[GNS3] HSRP 고가용성 (High Availability) 게이트웨이 구성

실습 목표

이번 실습에서는 HSRP(Hot Standby Router Protocol)를 구성하여 First Hop Redundancy (FHRP)를 구현할 예정이다. 단일 게이트웨이 장애로 인한 네트워크 단절을 방지하기 위해 두 대의 Core 스위치가 하나의 가상 IP를 공유하고, Active/Standby 관계를 유지하며 자동 Failover를 제공하는 것이 목표이다.

HSRP는 Cisco의 독점 프로토콜로, 여러 라우터가 하나의 가상 IP와 가상 MAC 주소를 공유하여 엔드 디바이스 입장에서는 단일 게이트웨이처럼 보이지만 실제로는 이중화된 구조를 제공한다. Active 라우터 장애 시 Standby 라우터가 즉시 Active 역할을 인수하여 네트워크 중단을 최소화하는 실습을 진행해보자.

---

전체 토폴로지

네트워크 설계

• VLAN 10 (Sales): 10.10.10.0/24 - Virtual IP: 10.10.10.1
• VLAN 20 (Engineering): 10.10.20.0/24 - Virtual IP: 10.10.20.1
• VLAN 30 (HR): 10.10.30.0/24 - Virtual IP: 10.10.30.1
• VLAN 99 (Management): 10.10.99.0/24 - Virtual IP: 10.10.99.1

HSRP 설계 전략

• VLAN 10, 30, 99: Core-SW1 Active (Priority 110)
• VLAN 20: Core-SW2 Active (Priority 110)
• 로드 밸런싱을 통한 트래픽 분산

---

1. 기본 설정 및 VLAN 구성

작업 대상: 모든 스위치 (Core-SW1, Core-SW2, Dist-SW1, Dist-SW2, Acc-SW1, Acc-SW2)

기본 설정(hostname, no ip domain-lookup, logging synchronous), VLAN 생성(10, 20, 30, 99), Trunk 포트 설정은 이전 실습과 동일하므로 생략하겠다. 핵심은 모든 스위치 간 Trunk 링크가 정상적으로 trunking 상태이며, VLAN 10, 20, 30, 99가 allowed list에 포함되어 있어야 한다는 점이다.

 

중요: Core 스위치 간 직접 연결(Ethernet0/0)이 반드시 필요하며, 이 링크를 통해 HSRP Hello 패킷이 교환된다.

---

2. Layer 3 기능 활성화 및 SVI 설정

작업 대상

이전에 했던 실습과 동일하게 Core 스위치를 Layer 3 스위치로 동작시키기 위해 IP 라우팅을 활성화하고, 각 VLAN에 대한 SVI(Switched Virtual Interface)를 생성한다.

2-1. Core-SW1 Layer 3 설정

ip routing: Layer 3 라우팅 기능을 활성화한다. 이 명령어가 없으면 스위치가 Layer 2 모드로만 동작한다.

interface vlan 10: VLAN 10에 대한 SVI를 생성한다. SVI는 해당 VLAN의 Layer 3 게이트웨이 역할을 수행한다.

ip address 10.10.10.2 255.255.255.0: Core-SW1의 실제 IP 주소를 할당한다. HSRP Virtual IP(10.10.10.1)와는 별개의 주소다.

2-2. Core-SW2 Layer 3 설정

Core-SW2도 위와 같은 방식으로 Layer 3 스위치로 변경 후 SVI 설정을 해주되, ip address 10.10.10.2 255.255.255.0

과 같이 더 높은 IP주소를 할당한다.

---

3. HSRP 구성

작업 대상

이제 HSRP를 구성하여 고가용성 게이트웨이를 만든다. 두 Core 스위치가 하나의 Virtual IP를 공유하며, Priority 설정을 통해 Active/Standby 역할을 분산한다.

3-1. Core-SW1 HSRP 설정

standby 10 ip 10.10.10.1: HSRP 그룹 10에 Virtual IP 주소를 설정한다. PC들은 이 주소를 게이트웨이로 설정한다.

standby 10 priority 110: Priority 값을 110으로 설정한다. 기본값은 100이며, 더 높은 값을 가진 라우터가 Active가 된다.

standby 10 preempt: Preemption을 활성화한다. 더 높은 Priority를 가진 라우터가 복구되면 자동으로 Active 역할을 가져온다.

standby 10 authentication md5 key-string BeomHSRP10: MD5 인증을 설정하여 보안을 강화한다. 인증 키가 일치하지 않으면 HSRP neighbor 관계가 형성되지 않는다. 즉, Core-SW1과 Core-SW2의 인증 보안 설정을 동일하게 해야 한다.

