Cisco热备份路由协议（HSRP）3

说明

   +  如果配置了虚 IP 地址，应设为状态 3 （监听），如果没有设置虚 IP 地址，应设为状态 2 （学习）。这两种情况都使用操作 A 和 B

*  如果路由器被配置为优先占取，则采用操作 B ， G ， F ，和 I ，而且设为状态 6 （激活）。如果路由器没有被设为优先占取，则采用操作 A ，并且没有状态变化。

6 ，对 MAC 地址的考虑

6. 1  概述

每个 HSRP 组都有一个众所周知的联合的虚拟 MAC 地址。在令牌环网络上，这些地址实际上属于功能地址。下面这三个地址： 0xC0 0x00 0x00 0x01 0x00 0x00, 0xC0 0x00 0x00 0x02 0x00 0x00, 以及 0xC0 0x00 0x00 0x04 0x00 0x00 分别与组 0 ， 1 ， 2 相联系。

在其他媒质上，虚 MAC 地址为 0x00 0x00 0x 0C 0x07 0xAC XX ，其中 XX 代表 HSRP 的组号。凡执行 HSRP 都要尽可能地使用这种公认的 HSRP MAC 地址作为该组的虚 MAC 地址。

活路由器必须接收和发送用于定义组的虚 MAC 地址的数据包。它在离开激活状态后则必须停止发送或接受这种包。

当且仅当路由器处于激活状态下时，路由器必须使用组虚拟 MAC 地址作为它的 Hello 消息包的源 MAC 地址。这对于处于学习状态的网桥来说是非常必要的，这样可以使网桥能够断定这个虚 MAC 地址是处于哪个网段的。

对于每个组来说，都要有一个虚拟 IP 地址和一个虚拟 MAC 地址。这是个非常理想的情况，因为这样使得 ARP 表处于一种最终状态，而不需要象 HSRP 活路由器那样随着活路由器人选的改变而随时改变表中的数据。

另外，对于 HSRP 在网桥环境下工作时，网桥必须能够在虚 MAC 地址改变时很快地进行自我刷新。虽然处于学习状态的网桥理论上能够作到这一点，但有些还是在这方面存在着问题的。因此推荐只有真正处于学习状态的网桥才能使用 HSRP 。

虚 MAC 地址的改变可能会对那些与 MAC 地址捆绑的附加状态的环境产生负面的影响。例如令牌环网络。如果源路由网桥正在使用的话， RIF 将以虚 MAC 地址存在主机的 RIF 缓存里。 RIF 指出了用于到达 MAC 地址的路径和最后的环。在路由器转为活路由器时，它们将不会影响在带桥的环上的主机的 RIF 缓存。这也许会导致数据包被转发到上一级活路由器的环上。

在这种环境下，一台路由器也许会使用它标准的 MAC 地址作为虚 MAC 地址。这种做法是非常不被提倡的。在这种模式下，虚 IP 地址将会超时路由到不同的 MAC 地址，而最终会在路由的终点产生问题，因为 ARP 表是假设了一个在 MAC 地址和 IP 地址见相对静态的关系。而在这种情况下，只要当路由终点接受到一个进入激活状态的路由器所产生的毫无根据的 ARP 应答时，则 ARP 表就会进行更新。

6.2   地址过滤器

正如前面所提到的，路由器正在以它们的组的 MAC 地址和 IP 地址仿效着一个虚路由器。 MAC 地址理论上是由路由器的端口控制器的一个地址过滤器或 MAC 地址列表来提供的。这对于路由器来说，在维护它们的主 MAC 地址时增加一个或多个虚 MAC 地址到它们的控制器的 MAC 地址过滤器中是非常理想的。

  不幸的是，有些端口控制器只支持一个 unicastMAC 地址的地址过滤器。或者说，在令牌环网络中，那些应由 HSRP 所使用的功能性地址已经被其他协议所占用了。这种情况下，这些路由器仍旧能够执行 HSRP ，但当路由器假设或放弃作为活路由器进行控制时， HSRP 必定改变端口的主 MAC 地址。

  这就存在着一些潜在的问题，因为有些传输可能会希望使用路由器的主 MAC 地址。但问题也许会因为路由器发送那些无端的 ARP 包来回答它没有运行 HSRP 的 IP 地址来减轻。尽管如此，其他网络实体也应该在使用 IP 时通过刷新 ARP 表来反映路由器当前正使用的是组的虚 MAC 地址，而不是它的主 MAC 地址。

有些协议也许因为端口主 MAC 地址的改变而不能与备份协议同时运行。举例说， DECnet IV 和 HSRP 就不会同时运行在同一台设备上。

6.3 ICMP 重定向

当运行 HSRP 时，防止主机发现备份组中路由器的主 MAC 地址是非常重要的。因此应该禁用任何可能把路由器的主 MAC 地址通知给主机的协议。所以，凡 HSRP 所涉及到的路由器，即使它只有一个端口运行了 HSRP ，都不能在运行 HSRP 的端口发送 ICMP 重定向包。

6.4 ARP 代理

一般地说，主机在通过它们缺省路由的配置来学习 HSRP 的虚 IP 地址。这些主机把包发送给虚 IP 地址用以达到它在局域网之外的目的地。在某些情况下，主机可能使用由 ARP 代理来路由到局域网之外。这时，主机使用由 ARP 代理应答提供的 MAC 地址。如果 ARP 代理应答说明了 HSRP 虚 MAC 地址，则 HSRP 功能将被保留。

如果一台 HSRP 路由器被配置为支持 ARP 代理的 HSRP ，那么这台路由器必须在它所产生的任何 ARP 代理应答中说明 HSRP 虚 MAC 地址。 ARP 代理应答一定不要受 HSRP 状态机制的约束。状态机制的约束可能会导致 ARP 代理应答的匮乏，因为这些 ARP 代理应答可能会受到其他一些因素的限制，如水平分割原则。

7. 安全上的考虑

    这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击，这可能会导致一个黑洞的产生和拒绝服务。但从局域网外面是很难对该协议进行攻击的，因为大多数路由器不会转发到多播地址（ 224.0.0.2 ）的数据包。