[네트워크] CCNA HSRP · VRRP · GLBP 게이트웨이 이중화 비교와 실전 설정
게이트웨이 이중화(FHRP)는 네트워크의 출입문이 갑자기 잠겼을 때를 대비해 예비 출입문을 미리 열어두는 기술입니다. 이 글에서는 HSRP, VRRP, GLBP 세 가지 프로토콜의 차이점, 동작 원리, 실전 설정 명령어를 한 번에 정리합니다.
1. 게이트웨이 이중화가 왜 필요할까
사무실 건물에 출입문이 단 하나뿐이라고 상상해 봅시다. 그 문이 고장 나는 순간, 안에 있는 사람들은 밖으로 나갈 수 없고 밖에 있는 사람은 안으로 들어올 수 없습니다. PC가 인터넷을 쓰려면 반드시 거쳐야 하는 출입문이 바로 기본 게이트웨이(Default Gateway)인데, 이게 다운되면 부서 전체가 인터넷 단절을 겪습니다.
해결책은 단순합니다. 출입문을 두 개 만들고, 평소엔 한쪽만 쓰다가 그쪽이 고장 나면 자동으로 다른 문이 열리도록 하는 것이죠. 이걸 네트워크 장비끼리 자동으로 합의하게 만든 규칙이 FHRP(First Hop Redundancy Protocol)입니다.
FHRP는 두 대 이상의 라우터/L3 스위치가 하나의 가상 IP를 공유하게 만들어, PC 입장에서는 게이트웨이가 한 대인 것처럼 보이게 합니다. 실제 처리하는 장비가 바뀌어도 PC는 아무것도 다시 설정할 필요가 없습니다.
2. FHRP의 기본 개념과 핵심 용어
세 가지 프로토콜을 비교하기 전에, 공통으로 쓰이는 용어를 먼저 정리합니다. 용어만 잡아두면 뒤에 나오는 설정 명령어가 훨씬 쉽게 읽힙니다.
| 용어 | 의미 (쉬운 비유 포함) |
|---|---|
| Virtual IP (VIP) | PC가 게이트웨이 주소로 알고 있는 가짜 IP. 회사 대표번호처럼, 실제로 전화를 받는 사람은 바뀌어도 번호는 그대로입니다. |
| Virtual MAC | 가상 IP에 대응하는 가짜 MAC 주소. PC의 ARP 캐시에 박혀 있어 페일오버 시 ARP를 다시 학습할 필요가 없습니다. |
| Active / Master | 실제로 트래픽을 처리하는 현직자. 당직 근무 중인 직원이라고 보면 됩니다. |
| Standby / Backup | 현직자가 쓰러지면 즉시 투입되는 대기조. 평소엔 트래픽을 처리하지 않습니다. |
| Priority | 누가 현직자가 될지 정하는 점수. 숫자가 클수록 우선순위가 높습니다 (직급/연차 같은 개념). |
| Hello / Hold Timer | 살아있다고 알리는 주기(Hello)와, 그 신호가 끊겼다고 판단하는 시간(Hold). 출석체크와 결석 처리 시간입니다. |
| Preempt | 우선순위가 더 높은 장비가 복귀하면 자리를 강제로 되찾는 기능. 부장이 출장에서 돌아오면 자기 자리를 되찾는 셈입니다. |
3. HSRP — 시스코의 왕위 계승 방식
HSRP(Hot Standby Router Protocol)는 시스코가 1994년에 만든 프로토콜입니다. RFC 2281로 문서화되어 있지만, 사실상 시스코 장비에서만 동작하는 독점 규격입니다.
동작 방식 — 왕과 후계자
HSRP는 마치 왕정 체제처럼 동작합니다. 한 명의 왕(Active)이 통치하고, 한 명의 후계자(Standby)가 대기하며, 나머지는 일반 백성(Listen)으로 머무릅니다. 왕이 죽으면 후계자가 즉시 왕위에 오르고, 새로운 후계자가 뽑힙니다.
