vrrp認證
㈠ 求思科VRRP命令
config)#int vlan 1
config-if)#ip address 192.168.1.1 255.255.255.0 //給vlan1 設定ip
config-if)#vrrp 1 ip 192.168.1.254 //設定第一跳ip
config-if)#vrrp 1 preempt //設定搶占優先
config-if)#vrrp 1 timer advertise 5
config-if)#vrrp 1 authentiation md5 123 //設定認證方式為MD5加密
㈡ 華為的VRRP是什麼主要幹些什麼
虛擬路由器冗餘協議
(VRRP:Virtual Router Rendancy Protocol)
虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成為了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虛擬路由冗餘協議)是一種容錯協
議。通常,一個網路內的所有主機都設置一條預設路由(如圖3-1所示,10.100.10.1),
這樣,主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器
RouterA,從而實現了主機與外部網路的通信。當路由器RouterA 壞掉時,本網段
內所有以RouterA 為預設路由下一跳的主機將斷掉與外部的通信。
VRRP 就是為解決上述問題而提出的,它為具有多播或廣播能力的區域網(如:以
太網)設計。我們結合下圖來看一下VRRP 的實現原理。VRRP 將區域網的一組路
由器(包括一個Master 即活動路由器和若干個Backup 即備份路由器)組織成一個
虛擬路由器,稱之為一個備份組。
這個虛擬的路由器擁有自己的IP 地址10.100.10.1(這個IP 地址可以和備份組內的
某個路由器的介面地址相同),備份組內的路由器也有自己的IP 地址(如Master
的IP 地址為10.100.10.2,Backup 的IP 地址為10.100.10.3)。區域網內的主機僅
僅知道這個虛擬路由器的IP 地址10.100.10.1,而並不知道具體的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它們將自己的預設
路由下一跳地址設置為該虛擬路由器的IP 地址10.100.10.1。於是,網路內的主機
就通過這個虛擬的路由器來與其它網路進行通信。如果備份組內的Master 路由器壞
掉,Backup 路由器將會通過選舉策略選出一個新的Master 路由器,繼續向網路內
的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通信。
關於VRRP 協議的詳細信息,可以參考RFC 2338。
一、 應用實例
最典型的VRRP應用:RTA、RTB組成一個VRRP路由器組,假設RTB的處理能力高於RTA,則將RTB配置成IP地址所有者,H1、H2、H3的默認網關設定為RTB。則RTB成為主控路由器,負責ICMP重定向、ARP應答和IP報文的轉發;一旦RTB失敗,RTA立即啟動切換,成為主控,從而保證了對客戶透明的安全切換。
在VRRP應用中,RTA在線時RTB只是作為後備,不參與轉發工作,閑置了路由器RTA和鏈路L1。通過合理的網路設計,可以到達備份和負載分擔雙重效果。讓RTA、RTB同時屬於互為備份的兩個VRRP組:在組1中RTA為IP地址所有者;組2中RTB為IP地址所有者。將H1的默認網關設定為RTA;H2、H3的默認網關設定為RTB。這樣,既分擔了設備負載和網路流量,又提高了網路可靠性。
VRRP協議的工作機理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處。但二者主要的區別是在CISCO的HSRP中,需要單獨配置一個IP地址作為虛擬路由器對外體現的地址,這個地址不能是組中任何一個成員的介面地址。
使用VRRP協議,不用改造目前的網路結構,最大限度保護了當前投資,只需最少的管理費用,卻大大提升了網路性能,具有重大的應用價值。
二、工作原理
一個VRRP路由器有唯一的標識:VRID,范圍為0—255。該路由器對外表現為唯一的虛擬MAC地址,地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響。
VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP多播數據包進行封裝,組地址為224.0.0.18,發布范圍只限於同一區域網內。這保證了VRID在不同網路中可以重復使用。為了減少網路帶寬消耗只有主控路由器才可以周期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先順序為0的通告後啟動新的一輪VRRP選舉。
在VRRP路由器組中,按優先順序選舉主控路由器,VRRP協議中優先順序范圍是0—255。若VRRP路由器的IP地址和虛擬路由器的介面IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先順序:255。優先順序0一般用在IP地址所有者主動放棄主控者角色時使用。可配置的優先順序范圍為1—254。優先順序的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中,高優先順序的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現。對於相同優先順序的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先順序搶占策略,如果配置了該策略,高優先順序的備份路由器便會剝奪當前低優先順序的主控路由器而成為新的主控路由器。
為了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證。明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼。適合於避免在區域網內的配置錯誤,但不能防止通過網路監聽方式獲得密碼。IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等攻擊。
