Version Filtre

Module-Kit de Maîtrise - Concepts du FHRP

De la théorie à l'expertise opérationnelle - Kit 200% plus substantiel

Contenu sourceLe texte et les structures utiles du document d'origine sont conservés dans cette reconstruction.

RenduHabillage moderne inspire du modele principal, sans supprimer les blocs specifiques du document initial.

FocusModule-Kit de Maîtrise - Concepts du FHRP

📍 ANALOGIE SYSTÉMIQUE

Thème central : "La Garde Royale de la Porte du Royaume"

Imaginez un château fort avec plusieurs portes d'entrée, mais les villageois ne connaissent qu'une seule adresse : "La Grande Porte du Royaume". Cette "Grande Porte" est en réalité un système de gardes royaux (routeurs) qui fonctionnent ensemble.

Métaphore concrète et systémique

Un garde principal (routeur actif) ouvre et ferme effectivement la porte. D'autres gardes (routeurs de secours) observent, prêts à prendre sa place instantanément s'il tombe. Tous portent la même armure distinctive (adresse MAC virtuelle) et utilisent le même étendard (adresse IP virtuelle), donc les villageois ne voient jamais le changement de garde.

Éléments clés :

Garde Principal (Routeur Actif) : Le seul qui traite réellement le trafic des villageois vers l'extérieur.
Garde de Secours (Routeur Standby) : Surveille le garde principal, prêt à intervenir en 10 secondes max.
Armure Royale (Adresse MAC Virtuelle) : 0000.0C07.ACXX - Identique pour tous les gardes du même groupe.
Étendard Royal (Adresse IP Virtuelle) : L'adresse de passerelle unique que connaissent tous les hôtes.
Code Secret (Hello Messages) : Toutes les 3 secondes, le garde principal signale "Je suis vivant".
Protocole de Succession (Priorité & Préemption) : Détermine qui devient garde principal et si un garde de rang supérieur peut reprendre le contrôle.

Risque analogique :

Si le système de communication entre gardes (DTP-like) est corrompu, un imposteur pourrait se faire passer pour la Garde Royale et détourner tout le trafic du royaume (VLAN Hopping/ARP Spoofing).

🧠 MODÈLE MENTAL

graph TD A[Besoin: Redondance de Passerelle] --> B{Couche 2 ou 3?}; B -->|Couche 2 - VLANs| C[FHRP Nécessaire]; B -->|Couche 3 - Routage| D[Protocoles de Routage Dynamique]; C --> E{Choix du Protocole}; E --> F[HSRP - Cisco Propriétaire]; E --> G[VRRP - Standard IETF]; E --> H[GLBP - Load Balancing]; F --> I[Configuration Interface]; I --> J[standby group ip virtual-ip]; I --> K[standby priority value]; I --> L[standby preempt]; J --> M[État: Speak/Listen]; K --> N[Élection: Highest Priority Wins]; L --> O[Comportement: Takeover if Higher Priority]; M --> P[État: Active/Standby]; N --> Q[Router Actif: Forward Traffic]; O --> R[Basculement si: Hello Timeout/Manual]; P --> S[Hello every 3 sec]; Q --> T[Hosts use Virtual IP/MAC]; R --> U[Failover < 10 sec]; S --> V[Détection Échec]; V --> W[Standby → Active]; W --> X[Transparent aux Hôtes];

⚡ NOYAU DUR (Les lois Immuables)

L'illusion du routeur unique est la clé.

Preuve : Les hôtes sont configurés avec une SEULE adresse de passerelle par défaut statique. Les FHRP créent une adresse IP virtuelle et une adresse MAC virtuelle partagées par plusieurs routeurs physiques. L'hôte ARP pour l'IP virtuelle reçoit la MAC virtuelle. Le trafic vers cette MAC est traité par le routeur physique élu "Actif". C'est une abstraction de couche 2/3.

La priorité détermine le maître, la préemption définit les règles de succession.

Preuve : Sans configuration manuelle, l'élection HSRP utilise l'adresse IP la plus élevée (par défaut priority=100). La commande standby priority <0-255> permet un contrôle déterministe. standby preempt permet à un routeur avec une priorité supérieure de reprendre le rôle Actif immédiatement lorsqu'il rejoint le groupe. Sans préemption, le premier routeur à démarrer reste Actif, même si un routeur avec priorité supérieure apparaît plus tard.

Les minuteurs HELLO et HOLD sont le cœur du battement.

