이 문서의 과거 버전 (r1)을 보고 있습니다. 수정일: 2026.02.14 23:11
HSRP는 Cisco Systems가 개발한 게이트웨이 이중화 프로토콜이다. 이 프로토콜의 공식 명칭은 Hot Standby Router Protocol이다. HSRP의 주요 목적은 네트워크의 디폴트 게이트웨이 역할을 하는 단일 가상 라우터를 생성하여, 물리적 라우터 장애 시에도 사용자 트래픽의 중단을 방지하는 것이다.
HSRP는 두 대 이상의 라우터를 하나의 가상 라우터 그룹으로 묶어 동작한다. 이 그룹은 네트워크 호스트들에게 단일 가상 IP 주소와 가상 MAC 주소를 제공한다. 호스트들은 이 가상 주소를 자신의 디폴트 게이트웨이로 설정하고, 실제로는 그룹 내 한 대의 라우터(액티브 라우터)가 모든 트래픽을 전달한다. 나머지 라우터(스탠바이 라우터)는 대기 상태로 유지되며 액티브 라우터에 장애가 발생하면 그 역할을 즉시 인계받는다.
이 프로토콜은 FHRP의 일종으로, 네트워크의 가용성과 신뢰성을 높이는 데 필수적이다. 주로 엔터프라이즈 네트워크의 코어 레이어나 디스트리뷰션 레이어에서 척 홉 라우팅의 장애 조치를 구현하는 데 널리 사용된다. HSRP는 사용자에게 투명하게 작동하여, 최종 호스트는 게이트웨이 장애와 복구 과정을 인지하지 못한다.
HSRP의 표준화된 대안으로는 IETF 표준 프로토콜인 VRRP가 존재하며, 시스코는 로드 밸런싱 기능을 추가한 GLBP 프로토콜도 제공한다.
HSRP는 두 대 이상의 라우터가 하나의 가상 라우터를 구성하여 게이트웨이 단일 장애점을 제거하는 프로토콜이다. 이 가상 라우터는 네트워크 내 호스트들에게 단일의 기본 게이트웨이 주소(가상 IP 주소)를 제공한다. 실제 패킷 전달은 한 대의 라우터(액티브 라우터)가 담당하며, 다른 라우터(스탠바이 라우터)는 대기 상태로 장애 발생 시 즉시 역할을 인계받는다. 이 과정은 호스트 측의 추가 구성 없이 투명하게 이루어진다.
가상 라우터는 고유한 MAC 주소를 가진다. HSRP 그룹 번호와 버전에 따라 MAC 주소가 결정된다. 예를 들어, HSRP v1의 경우 그룹 번호 0은 0000.0c07.ac00, 그룹 번호 1은 0000.0c07.ac01과 같은 형식으로 생성된다[1]. 호스트의 ARP 테이블에는 이 가상 MAC 주소가 등록되어, 모든 트래픽이 현재 액티브인 라우터로 향하게 된다.
HSRP 그룹 내 라우터는 Hello 패킷을 교환하여 상태를 유지 관리한다. 기본적으로 3초마다 Hello 패킷을 멀티캐스트 주소(224.0.0.2 for v1, 224.0.0.102 for v2)로 전송한다. 액티브 라우터는 자신의 상태를 알리는 역할을 하고, 스탠바이 라우터는 이 패킷을 수신 대기한다. 만약 스탠바이 라우터가 일정 시간(기본 홀드타임 10초) 동안 액티브 라우터의 Hello 패킷을 수신하지 못하면, 액티브 라우터에 장애가 발생했다고 판단하고 자신이 새로운 액티브 라우터로 전환된다.
액티브/스탠바이 상태 전환은 우선순위 값에 의해 결정된다. 우선순위가 높은 라우터(기본값 100, 최대 255)가 액티브 라우터가 된다. 우선순위가 동일한 경우 IP 주소가 높은 라우터가 액티브가 된다. 또한, 사전 점유 기능이 활성화되면, 원래 액티브였던 라우터가 복귀할 때 우선순위가 더 높더라도 즉시 액티브 역할을 다시 차지하지 않고, 현재 액티브와의 협상을 통해 결정된다.
HSRP 그룹은 논리적인 단일 라우터 역할을 수행하는 가상 라우터를 생성합니다. 이 가상 라우터는 네트워크의 호스트들에게 하나의 기본 게이트웨이 IP 주소와 하나의 MAC 주소를 제공합니다. 호스트들은 자신의 기본 게이트웨이를 이 가상 IP 주소로 설정하며, 실제로 어떤 물리적 라우터가 트래픽을 전달하는지 알 필요가 없습니다.
가상 라우터의 MAC 주소는 HSRP 버전과 그룹 번호에 따라 결정됩니다. HSRP 버전 1의 경우, MAC 주소는 0000.0C07.ACXX 형식을 따릅니다. 여기서 마지막 'XX'는 16진수로 표현된 HSRP 그룹 번호입니다[2]. HSRP 버전 2에서는 MAC 주소 범위가 0000.0C9F.F000에서 0000.0C9F.FFFF 사이로 변경되었습니다.
HSRP 버전 | MAC 주소 범위 (OUI) | 형식 예시 (그룹 1) |
|---|---|---|
버전 1 | 0000.0C07.AC00 ~ 0000.0C07.ACFF | 0000.0C07.AC01 |
버전 2 | 0000.0C9F.F000 ~ 0000.0C9F.FFFF | 0000.0C9F.F001 |
액티브 라우터는 가상 라우터의 IP 주소와 MAC 주소를 소유하며, 호스트로부터 나가는 모든 트래픽을 처리합니다. 이 메커니즘은 ARP 테이블과 스위치의 MAC 주소 테이블 학습에 중요한 역할을 합니다. 스위치는 가상 MAC 주소를 액티브 라우터가 연결된 포트와 연관시키고, 패킷을 해당 포트로만 전달합니다.
