數(shù)十年專注企業(yè)數(shù)字化轉(zhuǎn)型、智能化升級、企業(yè)上云解決方案服務商
工單提交 實名認證 騰佑科技咨詢熱線咨詢熱線: 400-996-8756
百度云服務中心騰佑科技公司
云服務器活動 服務器租用 服務器托管 機柜租賃 帶寬租賃
  • 最新資訊
  • 熱門資訊
  • 最熱資訊
智能建站

VRRP原理、HSRP原理與兩者的區(qū)別

發(fā)布時間:2022-07-18 作者:admin

簡述:VRRP協(xié)議簡介VRRP是一種容錯協(xié)議,它為具有組播或廣播能力的局域網(wǎng)(如以太網(wǎng))設計,它保證當局域網(wǎng)內(nèi)主機的下一跳路由器出現(xiàn)故障時,可以及時的由另一臺路由器來代替,從而保持通訊的連續(xù)性和可靠性,為了使VRRP工作,要在路由器上配置虛擬路由

VRRP協(xié)議簡介

VRRP這是一個容錯協(xié)議。它是為具有組播或廣播能力的局域網(wǎng)(如以太網(wǎng))設計的。它確保當局域網(wǎng)主機的下一個跳躍路由器出現(xiàn)故障時,可以及時更換另一個路由器,以保持通信的連續(xù)性和可靠性VRRP在路由器上配置虛擬路由器號和虛擬路由器IP地址,同時產(chǎn)生一個虛擬MAC地址,這樣,虛擬路由器就被添加到這個網(wǎng)絡中.網(wǎng)絡上的主機與虛擬路由器通信,無需了解網(wǎng)絡上物理路由器的任何信息。虛擬路由器由主路由器和多個備份路由器組成,主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能.當主路由器出現(xiàn)故障時,備份路由器將成為替換其工作的新主路由器.

VRRP只定義了一種報紙——VRRP這是一種組播報文,包裝在內(nèi)IP在報紙上,主路由器定期發(fā)送通知其存在,可以檢測虛擬路由器的各種參數(shù),也可以用于主路由器的選舉.

VRRP還定義了三種狀態(tài)模型:初始狀態(tài)Initialize,活動狀態(tài)Master,備份狀態(tài)Backup.只有活動狀態(tài)才能虛擬IP地址轉(zhuǎn)發(fā)請求服務.

VRRP協(xié)議僅僅適用于IPv4版路由器.對于IPv6版本的路由器將有新的規(guī)范來規(guī)定相關內(nèi)容.

VRRP工作原理

VRRP一組局域網(wǎng)路由器(RouterA和RouterB)組織虛擬路由器.這個虛擬路由器有自己的IP地址10.100.10.1(這個IP地址可以與路由器的接口地址相同IP當然,物理路由器RouterA,RouterB也有自己的IP地址(RouterA的IP地址為10.100.10.2,

RouterB的IP地址為10.100.10.3).局域網(wǎng)中的主機只知道虛擬路由器IP地址10.100.10.1.不知道具體情況。RouterA的IP地址以及RouterB的IP地址,他們將自己的缺失路由設置為虛擬路由器IP地址10.100.10.1.因此,網(wǎng)絡中的主機通過虛擬路由器與其他網(wǎng)絡通信.虛擬路由器需要以下工作:

1.根據(jù)優(yōu)先級的大小選擇主路由器.最大的優(yōu)先級是主路由器,狀態(tài)是Master,如果優(yōu)先級相同,則比較接口的主體IP地址,主IP大地址成為主路由器,提供實際路由服務.

2.其他路由器作為備份路由器,隨時監(jiān)控主路由器的狀態(tài).當主路由器正常工作時,它會每隔一段時間發(fā)送一次VRRP組播報,通知組備份路由器,主路由器正常工作.如果組中的備份路由器長時間未收到來自主路由器的報告,則將其狀態(tài)轉(zhuǎn)換為Master.當組內(nèi)有多個備份路由器時,將有可能產(chǎn)生多個主路由器.這時,每個主路由器都會比較VRRP如果報紙中的優(yōu)先級和本地優(yōu)先級小于本地優(yōu)先級,VRRP報紙中的優(yōu)先級將你的狀態(tài)轉(zhuǎn)化為Backup,否則,保持你的狀態(tài)不變.通過這樣的過程,優(yōu)先級最大的路由器將被選為新的主路由器VRRP的備份功能.