Preuve : Par défaut, le routeur Actif envoie un paquet HELLO en multicast (224.0.0.2) toutes les 3 secondes. Le routeur Standby a un minuteur HOLD (délai d'attente) de 10 secondes. Si le Standby ne reçoit pas 3 paquets HELLO consécutifs (≈10s), il déclare l'Actif mort et prend le relais. Réduire ces minuteries accélère le failover mais augmente la charge CPU et le risque de basculements instables (flapping).

HSRP est étatique, GLBP est dynamique pour la charge.

Preuve : HSRP et VRRP ont un seul routeur Actif qui traite tout le trafic client ; les autres sont inactifs (standby). GLBP utilise un algorithme pour répartir les hôtes entre plusieurs routeurs "Actifs" dans le groupe, permettant un équilibrage de charge par hôte. Le choix dépend de l'objectif : redondance pure (HSRP/VRRP) vs redondance + optimisation de bande passante (GLBP).

L'adresse MAC virtuelle est déterministe et traçable.

Preuve : L'adresse MAC virtuelle HSRP est 0000.0C07.ACXX, où XX est l'identifiant du groupe HSRP en hexadécimal (group 1 = 0x01, group 10 = 0x0A). Cela permet une identification facile dans les tables CAM/MAC et lors du dépannage. VRRP utilise 0000.5E00.01XX.

🔐 PROFONDEUR SÉCURITÉ & MÉTIER

RISQUE PRINCIPAL

Risque Principal : Usurpation de la Passerelle Par Défaut (ARP Poisoning / HSRP Hijacking).

→ Attaque Type : Un attaquant connecté au même VLAN configure un routeur rogue avec une priorité HSRP plus élevée et la préemption activée. Il devient le routeur Actif, interceptant tout le trafic sortant du segment (homme du milieu).

Détection :

show standby brief
! Vérifier l'identité du routeur Actif
show standby all | include (Active|Standby|priority|authentication)
! Surveiller les logs pour les changements d'état HSRP inattendus

Mitigation Immédiate :

interface GigabitEthernet0/1
! 1. Activer l'authentification MD5 (fortement recommandée)
standby 1 authentication md5 key-string MySecretKey2024
! 2. Utiliser une clé complexe et la changer régulièrement
! 3. Limiter les VLAN où HSRP tourne (pruning)
! 4. Optionnel : Utiliser une ACL pour filtrer le trafic HSRP (protocole 112)
ip access-list standard HSRP-PEERS
 permit host 10.1.10.2
 permit host 10.1.10.3
!
interface GigabitEthernet0/1
 ip access-group HSRP-PEERS in

Intégration Entreprise :

Ansible : Playbook pour déployer de manière cohérente l'authentification HSRP sur toutes les interfaces concernées.
SIEM : Alerte déclenchée sur tout changement d'état HSRP (%HSRP-5-STATECHANGE) hors fenêtre de maintenance.
Policy : Exiger HSRPv2 (support IPv6 et multicast) et l'authentification MD5/SHA-256 dans le cadre de sécurité réseau.

📚 PROFONDEUR EXAMEN CCNA

Détail Oublié #1 :

Les numéros de groupe HSRP. La plage est de 0 à 255, et le groupe 0 est le groupe par défaut si aucun numéro n'est spécifié. Pour IPv6 (HSRPv2), la plage est de 0 à 4095.

Détail Oublié #2 :

Adresses Multicast HSRP.

HSRPv1 (IPv4 only) : Utilise l'adresse multicast 224.0.0.2 (Tous les routeurs) sur le port UDP 1985.
HSRPv2 (IPv4 & IPv6) : Utilise l'adresse multicast 224.0.0.102 sur le port UDP 1985. Ce changement permet la coexistence avec d'autres protocoles et ajoute le support IPv6.

Piège Fréquent :

Priorité vs Adresse IP. Beaucoup pensent que standby preempt suffit pour qu'un routeur reprenne le contrôle. FAUX. Il doit aussi avoir une priorité numériquement supérieure. Si les priorités sont égales, c'est l'adresse IP physique la plus élevée qui l'emporte, même avec preempt activé.

Question Type CCNA :

Le routeur R1 est configuré avec standby 10 priority 150 et standby 10 preempt. R2 a standby 10 priority 100 et standby 10 preempt. R1 est actuellement le routeur Actif. Si R1 redémarre, puis revient en ligne, que se passe-t-il ?

