HSRP協議
1. HSRP和MSDP協議各有什麼優缺點啊
MSDP :組播源發現協議描述了一種連接多 PIM-SM(PIM-SM : PIM Sparse Mode) 域的機制。每種 PIM-SM 域都使用自己獨立的 RP ,它並不依賴於其它域內的 RP 。該優點在於:
不存在第三方( Third-party )資源依賴域內 RP 。
PIM-SM 域只依靠本身的 RP 。
接收端域:只帶接受端的域可以獲取數據而不用全局通告組成員。 MSDP 可以和其它非 PIM-SM 協議一起使用。
PIM-SM 域內的 MSDP 發話路由器與其它域內的 MSDP 對等設備之間存在一種 MSDP 對等關系,這種關系通過 TCP 連接形成,在其中控制信息進行交換。每個域都有一個或多個連接到這個虛擬拓撲結構。
這種拓樸結構使得域能從其它域發現組播源。如果組播源想知道含有接收端的域,那麼 PIM-SM 中的標准源樹建立機制就會被用於在域內分配樹上傳送組播數據。
HSRP:熱備份路由器協議(HSRP:Hot Standby Router Protocol)
熱備份路由器協議(HSRP)的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、並允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的 IP 地址時,HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器,對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。
負責轉發數據包的路由器稱之為主動路由器(Active Router)。一旦主動路由器出現故障,HSRP 將激活備份路由器(Standby Routers)取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制,並指定一個虛擬的 IP 地址作為網路系統的預設網關地址。如果主動路由器出現故障,備份路由器(Standby Routers)承接主動路由器的所有任務,並且不會導致主機連通中斷現象。
2. HSRP協議的HSRP 的配置方法
[no] standby [group-number] ip [virtual ip address] 說明: 使路由器在指定區域網段加入或退
出一個備份組。需要指定備份組號和虛擬 IP 地址。備份組號范圍從 0 到 255,如 group-number 不指
定,備份組號預設為 0,virtual ip address 如果不指定,路由器不會參與備份,直到從備份組中的活
動路由器獲得虛擬 IP 地址。注意虛擬 IP 地址應該是介面所在網段的地址。一旦退出 HSRP 備份組,則
路由器在該備份組上設置的所有 HSRP 特性不再有效(如優先順序,授權字等)。 standby [group-
number] priority [priority-value] 說明: HSRP 中根據優先順序來確定參與備份組的每台路由器的地位
,備份組中優先順序最大並且已獲得虛擬 IP 地址的路由器將成為活動路由器,優先順序其次的路由器將成為
備份路由器。優先順序預設值是 100,可設置范圍從 0 到 255。 standby [group-number] preempt 說
明: 一旦備份組中的某台路由器成為活動路由器,只要它沒有出現故障,其它路由器即使隨後被配置更
高的優先順序,也不會成為活動路由器,除非被設置搶占方式。路由器如果設置搶占方式,它一旦發現自己
的優先順序比當前的活動路由器的優先順序高,就會成為活動路由器。相應地,原活動路由器會退出活動態,
成為備份路由器或其它。預設方式是不搶占。 standby [group-number] authentication string 說
明: HSRP 授權字確認同備份組間其它路由器的有效性。授權字 string 的長度不超過 8 個位元組。注意
:同一備份組要設置相同的授權字。 standby [group-number] timers [hello_time] [hold_time]
說明: HSRP 備份組路由器之間通過定時發送 Hello 報文確認相互的狀態,超過一定時間(hold time)
沒有收到某台路由器的 Hello 報文,則認為它已關機或出現故障。用戶可以調整發送 Hello 報文的間隔
時間(hello time)和超時時間(hold time)。預設值分別是 3 秒和 10 秒。時間單位是秒。注意:同
一備份組要設置相同的 hello time 和 hold time。 standby [group-number] track
interface_name [priority-reced] 說明: HSRP 監視介面功能,更好地擴充了備份功能,即不僅在路
由器出現故障時提供備份功能,而且在某網路介面不可用時,也可以使用備份功能。命令作用是監視介面
interface_name,如果介面變為不可用,則將優先順序減少 priority-reced (priority-reced 預設
值為 10) 。
3. HSRP協議的HSRP 多備份組(MHSRP)
在一來網段內,多個備份組可以共存源。每個備份組模擬成一虛擬路由器,每個這樣的虛擬路由器配置一虛擬
MAC 地址和一虛擬 IP 地址。該虛擬IP地址應屬於本網段,而且不與網段內的任何路由器和主機的IP地址
相同,也不與網段內的其他虛擬路由器的虛擬IP地址相同。 一台路由器也可以參加多個備份組,為多個
組作備份。 路由器的 HSRP 配置是針對具體介面的,因此需要在介面模式下配置。在一台路由器上,備
份組由(介面,組號)唯一確定。每個備份組都有屬於自己的數據和狀態。 如果一台路由器有兩個以太