HSRP 그룹 내 라우터는 액티브 라우터, 스탠바이 라우터, 그리고 듣기(Listen) 및 말하기(Speak) 상태를 포함한 다른 초기 상태를 거친다. 액티브 라우터는 가상 라우터의 IP 주소와 MAC 주소를 소유하며, 해당 서브넷으로 향하는 모든 사용자 데이터 트래픽을 전달하는 실제 게이트웨이 역할을 한다. 스탠바이 라우터는 액티브 라우터를 모니터링하고, 액티브 라우터에 장애가 발생할 경우 그 역할을 인수하는 대기 라우터이다.
액티브 라우터는 정해진 간격(기본값 3초)으로 Hello 패킷을 멀티캐스트 주소(버전1은 224.0.0.2, 버전2는 224.0.0.102)로 전송하여 자신의 상태를 알린다. 스탠바이 라우터는 이 Hello 패킷을 수신하며, 만약 사전에 설정된 홀드타임(기본값 10초) 동안 액티브 라우터로부터 Hello 패킷을 받지 못하면 액티브 라우터에 장애가 발생한 것으로 판단한다.
상태 전환은 다음과 같은 조건에서 발생한다.
1. 액티브 라우터 장애: 스탠바이 라우터가 홀드타임 내에 Hello 패킷을 수신하지 못하면 새로운 액티브 라우터로 전환된다.
2. 우선순위 변경: 더 높은 우선순위 값을 가진 새로운 라우터가 그룹에 참여하면, 현재 액티브 라우터와의 선출 과정을 거쳐 더 높은 우선순위를 가진 라우터가 액티브 상태가 된다.
3. 인터페이스 다운: 액티브 라우터의 HSRP가 활성화된 인터페이스가 다운되면 즉시 스탠바이 상태로 전환되고, 다른 라우터가 액티브 상태를 인수한다.
상태 전환 과정에서 데이터 패킷 손실을 최소화하기 위해, 새로운 액티브 라우터는 가상 MAC 주소를 사용한 무작위 패킷을 네트워크에 전송하여 스위치의 MAC 주소 테이블을 갱신한다. 이로써 다운스트림 스위치는 트래픽을 새로운 경로로 즉시 전송하기 시작한다.
HSRP 그룹의 구성원들은 정기적으로 Hello 패킷을 교환하여 서로의 상태를 확인한다. 이 패킷은 멀티캐스트 주소를 통해 전송되며, 자신의 우선순위와 현재 상태(액티브, 스탠바이 등) 정보를 담고 있다.
Hello 패킷의 교환은 두 가지 주요 타이머에 의해 제어된다. Hello 시간은 패킷을 전송하는 간격을, 홀드 시간은 상대방의 Hello 패킷을 기다리는 최대 시간을 정의한다. 기본값은 Hello 시간 3초, 홀드 시간 10초이다. 스탠바이 라우터는 홀드 시간 내에 액티브 라우터로부터 Hello 패킷을 수신하지 못하면, 해당 라우터에 장애가 발생한 것으로 판단하고 자신이 새로운 액티브 라우터로 전환 절차를 시작한다.
타이머 | 기본값 | 설명 |
|---|---|---|
Hello 타이머 | 3초 | Hello 패킷을 전송하는 주기이다. |
홀드 타이머 | 10초 | Hello 패킷을 기다리는 최대 시간이다. 이 시간 내에 패킷을 받지 못하면 장애로 간주한다. |
이 타이머 값은 네트워크 조건에 맞게 조정할 수 있다. 짧은 간격으로 설정하면 장애 감지가 빨라지지만, 네트워크 부하와 CPU 사용량이 증가한다. 반대로 긴 간격으로 설정하면 네트워크 부하는 줄지만, 장애 감지 및 수렴 시간이 길어질 수 있다.
HSRP 구성의 핵심은 가상 IP 주소이다. 이 주소는 물리적 라우터들이 아닌 가상 라우터에 할당되며, 네트워크의 단말 장치들이 기본 게이트웨이로 설정하는 주소이다. 단말 장치는 실제로 어떤 물리적 라우터가 트래픽을 전달하는지 인식하지 못한 채, 이 가상 IP 주소로 패킷을 전송한다. 가상 IP 주소는 라우터들이 위치한 동일한 서브넷에 속하는 유효한 IP 주소여야 하며, 그룹 내 모든 라우터에 동일하게 구성된다.
라우터들 간에 액티브 라우터 역할을 결정하는 주요 메커니즘은 우선순위 값이다. 기본 우선순위는 100이며, 값이 높은 라우터가 액티브 라우터로 선출된다. 우선순위가 동일할 경우, 물리적 IP 주소가 높은 라우터가 선출된다. 네트워크 관리자는 특정 라우터를 기본 액티브로 만들기 위해 우선순위를 높게 설정할 수 있다. 또한 사전 점유 기능은 우선순위가 높은 라우터가 다시 온라인 상태가 되었을 때, 현재 액티브 라우터의 상태와 관계없이 즉시 액티브 역할을 탈환하도록 보장한다. 이는 고가용성을 극대화하는 데 중요하다.