VRRP狀態(tài)轉(zhuǎn)換

構成虛擬路由器的路由器有三種狀態(tài),即InitializeMaster和Backup以下三種狀態(tài)說明:

Initialize

當接收到接口時,系統(tǒng)啟動后進入此狀態(tài)startup新聞,將轉(zhuǎn)入Backup(優(yōu)先級不是255)Master狀態(tài)(優(yōu)先級為255時).在這種狀態(tài)下,路由器不會正確VRRP報文做任何處理.

Master

路由器在Master在狀態(tài)下,它將做以下工作.

x定期發(fā)送VRRP組播報文;

x發(fā)送免費(gratuitous)ARP為了讓網(wǎng)絡中的主機知道虛擬IP地址對應的虛擬MAC地址;

x響應對虛擬IP地址的ARP請求是虛擬的,響應是虛擬的MAC地址,而不是接口的真實性MAC地址;

x轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文;

x假如是這個虛擬IP地址所有者接收目的IP地址是虛擬的IP地址的IP報紙,否則,丟棄這個IP報文.需要注意的是,由于這一要求,除非主路由器是IP地址所有者,否則主機ping虛擬IP地址不能ping通;

在Master在狀態(tài)下,只有收到比自己更優(yōu)先的VRRP只有報文時,才會轉(zhuǎn)為Backup,只有當接收到接口時Shutdown只有事件發(fā)生Initialize.

Backup

只有當Backup接收到MASTER_DOWN當這個定時器發(fā)生事件時,它將轉(zhuǎn)換為Master當收到比自己優(yōu)先級小的時候VRRP在報紙上,它只是處理丟棄的報紙,所以它不會重置定時器,這樣定時器就會在幾次這樣的處理后轉(zhuǎn)換為Master只有當接收到接口時Shutdown只有事件發(fā)生Initialize

VRRP安全性

不同安全程度的網(wǎng)絡環(huán)境可以在報頭上設置不同的認證方法和認證字,任何未通過認證的報文都可以丟棄,VRRP定義了三種認證方法:無認證(noauthentication),簡單字符認證(simplecleartextpasswords)和MD5認證(MD5)

HSRP原理

備份組中的路由器處于各自的狀態(tài),相互發(fā)送HSRP報文調(diào)整新狀態(tài)。

HSRP狀態(tài):

(1)INIT:初始狀態(tài)

備份組所有成員的初始狀態(tài)是INIT,組員配置屬性或端口UP時,進入INIT狀態(tài)。

(2)LEARN:未設定虛擬IP地址

組員沒有設置虛擬IP地址,并等待從本組活動路由器發(fā)出的認證的Hello學會在報紙中獲得自己的虛擬IP地址。

(3)LISTEN:路由器動/備份路由器

組員已經(jīng)知道或設置了虛擬IP地址,通過監(jiān)控Hello一旦發(fā)現(xiàn)活動/備份路由器長時間未發(fā)送報紙監(jiān)控活動/備份路由器Hello進入報文SPEAK狀態(tài),開始競選。

(4)SPEAK:參加競選活動/備份路由器

通過發(fā)送Hello報紙使競選者相互比較和競爭。

(5)STANDBY:備份路由器的狀態(tài)(只有一個)

備份組中路由器的狀態(tài),備份組成員監(jiān)控活動路由器,并準備隨時更換活動路由器。備份路由器也定期發(fā)送Hello報告告訴其他成員他們沒有壞。

(6)ACTIVE:活動路由器的狀態(tài)(只有一個)

組內(nèi)活動路由器是負責虛擬路由器實際路由工作的組員的狀態(tài)?;顒勇酚善鞫ㄆ诎l(fā)送Hello報告告訴其他成員他們沒有壞。

HSRP狀態(tài)轉(zhuǎn)換

報文類型

報文類型Hello,Coup,Resign

Hello類型報告表明發(fā)送者處于運行狀態(tài),有能力成為活動/備份路由器。

COUP發(fā)送者希望成為活動路由器。

RESIGN發(fā)送者不再是活動路由器。

HSRP和VRRP區(qū)別

1.功能:

