VRRP協(xié)議簡介

VRRP這是一個容錯協(xié)議。它是為具有組播或廣播能力的局域網(wǎng)（如以太網(wǎng)）設(shè)計的。它確保當(dāng)局域網(wǎng)主機(jī)的下一個跳躍路由器出現(xiàn)故障時，可以及時更換另一個路由器，以保持通信的連續(xù)性和可靠性VRRP在路由器上配置虛擬路由器號和虛擬路由器IP地址,同時產(chǎn)生一個虛擬MAC地址,這樣，虛擬路由器就被添加到這個網(wǎng)絡(luò)中.網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無需了解網(wǎng)絡(luò)上物理路由器的任何信息。虛擬路由器由主路由器和多個備份路由器組成，主路由器實(shí)現(xiàn)真正的轉(zhuǎn)發(fā)功能.當(dāng)主路由器出現(xiàn)故障時，備份路由器將成為替換其工作的新主路由器.

VRRP只定義了一種報紙——VRRP這是一種組播報文，包裝在內(nèi)IP在報紙上，主路由器定期發(fā)送通知其存在，可以檢測虛擬路由器的各種參數(shù)，也可以用于主路由器的選舉.

VRRP還定義了三種狀態(tài)模型:初始狀態(tài)Initialize,活動狀態(tài)Master,備份狀態(tài)Backup.只有活動狀態(tài)才能虛擬IP地址轉(zhuǎn)發(fā)請求服務(wù).

VRRP協(xié)議僅僅適用于IPv4版路由器.對于IPv6版本的路由器將有新的規(guī)范來規(guī)定相關(guān)內(nèi)容.

VRRP工作原理

VRRP一組局域網(wǎng)路由器(RouterA和RouterB)組織虛擬路由器.這個虛擬路由器有自己的IP地址10.100.10.1(這個IP地址可以與路由器的接口地址相同IP當(dāng)然，物理路由器RouterA,RouterB也有自己的IP地址(RouterA的IP地址為10.100.10.2,

RouterB的IP地址為10.100.10.3).局域網(wǎng)中的主機(jī)只知道虛擬路由器IP地址10.100.10.1.不知道具體情況。RouterA的IP地址以及RouterB的IP地址,他們將自己的缺失路由設(shè)置為虛擬路由器IP地址10.100.10.1.因此，網(wǎng)絡(luò)中的主機(jī)通過虛擬路由器與其他網(wǎng)絡(luò)通信.虛擬路由器需要以下工作：

1.根據(jù)優(yōu)先級的大小選擇主路由器.最大的優(yōu)先級是主路由器，狀態(tài)是Master,如果優(yōu)先級相同，則比較接口的主體IP地址,主IP大地址成為主路由器，提供實(shí)際路由服務(wù).

2.其他路由器作為備份路由器，隨時監(jiān)控主路由器的狀態(tài).當(dāng)主路由器正常工作時，它會每隔一段時間發(fā)送一次VRRP組播報，通知組備份路由器，主路由器正常工作.如果組中的備份路由器長時間未收到來自主路由器的報告，則將其狀態(tài)轉(zhuǎn)換為Master.當(dāng)組內(nèi)有多個備份路由器時，將有可能產(chǎn)生多個主路由器.這時，每個主路由器都會比較VRRP如果報紙中的優(yōu)先級和本地優(yōu)先級小于本地優(yōu)先級，VRRP報紙中的優(yōu)先級將你的狀態(tài)轉(zhuǎn)化為Backup,否則，保持你的狀態(tài)不變.通過這樣的過程，優(yōu)先級最大的路由器將被選為新的主路由器VRRP的備份功能.

VRRP狀態(tài)轉(zhuǎn)換

構(gòu)成虛擬路由器的路由器有三種狀態(tài)，即InitializeMaster和Backup以下三種狀態(tài)說明:

Initialize

當(dāng)接收到接口時，系統(tǒng)啟動后進(jìn)入此狀態(tài)startup新聞，將轉(zhuǎn)入Backup(優(yōu)先級不是255)Master狀態(tài)(優(yōu)先級為255時).在這種狀態(tài)下，路由器不會正確VRRP報文做任何處理.

Master

路由器在Master在狀態(tài)下，它將做以下工作.

x定期發(fā)送VRRP組播報文;

x發(fā)送免費(fèi)(gratuitous)ARP為了讓網(wǎng)絡(luò)中的主機(jī)知道虛擬IP地址對應(yīng)的虛擬MAC地址;

x響應(yīng)對虛擬IP地址的ARP請求是虛擬的，響應(yīng)是虛擬的MAC地址，而不是接口的真實(shí)性MAC地址;

x轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文;

x假如是這個虛擬IP地址所有者接收目的IP地址是虛擬的IP地址的IP報紙，否則，丟棄這個IP報文.需要注意的是，由于這一要求，除非主路由器是IP地址所有者，否則主機(jī)ping虛擬IP地址不能ping通;

在Master在狀態(tài)下，只有收到比自己更優(yōu)先的VRRP只有報文時，才會轉(zhuǎn)為Backup,只有當(dāng)接收到接口時Shutdown只有事件發(fā)生Initialize.

