说明
+
如果配置了虚
IP
地址,应设为状态
3
(监听),如果没有设置虚
IP
地址,应设为状态
2
(学习)。这两种情况都使用操作
A
和
B
*
如果路由器被配置为优先占取,则采用操作
B
,
G
,
F
,和
I
,而且设为状态
6
(激活)。如果路由器没有被设为优先占取,则采用操作
A
,并且没有状态变化。
6
,对
MAC
地址的考虑
6. 1
概述
每个
HSRP
组都有一个众所周知的联合的虚拟
MAC
地址。在令牌环网络上,这些地址实际上属于功能地址。下面这三个地址:
0xC0 0x00 0x00 0x01 0x00 0x00, 0xC0 0x00 0x00 0x02 0x00 0x00,
以及
0xC0 0x00 0x00 0x04 0x00 0x00
分别与组
0
,
1
,
2
相联系。
在其他媒质上,虚
MAC
地址为
0x00 0x00 0x 0C 0x07 0xAC XX
,其中
XX
代表
HSRP
的组号。凡执行
HSRP
都要尽可能地使用这种公认的
HSRP MAC
地址作为该组的虚
MAC
地址。
活路由器必须接收和发送用于定义组的虚
MAC
地址的数据包。它在离开激活状态后则必须停止发送或接受这种包。
当且仅当路由器处于激活状态下时,路由器必须使用组虚拟
MAC
地址作为它的
Hello
消息包的源
MAC
地址。这对于处于学习状态的网桥来说是非常必要的,这样可以使网桥能够断定这个虚
MAC
地址是处于哪个网段的。
对于每个组来说,都要有一个虚拟
IP
地址和一个虚拟
MAC
地址。这是个非常理想的情况,因为这样使得
ARP
表处于一种最终状态,而不需要象
HSRP
活路由器那样随着活路由器人选的改变而随时改变表中的数据。
另外,对于
HSRP
在网桥环境下工作时,网桥必须能够在虚
MAC
地址改变时很快地进行自我刷新。虽然处于学习状态的网桥理论上能够作到这一点,但有些还是在这方面存在着问题的。因此推荐只有真正处于学习状态的网桥才能使用
HSRP
。
虚
MAC
地址的改变可能会对那些与
MAC
地址捆绑的附加状态的环境产生负面的影响。例如令牌环网络。如果源路由网桥正在使用的话,
RIF
将以虚
MAC
地址存在主机的
RIF
缓存里。
RIF
指出了用于到达
MAC
地址的路径和最后的环。在路由器转为活路由器时,它们将不会影响在带桥的环上的主机的
RIF
缓存。这也许会导致数据包被转发到上一级活路由器的环上。
在这种环境下,一台路由器也许会使用它标准的
MAC
地址作为虚
MAC
地址。这种做法是非常不被提倡的。在这种模式下,虚
IP
地址将会超时路由到不同的
MAC
地址,而最终会在路由的终点产生问题,因为
ARP
表是假设了一个在
MAC
地址和
IP
地址见相对静态的关系。而在这种情况下,只要当路由终点接受到一个进入激活状态的路由器所产生的毫无根据的
ARP
应答时,则
ARP
表就会进行更新。
6.2
地址过滤器
正如前面所提到的,路由器正在以它们的组的
MAC
地址和
IP
地址仿效着一个虚路由器。
MAC
地址理论上是由路由器的端口控制器的一个地址过滤器或
MAC
地址列表来提供的。这对于路由器来说,在维护它们的主
MAC
地址时增加一个或多个虚
MAC
地址到它们的控制器的
MAC
地址过滤器中是非常理想的。
不幸的是,有些端口控制器只支持一个
unicastMAC
地址的地址过滤器。或者说,在令牌环网络中,那些应由
HSRP
所使用的功能性地址已经被其他协议所占用了。这种情况下,这些路由器仍旧能够执行
HSRP
,但当路由器假设或放弃作为活路由器进行控制时,
HSRP
必定改变端口的主
MAC
地址。
这就存在着一些潜在的问题,因为有些传输可能会希望使用路由器的主
MAC
地址。但问题也许会因为路由器发送那些无端的
ARP
包来回答它没有运行
HSRP
的
IP
地址来减轻。尽管如此,其他网络实体也应该在使用
IP
时通过刷新
ARP
表来反映路由器当前正使用的是组的虚
MAC
地址,而不是它的主
MAC
地址。
有些协议也许因为端口主
MAC
地址的改变而不能与备份协议同时运行。举例说,
DECnet IV
和
HSRP
就不会同时运行在同一台设备上。
6.3 ICMP
重定向
当运行
HSRP
时,防止主机发现备份组中路由器的主
MAC
地址是非常重要的。因此应该禁用任何可能把路由器的主
MAC
地址通知给主机的协议。所以,凡
HSRP
所涉及到的路由器,即使它只有一个端口运行了
HSRP
,都不能在运行
HSRP
的端口发送
ICMP
重定向包。
6.4 ARP
代理
一般地说,主机在通过它们缺省路由的配置来学习
HSRP
的虚
IP
地址。这些主机把包发送给虚
IP
地址用以达到它在局域网之外的目的地。在某些情况下,主机可能使用由
ARP
代理来路由到局域网之外。这时,主机使用由
ARP
代理应答提供的
MAC
地址。如果
ARP
代理应答说明了
HSRP
虚
MAC
地址,则
HSRP
功能将被保留。
如果一台
HSRP
路由器被配置为支持
ARP
代理的
HSRP
,那么这台路由器必须在它所产生的任何
ARP
代理应答中说明
HSRP
虚
MAC
地址。
ARP
代理应答一定不要受
HSRP
状态机制的约束。状态机制的约束可能会导致
ARP
代理应答的匮乏,因为这些
ARP
代理应答可能会受到其他一些因素的限制,如水平分割原则。
7.
安全上的考虑
这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击,这可能会导致一个黑洞的产生和拒绝服务。但从局域网外面是很难对该协议进行攻击的,因为大多数路由器不会转发到多播地址(
224.0.0.2
)的数据包。