'intervalle est en secondes sauf

vrrp group-number timers learn Configure le routeur, quand il opre comme

Excutez cette tche pour valider VRRP.

Rsum des tapes

Commande ou Action But

configure terminal Entre en mode de configuration global.

interface type number Entre en mode de configuration interface

ip address ip-address mask Configure l'adresse IP de l'interface.

Aprs avoir identifi une adresse IP primai-

Dvalider VRRP sur une interface

Rsum des tapes

Commande ou Action But

configure terminal Entre en mode de configuration global.

interface type number Entre en mode de configuration interface.

ip address ip-address mask Configure l'adresse IP de l'interface.

Exemple: La commande est maintenant visible sur le

Configuration de la supervision d'objet

Excutez cette tche pour pour configurer la supervision d'objet VRRP.

Rsum des tapes

Commande ou Action But

configure terminal Entre en mode de configuration global.

Cette commande configure l'interface et

Vous pouvez galement utiliser la comman-

vrrp [group-number] track object-number Configure VRRP pour superviser un objet.