A. R2 reste l'Actif car il a démarré en premier après la panne.

B. R1 redevient immédiatement l'Actif à son retour.

C. R1 devient le routeur Standby.

D. Les deux routeurs entrent en état "Speak" pour une nouvelle élection.

Réponse : B. La préemption étant activée sur R1 et sa priorité (150) étant supérieure à celle de R2 (100), R1 déclenche une nouvelle élection à son retour et redevient Actif.

⚙️ LAB COMPLET : DE LA CONFIG À L'AUTOMATISATION

Configuration Fondamentale HSRPv2

! Sur R1 (Désigné comme Actif Préféré)
interface GigabitEthernet0/0.10
 description VLAN10 - Gateway
 encapsulation dot1Q 10
 ip address 10.1.10.2 255.255.255.0
! Configuration HSRP de base
 standby version 2                      ! ⚠️ Utiliser HSRPv2 pour le support moderne
 standby 10 ip 10.1.10.1                ! 🔵 Adresse IP virtuelle pour le groupe 10
 standby 10 priority 150                ! 🟠 Priorité élevée pour être Actif
 standby 10 preempt                     ! 🟢 Permettre la reprise du rôle
 standby 10 name GW_VLAN10              ! 🔵 Nom descriptif pour le groupe
!
! Vérification
show standby brief
! Sortie attendue :
! Grp  Prio State   Active          Standby         Virtual IP
! 10   150  Active  local           10.1.10.3       10.1.10.1

Hardening HSRP pour la Production

interface GigabitEthernet0/0.10
! Configuration de base sécurisée
 standby version 2
 standby 10 ip 10.1.10.1
 standby 10 priority 150
 standby 10 preempt
 standby 10 authentication md5 key-string 7 094F471A1A0A545D  ! 🔐 Auth MD5 chiffrée
 standby 10 timers msec 500 msec 1500                         ! ⚡ Failover rapide (0.5s/1.5s)
 standby 10 track 1 decrement 30                              ! 🎯 Tracking d'interface
!
! Risque si omis : Sans authentification, risque d'usurpation HSRP (HSRP Hijacking).
! Justification tracking : Si l'interface vers le cœur (Serial0/0/0) tombe, la priorité de R1 diminue de 30, permettant à R2 (priorité 140) de prendre le relais, même si R1 est toujours en ligne localement.

Automatisation avec Ansible

# playbook_deploy_hsrp.yml
---
- name: Deploy Secure HSRP Configuration
  hosts: core_routers
  vars:
    hsrp_groups:
      - { vlan: 10, vip: '10.1.10.1', group_id: 10, active_priority: 150, standby_priority: 100 }
      - { vlan: 20, vip: '10.1.20.1', group_id: 20, active_priority: 100, standby_priority: 150 }
    auth_key: "{{ vault_hsrp_key }}"
  tasks:
    - name: Configure HSRP on Subinterfaces
      cisco.ios.ios_config:
        lines:
          - "standby version 2"
          - "standby {{ item.group_id }} ip {{ item.vip }}"
          - "standby {{ item.group_id }} priority {{ item.active_priority if inventory_hostname == 'R1' else item.standby_priority }}"
          - "standby {{ item.group_id }} preempt"
          - "standby {{ item.group_id }} authentication md5 key-string {{ auth_key }}"
          - "standby {{ item.group_id }} timers msec 500 msec 1500"
        parents: "interface GigabitEthernet0/0.{{ item.vlan }}"
      loop: "{{ hsrp_groups }}"
      tags: hsrp_config

Avantage : Déploiement cohérent, infaillible et documenté sur des dizaines de VLANs. Gestion centralisée des clés de sécurité via un coffre (Ansible Vault). Temps gagné : Réduction de 95% du temps de configuration manuelle et élimination des erreurs de frappe.

Simulateur CLI HSRP

Bienvenue dans le simulateur CLI HSRP.

Tapez 'help' pour voir les commandes disponibles.

R1#

🚨 SCÉNARIO DE DÉPANNAGE AVANCÉ

Symptôme Complexe :

Les utilisateurs du VLAN 30 se plaignent d'intermittence Internet. Parfois ça marche, parfois non. ping vers la passerelle 10.1.30.1 échoue aléatoirement. R1 et R2 sont les routeurs de cœur.

Processus de Diagnostic (Arbre Décisionnel) :

Vérifier l'état HSRP sur les deux routeurs :
```
show standby vlan 30 brief
```
Résultat R1 : Grp 30 Pri 100 State Active. Résultat R2 : Grp 30 Pri 100 State Active. ➔ ALARME ! Deux routeurs dans l'état "Active" = condition de "split-brain".

