编辑本段介绍
HSRP: 热备份 路由器协议(HSRP:Hot Standby Router Protocol),是cisco平台一种特有的技术,是cisco的私有协议。
编辑本段关于HSRP
该协议中含有多台 路由器,对应一个HSRP组。该组中只有一个 路由器承担转发用户流量的职责,这就是活动路由器。当活动 路由器失效后,备份路由器将承担该职责,成为新的活动路由器。这就是热备份的原理。
编辑本段工作原理
负责转发 数据包的 路由器称之为活动路由器(Active Router)。一旦主动 路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动 路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的 缺省网关地址。如果主动 路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用 端口号1985。 路由器转发协议 数据包的源地址使用的是实际 IP 地址,而并非 虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。
编辑本段HSRP技术在网络中的应用
随着Internet的日益普及,人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求,人们自然想到了基于设备的备份结构,就像在服务器中为提高数据的安全性而采用 双硬盘结构一样。 路由器是整个网络的核心和心脏,如果 路由器发生致命性的故障,将导致本地网络的瘫痪,如果是骨干路由器,影响的范围将更大,所造成的损失也是难以估计的。因此,对路由器采用 热备份是提高网络可靠性的必然选择。在一个 路由器完全不能工作的情况下,它的全部功能便被系统中的另一个备份路由器完全接管,直至出现问题的路由器恢复正常,这就是热备份 路由协议(HotStandbyRouterProtocol),HSRP-RFC2281技术要解决的问题。
编辑本段HSRP协议概述
实现HSRP的条件是系统中有多台 路由器,它们组成一个“热备份组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个 路由器是活动的,并由它来转发 数据包,如果活动路由器发生了故障,将选择一个备份路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了 路由器切换的问题。
为了减少网络的数据流量,在设置完活动 路由器和备份路由器之后,只有活动路由器和备份路由器定时发送HSRP 报文。如果活动 路由器失效,备份路由器将接管成为活动路由器。如果备份 路由器失效或者变成了活跃路由器,将由另外的路由器被选为备份路由器。
在实际的一个特定的 局域网中,可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟 路由器工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内 路由器的接口地址、 主机在同一个子网内,但是不能一样。当在一个 局域网上有多个热备份组存在时,把 主机分布到不同的热备份组,可以使负载得到分担。
编辑本段HSRP的工作原理
HSRP协议利用一个 优先级方案来决定哪个配置了HSRP协议的 路由器成为默认的主动 路由器。如果一个 路由器的 优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省 优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。
通过在设置了HSRP协议的 路由器之间广播HSRP 优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动 路由器不能发送hello消息时, 优先级最高的备用路由器变为主动路由器。 路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的 路由器交换以下三种多点广播消息:
Hello———hello消息通知其他 路由器发送路由器的HSRP 优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用 路由器变为一个主动路由器时发送一个coup消息;
Resign———当主动 路由器要宕机或者当有 优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的 路由器都将处于以下五种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。
Listen——— 路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动 路由器和等待路由器发来的HELLO报文。
Speak———在该状态下, 路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动 路由器失效时路由器准备接管包传输功能。
Active——— 路由器执行包传输功能。
编辑本段本方案的特点
1.高度的可靠性,两台 路由器之间采用HSRP(热备份 冗余协议)协议,来保证两台路由器中的任意一台down掉,或路由器的 广域网口down,都会迅速切换到另外一台。
2.有效的实现了 负载均衡,在STAR-S1924F+上划分出各自的VLAN,储蓄 子网VLAN在左侧 路由器上的HSRP的 优先级较高,默认使用网通的FR线路;邮政系统(办公、报刊、 EMS、VOIP等等)子网VLAN在右侧路由器上的HSRP的优先级较高,默认使用联通的FR线路。充分利用了 带宽资源,而且实现了 负载均衡。
3.充分利用了多以太口 路由器在划分多业务网段上的功能,也只有多以太口路由器在HSRP应用中才能实现两个路由器间的负载分担,这是具有四个以太口路由器的极大的优点。
4.在右侧 路由器上启用QoS策略,VoIP业务需要较低的延时,所以将VoIP业务设置成较高的 优先级。
5.通过在 交换机上设置VLAN,有效的控制了两个子网间的安全。
6.不存在单点故障问题。
编辑本段HSRP实例配置
HSRP实例图
在配置之前,连接的端口必须是trunk模式。
如右图
CK2:
(config)#int e0
(config-if)#ip add 10.16.6.6 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 preempt
(config-if)#standby 1 track s0
(config-if)#standby 1 priority 120
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 preempt
(config-if)#standby 2 track s0 30
(config-if)#standby 2 priority 100
CK1:
(config)#int e0
(config-if)#ip add 10.16.6.5 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 ip preempt
(config-if)#standby 1 track s0
(config-if)#standby 1 priority 100
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 track s0
(config-if)#standby 2 priority 120
(config-if)#standby 2 preempt
编辑本段HSRP与VRRP和差别
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟 路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组 标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的 状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 呼叫(Hello)报文 告辞(Resign)报文 突变(Coup)报文
VRRP有一种报文
VRRP广播 报文:由主 路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将 报文承载在UDP报文上,而VRRP承载在IP报文上(HSRP 使用UDP 1985端口,向 组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的 明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的 密钥用于产生hash值. 路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的 主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)