HSRP는 단일 브로드캐스트 도메인 내에서 여러 개의 독립적인 가상 라우터 그룹을 생성할 수 있도록 지원한다. 이를 구분하는 것이 그룹 번호이다. 그룹 번호의 범위는 HSRP 버전에 따라 다르며, 각 그룹은 자신만의 가상 IP 주소, 가상 MAC 주소, 그리고 별도의 액티브/스탠바이 라우터 선출 과정을 가진다. 이 기능은 하나의 물리적 라우터 인터페이스가 여러 개의 가상 게이트웨이 역할을 수행해야 하는 VLAN 환경이나 서브넷별로 다른 기본 게이트웨이를 제공할 때 유용하다.
구성 요소 | 설명 | 기본값/범위 | 비고 |
|---|---|---|---|
가상 IP 주소 | 단말 장치가 설정하는 게이트웨이 주소 | 구성 필수 | 실제 라우터 인터페이스와 동일 서브넷 |
우선순위 | 액티브 라우터 선출 기준 | 0 - 255 (기본 100) | 값이 높을수록 우선 |
사전 점유 | 고우선순위 라우터의 역할 탈환 설정 | 사용 안 함 (기본) | 명시적 설정 필요 |
그룹 번호 | 다중 HSRP 그룹 식별자 | v1: 0-255, v2: 0-4095 | 인터페이스별 다중 그룹 구성 가능 |
가상 IP 주소는 HSRP 그룹에서 클라이언트 장치들이 기본 게이트웨이로 설정하는 단일 IP 주소이다. 실제 물리적 라우터 인터페이스의 IP 주소와는 별도로 구성되며, 그룹 내 한 라우터가 액티브 상태가 되어 이 가상 IP 주소를 소유하고 트래픽을 전달한다. 네트워크의 호스트들은 자신의 게이트웨이 설정에 이 가상 IP 주소를 입력함으로써, 실제로 어떤 물리적 라우터가 패킷을 처리하는지 알 필요 없이 통신할 수 있다.
가상 IP 주소는 HSRP 그룹을 구성하는 핵심 요소로, 해당 서브넷의 유효한 IP 주소 범위 내에서 선택되어야 한다. 일반적으로 실제 라우터 인터페이스의 IP 주소와 동일한 서브넷에 속하지만, 네트워크 주소나 브로드캐스트 주소는 사용할 수 없다. 일반적인 구성은 아래 표와 같다.
장치 역할 | 인터페이스 IP 주소 (실제) | HSRP 가상 IP 주소 (VIP) |
|---|---|---|
라우터 1 (액티브) | 192.168.1.1/24 | 192.168.1.254/24 |
라우터 2 (스탠바이) | 192.168.1.2/24 | 192.168.1.254/24 |
클라이언트 호스트 | 192.168.1.100/24 | 기본 게이트웨이: 192.168.1.254 |
가상 IP 주소의 주요 장점은 장애 조치 시 클라이언트 측 구성 변경이 불필요하다는 점이다. 액티브 라우터에 장애가 발생하면 스탠바이 라우터가 가상 IP 주소와 연관된 MAC 주소를 인계받아 새로운 액티브 라우터가 된다. 이 과정에서 네트워크의 모든 호스트는 동일한 게이트웨이 IP 주소(가상 IP)를 계속 사용하므로, 라우터 간의 전환이 사용자에게 투명하게 이루어진다.
HSRP 그룹 내에서 라우터의 역할(액티브 또는 스탠바이)을 결정하는 가장 중요한 요소는 우선순위 값이다. 기본 우선순위는 100이며, 0부터 255까지의 값을 설정할 수 있다. 우선순위가 가장 높은 라우터가 액티브 라우터로 선출된다. 만약 우선순위가 동일할 경우, 구성된 IP 주소가 더 높은 라우터가 액티브가 된다.
우선순위를 조정하는 주요 목적은 특정 라우터를 기본 게이트웨이로 선호하도록 네트워크를 설계하는 것이다. 예를 들어, 더 높은 성능의 장비나 주요 회선에 연결된 라우터에 더 높은 우선순위를 부여할 수 있다. 우선순위 변경은 인터페이스 구성 모드에서 standby [그룹 번호] priority [값] 명령어로 수행한다.
사전 점유는 HSRP의 중요한 기능으로, 더 높은 우선순위를 가진 라우터가 다시 온라인 상태가 되었을 때, 현재 액티브 라우터로부터 제어권을 즉시 탈환하는 동작을 의미한다. 이 기능은 기본적으로 활성화되어 있다. 사전 점유가 없으면, 더 높은 우선순위의 라우터가 복귀하더라도 현재 액티브 라우터에 장애가 발생하기 전까지는 스탠바이 상태로 남게 된다.
사전 점유 동작은 필요에 따라 비활성화할 수 있다. 특정 네트워크 환경에서는 게이트웨이의 빈번한 전환이 세션 중단을 유발할 수 있기 때문이다. 사전 점유를 비활성화하려면 standby [그룹 번호] preempt 명령어에 no 옵션을 사용한다. 또한, standby [그룹 번호] preempt delay [초] 명령어를 사용하여 라우터가 인터페이스가 완전히 준비된 후 일정 시간이 지난 후에만 사전 점유를 시도하도록 지연 시간을 설정할 수도 있다.