網口,可以分別在兩個介面上配置兩個 HSRP 備份組,為不同網段使用。
4. HSRP與VRRP有什麼區別
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果」擁有」虛擬路由器地址的路由器被建立並且正在運行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始(Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動(Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3. HSRP有三種報文,而且有三種狀態可以發送報文 (Hello)報文 (Resign)報文 (Coup)報文
VRRP有一種報文
VRRP廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用於主路由器的選舉。
4. HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上(HSRP 使用UDP 1985埠,向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網路.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網路添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)
5. HSRP協議的HSRP 報文
Version : Byte HSRP 報文的版本號。本文檔的 HSRP 報文版本為 0 。 Oper Code :1 Byte
描述了 HSRP 報文的類型,共有3 種報文類型: (1)0 —— Hello Hello 類型報文說明發送者處在運
行狀態,有能力成為活動/備份路由器。 (2)1 —— COUP COUP 類型報文說明發送者希望成為活動路由
器。 (3)2 —— RESIGN COUP 類型報文說明發送者不再是活動路由器。 State :1 Byte 描述發送
者發送報文時所處的狀態。 Hello Time :1 Byte 該域只在 Hello 報文中有意義。它包含發送者發
送 Hello 報文的時間間隔,以秒計; 如果路由器上未配置 Hello Time 值,它可以從組中活動路由器發
送的 Hello 報文中學習到,但須本路由器認證該 Hello 報文; 如果路由器上既未配置 Hello Time,也
未學習到,則賦予預設值 3。
Hold Time :1 Byte 該域只在 Hello 報文中有意義。它包含發送者發送 Hello 報文的持有時間,以
秒計; Hold Time 必須大於 Hello Time ,而且最好大於三倍 Hello Time ;
如果路由器上未配置 Hold Time ,它可以從組中活動路由器發送的 Hello 報文中學習到,但須本路由器
認證該 Hello 報文; 如果路由器上既未配置 Hello Time ,也未學習到,則賦予預設值10 。
Priority :1 Byte 該域用來選舉活動/備份路由器。當選舉過程中出現競爭(多個路由器都想成為活動/
備份路由器)時,優先順序最高的競爭者勝,對於優先順序相等的競爭者,IP 地址最大的競爭者勝。
Group :1 Byte 此域中記錄發送者所在的備份組號。對於乙太網,Group 取值范圍為0-255 。
Authentication Data :8 Byte 8 字元長的的口令,用於組內成員相互鑒別。 Vritual IP Address
:4 Byte 備份組的虛擬IP地址,備份組模擬的虛擬路由器的 IP 地址。虛擬路由器還有一 MAC 地址,它
由組號直接映射而成:0X00 00 0C 07 AC ** ,其中「**」為備份組號。 組內各成員須至少有如下信息
: (1)備份組號(Group); (2)虛擬 MAC 地址(Virtual MAC Address); (3)優先順序
(Priority); (4)Authentication Data; (5)Hello Time; (6)Hold Time; 至少一位組員有
如下信息: (1)虛擬 IP 地址(Virtual IP Address); 每位組員可選擇配置如下信息:
(1)搶占標志(Preempt); 如果某位組員的 Preempt 置位,又收到活動路由器的 Hello 報文,發現
自己的優先順序比活動路由器高,則該組員可強行取代成為活動路由器。
6. 熱備份路由協議(HSRP)的作用和工作原理
熱備份路由器協議(HSRP)的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、並允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的 IP 地址時,HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器,對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。
負責轉發數據包的路由器稱之為主動路由器(Active Router)。一旦主動路由器出現故障,HSRP 將激活備份路由器(Standby Routers)取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制,並指定一個虛擬的 IP 地址作為網路系統的預設網關地址。如果主動路由器出現故障,備份路由器(Standby Routers)承接主動路由器的所有任務,並且不會導致主機連通中斷現象。
