HSRP和VRRP两大备份路由器协议比较

 

1. 在功能上 ,VRRP 和 HSRP 非常相似 , 但是就安全而言 ,VRRP 对 HSRP 的一个主要优势 : 它允许参与 VRRP 组的设备间建立认证机制 . 并且 , 不像 HSRP 那样要求虚拟路由器不能是其中一个路由器的 ip 地址 , 但是 VRRP 允许这种情况发生 ( 如果 ” 拥有 ” 虚拟路由器地址的路由器被建立并且正在运行 , 那么应该总是由这个虚拟路由器管理 — 等价于 HSRP 中的活动路由器 ), 但是为了确保万一失效发生的时候终端主机不必重新学习 MAC 地址 , 它指定使 用的 MAC 地址 00-00-5e-00-01-VRID, 这里的 VRID 是虚拟路由器的 ID( 等价于一个 HSRP 的组标识符 ).

    2. 另外一个不同是 VRRP 不使用 HSRP 中的政变或者一个等价消息 ,VRRP 的状态机比 HSRP 的要简单 ,HSRP 有 6 个状态 ( 初始 (Initial) 状态，学习 (Learn) 状态，监听 (Listen) 状态，对话 (Speak) 状态，备份 (Standby) 状态，活动 (Active) 状态 ) 和 8 个事件 , VRRP 只有 3 个状态 ( 初始状态 (Initialize) 、主状态 (Master) 、备份状态 (Backup)) 和 5 个事件 .

    3. HSRP 有三种报文，而且有三种状态可以发送报文      呼叫 (Hello) 报文      告辞 (Resign) 报文      突变 (Coup) 报文       

    VRRP 有一种报文  

    VRRP 广播报文：由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

    4. HSRP 将报文承载在 UDP 报文上，而 VRRP 承载在 TCP 报文上 (HSRP 使用 UDP 1985 端口，向组播地址 224.0.0.2 发送 hello 消息。 )

    5.VRRP 的安全 :VRRP 协议包括三种主要的认证方式 : 无认证 , 简单的明文密码和使用 MD5 HMAC ip 认证的强认证 .

    强认证方法使用 IP 认证头 (AH) 协议 .AH 是与用在 IPSEC 中相同的协议 ,AH 为认证 VRRP 分组中的内容和分组头提供了一个方法 . MD5 HMAC 的使用表明使用一个共享的密钥用于产生 hash 值 . 路由器发送一个 VRRP 分组产生 MD5 hash 值 , 并将它置于要发送的通告中 , 在接收时 , 接受方使用相同的密钥和 MD5 值 , 重新计算分组内容和分组头的 hash 值 , 如果结果相同 , 这个消息就是真正来自于一个可信赖的主机 , 如果不相同 , 它必须丢弃 , 这可以防止攻击者通过访问 LAN 而发出能影响选择过程的通告消息或者其他一些方法中断网络 .

    另外 ,VRRP 包括一个保护 VRRP 分组不会被另外一个远程网络添加内容的机制 ( 设置 TTL 值 =255, 并在接受时检查 ), 这限制了可以进行本地攻击的大部分缺陷 . 而另一方面 ,HSRP 在它的消息中使用的 TTL 值是 1.

    6.VRRP 的崩溃间隔时间 :3* 通告间隔 + 时滞时间 (skew-time)