HSRP 그룹 번호는 동일한 물리적 네트워크 세그먼트 내에서 여러 개의 독립적인 가상 라우터를 구분하는 데 사용되는 식별자이다. 그룹 번호의 범위는 HSRP 버전에 따라 달라지며, HSRP v1은 0부터 255까지, HSRP v2는 0부터 4095까지 사용할 수 있다. 동일한 가상 IP 주소와 MAC 주소를 공유하는 라우터들은 반드시 동일한 그룹 번호로 구성되어야 한다.
하나의 물리적 인터페이스에 여러 개의 HSRP 그룹을 구성하는 것이 가능하다. 이는 단일 네트워크 세그먼트에서 여러 서브넷이 존재하거나, 서로 다른 VLAN에 대한 기본 게이트웨이 중복성을 별도로 제공해야 할 때 유용하다. 각 그룹은 자신만의 가상 IP 주소, 상태 머신, Hello 메시지를 유지 관리한다.
그룹 번호 특징 | 설명 |
|---|---|
식별 범위 | v1: 0-255, v2: 0-4095 |
기본값 | 일반적으로 0 |
주요 역할 | 동일한 가상 라우터를 구성하는 멤버 식별 |
다중화 활용 | 단일 인터페이스에서 여러 독립 그룹 구성 가능 |
그룹 번호는 HSRP 프로토콜 메시지의 목적지 멀티캐스트 주소 결정에도 영향을 미친다. HSRP v1은 그룹 번호에 관계없이 고정된 멀티캐스트 주소(224.0.0.2)를 사용하지만, HSRP v2는 그룹 번호를 기반으로 한 특정 멀티캐스트 주소(224.0.0.102)를 사용하여 프로토콜 간의 호환성과 확장성을 높였다.
HSRP는 두 가지 주요 버전인 HSRP 버전 1과 버전 2로 발전했다. 두 버전은 기본적인 장애 조치 메커니즘을 공유하지만, 프로토콜 번호, 멀티캐스트 주소, 그룹 번호 범위 등에서 차이를 보인다.
HSRP 버전 1은 초기 버전으로, Hello 패킷을 보낼 때 UDP 포트 1985번과 멀티캐스트 주소 224.0.0.2를 사용한다. 그룹 번호는 0부터 255까지 사용 가능하다. 버전 1의 Hello 메시지는 TTL 값이 1로 설정되어 있으며, 가상 MAC 주소는 0000.0C07.ACXX 형식을 따른다. 여기서 'XX'는 16진수로 표현된 HSRP 그룹 번호이다. 이 버전은 IPv4 전용 프로토콜로 설계되었다.
HSRP 버전 2는 버전 1의 제한 사항을 개선했다. 주요 변화는 다음과 같다.
특징 | HSRP 버전 1 | HSRP 버전 2 |
|---|---|---|
멀티캐스트 주소 | 224.0.0.2 | 224.0.0.102 |
UDP 포트 | 1985 | 1985 |
그룹 번호 범위 | 0–255 | 0–4095 |
가상 MAC 주소 | 0000.0C07.ACXX | 0000.0C9F.FXXX |
Hello 메시지 TTL | 1 | 3 |
IPv6 지원 | 없음 | 있음(HSRP for IPv6) |
버전 2는 새로운 멀티캐스트 주소(224.0.0.102)를 사용하여 IGMP 리포트와의 충돌을 방지하고, 그룹 번호 범위를 크게 확장했다. 또한 Hello 메시지의 TTL 값을 3으로 높여 멀티홉 환경에서의 동작 가능성을 열었으며, 밀리초 단위의 타이머 값을 지원해 더 정밀한 장애 감지가 가능해졌다. 가장 중요한 개선 사항 중 하나는 IPv6 주소 체계를 위한 HSRP 확장을 공식적으로 지원한다는 점이다. 버전 2는 현대 네트워크에서 표준으로 사용된다.
HSRP를 구성하는 기본적인 절차는 가상 IP 주소 설정, 우선순위 지정, 그랜드 마스터 선출을 위한 타이머 조정 등을 포함한다. 구성은 주로 라우터의 인터페이스 설정 모드에서 이루어진다.
가장 기본적인 구성은 standby 명령어를 사용한다. 가상 라우터의 IP 주소를 설정하는 명령어는 standby [그룹 번호] ip [가상 IP 주소]이다. 그룹 번호를 지정하지 않으면 기본값인 0번 그룹이 사용된다. 라우터의 우선순위는 standby [그룹 번호] priority [값] 명령으로 설정하며, 기본 우선순위는 100이다. 우선순위가 높은 라우터가 액티브 라우터로 선출된다. 사전 점유 모드를 활성화하려면 standby [그룹 번호] preempt 명령을 추가한다. Hello 패킷 간격과 홀드타임은 standby [그룹 번호] timers [hello초] [hold초] 명령으로 조정할 수 있다.
다음은 두 대의 라우터가 공유하는 가상 게이트웨이 192.168.1.1을 위한 HSRP 그룹 1의 기본 구성 예시이다.
구성 요소 | 라우터 A (액티브로 설정) | 라우터 B (스탠바이로 설정) |
|---|---|---|
인터페이스 IP | 192.168.1.2/24 | 192.168.1.3/24 |
기본 HSRP 구성 |
|
|
추가 옵션 (예시) |
|
|
위 예시에서 라우터 A는 우선순위 110과 사전 점유 명령으로 인해 항상 액티브 역할을 차지하려고 시도한다. 라우터 B는 기본 우선순위 100을 유지한다. 라우터 B에 구성된 track 명령은 업링크 인터페이스 상태를 모니터링하여 장애 시 우선순위를 낮춤으로써 더 빠른 장애 조치를 유도할 수 있다. HSRP 버전은 standby version [1 또는 2] 명령으로 전환한다.