- Priority 기본값: 100 (1~255 범위, 클수록 우선)
- 가상 MAC:
0000.0C07.ACxx(xx = HSRP 그룹 번호 16진수) - Hello / Hold 기본값: 3초 / 10초
- 버전: v1 (그룹 0~255), v2 (그룹 0~4095, IPv6 지원)
- 멀티캐스트 주소: v1은 224.0.0.2, v2는 224.0.0.102
Priority가 같으면 IP 주소가 더 높은 쪽이 Active가 됩니다. 그래서 실무에서는 의도한 장비를 Active로 만들고 싶을 때 Priority를 명시적으로 다르게 설정합니다.
4. VRRP — 표준 진영의 다국적 협약
VRRP(Virtual Router Redundancy Protocol)는 IETF가 만든 개방형 표준입니다(RFC 3768, 5798). 시스코, 주니퍼, HP, Arista, 화웨이 등 거의 모든 벤더가 지원하기 때문에 멀티벤더 환경에서 사실상 기본 선택지입니다.
HSRP와 다른 점 — 용어와 디테일
HSRP가 왕정이라면 VRRP는 국제 협약에 가깝습니다. 큰 틀은 비슷한데 용어와 몇 가지 규칙이 다릅니다.
| 항목 | HSRP | VRRP |
|---|---|---|
| 현직자 명칭 | Active | Master |
| 가상 MAC | 0000.0C07.ACxx | 0000.5E00.01xx |
| Hello 기본값 | 3초 | 1초 |
| 멀티캐스트 주소 | 224.0.0.2 / .102 | 224.0.0.18 |
| Preempt 기본값 | 비활성화 | 활성화 |
| VIP가 실제 인터페이스 IP일 수 있나 | 불가 | 가능 (Master가 자동으로 최고 우선순위) |
VRRP는 Preempt가 기본 활성화입니다. 운영 중인 장비를 의도치 않게 빼앗기지 않으려면 no vrrp preempt 또는 지연(delay)을 명시적으로 설정해야 합니다.
5. GLBP — 일감을 나눠 하는 팀제 방식
GLBP(Gateway Load Balancing Protocol) 역시 시스코 독점 프로토콜이지만, HSRP/VRRP와 결정적으로 다른 점이 하나 있습니다. 대기 장비도 같이 일을 한다는 것입니다.
왕정이 아닌 팀제
HSRP/VRRP는 평소엔 한 대만 일하고 다른 한 대는 놀고 있습니다(Active-Standby). 비싼 장비 한 대를 사놓고 그냥 켜둔 채 방치하는 셈이죠. GLBP는 이를 해결합니다.
- AVG (Active Virtual Gateway): 팀장 역할. ARP 요청에 응답해서 PC들에게 가상 MAC을 나눠줍니다. 그룹당 1명.
- AVF (Active Virtual Forwarder): 팀원 역할. 실제 패킷을 받아 라우팅합니다. 그룹당 최대 4명까지.
- AVG가 PC1에게는 AVF1의 MAC을, PC2에게는 AVF2의 MAC을 알려주는 식으로 트래픽을 분산합니다.
부하 분산 방식 3가지
| 방식 | 동작 |
|---|---|
| Round-robin (기본값) | PC들에게 AVF MAC을 순서대로 돌아가며 배정. 가장 무난하고 공평합니다. |
| Weighted | 가중치를 둬서 성능 좋은 장비에 더 많은 PC를 배정. |
| Host-dependent | 같은 PC는 항상 같은 AVF에게 배정. 세션 유지가 필요한 환경에서 유리합니다. |
GLBP의 가상 MAC은 0007.B400.xxyy 형식이며, Hello 3초 / Hold 10초가 기본값입니다.
6. 세 프로토콜 한눈에 비교
| 구분 | HSRP | VRRP | GLBP |
|---|---|---|---|
| 표준 | Cisco 독점 (RFC 2281) | IETF 표준 (RFC 5798) | Cisco 독점 |
| 멀티벤더 | ❌ | ✅ | ❌ |
| 동시 트래픽 처리 | 1대만 (Active) | 1대만 (Master) | 최대 4대 동시 처리 |
| Hello 기본 | 3초 | 1초 | 3초 |
| Preempt 기본 | OFF | ON | ON |
| Track 기능 | ✅ | ✅ | ✅ |
| 권장 시나리오 | 시스코 단일 환경 | 멀티벤더 환경 | 고대역폭 부하 분산 |
7. 실전 설정 예제
아래 예제는 모두 다음 토폴로지를 가정합니다.