 

왜 VLAN 20은 Priority를 100으로 설정했을까? 로드 밸런싱을 위해서다. Core-SW1이 VLAN 10, 30, 99의 Active를 담당하고, Core-SW2가 VLAN 20의 Active를 담당하여 트래픽을 분산한다.

3-2. Core-SW2 HSRP 설정

Core-SW2 스위치도 위와 같은 방식으로 설정하되, Vlan 20의 priority를 110으로 설정해서 Core-SW1 스위치의 Vlan 20이 가지는 Priority보다 높게 설정한다.

---

4. PC IP 주소 설정

작업 대상

각 PC에 IP 주소를 설정한다. 게이트웨이는 HSRP Virtual IP를 사용한다.

 

PC1 (VLAN 10)

PC1> ip 10.10.10.10 255.255.255.0 10.10.10.1

PC2 (VLAN 20)

PC2> ip 10.10.20.10 255.255.255.0 10.10.20.1

PC3 (VLAN 10)

PC3> ip 10.10.10.11 255.255.255.0 10.10.10.1

PC4 (VLAN 20)

PC4> ip 10.10.20.11 255.255.255.0 10.10.20.1

---

5. 트러블슈팅 - HSRP Neighbor 형성 실패

5-1. 문제 발견

HSRP 설정 후 show standby brief 명령어로 상태를 확인했을 때 다음과 같은 문제가 발견되었다.

Core-SW2 출력

문제점: 두 스위치 모두 "Active" 상태이고 Standby가 "unknown"으로 표시되었다. 이는 HSRP Neighbor 관계가 형성되지 않았다는 의미다.

5-2. 원인 분석

상세 상태 확인

HSRP는 멀티캐스트 주소를 사용하여 Hello 패킷을 교환한다. 하지만 Core-SW1과 Core-SW2가 서로의 Hello 패킷을 받지 못하고 있다. 현재는 Hello out만 있고 Hello in 패킷은 받지 못하는 상황

 

근본 원인 발견: IGMP Snooping이 활성화되어 있어서 멀티캐스트 패킷이 차단되고 있었다.

IGMP Snooping은 스위치가 멀티캐스트 트래픽을 지능적으로 포워딩하는 기능이다. IGMP Join 메시지를 모니터링하여 멀티캐스트 그룹에 가입한 포트에만 트래픽을 전송한다. 그런데 HSRP는 IGMP Join 없이 멀티캐스트를 사용하기 때문에, IGMP Snooping이 활성화되어 있으면 Hello 패킷이 전달되지 않는다.

5-3. 해결 방법

GNS3 실습 환경에서의 해결책

모든 스위치에서 IGMP Snooping을 비활성화한다.

Core-SW1# configure terminal
Core-SW1(config)# no ip igmp snooping
Core-SW1(config)# end

Core-SW2# configure terminal
Core-SW2(config)# no ip igmp snooping
Core-SW2(config)# end

Dist-SW1, Dist-SW2에도 동일하게 적용한다.

 

실제 프로덕션 환경에서의 해결책

실제 환경에서는 IGMP Snooping을 비활성화하면 멀티캐스트 플러딩이 발생하여 성능 문제가 생길 수 있다.

따라서 다음과 같은 방법을 사용한다.

 

방법 1: IGMP Snooping Querier 설정

Core-SW1(config)# ip igmp snooping
Core-SW1(config)# ip igmp snooping vlan 10 querier

 

방법 2: Multicast Router Port 설정

Core-SW1(config)# ip igmp snooping vlan 10 mrouter interface ethernet 0/0

 

방법 3: Static Multicast Group 추가

Core-SW1(config)# ip igmp snooping vlan 10 static 224.0.0.102 interface ethernet 0/0

5-4. 해결 확인

IGMP Snooping 비활성화 후 약 10초 뒤 HSRP Neighbor 관계가 정상적으로 형성되었다.

