VRRP原理
協議簡述
簡單來說,VRRP是一種容錯協議,它爲具有組播或廣播能力的局域網(如以太網)設計,它保證當局域網內主機的下一跳路由器出現故障時,可以及時的由另一臺路由器來代替,從而保持通訊的連續性和可靠性,爲了使VRRP工作,要在路由器上配置虛擬路由器號和虛擬IP地址,同時產生一個虛擬MAC地址,這樣在這個網絡中就加入了一個虛擬路由器.而網絡上的主機與虛擬路由器通信,無需瞭解這個網絡上物理路由器的任何信息,一個虛擬路由器由一個主路由器和若干個備份路由器組成,主路由器實現真正的轉發功能.當主路由器出現故障時,一個備份路由器將成爲新的主路由器,接替它的工作.
VRRP中只定義了一種報文——VRRP報文,這是一種組播報文,封裝在IP報文上,由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用於主路由器的選舉.
VRRP還定義了三種狀態模型:初始狀態Initialize, 活動狀態Master, 備份狀態Backup .其中只有活動狀態可以爲到虛擬IP地址的轉發請求服務.
VRRP協議僅僅適用於IPv4版本的路由器.對於IPv6版本的路由器將會有新的規範來規定相關內容.
-----------------------
VRRP工作原理
VRRP將局域網的一組路由器(RouterA和RouterB )組織成一個虛擬的路由器.這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和某個路由器的接口地址相同被稱爲IP地址擁有者) 當然物理路由器RouterA, RouterB也有自己的IP地址(RouterA的IP地址爲10.100.10.2,
RouterB的IP地址爲10.100.10.3). 局域網內的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1,而並不知道具體的RouterA的IP地址以及RouterB的IP地址,他們將自己的缺省路由設置爲該虛擬路由器的IP地址10.100.10.1. 於是網絡內的主機就通過這個虛擬的路由器來與其他網絡進行通信.而對於這個虛擬路由器則需要進行如下工作:
1 根據優先級的大小挑選主路由器.優先級最大的成爲主路由器,狀態爲Master, 若優先級相同,則比較接口的主IP地址,主IP地址大的就成爲主路由器,由它提供實際的路由服務.
2 其它路由器作爲備份路由器,隨時監測主路由器的狀態.當主路由器正常工作時,它會每隔一段時間發送一個VRRP組播報文,以通知組內的備份路由器,主路由器處於正常工作狀態.如果組內的備份路由器長時間沒有接收到來自主路由器的報文,則將自己狀態轉爲Master .當組內有多臺備份路由器時,將有可能產生多個主路由器.這時每一個主路由器就會比較VRRP報文中的優先級和自己本地的優先級,如果本地的優先級小於VRRP報文中的優先級,則將自己的狀態轉爲Backup ,否則保持自己的狀態不變.通過這樣一個過程,就會將優先級最大的路由器選成新的主路由器,完成VRRP的備份功能.
-------------------------
VRRP狀態轉換
組成虛擬路由器的路由器會有三種狀態,分別是Initialize Master和Backup 下面對這三種狀態進行說明:
Initialize
系統啓動後進入此狀態,當收到接口startup的消息,將轉入Backup (優先級不爲255時)或Master狀態(優先級爲255時).在此狀態時,路由器不會對VRRP報文做任何處理.
Master
當路由器處於Master狀態時,它將會做下列工作.
x 定期發送VRRP組播報文;
x 發送免費(gratuitous) ARP報文,以使網絡內各主機知道虛擬IP地址所對應的虛擬MAC地址;
x 響應對虛擬IP地址的ARP請求,並且響應的是虛擬MAC地址,而不是接口的真實MAC地址;
x轉發目的MAC地址爲虛擬MAC地址的IP報文;
x 如果它是這個虛擬IP地址的擁有者,則接收目的IP地址爲這個虛擬IP地址的IP報文,否則,丟棄這個IP報文.需要注意的是,由於有這一點要求,所以除非主路由器是IP地址擁有者,否則主機ping虛擬IP地址不能ping通;
Backup
只有當Backup接收到MASTER_DOWN這個定時器到時的事件時纔會轉爲Master 而當接收到比自己的優先級小的VRRP報文時它只是做丟棄這個報文的處理從而就不對定時器做重置處理這樣定時器就會在若干次這樣的處理之後到時於是就轉爲Master 只有當接收到接口的Shutdown事件時纔會轉爲Initialize
------------------------
VRRP安全性
對於安全程度不同的網絡環境可以在報頭上設定不同的認證方式和認證字,任何沒有通過認證的報文將做丟棄處理, VRRP定義了三種認證方式:無認證(no authentication),簡單字符認證(simple clear text passwords)和MD5認證(MD5)
------------------------
HSRP原理
備份組內的路由器處於各自的狀態,根據相互間發送 HSRP 報文來調整新的狀態。
HSRP 狀態:
(1)INIT:初始狀態
所有備份組內組員的初始狀態爲 INIT,當組員配置屬性或端口 UP 時,進入 INIT 狀態。
(2)LEARN:未設定虛擬IP地址
該組員未設定虛擬 IP 地址,並等待從本組活動路由器發出的認證的 Hello 報文中學習得到自己的虛擬 IP 地址。
(3)LISTEN:監視活動/備份路由器
該組員已得知或設置了虛擬 IP 地址,通過監聽 Hello 報文監視活動/備份路由器,一旦發現活動/備份路由器長時間未發送 Hello 報文,則進入 SPEAK 狀態,開始競選。
(4)SPEAK:參加競選活動/備份路由器
參加競選活動/備份路由器的組員所處的狀態,通過發送 Hello 報文使競選者間相互比較、競爭。
(5)STANDBY:備份路由器所處的狀態(只有一個)
組內備份路由器所處的狀態,備份組員監視活動路由器,準備隨時在活動路由器壞掉時接替活動路由器。備份路由器也週期性發送 Hello 報文告訴其他組員自己沒有壞掉。
(6)ACTIVE:活動路由器所處的狀態(只有一個)
組內活動路由器即負責虛擬路由器實際路由工作的組員所處的狀態。活動路由器週期性發送 Hello 報文告訴其他組員自己沒有壞掉。
----------------------------
HSRP 狀態轉換
----------------------------
報文類型 Hello, Coup, Resign
Hello 類型報文說明發送者處在運行狀態,有能力成爲活動/備份路由器。
COUP 類型報文說明發送者希望成爲活動路由器。
RESIGN 類型報文說明發送者不再是活動路由器。
------------------------
HSRP和VRRP區別
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果”擁有”虛擬路由器地址的路由器被建立並且正在運行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是爲了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,這裏的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始(Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動(Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3. HSRP有三種報文,而且有三種狀態可以發送報文呼叫(Hello)報文告辭(Resign)報文 突變(Coup)報文
4. HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上(HSRP 使用UDP 1985端口,向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH爲認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止***者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)