HSRP를 구성하기 위한 기본적인 Cisco IOS 명령어는 다음과 같다. 이 명령어들은 라우터나 레이어 3 스위치의 인터페이스 구성 모드에서 입력한다.
가상 IP 주소를 설정하는 기본 명령은 standby [그룹 번호] ip [가상 IP 주소]이다. 그룹 번호를 생략하면 기본값인 0번 그룹이 사용된다. 라우터의 우선순위를 설정하여 액티브 라우터를 지정하려면 standby [그룹 번호] priority [우선순위 값] 명령어를 사용한다. 우선순위의 기본값은 100이며, 값이 높은 장비가 액티브 상태를 차지한다. 특정 인터페이스의 상태를 모니터링하여 장애 시 우선순위를 낮추려면 standby [그룹 번호] track [인터페이스 이름] [감소값] 명령을 추가한다.
사전 점유 모드를 활성화하면 높은 우선순위를 가진 라우터가 다시 온라인 상태가 되었을 때 액티브 역할을 즉시 회복한다. 이 기능은 standby [그룹 번호] preempt 명령으로 켤 수 있다. Hello 패킷의 간격과 홀드타임을 조정하려면 standby [그룹 번호] timers [hello 시간] [홀드 시간] 명령을 사용한다. 시간 단위는 초이다. HSRP 그룹에 텍스트 기반의 인증을 설정하여 보안을 강화할 수도 있으며, 이는 standby [그룹 번호] authentication [패스워드 문자열] 명령으로 구성한다.
명령어 | 설명 | 기본값/예시 |
|---|---|---|
| 그룹 1의 가상 게이트웨이 IP를 설정한다. | 가상 IP: 192.168.1.1 |
| 해당 라우터의 HSRP 우선순위를 설정한다. | 기본값 100 |
| 우선순위가 높은 라우터가 액티브 상태를 사전 점유하도록 한다. | 비활성화 |
| 지정된 인터페이스 다운 시 우선순위를 감소시킨다. | 감소값: 20 |
| Hello 간격을 3초, 홀드타임을 10초로 설정한다. | Hello 3초, Hold 10초[3] |
| 모든 HSRP 그룹의 상태와 설정을 확인한다. | 모니터링 명령어 |
| HSRP 그룹 상태를 요약하여 보여준다. | 모니터링 명령어 |
HSRP를 구성하려면 가상 IP 주소, 우선순위, 그룹 번호 등의 기본 매개변수를 인터페이스 설정 모드에서 정의한다. 다음은 Cisco IOS를 실행하는 라우터의 이더넷 인터페이스에서 HSRP 그룹 10을 구성하는 기본적인 예시이다.
```
Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip address 192.168.1.2 255.255.255.0
Router(config-if)# standby 10 ip 192.168.1.1
Router(config-if)# standby 10 priority 110
Router(config-if)# standby 10 preempt
Router(config-if)# standby 10 timers 3 10
```
첫 번째 라우터에서 위와 같이 구성하고, 두 번째 라우터에서는 우선순위를 더 낮은 값(예: 기본값 100)으로 설정하여 액티브 라우터와 스탠바이 라우터를 결정한다. standby 10 ip 명령은 그룹 10의 가상 IP 주소(VIP)를 정의한다. standby 10 priority 명령은 해당 라우터의 선출 우선순위를 지정하며, standby 10 preempt 명령은 더 높은 우선순위를 가진 라우터가 복구되었을 때 액티브 역할을 즉시 탈환하도록 허용한다. standby 10 timers 명령은 Hello 패킷 간격(3초)과 홀드 타임(10초)을 설정한다.
추가적인 기능으로, 트랙킹을 구성하여 특정 인터페이스의 상태가 다운되면 라우터의 HSRP 우선순위를 낮출 수 있다. 이는 더 나은 장애 조치를 보장한다.
```
Router(config-if)# standby 10 track Serial0/0 20
```
이 명령은 Serial0/0 인터페이스가 실패할 경우, 이 라우터의 HSRP 우선순위를 20만큼 감소시킨다. 결과적으로 우선순위가 낮아진 이 라우터는 스탠바이 라우터가 되고, 대기 중이던 다른 라우터가 액티브 역할을 인계받게 된다. 모든 구성 변경 후에는 show standby 명령을 사용하여 HSRP 그룹의 상태, 액티브 라우터, 가상 MAC 주소 등을 확인해야 한다.
HSRP의 상태를 확인하고 문제를 진단하는 데 사용하는 주요 명령어는 show standby입니다. 이 명령어는 가상 IP 주소, 가상 MAC 주소, 현재 라우터의 상태(액티브 또는 스탠바이), 우선순위, Hello 패킷 간격 및 유지 시간 등의 상세 정보를 보여준다. 또한 show standby brief 명령어는 그룹별 상태를 간략하게 요약하여 보여주므로 전체적인 상태를 빠르게 파악하는 데 유용하다. 디버깅을 위해서는 debug standby 명령어를 사용하여 HSRP 패킷 교환과 상태 전환 과정을 실시간으로 관찰할 수 있다[4].
일반적인 문제점으로는 물리적 연결 불량, 인터페이스 다운, 잘못된 가상 IP 주소 설정, 우선순위 값 충돌 등이 있다. 또한, Hello 패킷이 다른 라우터에 도달하지 못하는 경우(예: 접근 제어 목록(ACL) 차단, 멀티캐스트 주소 필터링) 상태 불일치가 발생하여 액티브 라우터가 두 대 이상 존재하는 '스플릿 브레인' 현상이 일어날 수 있다. 이는 네트워크에 중복된 게이트웨이가 생겨 통신 장애를 유발한다.