Backup

只有當(dāng)Backup接收到MASTER_DOWN當(dāng)這個定時器發(fā)生事件時，它將轉(zhuǎn)換為Master當(dāng)收到比自己優(yōu)先級小的時候VRRP在報紙上，它只是處理丟棄的報紙，所以它不會重置定時器，這樣定時器就會在幾次這樣的處理后轉(zhuǎn)換為Master只有當(dāng)接收到接口時Shutdown只有事件發(fā)生Initialize

VRRP安全性

不同安全程度的網(wǎng)絡(luò)環(huán)境可以在報頭上設(shè)置不同的認(rèn)證方法和認(rèn)證字，任何未通過認(rèn)證的報文都可以丟棄，VRRP定義了三種認(rèn)證方法：無認(rèn)證(noauthentication)，簡單字符認(rèn)證(simplecleartextpasswords)和MD5認(rèn)證(MD5)

HSRP原理

備份組中的路由器處于各自的狀態(tài)，相互發(fā)送HSRP報文調(diào)整新狀態(tài)。

HSRP狀態(tài)：

（1）INIT:初始狀態(tài)

備份組所有成員的初始狀態(tài)是INIT，組員配置屬性或端口UP時，進(jìn)入INIT狀態(tài)。

（2）LEARN:未設(shè)定虛擬IP地址

組員沒有設(shè)置虛擬IP地址，并等待從本組活動路由器發(fā)出的認(rèn)證的Hello學(xué)會在報紙中獲得自己的虛擬IP地址。

（3）LISTEN:路由器動/備份路由器

組員已經(jīng)知道或設(shè)置了虛擬IP地址，通過監(jiān)控Hello一旦發(fā)現(xiàn)活動/備份路由器長時間未發(fā)送報紙監(jiān)控活動/備份路由器Hello進(jìn)入報文SPEAK狀態(tài)，開始競選。

（4）SPEAK:參加競選活動/備份路由器

通過發(fā)送Hello報紙使競選者相互比較和競爭。

（5）STANDBY:備份路由器的狀態(tài)(只有一個)

備份組中路由器的狀態(tài)，備份組成員監(jiān)控活動路由器，并準(zhǔn)備隨時更換活動路由器。備份路由器也定期發(fā)送Hello報告告訴其他成員他們沒有壞。

（6）ACTIVE:活動路由器的狀態(tài)(只有一個)

組內(nèi)活動路由器是負(fù)責(zé)虛擬路由器實(shí)際路由工作的組員的狀態(tài)。活動路由器定期發(fā)送Hello報告告訴其他成員他們沒有壞。

HSRP狀態(tài)轉(zhuǎn)換

報文類型

報文類型Hello,Coup,Resign

Hello類型報告表明發(fā)送者處于運(yùn)行狀態(tài)，有能力成為活動/備份路由器。

COUP發(fā)送者希望成為活動路由器。

RESIGN發(fā)送者不再是活動路由器。

HSRP和VRRP區(qū)別

1.功能:

VRRP和HSRP很相似，但就安全性而言，VRRP對HSRP主要優(yōu)勢之一：允許參與VRRP建立認(rèn)證機(jī)制.并且,不像HSRP虛擬路由器不能是路由器之一ip地址,但是VRRP允許這種情況發(fā)生(如果”擁有”建立并運(yùn)行虛擬路由器地址的路由器，所以應(yīng)該總是由這個虛擬路由器管理—等價于HSRP中間的活動路由器)，但為了確保終端主機(jī)在故障發(fā)生時不需要重新學(xué)習(xí)MAC指定使用地址MAC地址00-00-5e-00-01-VRID,這里的VRID虛擬路由器ID(等價于一個HSRP組標(biāo)識符).

2.另一個區(qū)別是VRRP不使用HSRP政變或等價消息，VRRP的狀態(tài)機(jī)比HSRP的要簡單,HSRP六種狀態(tài)(初始狀態(tài)(Initial)狀態(tài)，學(xué)習(xí)(Learn)狀態(tài)，監(jiān)聽(Listen)狀態(tài)，對話(Speak)狀態(tài)，備份(Standby)狀態(tài)，活動(Active)狀態(tài))和8個事件，VRRP只有3個狀態(tài)(初始狀態(tài))(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個事件.

3、HSRP有三種報紙，有三種狀態(tài)可以發(fā)送報紙呼叫(Hello)報文告辭(Resign)報文突變(Coup)報文

VRRP有一種報文，VRRP廣播報紙：主路由器定期發(fā)送通知其存在。使用這些報紙可以檢測虛擬路由器的各種參數(shù)和主路由器的選舉。

4、HSRP承載報文UDP報文上，而VRRP承載在TCP報文上(HSRP使用UDP1985端口，組播地址224.0.0.2發(fā)送hello消息。)

5、VRRP的安全：VRRP協(xié)議包括三種主要的認(rèn)證方法：無認(rèn)證、簡單的明文密碼和使用MD5HMACip強(qiáng)認(rèn)證.

使用強(qiáng)認(rèn)證方法IP認(rèn)證頭(AH)協(xié)議.AH是與用在IPSEC同一協(xié)議，AH為認(rèn)證VRRP分組中的內(nèi)容和分組提供了一種方法.MD5HMAC使用表明使用共享密鑰生成hash值.發(fā)送一個路由器VRRP分組產(chǎn)生MD5hash值,并將它置于要發(fā)送的通告中,在接收時,接受者使用相同的密鑰和MD5值，重新計算分組內(nèi)容和分組頭hash如果結(jié)果相同，這個消息真的來自一個可靠的主機(jī)，如果不同，它必須被丟棄，這可以防止攻擊者訪問LAN發(fā)出可能影響選擇過程的通知或其他方法來中斷網(wǎng)絡(luò).

另外,VRRP包括保護(hù)VRRP分組不會被另一個遠(yuǎn)程網(wǎng)絡(luò)添加(設(shè)置TTL值=255，并在接受時進(jìn)行檢查)，限制了本地攻擊的大部分缺陷.另一方面，HSRP在它的消息中使用TTL值是1.

6、VRRP崩潰間隔時間：3*通告間隔 時滯時間(skew-time)