VRRP和HSRP很相似,但就安全性而言,VRRP對HSRP主要優(yōu)勢之一:允許參與VRRP建立認證機制.并且,不像HSRP虛擬路由器不能是路由器之一ip地址,但是VRRP允許這種情況發(fā)生(如果”擁有”建立并運行虛擬路由器地址的路由器,所以應該總是由這個虛擬路由器管理—等價于HSRP中間的活動路由器),但為了確保終端主機在故障發(fā)生時不需要重新學習MAC指定使用地址MAC地址00-00-5e-00-01-VRID,這里的VRID虛擬路由器ID(等價于一個HSRP組標識符).

2.另一個區(qū)別是VRRP不使用HSRP政變或等價消息,VRRP的狀態(tài)機比HSRP的要簡單,HSRP六種狀態(tài)(初始狀態(tài)(Initial)狀態(tài),學習(Learn)狀態(tài),監(jiān)聽(Listen)狀態(tài),對話(Speak)狀態(tài),備份(Standby)狀態(tài),活動(Active)狀態(tài))和8個事件,VRRP只有3個狀態(tài)(初始狀態(tài))(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個事件.

3、HSRP有三種報紙,有三種狀態(tài)可以發(fā)送報紙呼叫(Hello)報文告辭(Resign)報文突變(Coup)報文

VRRP有一種報文,VRRP廣播報紙:主路由器定期發(fā)送通知其存在。使用這些報紙可以檢測虛擬路由器的各種參數(shù)和主路由器的選舉。

4、HSRP承載報文UDP報文上,而VRRP承載在TCP報文上(HSRP使用UDP1985端口,組播地址224.0.0.2發(fā)送hello消息。)

5、VRRP的安全:VRRP協(xié)議包括三種主要的認證方法:無認證、簡單的明文密碼和使用MD5HMACip強認證.

使用強認證方法IP認證頭(AH)協(xié)議.AH是與用在IPSEC同一協(xié)議,AH為認證VRRP分組中的內(nèi)容和分組提供了一種方法.MD5HMAC使用表明使用共享密鑰生成hash值.發(fā)送一個路由器VRRP分組產(chǎn)生MD5hash值,并將它置于要發(fā)送的通告中,在接收時,接受者使用相同的密鑰和MD5值,重新計算分組內(nèi)容和分組頭hash如果結果相同,這個消息真的來自一個可靠的主機,如果不同,它必須被丟棄,這可以防止攻擊者訪問LAN發(fā)出可能影響選擇過程的通知或其他方法來中斷網(wǎng)絡.

另外,VRRP包括保護VRRP分組不會被另一個遠程網(wǎng)絡添加(設置TTL值=255,并在接受時進行檢查),限制了本地攻擊的大部分缺陷.另一方面,HSRP在它的消息中使用TTL值是1.

6、VRRP崩潰間隔時間:3*通告間隔 時滯時間(skew-time)

點擊展開全文

騰佑科技(m.mubashirfilms.com)成立于2009年,總部位于河南鄭州,是一家集互聯(lián)網(wǎng)基礎設施及軟硬件于一體化的高新技術企業(yè),具有IDC/ISP/ICP/云牌照、雙軟等資質(zhì),并擁有多個國家版權局認證。公司自成立以來,一直致力于發(fā)展互聯(lián)網(wǎng)IDC數(shù)據(jù)中心DataCenter、云計算Cloud、大數(shù)據(jù)BigDate、人工智能AI、內(nèi)容加速CDN、互聯(lián)網(wǎng)安全、軟件定制開發(fā)等產(chǎn)品服務及行業(yè)客戶技術一體化智能解決方案;2018年成為百度智能云AI河南服務中心。

售前咨詢熱線:400-996-8756

備案提交:0371-89913068

售后客服:0371-89913000

熱門活動

百度云服務中心
  • 熱門資訊
  • 隨便看看