VRRP基本原理、HSRP基本原理及2者的差别

2021-02-23 10:12

VRRP协议书简介

VRRP是1种容错机制协议书,它为具备组播或广播节目工作能力的局域网(如以太网)设计方案,它确保当局域网内主机的下1跳路由器器出現常见故障时,能够立即的由另外一台路由器器来替代,从而维持通信的持续性和靠谱性,以便使VRRP工作中,要在路由器器上配备虚似路由器器号和虚似IP详细地址,另外造成1个虚似MAC详细地址,这样在这个互联网中就添加了1个虚似路由器器.而互联网上的主机与虚似路由器器通讯,不用掌握这个互联网上物理学路由器器的任何信息内容,1个虚似路由器器由1个主路由器器和若干个备份数据路由器器构成,主路由器器完成真实的转发作用.当主路由器器出現常见故障时,1个备份数据路由器器将变成新的主路由器器,代替它的工作中.

VRRP中只界定了1种报文格式——VRRP报文格式,这是1种组播报文格式,封裝在IP报文格式上,由主路由器器定时执行传出来通知它的存在,应用这些报文格式能够检验虚似路由器器各种各样主要参数,还能够用于主路由器器的大选.

VRRP还界定了3种情况实体模型:原始情况Initialize, 主题活动情况Master, 备份数据情况Backup .在其中仅有主题活动情况能够为到虚似IP详细地址的转发恳求服务.

VRRP协议书仅仅可用于IPv4版本号的路由器器.针对IPv6版本号的路由器器可能有新的标准来要求有关內容.

VRRP工作中基本原理

VRRP将局域网的1组路由器器(RouterA和RouterB )机构成1个虚似的路由器器.这个虚似的路由器器有着自身的IP详细地址10.100.10.1(这个IP详细地址能够和某个路由器器的插口详细地址同样被称为IP详细地址有着者) 自然物理学路由器器RouterA, RouterB也是有自身的IP详细地址(RouterA的IP详细地址为10.100.10.2,

RouterB的IP详细地址为10.100.10.3). 局域网内的主机仅仅了解这个虚似路由器器的IP详细地址10.100.10.1,而其实不了解实际的RouterA的IP详细地址和RouterB的IP详细地址,她们将自身的缺省路由器设定为该虚似路由器器的IP详细地址10.100.10.1. 因而互联网内的主机就根据这个虚似的路由器器来与别的互联网开展通讯.而针对这个虚似路由器器则必须开展以下工作中:

1、依据优先选择级的尺寸选择主路由器器.优先选择级最大的变成主路由器器,情况为Master, 若优先选择级同样,则较为插口的主IP详细地址,主IP详细地址大的就变成主路由器器,由它出示具体的路由器服务.

2、其它路由器器做为备份数据路由器器,随时监测主路由器器的情况.当主路由器器一切正常工作中时,它会每隔1段時间推送1个VRRP组播报文格式,以通告组内的备份数据路由器器,主路由器器处在一切正常工作中情况.假如组内的备份数据路由器器长期沒有接受来临独立路由器器的报文格式,则将自身情况变为Master .当组内有多台备份数据路由器器时,将有将会造成好几个主路由器器.这时候每个主路由器器就会较为VRRP报文格式中的优先选择级和自身当地的优先选择级,假如当地的优先选择级小于VRRP报文格式中的优先选择级,则将自身的情况变为Backup ,不然维持自身的情况不会改变.根据这样1个全过程,就会将优先选择级最大的路由器器选成新的主路由器器,进行VRRP的备份数据作用.

VRRP情况变换

构成虚似路由器器的路由器器会有3种情况,各自是Initialize Master和Backup 下应对这3种情况开展表明:

Initialize

系统软件起动落后入此情况,当收到插口startup的信息,将转入Backup (优先选择级不为255时)或Master情况(优先选择级为255时).在此情况时,路由器器不容易对VRRP报文格式做任何解决.

Master

当路由器器处在Master情况时,它可能做以下工作中.

x 按时推送VRRP组播报文格式;

x 推送完全免费(gratuitous) ARP报文格式,以使互联网内各主机了解虚似IP详细地址所对应的虚似MAC详细地址;

x 回应对虚似IP详细地址的ARP恳求,而且回应的是虚似MAC详细地址,而并不是插口的真正MAC详细地址;

x转发目地MAC详细地址为虚似MAC详细地址的IP报文格式;

x 假如它是这个虚似IP详细地址的有着者,则接受目地IP详细地址为这个虚似IP详细地址的IP报文格式,不然,抛弃这个IP报文格式.必须留意的是,因为有这1点规定,因此除非主路由器器是IP详细地址有着者,不然主机ping虚似IP详细地址不可以ping通;

在Master情况中仅有接受到比自身的优先选择级大的VRRP报文格式时,才会变为Backup ,仅有当接受到插口的Shutdown恶性事件时才会变为Initialize.