Core-SW1 출력

 

Core-SW2 출력

정상 동작 확인

• VLAN 10, 30, 99: Core-SW1 Active, Core-SW2 Standby
• VLAN 20: Core-SW2 Active, Core-SW1 Standby
• Standby 컬럼에 상대방 IP 주소 표시

---

6. Interface Tracking 구성

작업 대상

Interface Tracking을 설정하여 Uplink 장애 시 HSRP Priority를 자동으로 조정하고 Failover를 트리거한다.

6-1. Core-SW1 Interface Tracking

track 1 interface Ethernet1/0 line-protocol: Ethernet1/0 인터페이스의 line-protocol 상태를 모니터링하는 Track Object를 생성한다.

standby 10 track 1 decrement 15: Track Object 1이 down 상태가 되면 HSRP Priority를 15만큼 감소시킨다. Core-SW1의 Priority가 110에서 95로 떨어지면 Core-SW2(Priority 100)가 Active로 전환된다.

6-2. Core-SW2 Interface Tracking

---

7. 검증

7-1. Interface Tracking 테스트

Track Object 상태 확인

Core-SW1# show track

 

Uplink 다운 시뮬레이션

 

Priority 변화 확인

Core-SW1# show standby brief

 

Priority가 110에서 95로 감소하여 Core-SW2가 Active로 전환되었다.

 

복구

Preemption이 설정되어 있으므로 Core-SW1이 다시 Active로 전환된다.

---

마무리

이번 실습을 통해 HSRP를 이용한 고가용성 게이트웨이를 구현했다. 단일 게이트웨이 장애로 인한 네트워크 단절을 방지하기 위해 두 대의 Core 스위치가 Virtual IP를 공유하고, Active/Standby 관계를 유지하며 자동 Failover를 제공한다.

 

핵심 내용

1. HSRP의 동작 원리: HSRP는 여러 라우터가 하나의 Virtual IP와 Virtual MAC 주소를 공유한다. Active 라우터가 실제 트래픽을 처리하고, Standby 라우터는 대기 상태로 Hello 패킷을 모니터링한다. Active 라우터 장애 시 Standby가 즉시 Active로 전환되어 네트워크 중단을 최소화한다.
2. Priority와 Preemption: Priority 값이 높은 라우터가 Active가 된다. Preemption을 활성화하면 더 높은 Priority를 가진 라우터가 복구되었을 때 자동으로 Active 역할을 가져온다. 로드 밸런싱을 위해 VLAN별로 Active 라우터를 분산 배치할 수 있다.
3. Virtual MAC 주소: HSRP는 0000.0c9f.f0xx 형식의 표준 Virtual MAC을 사용한다. PC는 이 MAC 주소를 게이트웨이로 학습하므로, Failover 시에도 ARP 캐시 변경이 필요 없다.
4. Interface Tracking: Uplink 장애를 감지하여 Priority를 자동으로 조정한다. Core-SW1의 ISP 연결이 끊어지면 Priority가 감소하여 Core-SW2가 Active로 전환되어 인터넷 연결을 유지한다.
5. IGMP Snooping 이슈: HSRP는 멀티캐스트(224.0.0.102)를 사용하여 Hello 패킷을 교환한다. IGMP Snooping이 활성화되어 있으면 멀티캐스트 패킷이 차단되어 Neighbor 관계가 형성되지 않을 수 있다. GNS3 환경에서는 no ip igmp snooping으로 비활성화하고, 실제 환경에서는 Querier 설정이나 Mrouter Port 설정을 사용한다.

배운 점

이번 실습을 통해 실제 엔터프라이즈 환경에서 필수적인 게이트웨이 이중화 기술을 익혔다. HSRP는 Cisco의 독점 프로토콜이지만, VRRP(표준), GLBP(로드 밸런싱) 등 다른 FHRP 프로토콜도 유사한 원리로 동작한다. 특히 IGMP Snooping으로 인한 멀티캐스트 패킷 차단 문제는 실제 환경에서도 자주 발생하는 트러블슈팅 사례이므로, 이번 경험을 통해 멀티캐스트 기반 프로토콜(HSRP, VRRP, PIM, OSPF Hello 등)의 동작 원리와 문제 해결 방법을 깊이 이해할 수 있었다. 또한 Interface Tracking을 통해 단순한 게이트웨이 이중화를 넘어 Uplink 장애까지 대응할 수 있는 고가용성 설계를 구현할 수 있었다.