- VLAN 10, 서브넷
192.168.10.0/24 - 가상 게이트웨이 IP:
192.168.10.1 - SW1: 실제 IP 192.168.10.2 (Active 희망)
- SW2: 실제 IP 192.168.10.3 (Standby)
7-1. HSRP 설정
SW1(config)# interface vlan 10
SW1(config-if)# ip address 192.168.10.2 255.255.255.0
SW1(config-if)# standby version 2
SW1(config-if)# standby 10 ip 192.168.10.1
SW1(config-if)# standby 10 priority 110
SW1(config-if)# standby 10 preempt
SW1(config-if)# standby 10 authentication md5 key-string DodamKey
! SW2 (Standby)
SW2(config)# interface vlan 10
SW2(config-if)# ip address 192.168.10.3 255.255.255.0
SW2(config-if)# standby version 2
SW2(config-if)# standby 10 ip 192.168.10.1
SW2(config-if)# standby 10 priority 100
SW2(config-if)# standby 10 authentication md5 key-string DodamKey
확인 명령어: show standby brief
7-2. VRRP 설정
SW1(config)# interface vlan 10
SW1(config-if)# ip address 192.168.10.2 255.255.255.0
SW1(config-if)# vrrp 10 ip 192.168.10.1
SW1(config-if)# vrrp 10 priority 110
SW1(config-if)# vrrp 10 authentication md5 key-string DodamKey
! SW2 (Backup)
SW2(config)# interface vlan 10
SW2(config-if)# ip address 192.168.10.3 255.255.255.0
SW2(config-if)# vrrp 10 ip 192.168.10.1
SW2(config-if)# vrrp 10 priority 100
SW2(config-if)# vrrp 10 authentication md5 key-string DodamKey
확인 명령어: show vrrp brief
7-3. GLBP 설정
SW1(config)# interface vlan 10
SW1(config-if)# ip address 192.168.10.2 255.255.255.0
SW1(config-if)# glbp 10 ip 192.168.10.1
SW1(config-if)# glbp 10 priority 110
SW1(config-if)# glbp 10 preempt
SW1(config-if)# glbp 10 load-balancing round-robin
SW1(config-if)# glbp 10 authentication md5 key-string DodamKey
! SW2 (AVF로 참여)
SW2(config)# interface vlan 10
SW2(config-if)# ip address 192.168.10.3 255.255.255.0
SW2(config-if)# glbp 10 ip 192.168.10.1
SW2(config-if)# glbp 10 priority 100
SW2(config-if)# glbp 10 load-balancing round-robin
SW2(config-if)# glbp 10 authentication md5 key-string DodamKey
확인 명령어: show glbp brief
8. 연관 기능 — Tracking, Preempt, Authentication
세 프로토콜 모두 단독으로 쓰기보단 아래 기능들과 조합해야 진짜 실전 구성이 됩니다. 면접 단골 주제이기도 합니다.
① Object Tracking — 상류 회선 감시
HSRP/VRRP/GLBP는 기본적으로 자기 인터페이스가 살아있는지만 봅니다. 그런데 내 인터페이스는 멀쩡한데 그 위쪽(ISP 쪽) 회선이 끊어졌다면? Active 자리는 그대로지만 트래픽은 인터넷으로 못 나갑니다. 이를 막는 게 Object Tracking입니다.
SW1(config)# track 1 interface GigabitEthernet0/1 line-protocol
! HSRP에 연동: Track 1이 다운되면 Priority -20
SW1(config-if)# standby 10 track 1 decrement 20
이렇게 하면 상류 회선이 죽는 순간 Priority가 110 → 90으로 떨어져, Standby(100)에게 자리를 넘겨줍니다.
② Preempt Delay — 부팅 직후 자리 뺏기 방지
Active 장비를 재부팅하면, 부팅 직후 Priority는 높지만 라우팅 테이블이 아직 안 채워진 상태입니다. 이때 곧바로 Active로 복귀하면 트래픽 블랙홀이 생기죠. Preempt Delay로 충분히 안정화될 시간을 줍니다.