트러블슈팅은 다음 순서로 체계적으로 진행하는 것이 효과적이다.
확인 항목 | 관련 명령어 | 설명 |
|---|---|---|
물리적 연결 및 인터페이스 상태 |
| HSRP가 구성된 인터페이스의 Line Protocol이 "up"인지 확인 |
HSRP 구성 확인 |
| 가상 IP, 그룹 번호, 우선순위 설정 확인 |
HSRP 상태 확인 |
| 라우터 상태, 액티브 라우터, 가상 IP/MAC 주소 확인 |
패킷 전달 경로 확인 |
| Hello 패킷 송수신 및 상태 전환 로그 확인 |
구성 오류를 방지하기 위해 모든 HSRP 그룹 멤버의 그룹 번호, 가상 IP 주소, Hello 타이머 설정이 일치하는지 반드시 확인해야 한다.
HSRP의 상태를 확인하고 문제를 진단하기 위해 Cisco IOS에서는 여러 명령어를 제공한다. 가장 기본적인 명령어는 show standby이다. 이 명령어는 인터페이스별 HSRP 상태, 구성된 가상 IP 주소, 액티브/스탠바이 라우터 정보, 우선순위, 헬로 타이머 값, 그룹 번호 등을 종합적으로 보여준다.
특정 인터페이스나 그룹의 상태를 집중적으로 확인하려면 show standby brief 명령어를 사용한다. 이 명령어는 각 HSRP 그룹의 상태, 액티브 주소, 스탠바이 주소, 가상 IP 주소를 테이블 형태로 간략하게 출력하여 전체적인 구성을 빠르게 파악하는 데 유용하다. 또한, show standby [인터페이스] [그룹 번호]와 같이 세부 옵션을 지정하여 특정 정보만을 필터링하여 볼 수 있다.
명령어 | 주요 출력 정보 | 용도 |
|---|---|---|
| 모든 HSRP 그룹의 상세 상태(상태, 우선순위, 가상 MAC, 타이머, 선출 과정 등) | 종합적인 상태 점검 및 상세 디버깅 |
| 각 그룹의 인터페이스, 그룹 번호, 상태, 가상 IP, 액티브/스탠바이 실제 IP를 요약한 테이블 | 전체 HSRP 구성 및 현재 상태의 빠른 확인 |
| HSRP 패킷(헬로, 상태 변경 등)의 실시간 송수신 및 이벤트 로그 | 상태 전환 실패, 패킷 손실 등 복잡한 문제의 실시간 진단 |
보다 심층적인 문제 분석을 위해서는 debug standby 명령어를 사용한다. 이 명령어는 HSRP Hello 패킷의 교환, 상태 전이 과정, 선출 메시지 등을 실시간으로 콘솔에 출력하여 프로토콜 동작을 직접 관찰할 수 있게 한다. 그러나 이 명령어는 CPU 부하를 유발할 수 있으므로, 문제 해결 시에만 제한적으로 사용하고 확인 후에는 undebug all 명령어로 디버깅을 반드시 중지해야 한다.
일반적인 HSRP 문제는 구성 불일치, 네트워크 연결 문제, 우선순위 경합 등에서 발생합니다. 가장 흔한 문제는 가상 IP 주소가 네트워크에서 사용할 수 없는 상태가 되는 것이며, 이는 액티브와 스탠바이 라우터 모두에 장애가 발생했을 때 일어납니다. 또한, Hello 패킷이 상대 라우터에 도달하지 못하면 불필요한 상태 전환이 발생하여 네트워크 불안정을 초래할 수 있습니다. 이러한 문제는 종종 물리적 링크 장애, 잘못된 VLAN 구성, 또는 접근 제어 목록(ACL)에 의한 패킷 차단 때문에 발생합니다.
우선순위와 사전 점유 설정 오류도 일반적인 문제 원인입니다. 우선순위 값이 동일하면 IP 주소가 높은 라우터가 액티브가 되는데, 이는 의도한 설계와 다를 수 있습니다. 또한, standby preempt 명령어가 구성되지 않으면, 고장에서 복구된 원래의 액티브 라우터가 스탠바이 상태로 남아 있어 트래픽 경로가 비최적화될 수 있습니다. HSRP 버전 불일치(예: 한 라우터는 HSRPv1을, 다른 라우터는 HSRPv2를 사용하는 경우)도 라우터 간 통신을 차단하는 주요 원인입니다.
트러블슈팅은 체계적인 접근이 필요합니다. 다음 표는 일반적인 증상과 점검 사항을 정리한 것입니다.
증상 | 가능한 원인 | 점검 사항 |
|---|---|---|
가상 IP 주소에 핑 불가 | 양쪽 라우터의 HSRP 인터페이스 다운, 물리적 링크 장애 |
|
빈번한 액티브 상태 전환 | Hello 패킷 손실, 링크 불안정, 타이머 불일치 |
|
의도치 않은 라우터가 액티브 상태임 | 우선순위 설정 오류, 사전 점유 미구성 |
|
HSRP 그룹 상태가 "Init" | 인터페이스 구성 문제, 버전 불일치 | 인터페이스 IP 주소 및 활성화 상태 확인, |
이러한 문제를 해결한 후에도, show standby brief 및 show standby [interface] [group] 명령어를 통해 구성이 정상적으로 적용되고 안정적인 상태에 도달했는지 최종 확인해야 합니다.