HSRP 運行在 UDP 上,採用埠號1985。路由器轉發協議數據包的源地址使用的是實際 IP 地址,而並非虛擬地址,正是基於這一點,HSRP 路由器間能相互識別
HSRP協議利用一個優先順序方案來決定哪個配置了HSRP協議的路由器成為默認的主動路由器。如果一個路由器的優先順序設置的比所有其他路由器的優先順序高,則該路由器成為主動路由器。路由器的預設優先順序是100,所以如果只設置一個路由器的優先順序高於100,則該路由器將成為主動路由器。
通過在設置了HSRP協議的路由器之間廣播HSRP優先順序,HSRP協議選出當前的主動路由器。當在預先設定的一段時間內主動路由器不能發送hello消息時,優先順序最高的備用路由器變為主動路由器。路由器之間的包傳輸對網路上的所有主機來說都是透明的。
配置了HSRP協議的路由器交換以下三種多點廣播消息:
Hello———hello消息通知其他路由器發送路由器的HSRP優先順序和狀態信息,HSRP路由器默認為每3秒鍾發送一個hello消息;
Coup———當一個備用路由器變為一個主動路由器時發送一個coup消息;
Resign———當主動路由器要宕機或者當有優先順序更高的路由器發送hello消息時,主動路由器發送一個resign消息。在任一時刻,配置了HSRP協議的路由器都將處於以下六種狀態之一:
Initial———HSRP啟動時的狀態,HSRP還沒有運行,一般是在改變配置或埠剛剛啟動時進入該狀態。
learn———路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是等待路由器。它一直監聽從活動路由器和等待路由器發來的HELLO報文。
Listen———路由器正在監聽hello消息。
Speak———在該狀態下,路由器定期發送HELLO報文,並且積極參加活動路由器或等待路由器的競選。
Standby———當主動路由器失效時路由器准備接管包傳輸功能。
Active———路由器執行包傳輸功能。
7. HSRP是思科私有協議
HSRP是思科私有的!叫做熱備份路由協議。VRRP叫做虛擬路由器冗餘協議。從2個名專字來看就看出這屬2個協議應該是十分相似的。它們所起到的作用就是「備份、冗餘」。唯一的區別是HSRP必要為虛擬路由器配置一個單獨外觀地址。表面看起來好像是只有一台路由器。VRRP是直接配置一個IP地址作為一個路由器之間共享地址。
8. HSRP協議的HSRP 的用途
HSRP 用於廣播或多播來區域網上的路由器熱自備份,並適於靜態的路由配置,實際上 HSRP 正是解決設備不
能動態適應路由改變的問題。 HSRP 主要用途: 1、主機設置預設網關 假設主機 A 是區域網中一台需要
訪問遠程數據的伺服器,要求遠程訪問能力可靠。由於主機 A 中靜態設置預設網關,一旦想更換網關,
必須在主機中重新配置。 通過使用 HSRP,主機中設置虛擬路由器為預設網關,具體由虛擬路由器中的哪
台路由器完成網關的實際工作,主機並不關心,這就為應用提供了較好的可靠性和靈活性。 2、設置靜態
路由 可以通過配置靜態預設路由指向虛擬路由器來實現另外一種備份。
HSRP的實現
9. HSRP協議的HSRP 狀態
備份組內的路由器處於各自的狀態,根據相互間發送 HSRP 報文來調整新的狀態。 HSRP 狀態:
(版1)init:所有備權份組內組員的初始狀態為 INIT,當組員配置屬性或埠 UP 時,進入 INIT 狀態。
(2)learn:該組員未設定虛擬 IP 地址,並等待從本組活動路由器發出的認證的 Hello 報文中學習得到自己的虛擬 IP 地址。
(3)listen :該組員已得知或設置了虛擬 IP 地址,通過監聽 Hello 報文監視活動/備份路由器,一旦發現活動/備份路由器長時間未發送 Hello 報文,則進入 SPEAK 狀態,開始競選。
(4)speak: 參加競選活動/備份路由器的組員所處的狀態,通過發送 Hello 報文使競選者間相互比較、競
爭。
(5)standby: 組內備份路由器所處的狀態,備份組員監視活動路由器,准備隨時在活動路由器壞掉時接替活動路由器。備份路由器也周期性發送 Hello 報文告訴其他組員自己沒有壞掉。
(6)ACTIVE:組內活動路由器即負責虛擬路由器實際路由工作的組員所處的狀態。活動路由器周期性發送 Hello 報文告訴其他組員自己沒有壞掉。
10. HSRP的概念
HSRP:熱備份路由器協議(:Hot Standby Router Protocol)
熱備份路由器協議(HSRP)的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、並允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的 IP 地址時,HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器,對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。
負責轉發數據包的路由器稱之為主動路由器(Active Router)。一旦主動路由器出現故障,HSRP 將激活備份路由器(Standby Routers)取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制,並指定一個虛擬的 IP 地址作為網路系統的預設網關地址。如果主動路由器出現故障,備份路由器(Standby Routers)承接主動路由器的所有任務,並且不會導致主機連通中斷現象。
HSRP 運行在 UDP 上,採用埠號1985。路由器轉發協議數據包的源地址使用的是實際 IP 地址,而並非虛擬地址,正是基於這一點,HSRP 路由器間能相互識別。
實際中運用就是一個VLAN ACTIVE 另一台交換機上相同的VLAN STANBY,這樣做到雙線冗餘。