發(fā)布時(shí)間: 2017-06-16 14:55:39
虛擬路由冗余協(xié)議(Virtual Router Redundancy Protocol,簡(jiǎn)稱(chēng)VRRP)是由IETF提出的解決局域網(wǎng)中配置靜態(tài)網(wǎng)關(guān)出現(xiàn)單點(diǎn)失效現(xiàn)象的路由協(xié)議,1998年已推出正式的RFC2338協(xié)議標(biāo)準(zhǔn)。熱備份路由器協(xié)議(HSRP:Hot Standby Router Protocol),是cisco平臺(tái)一種特有的技術(shù),是cisco的私有協(xié)議。
| VRRP | HSRP | |
| 協(xié)議性質(zhì) | 標(biāo)準(zhǔn)協(xié)議 | Cisco私有協(xié)議 |
| 報(bào)文 | VRRP廣播報(bào)文 | Hello報(bào)文 Resign報(bào)文 Coup報(bào)文 |
| 通告時(shí)間 | 1秒 | 3秒 |
| 崩潰時(shí)間 | 3秒 | 10秒 |
| 虛MAC | 00-00-5e-00-01-VRID VRID是虛擬ID | 00-00-0C-07-ACXX XX表示HSRP組 |
| 協(xié)議 | 基于IP,協(xié)議號(hào)112 | 基于UDP,端口號(hào)1985 |
| 組播地址 | 224.0.0.18 | 224.0.0.2 |
| 搶占機(jī)制 | 默認(rèn)搶占 | 默認(rèn)不搶占 |
| TTL值 | 255 | 1 |
1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP對(duì)HSRP的一個(gè)主要優(yōu)勢(shì)是它允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制。并且不像HSRP那樣要求虛擬路由器不能是其中一個(gè)路由器的ip地址,但是VRRP允許這種情況發(fā)生(如果”擁有”虛擬路由器地址的路由器被建立并且正在運(yùn)行,那么應(yīng)該總是由這個(gè)虛擬路由器管理—等價(jià)于HSRP中的活動(dòng)路由器),但是為了確保萬(wàn)一失效發(fā)生的時(shí)候終端主機(jī)不必重新學(xué)習(xí)MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價(jià)于一個(gè)HSRP的組標(biāo)識(shí)符)。
2.另外一個(gè)不同是VRRP不使用HSRP中的政變或者一個(gè)等價(jià)消息,VRRP的狀態(tài)機(jī)比HSRP的要簡(jiǎn)單,HSRP有6個(gè)狀態(tài)(初始(Initial)狀態(tài)、學(xué)習(xí)(Learn)狀態(tài)、監(jiān)聽(tīng)(Listen)狀態(tài)、對(duì)話(huà)(Speak)狀態(tài)、備份(Standby)狀態(tài)和活動(dòng)(Active)狀態(tài))和8個(gè)事件,VRRP只有3個(gè)狀態(tài)(初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個(gè)事件。
3. HSRP有三種報(bào)文,而且有三種狀態(tài)可以發(fā)送報(bào)文
(Hello)報(bào)文、(Resign)報(bào)文、(Coup)報(bào)文
VRRP有一種報(bào)文
VRRP廣播報(bào)文:由主路由器定時(shí)發(fā)出來(lái)通告它的存在,使用這些報(bào)文可以檢測(cè)虛擬路由器各種參數(shù),還可以用于主路由器的選舉。
4. HSRP將報(bào)文承載在UDP報(bào)文上,而VRRP承載在TCP報(bào)文上(HSRP 使用UDP 1985端口,向組播地址224.0.0.2 發(fā)送hello消息。)
5.VRRP的安全:VRRP協(xié)議包括三種主要的認(rèn)證方式:無(wú)認(rèn)證,簡(jiǎn)單的明文密碼和使用 MD5 HMAC ip認(rèn)證的強(qiáng)認(rèn)證.
強(qiáng)認(rèn)證方法使用IP認(rèn)證頭(AH)協(xié)議。AH是與用在IPSEC中相同的協(xié)議,AH為認(rèn)證VRRP分組中的內(nèi)容和分組頭提供了一個(gè)方法。MD5 HMAC 的使用表明使用一個(gè)共享的密鑰用于產(chǎn)生hash值。路由器發(fā)送一個(gè)VRRP分組產(chǎn)生MD5 hash值,并將它置于要發(fā)送的通告中,在接收時(shí),接受方使用相同的密鑰和MD5值,重新計(jì)算分組內(nèi)容和分組頭的hash值,如果結(jié)果相同,這個(gè)消息就是真正來(lái)自于一個(gè)可信賴(lài)的主機(jī);如果不相同,它必須丟棄,這可以防止攻擊者通過(guò)訪問(wèn)LAN而發(fā)出能影響選擇過(guò)程的通告消息或者其他一些方法中斷網(wǎng)絡(luò)。
另外,VRRP包括一個(gè)保護(hù)VRRP分組不會(huì)被另外一個(gè)遠(yuǎn)程網(wǎng)絡(luò)添加內(nèi)容的機(jī)制(設(shè)置TTL值=255,并在接受時(shí)檢查),這限制了可以進(jìn)行本地攻擊的大部分缺陷。而另一方面,HSRP在它的消息中使用的TTL值是1。
6.VRRP的崩潰間隔時(shí)間:3*通告間隔+時(shí)滯時(shí)間(skew-time)
HSRP配置舉例如下:
RouterA(config)#interface vlan 10
RouterA(config-if)#ip address 10.1.1.2 255.255.255.0
RouterA(config-if)#standby 10 ip 10.1.1.1
RouterA(config-if)#standby 10 priority 110
RouterA(config-if)#standby 10 preempt
RouterA(config-if)#standby 10 authentication xyz123
VRRP配置舉例如下:
Ruijie(config)#int vlan 10
Ruijie(config-VLAN 10)#ip address 192.168.10.254 255.255.255.0 ------>配置vlan10的ip地址
Ruijie(config-VLAN 10)#vrrp 1 ip 192.168.10.1 ------>配置vrrp虛擬地址
Ruijie(config-VLAN 10)#vrrp 1 priority 120 ------> 配置優(yōu)先級(jí),越大越優(yōu)先,默認(rèn)是100
Ruijie(config-VLAN 10)#exit
上一篇: VLSM可變長(zhǎng)子網(wǎng)掩碼例題講解
下一篇: 淺談VTP技術(shù)
(騰科IT教育集團(tuán))