③ Authentication — 가짜 장비 차단
같은 세그먼트에 누군가 임의로 라우터를 꽂아 가짜 Hello 패킷을 보내면 Active 자리를 가로챌 수 있습니다. MD5 인증으로 같은 키를 가진 장비끼리만 그룹에 참여하게 막습니다. 운영망에서는 반드시 켜두세요.
④ Timer 단축 — 빠른 페일오버
기본 Hello/Hold는 회선 단절 후 최대 10초간 트래픽이 끊깁니다. VoIP나 영상회의처럼 짧은 단절도 치명적인 환경에서는 millisecond 단위로 단축합니다.
Hello를 너무 짧게 잡으면 CPU 부담이 커지고, 일시적인 부하 spike로 인한 오탐(false failover)이 발생할 수 있습니다. 보통 Hello 200~500ms, Hold는 Hello의 3배가 권장됩니다.
⑤ STP / HSRP Active 정렬
L2 환경이라면 STP Root Bridge와 HSRP Active를 같은 장비로 맞춰주는 것이 정석입니다. 다르면 L2 경로와 L3 경로가 어긋나 트래픽이 한 번 더 돌아가는 비효율이 발생합니다. VLAN별로 SW1과 SW2가 번갈아 Active를 가지면 부하분산도 같이 됩니다.
9. 자주 묻는 질문 (Q&A)
Q1. HSRP와 VRRP 중 무엇을 선택해야 하나요?
장비가 전부 시스코라면 HSRP가 무난합니다. 운영 노하우와 문서가 풍부하기 때문이죠. 하지만 시스코 + 주니퍼, 시스코 + Arista처럼 벤더가 섞여 있다면 VRRP가 사실상 유일한 선택지입니다.
Q2. GLBP가 부하분산까지 되는데 왜 다들 HSRP를 더 많이 쓰나요?
세 가지 이유가 있습니다. ① GLBP는 시스코 독점이라 멀티벤더 환경에서 못 씁니다. ② AVG가 ARP 응답을 제어하는 구조라 ARP 캐시 동작이 까다로워 트러블슈팅이 어렵습니다. ③ 운영 단순성 측면에서 HSRP + VLAN별 Active 분산(SW1이 VLAN 10, SW2가 VLAN 20 Active)으로도 충분히 부하분산이 됩니다.
Q3. Priority를 같게 설정하면 어떻게 되나요?
세 프로토콜 모두 IP 주소가 더 높은 쪽이 Active(또는 Master)가 됩니다. 다만 어느 쪽이 될지 의도적으로 통제하기 어렵기 때문에, 실무에서는 Priority를 명시적으로 다르게 잡는 것이 원칙입니다(예: 110 / 100).
Q4. Preempt를 꼭 켜야 하나요?
상황에 따라 다릅니다. Preempt ON이면 원래 Active 장비가 복구되자마자 자리를 되찾아 일관성이 유지되지만, 페일오버가 한 번 더 발생합니다. OFF면 자리는 유지되지만 의도와 다른 장비가 계속 Active로 남을 수 있습니다. 일반적으로는 ON + Preempt Delay로 부팅 후 60~180초 안정화 시간을 두는 구성을 많이 씁니다.
Q5. 페일오버 중 PC 입장에서 끊김이 얼마나 발생하나요?
기본 Timer 기준 HSRP/GLBP는 약 10초, VRRP는 약 3초 정도의 단절이 발생합니다. Timer를 msec 단위로 단축하면 1초 미만까지 줄일 수 있어, VoIP·영상회의 환경에서는 단축 설정이 거의 필수입니다.
📌 정리
게이트웨이 이중화는 가용성 설계의 출발점입니다. 시스코 단일 환경이면 HSRP, 멀티벤더면 VRRP, 대역폭 활용을 극대화하고 싶고 시스코 전용이면 GLBP를 선택하세요. 그리고 어떤 프로토콜을 쓰든 Object Tracking, Preempt Delay, MD5 인증은 반드시 함께 구성해야 진짜 운영 가능한 설계가 됩니다.
#HSRP #VRRP #GLBP #게이트웨이이중화 #FHRP #네트워크이중화 #Cisco #시스코설정 #L3스위치 #네트워크엔지니어 #CCNA #CCNP #도담인사이트
댓글
댓글 쓰기