Analyser la cause du split-brain :

! Vérifier la connectivité de couche 2 entre R1 et R2 sur le VLAN 30
show cdp neighbors Gig0/0.30
ping 10.1.30.2 source 10.1.30.1
! Vérifier si les paquets HSRP sont bloqués
debug standby packets
! (À utiliser avec précaution) Vérifier les ACL ou les filtres
show ip interface Gig0/0.30 | include access list


                Hypothèse la plus probable : Une ACL mal configurée sur l'un des liens trunk, ou un problème de VLAN pruning, bloque le trafic multicast HSRP (224.0.0.2 ou 224.0.0.102) entre R1 et R2. Chaque routeur pense que l'autre est mort et se proclame Actif.


        
        
            Root Cause Probable :
            ACL d'entrée sur interface GigabitEthernet0/1 de R2 qui filtre le port UDP 1985 ou l'adresse 224.0.0.0/24.
        
        
        
            Fix et Rollback :
            ! SUR R2 - Identifier et corriger l'ACL
show run | section interface GigabitEthernet0/1
! Supposons que l'ACL 110 est appliquée en entrée
show access-lists 110
! Trouver et supprimer la ligne qui refuse le multicast ou le port 1985
conf t
ip access-list extended 110
 no deny udp any any eq 1985
 no deny ip any 224.0.0.0 0.0.0.255
 permit ip any any  ! Assurer qu'une règle 'permit' existe
end
!
! Vérification du fix
show standby vlan 30 brief
! R2 devrait maintenant être en état "Standby", R1 en "Active".
!
! Rollback au cas où
conf t
interface GigabitEthernet0/1
 no ip access-group 110 in
end
! Puis analyser l'ACL 110 hors ligne avant de la réappliquer.


    
    
    
        
            
            🔗 CONNECTIONS SYSTÉMIQUES
        
        
        
             Module Précédent (STP) :
            STP élimine les boucles de couche 2 pour fournir un chemin unique. FHRP exploite cette topologie stable de couche 2 pour créer une redondance de couche 3 (passerelle). Un mauvais design STP peut isoler un routeur FHRP, causant un failover non désiré.
        
        
        
             Module Suivant (Protocoles de Routage Dynamique - OSPF/EIGRP) :
            FHRP gère la redondance du premier saut pour les hôtes finaux. Une fois le trafic sur le routeur Actif, les protocoles de routage dynamique prennent le relais pour déterminer le meilleur chemin à travers le réseau cœur (les sauts suivants). Ils doivent converger rapidement après un failover FHRP.
        
        
        
             Écosystème Réel :
            
                FW (Pare-feu) : En mode transparent (Layer 2), les FW doivent être hors du chemin HSRP ou configurés en pair pour ne pas bloquer les multicasts Hello.
                SDN (ACI, DNA Center) : Utilise souvent un mécanisme similaire de "anycast gateway" intégré au contrôleur, rendant HSRP traditionnel obsolète dans ces architectures.
                Contrôleur Wi-Fi : Les points d'accès et leurs clients ont besoin d'une passerelle par défaut redondante, faisant d'HSRP un choix courant dans les réseaux filaires supportant le Wi-Fi.
            
        
    
    
    
    
        
            
            ❓ VALIDATION PAR EXERCICE MENTAL
        
        
        
            
                 Question de Concept :
                En utilisant l'analogie de la Garde Royale, expliquez ce qui se passe si le "Code Secret" (Hello Timer) est changé de 3 secondes à 1 seconde sur le Garde Principal, mais pas sur le Garde de Secours. Quel est le risque pour le Royaume (le réseau) ?
                
                
                    Réponse : Le Garde Principal crie "Je suis vivant !" toutes les secondes. Le Garde de Secours s'attend toujours à l'entendre toutes les 3 secondes. S'il ne l'entend pas pendant 10 secondes (son délai d'attente), il pensera que le Garde Principal est mort, même s'il crie plus souvent, et déclenchera une prise de pouvoir inutile (basculement instable). Cela cause une interruption de service.
                
            
            
            
                 Question de Piège :
                Quelle est la différence fondamentale entre l'adresse MAC virtuelle utilisée par HSRP groupe 15 et VRRP groupe 15 ?
                
                
                    Réponse :
                    
                        HSRP groupe 15 : 0000.0C07.AC0F (AC = identifiant HSRP, 0F = 15 en hex).
                        VRRP groupe 15 : 0000.5E00.010F (standard IETF).
                    