㈢ HSRP與VRRP有什麼區別
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果」擁有」虛擬路由器地址的路由器被建立並且正在運行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始(Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動(Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3. HSRP有三種報文,而且有三種狀態可以發送報文 (Hello)報文 (Resign)報文 (Coup)報文
VRRP有一種報文
VRRP廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用於主路由器的選舉。
4. HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上(HSRP 使用UDP 1985埠,向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網路.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網路添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)
㈣ VRRP詳解
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且,不像 HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果」擁有」虛擬路由器地址的路由器被建立並且正在運行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使用的MAC 地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始 (Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動 (Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3. HSRP有三種報文,而且有三種狀態可以發送報文 呼叫(Hello)報文 告辭(Resign)報文 突變(Coup)報文
VRRP有一種報文
VRRP廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用於主路由器的選舉。
4. HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上(HSRP 使用UDP 1985埠,向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網路.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網路添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)
㈤ 銳捷交換機的VRRP協議是干什麼用的
cisco的HSRP知道嗎?
兩者都是做熱備份冗餘的:
1.HSRP建立一個備份組,然後定義一個虛擬的內路由器IP地址,在這個組中誰是容ACTIVE路由器誰就需要繼承這個虛擬路由器IP
VRRP允許將虛擬路由器的IP地址定義給一個特定的路由器
2.HSRP是CISCO私有 VRRP是RFC2338公有的
3.HSRP在應用層,使用UDP1985埠,向組播地址224.0.0.2發送HELLO,VRRP在傳輸層,協議號為112
4.HSRP的6個狀態:初始—學習—偵聽HELLO—會話,參與選舉—選舉出AVTICE和STANDBY,VRRP的3個狀態:初始狀態,主狀態和備份狀態
5.VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和MD5認證的加強認證.
㈥ vrrp協議的優先順序到底是1大還是254大
VRRP優先順序的取抄值范圍為0到255(數值襲越大表明優先順序越高),可配置的范圍是1到254,優先順序0為系統保留給路由器主動放棄Master位置時候使用,255則是系統保留給IP地址擁有者使用。若VRRP路由器的IP地址和虛擬路由器的介面IP地址相同,則該VRRP路由器被稱為該IP地址的所有者;IP地址所有者自動具有最高優先順序:255。因此,當備份組內存在IP地址擁有者時,只要其工作正常,則為Master路由器。
㈦ 思科認證到底是什麼
既然你是學網路工程的,我就告訴你吧。就以你現在學校教的以及你個人可以承受能力,建議你去考CCNA CCNP這2個一起考。CCNA價格是250美元 CCNP是200美元一門,考試難度NA比較簡單,都是基礎,CCNP相對較難。如果沒有NA 的底子或是對路由交換不熟,建議不要考,
當然也有些專門的學校號稱包過的,其實就是有一個環境讓你去學習,成功率高點而已,在中國考試基本都是找學校考,老師也會幫你翻譯好的題目讓你來做,考試是英文的,我考試是01年考的那時候沒中文,現在聽說有學校翻譯好有中文題庫,具體的你要去學校的問問看。。。
考試難度,不好說,na容易過,也是個基本,np相對難得過,。。。至於ccie考這個在中國很難有環境給你來做,np就足夠了,混個電信,或運營商,代理商類型的公司基本足夠,作為剛畢業學生有np對找工作很有幫助的。。。。。。。
㈧ vrrp協議的優先順序到底是1大還是254大
vrrp沒有優先順序,vrid才有,虛擬路由ID是取值越小,優先順序越高。
㈨ 迪普設備部署普通雙機+VRRP模式下 可以同步哪些配置
系統管理配置、對象設置、新建介面設置 VLAN 認證模塊 日誌管理 安全策略 NAT ALG VPN 攻擊防護 應用安全