HSRP는 FHRP의 한 종류로, VRRP와 GLBP와 함께 가장 널리 사용되는 프로토콜이다. 이들은 모두 단일 게이트웨이의 장애를 극복하기 위해 여러 물리적 라우터가 하나의 가상 라우터를 대표하도록 설계되었지만, 구현 방식과 기능에서 차이점을 보인다.
특성 | HSRP | VRRP | GLBP |
|---|---|---|---|
표준 | 시스코 시스템즈 전용 프로토콜 | IETF 공개 표준 (RFC 3768, 5798) | 시스코 전용 프로토콜 |
가상 MAC 주소 형식 | 0000.0C07.ACXX (HSRP v1/v2) | 0000.5E00.01XX | 0007.B4XX.XXXX |
기본 Hello 타이머 | 3초 | 1초 | 3초 |
로드 밸런싱 | 그룹별 단일 액티브 라우터[5] | 그룹별 단일 마스터 라우터 | 그룹 내에서 여러 라우터가 트래픽을 분산 처리 가능 |
인증 | 평문 텍스트 인증 지원 | 인증 없음 (RFC 5798) 또는 평문 텍스트 인증 | MD5 인증 지원 |
VRRP는 HSRP와 개념적으로 매우 유사하지만, 주요 차이점은 공개 표준이라는 점이다. 이로 인해 VRRP는 다양한 벤더의 장비 간 상호 운용이 가능하다. 또한 VRRP는 현재 사용 중인 라우터의 실제 IP 주소를 가상 IP 주소로 사용할 수 있어 구성이 간소화되는 경우가 있다. 반면, HSRP는 시스코 장비 환경에서 더 세밀한 제어와 모니터링 기능을 제공한다.
GLBP는 HSRP와 VRRP의 단일 액티브/마스터 라우터 한계를 해결하기 위해 개발되었다. GLBP는 단순한 장애 조치뿐만 아니라 활성 로드 밸런싱을 제공한다. GLBP 그룹 내의 여러 라우터가 동시에 트래픽을 전달할 수 있도록 허용하며, 이는 AVG와 AVF 역할을 통해 관리된다. 이로 인해 업스트림 대역폭 활용도가 향상된다. 그러나 HSRP나 VRRP에 비해 구성과 운영이 다소 복잡할 수 있다.
VRRP는 IETF에서 표준화한 FHRP이다. HSRP가 시스코의 독점 프로토콜인 반면, VRRP는 개방형 표준으로 다양한 벤더의 장비 간 상호 운용성을 보장한다.
VRRP는 하나의 가상 라우터를 생성하며, 이 가상 라우터는 하나의 마스터 라우터와 하나 이상의 백업 라우터로 구성된다. 마스터 라우터는 실제로 가상 IP 주소로 향하는 트래픽을 전달하는 역할을 담당한다. 마스터 라우터는 정기적으로 Advertisement 패킷을 전송하여 자신의 상태를 알린다. 백업 라우터는 이 패킷을 수신 대기하다가 마스터 라우터에 장애가 발생하면 새로운 마스터로 선출되는 과정을 거친다. VRRP의 기본 헬로 타이머는 1초이며, 마스터 다운 인터벌은 일반적으로 3.6초로 설정된다.
VRRPv2와 VRRPv3의 주요 차이는 다음과 같다.
버전 | 주요 특징 | 프로토콜 번호 | 주소 체계 |
|---|---|---|---|
VRRPv2 | IPv4 지원, 기본적인 인증 기능 제공 | 112 (IP 프로토콜) | IPv4 전용 |
VRRPv3 | IPv4와 IPv6 모두 지원, 인증 제거[6], 향상된 패킷 포맷 | 112 (IPv4), 프로토콜 번호 112 (IPv6) | IPv4 및 IPv6 듀얼 스택 |
VRRP의 주요 장점은 다중 벤더 환경에서의 호환성이다. 또한, VRRPv3는 IPv6 네트워크에서의 게이트웨이 중복성을 제공하는 사실상의 표준 프로토콜로 자리 잡았다. 한편, HSRP에 존재하는 사전 점유 모드와 유사한 개념이 VRRP에는 명시적으로 존재하지 않아, 특정 상황에서의 장애 복구 시간에 차이가 있을 수 있다.
GLBP는 시스코 시스템즈에서 개발한 FHRP의 하나로, 단일 가상 IP 주소를 공유하는 다수의 게이트웨이 간에 부하를 분산하는 기능에 중점을 둔다. HSRP나 VRRP가 하나의 액티브 게이트웨이만 트래픽을 처리하고 다른 장비는 대기하는 액티브-스탠바이 모델을 사용하는 반면, GLBP는 여러 게이트웨이가 동시에 트래픽을 전달할 수 있는 액티브-액티브 모델을 지원한다. 이는 업링크 대역폭을 보다 효율적으로 활용하고 단일 장애점을 제거하면서도 로드 밸런싱을 제공한다는 장점이 있다.
GLBP의 핵심 동작 원리는 가상 MAC 주소의 할당과 관리에 있다. GLBP 그룹 내에서 한 대의 라우터가 액티브 가상 게이트웨이 역할을 맡아 가상 IP 주소에 대한 ARP 요청을 처리한다. AVG는 각각의 실제 그룹 멤버(라우터)에게 고유한 가상 MAC 주소를 할당하며, 클라이언트의 ARP 요청에 대해 이들 가상 MAC 주소를 순환하면서 응답한다. 이렇게 서로 다른 가상 MAC 주소를 할당받은 실제 라우터들은 액티브 가상 포워더로서 자신에게 할당된 MAC 주소로 향하는 트래픽을 전달한다. 결과적으로 네트워크의 클라이언트들은 동일한 게이트웨이 IP 주소를 설정하지만, 서로 다른 물리적 게이트웨이로 트래픽을 보내게 되어 부하가 자연스럽게 분산된다.