                    Un hôte faisant un ARP pour l'IP virtuelle recevra une MAC différente selon le protocole utilisé.
                
            
            
            
                 Question de Crise :
                "Il est 3h du matin, tous les utilisateurs du bâtiment A sont hors d'Internet. Votre monitoring montre que le routeur R1 (HSRP Actif pour le VLAN principal) est en ligne et pingable, mais le trafic des hôtes ne passe plus. Quelle est votre première commande, votre première hypothèse, et votre plan d'action en 3 étapes ?"
                
                
                    Réponse :
                    
                        Première commande : show standby brief sur R1 et R2. Objectif : Vérifier l'état HSRP. Hypothèse : Split-brain ou R1 a perdu sa connectivité en aval tout en restant HSRP Actif.
                        Première hypothèse : L'interface physique de R1 vers le réseau interne est "up/up" mais ne traite plus le trafic (ASIC défaillant, erreurs CRC), ou sa table ARP est corrompue.
                        Plan d'action :
                            
                                Étape 1 (Vérification) : Sur R1, show interface Gig0/0 pour les erreurs, show arp pour vérifier les entrées.
                                Étape 2 (Contournement) : Sur R2, forcer manuellement un basculement standby group force-active (si supporté) ou baisser la priorité de R1.
                                Étape 3 (Correctif) : Si c'est une défaillance matérielle de R1, préparer le basculement des autres VLANs et ouvrir un ticket hardware.
                            
                        
                    
                
            
        
    
    
    
    
        
            
            🧩 MICRO-KIT ESSENTIEL (SYNTHÈSE 1 PAGE A4)
        
        
        
            
                 Les 5 Lois Immuables (version courte)
                
                    Une IP, une MAC virtuelles = l'illusion pour les hôtes.
                    Priorité (0-255) élit l'Actif ; IP plus haute départage les égalités.
                    Preempt = règles de succession ; sans elle, le premier venu reste maître.
                    Hello 3s / Hold 10s = le cœur du battement et du failover.
                    HSRPv2 (224.0.0.102) > HSRPv1 (224.0.0.2) ; préférer v2 pour IPv6 et moins de conflits.
                
            
            
            
                 Mini-Modèle Mental
                
graph LR
    A[Hôtes → IP Virtuelle] --> B{ARP};
    B --> C[MAC Virtuelle];
    C --> D[Routeur Actif];
    D -- Hello/3s --> E[Routeur Standby];
    E -- Holdtime 10s --> F{Failover?};
    F -->|Oui| D;
                
            
            
            
                 Les 3 Pièges CCNA
                
                    Sans preempt, un routeur avec priorité supérieure ne reprendra JAMAIS le rôle Actif.
                    HSRPv1 utilise 224.0.0.2, HSRPv2 utilise 224.0.0.102 (et supporte IPv6).
                    La MAC virtuelle est 0000.0C07.AC + ID Groupe en Hex (Groupe 5 = AC05).
                
            
            
            
                 Scénario de Dépannage en 3 Étapes
                
                    show standby brief → Vérifier l'état (Active/Standby) et l'IP virtuelle.
                    ping <virtual-ip> depuis un hôte et depuis les routeurs → Isoler la couche.
                    show log → Chercher les messages %HSRP-5-STATECHANGE.
                
            
            
            
                 1 Risque Sécurité + Mitigation
                Risque : HSRP Hijacking via un routeur rogue à priorité élevée.
                Mitigation : standby <group> authentication md5 key-string <secret> SUR TOUTES LES INTERFACES HSRP.
            
            
            
                 1 Équation Mentale
                
                    Élection HSRP = MAX(Priorité) → Si Égalité → MAX(Adresse IP Physique)
                
            
        
        
        
             Les 6 Commandes CLI Incontournables
            
                
                    show standby brief
                    ✅ État de tous les groupes
                
                
                    show standby interface gi0/0.10
                    🔵 Détails complets par interface
                
                
                    debug standby events
                    🟠 Dépannage (à utiliser avec prudence)
                
                
                    standby 10 ip 192.168.1.1
                    🔵 Configuration de base
                
                
                    standby 10 priority 150 preempt
                    🟢 Définir le maître et ses droits
                
                
                    standby 10 track 1 decrement 30
                    🎯 Suivi d'interface pour basculement proactif
                
            
        
    
    
    
        Module-Kit de Maîtrise - Concepts du FHRP
        © 2024