Hot Standby Router Protocol HSRP Familie InternetprotokollfamilieEinsatzgebiet Steigerung der Verfügbarkeit von Gateways

Das Hot Standby Router Protocol (HSRP) ist ein Verfahren zur Steigerung der Verfügbarkeit von wichtigen Gateways in lokalen Netzen für Endgeräte mittels redundanter Router.

Das proprietäre HSRP ist von Cisco entwickelt worden und wurde mit RFC 2281 in der Version 1 offen gelegt. HSRP wurde entwickelt, um Endgeräten einen Zugriff in entfernte IP-Netze über mehrere Router zu ermöglichen. Endgeräte ("hosts") verfügen oft über keine Unterstützung von dynamischem Routing; stattdessen stellen sie IP-Pakete an Ziele außerhalb ihres eigenen Subnetzes nicht direkt, sondern über eine auf dem Endgerät konfigurierte Default-Gateway-IP-Adresse zwecks weiterer Vermittlung durch dieses zu. In der Regel ist die Default-Gateway-IP-Adresse die IP-Adresse des Routers im selben Subnetz des Endgerätes. Ein Ausfall dieses Routers ist für das Endgerät in der Regel nicht feststellbar (mangels dynamischer Routing-Funktion zwischen Router und Endgerät) und führt zu Kommunikationsverlust des Endgerätes zu Zielen außerhalb seines eigenen Subnetzes.

An dieser Stelle setzen HSRP oder andere First-Hop-Redundanz-Protokolle an. Hiermit werden mindestens zwei Router für das jeweilige IP-Subnetz zu einer logischen Gruppe zusammengefasst. Diese Gruppe von Routern präsentiert sich den Endgeräten im Subnetz als ein logischer Router mittels einer virtuellen IP-Adresse und einer virtuellen MAC-Adresse in dem jeweiligen IP-Subnetz. Sogenannte First-Hop-Redundanz kann mittels HSRP-Funktion auch für andere Netzwerkprotokolle außerhalb der IP-Familie bereitgestellt werden. Hierzu gehört beispielsweise das Advanced Peer-to-Peer Networking (APPN), welches die MAC-Adresse der Router(-Gruppe) nutzt.

Die virtuelle MAC-Adresse wird – ausgenommen hiervon ist der HSRP-Einsatz in Token-Ring-Alttechnik – automatisch aus dem Präfix 00-00-0c-07-ac (bzw. 00-00-0C-9f-f bei HSRPv2) und der HSRP-Gruppennummer in hexadezimaler Schreibweise (z. B. wird aus der Gruppen-ID 15 die MAC-Adresse 00-00-0c-07-ac-0f/00-00-0C-9f-f0-0f) gebildet. Für HSRP Version 1 kann die HSRP-Gruppennummer im Bereich von 0 bis 255 durch den Netzwerkadministrator bestimmt werden. HSRP Version 2 erlaubt Gruppennummern im Wertebereich von 0 bis 4095.

Durch die Vergabe von Prioritäten an die jeweiligen Router wird der Router mit der höchsten Priorität als der Primary-Router definiert, dieser bindet darauf die virtuelle MAC-Adresse und die virtuelle IP-Adresse an seine Netzwerkschnittstelle. Außerdem informiert er in regelmäßigen Abständen (Default: 3 Sekunden) mittels einer Multicast-Nachricht (Zieladresse 224.0.0.2, Port UDP 1985 für HSRP Version 1 bzw. 224.0.0.102 für HSRP in der Version 2) die anderen Router der Gruppe, die als Secondary-Router agieren, über seine Anwesenheit. Sofern die Endgeräte die virtuelle IP-Adresse als Standard-Gateway in ihrer IP-Konfiguration verwenden, wird ausschließlich der primäre HSRP-Router für den Verkehr von Endgerät zu entferntem Ziel genutzt. Verkehr aus entfernten Netzen zum Endgerät muss nicht unbedingt über den primären Router geführt werden.

Bleiben die Multicast-Pakete für länger als die Zeit des „Holddown timers“ (default: 10 Sekunden) aus (z. B. weil der Primary-Router ausgefallen ist), so werden die virtuelle IP-Adresse und die virtuelle MAC-Adresse durch den Secondary-Router mit der nächsthöchsten Priorität übernommen. Dieser übernimmt fortan somit die Funktion des Primary-Routers.

Durch den konzertierten Transfer sowohl von virtueller MAC-Adresse als auch der virtuellen IP-Adresse ist dieser Vorgang für Endgeräte transparent, so dass eine Aktualisierung ihres ARP-Caches beim Umschwenken auf den Standby-Router nicht erforderlich ist. Des Weiteren sorgen die Multicast-Anwesenheitsnachrichten des neuen Primary-Routers dafür, dass im Falle des Einsatzes von Switches zwischen HSRP-Routern und Endgeräten die MAC-Address-Tabelle der Switches entsprechend aktualisiert wird.

Es besteht die Möglichkeit der Authentisierung von HSRP-Gruppenmitgliedschaften, um so z. B. zu verhindern, dass ein falsch konfigurierter oder unberechtigter Router mit höherer Priorität die Primär-Funktion übernimmt.