Backup

仅有当Backup接受到MASTER_DOWN这个定时执行器到时的恶性事件时才会变为Master 而当接受到比自身的优先选择级小的VRRP报文格式时它只是做抛弃这个报文格式的解决从而就不对定时执行器做重设解决这样定时执行器就会在若干次这样的解决以后到时因而就变为Master 仅有当接受到插口的Shutdown恶性事件时才会变为Initialize

VRRP安全性性

针对安全性水平不一样的互联网自然环境能够在报头上设置不一样的验证方法和验证字,任何沒有根据验证的报文格式将做抛弃解决, VRRP界定了3种验证方法:无验证(no authentication),简易标识符验证(simple clear text passwords)和MD5验证(MD5)

HSRP基本原理

备份数据组内的路由器器处在各有的情况,依据互相间推送 HSRP 报文格式来调剂新的情况。

HSRP 情况:

(1)INIT:原始情况

全部备份数据组内组成员的原始情况为 INIT,当组成员配备特性或端口号 UP 时,进到 INIT 情况。

(2)LEARN:未设置虚似IP详细地址

该组成员未设置虚似 IP 详细地址,并等候从本组主题活动路由器器传出的验证的 Hello 报文格式初中习获得自身的虚似 IP 详细地址。

(3)LISTEN:监控主题活动/备份数据路由器器

该组成员已获知或设定了虚似 IP 详细地址,根据监视 Hello 报文格式监控主题活动/备份数据路由器器,1旦发现主题活动/备份数据路由器器长期未推送 Hello 报文格式,则进到 SPEAK 情况,刚开始竞选。

(4)SPEAK:报名参加竞选主题活动/备份数据路由器器

报名参加竞选主题活动/备份数据路由器器的组成员所处的情况,根据推送 Hello 报文格式使竞选者间互相较为、市场竞争。

(5)STANDBY:备份数据路由器器所处的情况(仅有1个)

组内备份数据路由器器所处的情况,备份数据组成员监控主题活动路由器器,提前准备随时在主题活动路由器器坏掉时代替主题活动路由器器。备份数据路由器器也周期性推送 Hello 报文格式告知别的组成员自身沒有坏掉。

(6)ACTIVE:主题活动路由器器所处的情况(仅有1个)

组内主题活动路由器器即负责虚似路由器器具体路由器工作中的组成员所处的情况。主题活动路由器器周期性推送 Hello 报文格式告知别的组成员自身沒有坏掉。

HSRP情况变换

报文格式种类

报文格式种类 Hello, Coup, Resign

Hello 种类报文格式表明推送者处在运作情况,有工作能力变成主题活动/备份数据路由器器。

COUP 种类报文格式表明推送者期待变成主题活动路由器器。

RESIGN 种类报文格式表明推送者已不是主题活动路由器器。

HSRP和VRRP差别

1、在作用上:

VRRP和HSRP十分类似,可是就安全性而言,VRRP对HSRP的1个关键优点:它容许参加VRRP组的机器设备间创建验证体制.而且,不像HSRP那样规定虚似路由器器不可以是在其中1个路由器器的ip详细地址,可是VRRP容许这类状况产生(假如”有着”虚似路由器器详细地址的路由器器被创建而且正在运作,那末应当一直由这个虚似路由器器管理方法—等额的于HSRP中的主题活动路由器器),可是以便保证万1无效产生的情况下终端设备主机无须再次学习培训MAC详细地址,它特定应用的MAC详细地址00-00⑸e-00-01-VRID,这里的VRID是虚似路由器器的ID(等额的于1个HSRP的组标志符).

2、此外1个不一样是VRRP不应用HSRP中的政变或1个等额的信息,VRRP的情况机比HSRP的要简易,HSRP有6个情况(原始(Initial)情况,学习培训(Learn)情况,监视(Listen)情况,会话(Speak)情况,备份数据(Standby)情况,主题活动(Active)情况)和8个恶性事件, VRRP仅有3个情况(原始情况(Initialize)、主情况(Master)、备份数据情况(Backup))和5个恶性事件.

3、HSRP有3种报文格式,并且有3种情况能够推送报文格式呼唤(Hello)报文格式告辞(Resign)报文格式 突然变化(Coup)报文格式

VRRP有1种报文格式,VRRP广播节目报文格式:由主路由器器定时执行传出来通知它的存在,应用这些报文格式能够检验虚似路由器器各种各样主要参数,还能够用于主路由器器的大选。

4、HSRP将报文格式承载在UDP报文格式上,而VRRP承载在TCP报文格式上(HSRP 应用UDP 1985端口号,向组播详细地址224.0.0.2 推送hello信息。)

5、VRRP的安全性:VRRP协议书包含3种关键的验证方法:无验证,简易的密文登陆密码和应用 MD5 HMAC ip验证的强验证.

强验证方式应用IP验证头(AH)协议书.AH是与用在IPSEC中同样的协议书,AH为验证VRRP排序中的內容和排序头出示了1个方式. MD5 HMAC 的应用说明应用1个共享资源的密匙用于造成hash值.路由器器推送1个VRRP排序造成MD5 hash值,并将它置于要推送的通知中,在接受时,接纳方应用同样的密匙和MD5值,再次测算排序內容和排序头的hash值,假如結果同样,这个信息便是真实来自于1个可靠赖的主机,假如不同样,它务必抛弃,这能够避免进攻者根据浏览LAN而传出能危害挑选全过程的通知信息或别的1些方式终断互联网.

此外,VRRP包含1个维护VRRP排序不容易被此外1个远程控制互联网加上內容的体制(设定TTL值=255,并在接纳时查验),这限定了能够开展当地进攻的绝大多数缺点.而另外一层面,HSRP在它的信息中应用的TTL值是1.

6、VRRP的奔溃间距時间:3*通知间距+时滞時间(skew-time)



扫描二维码分享到微信

在线咨询
联系电话

020-66889888