VRRP理论
VRRP:虚拟路由器冗余协议(Virtual Router Redundancy Protocol)
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在 IP 包中发送。
使用 VRRP,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。VRRP 也可用于负载均衡。VRRP 是 IPv4 和 IPv6 的一部分。
协议结构
| 4 |
8 |
16 |
24 |
32bit |
| Version |
Type |
Virtual Rtr ID |
Priority |
Count IP Addrs |
| Auth Type |
Advet Int |
Checksum |
||
| IP Address 1 |
||||
| …… |
||||
| IP Address n |
||||
| Authentication Data 1 |
||||
| Authentication Data 2 |
||||
- Version �D version 字段规定了 RRP 协议的版本。当前使用的是第2版。
- Type �D type 字段规定了该 VRRP 数据包的类型。在该版本的协议中数据包类型只有一种:1 ADVERTISEMENT。
- Virtual Rtr ID �D Virtual Router Identifier (VRID)字段根据数据包报告状况识别虚拟路由器。
- Priority �D 规定虚拟路由器发送 VRRP 路由器的优先级。虚拟路由器在分配 VRRP 路由器时必须使用优先级值:1到254之间(十进制)。
- Count IP Addresses �D IP 地址数,包含在该 VRRP advertisement 中。
- Auth Type �D 识别使用的认证方法。
- Advertisement Interval �D 显示 advertisement 间的时间间隔。
- Checksum �D 16位,用于检测 VRRP 信息中的数据破坏情况。
- IP Address(es) �D 指与虚拟路由器相连接的一个或更多的 IP 地址。所包含的地址数定义在“Count IP Addrs”字段。这些字段主要用于发现并修复误配置路由器。
- Authentication Data �D 当前 authentication 字符串只用于简单文本认证,类似于开放最短路径优先路由选择协议(OSPF)中的简单文本认证。纯文本中达到8个字符。
HSRP和VRRP两大备份路由器协议比较
1. 功能,VRRPHSRP非常相似,但就安全而言,VRRPHSRP个主优势:参VRRP组设备间建立认证机制.并且,不像HSRP那样求虚拟路由器不能其个路由器ip地址,但VRRP这种发生(如果”拥有”虚拟路由器地址路由器被建立并且运行,那么应该总由这个虚拟路由器管理—等价于HSRP活动路由器),但确保万失效发生时候终端主机不必重新学习MAC地址,指定使MAC地址00-00-5e-00-01-VRID,这里VRID虚拟路由器ID(等价于个HSRP组标识符).
2.另个不同VRRP不使HSRP政变或个等价消息,VRRP状态机比HSRP简单,HSRP有6个状态(始(Initial)状态,学习(Learn)状态,监听(Listen)状态,话(Speak)状态,备份(Standby)状态,活动(Active)状态) 8个事, VRRP只有3个状态(始状态(Initialize)、主状态(Master)、备份状态(Backup)) 5个事.
3. HSRP有三种报文,而且有三种状态以发送报文:呼叫(Hello)报文、告辞(Resign)报文、突变(Coup)报文.
VRRP有种报文
VRRP广播报文:由主路由器定时发出通告存,使这些报文以检测虚拟路由器各种参数,还以于主路由器选举.
4. HSRP报文承载UDP报文,而VRRP承载TCP报文 (HSRP 使UDP 1985端口,向组播地址224.0.0.2 发送hello消息.)
5.VRRP安全:VRRP协议包括三种主认证方式:无认证,简单明文密码使MD5 HMAC ip认证强认证.
强认证使IP认证头(AH)协议.AHIPSEC相同协议,AH认证VRRP分组容分组头提供个. MD5 HMAC使表明使个共享密钥于产生hash值.路由器发送个VRRP分组产生MD5 hash值,并置于发送通告,接收时,接受方使相同密钥MD5值,重新计算分组容分组头hash值,如果结果相同,这个消息就真自于个信赖主机,如果不相同,必须丢弃,这以防止攻击通过访问LAN而发出能影响选择过程通告消息或其断网络.
另,VRRP包括个保护VRRP分组不被另个远程网络添加容机制(设置TTL值=255,并接受时检查),这限制以进行本地攻击部分缺陷.而另方面,HSRP消息使TTL值1.
6.VRRP崩溃间隔时间:3*通告间隔+时滞时间(skew-time) .