GLBP는 다음과 같은 주요 특성을 가진다.
특성 | 설명 |
|---|---|
로드 밸런싱 방식 | 호스트별, 라운드 로빈, 가중치 기반 등 여러 방법 지원 |
가상 MAC 주소 수 | 그룹당 최대 4개 (각 AVF에게 하나씩 할당) |
헬로 패킷 | UDP 포트 3222 사용, 멀티캐스트 주소 224.0.0.102 사용 |
장애 조치 | AVG 또는 AVF 장애 시 나머지 라우터가 역할을 인계 |
HSRP와 비교했을 때 GLBP의 가장 큰 차이점은 리던던시와 로드 밸런싱을 동시에 제공한다는 점이다. HSRP는 별도의 트래픽 분산 설정 없이는 대기 라우터의 업링크가 유휴 상태로 남지만, GLBP는 기본 동작으로 모든 라우터의 포워딩 경로를 활용한다. 그러나 GLBP는 시스코의 독점 프로토콜이기 때문에 다른 벤더 장비와의 호환성이 없다는 제약이 있다. 이에 반해 VRRP는 표준 IETF 프로토콜로, 다중 벤더 환경에서의 상호 운용성이 가능하다.
HSRP는 주로 엔터프라이즈 네트워크의 디폴트 게이트웨이 이중화를 위해 설계되었다. 가장 일반적인 사용 사례는 액세스 레이어 스위치에 연결된 호스트들이 단일 가상 IP 주소를 통해 통신하며, 한 라우터에 장애가 발생하더라도 다른 라우터로 트래픽이 자동으로 전환되도록 보장하는 것이다. 이는 서버 팜이나 중요한 사용자 세그먼트에서 네트워크 가용성을 유지하는 데 필수적이다.
네트워크 설계 시 HSRP를 적용할 때는 물리적 토폴로지와 함께 로드 밸런싱 전략을 고려해야 한다. 여러 HSRP 그룹을 생성하여 서브넷별로 다른 라우터를 액티브로 지정하는 방식으로 트래픽을 분산시킬 수 있다. 예를 들어, 한 라우터가 그룹 1의 액티브이면서 그룹 2의 스탠바이가 되도록 구성하면, 두 라우터가 모두 유효한 상태에서 업링크 대역폭을 효율적으로 활용할 수 있다.
보다 복잡한 데이터 센터 설계에서는 멀티캐스트 기반의 HSRP가 스패닝 트리 프로토콜과 상호작용하는 방식을 이해해야 한다. HSRP 트래픽이 전달될 트렁크 포트를 적절히 설정하고, 필요시 HSRP 버전 2로 마이그레이션하여 확장성과 밀리초 단위의 빠른 장애 복구를 달성한다. 또한, 인터페이스 트래킹 기능을 활용하면 업링크 인터페이스가 다운되었을 때 해당 라우터의 HSRP 우선순위를 낮춰 보다 정확한 장애 감지와 전환이 가능해진다.
HSRP는 기본적으로 인증 메커니즘을 제공하여 네트워크 내에서 허가되지 않은 장치가 가상 라우터에 참여하거나 상태를 변경하는 것을 방지할 수 있습니다. 평문 텍스트 인증과 MD5 해시 기반 인증을 지원하지만, 평문 인증은 패킷 스니핑으로 자격 증명이 노출될 위험이 있습니다. 따라서 보안이 중요한 환경에서는 MD5 인증을 사용하는 것이 권장됩니다[7].
HSRP 메시지는 멀티캐스트 주소를 통해 교환되며, 이는 동일한 브로드캐스트 도메인 내의 모든 장치가 패킷을 수신할 수 있음을 의미합니다. 이는 스푸핑 공격에 취약할 수 있어, 신뢰할 수 없는 네트워크 세그먼트에서는 HSRP 트래픽을 필터링하거나 물리적 네트워크 분리를 고려해야 합니다. 또한, 우선순위 매개변수를 악의적으로 변경하는 공격을 방지하기 위해 안전한 인증 방식의 사용이 필수적입니다.
구성 시 안전하지 않은 기본값을 변경하는 것이 중요합니다. 예를 들어, 기본 Hello 패킷 간격과 홀드타이머를 조정하여 악의적인 장치가 빠른 헬로 패킷으로 정상적인 액티브 라우터를 불필요하게 전환시키는 공격(Denial of Service)을 완화할 수 있습니다. 관리 트래픽은 별도의 관리 VLAN을 사용하여 분리하는 것이 좋습니다.
고려사항 | 설명 | 권장 조치 |
|---|---|---|
인증 | 평문 인증의 보안 취약성 | MD5 또는 향상된 암호화 인증 사용 |
트래픽 노출 | HSRP 메시지의 멀티캐스트 특성 | 신뢰할 수 없는 세그먼트에서의 필터링 또는 네트워크 분리 |
기본값 | 예측 가능한 기본 타이머 값 | 운영 환경에 맞춰 Hello 및 Hold 타이머 조정 |
관리 평면 | 구성 관리 트래픽 | 별도의 관리 VLAN 또는 아웃오브밴드 채널 활용 |