HSRP协议
1. HSRP和MSDP协议各有什么优缺点啊
MSDP :组播源发现协议描述了一种连接多 PIM-SM(PIM-SM : PIM Sparse Mode) 域的机制。每种 PIM-SM 域都使用自己独立的 RP ,它并不依赖于其它域内的 RP 。该优点在于:
不存在第三方( Third-party )资源依赖域内 RP 。
PIM-SM 域只依靠本身的 RP 。
接收端域:只带接受端的域可以获取数据而不用全局通告组成员。 MSDP 可以和其它非 PIM-SM 协议一起使用。
PIM-SM 域内的 MSDP 发话路由器与其它域内的 MSDP 对等设备之间存在一种 MSDP 对等关系,这种关系通过 TCP 连接形成,在其中控制信息进行交换。每个域都有一个或多个连接到这个虚拟拓扑结构。
这种拓朴结构使得域能从其它域发现组播源。如果组播源想知道含有接收端的域,那么 PIM-SM 中的标准源树建立机制就会被用于在域内分配树上传送组播数据。
HSRP:热备份路由器协议(HSRP:Hot Standby Router Protocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
2. HSRP协议的HSRP 的配置方法
[no] standby [group-number] ip [virtual ip address] 说明: 使路由器在指定局域网段加入或退
出一个备份组。需要指定备份组号和虚拟 IP 地址。备份组号范围从 0 到 255,如 group-number 不指
定,备份组号缺省为 0,virtual ip address 如果不指定,路由器不会参与备份,直到从备份组中的活
动路由器获得虚拟 IP 地址。注意虚拟 IP 地址应该是接口所在网段的地址。一旦退出 HSRP 备份组,则
路由器在该备份组上设置的所有 HSRP 特性不再有效(如优先级,授权字等)。 standby [group-
number] priority [priority-value] 说明: HSRP 中根据优先级来确定参与备份组的每台路由器的地位
,备份组中优先级最大并且已获得虚拟 IP 地址的路由器将成为活动路由器,优先级其次的路由器将成为
备份路由器。优先级缺省值是 100,可设置范围从 0 到 255。 standby [group-number] preempt 说
明: 一旦备份组中的某台路由器成为活动路由器,只要它没有出现故障,其它路由器即使随后被配置更
高的优先级,也不会成为活动路由器,除非被设置抢占方式。路由器如果设置抢占方式,它一旦发现自己
的优先级比当前的活动路由器的优先级高,就会成为活动路由器。相应地,原活动路由器会退出活动态,
成为备份路由器或其它。缺省方式是不抢占。 standby [group-number] authentication string 说
明: HSRP 授权字确认同备份组间其它路由器的有效性。授权字 string 的长度不超过 8 个字节。注意
:同一备份组要设置相同的授权字。 standby [group-number] timers [hello_time] [hold_time]
说明: HSRP 备份组路由器之间通过定时发送 Hello 报文确认相互的状态,超过一定时间(hold time)
没有收到某台路由器的 Hello 报文,则认为它已关机或出现故障。用户可以调整发送 Hello 报文的间隔
时间(hello time)和超时时间(hold time)。缺省值分别是 3 秒和 10 秒。时间单位是秒。注意:同
一备份组要设置相同的 hello time 和 hold time。 standby [group-number] track
interface_name [priority-reced] 说明: HSRP 监视接口功能,更好地扩充了备份功能,即不仅在路
由器出现故障时提供备份功能,而且在某网络接口不可用时,也可以使用备份功能。命令作用是监视接口
interface_name,如果接口变为不可用,则将优先级减少 priority-reced (priority-reced 缺省
值为 10) 。
3. HSRP协议的HSRP 多备份组(MHSRP)
在一来网段内,多个备份组可以共存源。每个备份组模拟成一虚拟路由器,每个这样的虚拟路由器配置一虚拟
MAC 地址和一虚拟 IP 地址。该虚拟IP地址应属于本网段,而且不与网段内的任何路由器和主机的IP地址
相同,也不与网段内的其他虚拟路由器的虚拟IP地址相同。 一台路由器也可以参加多个备份组,为多个
组作备份。 路由器的 HSRP 配置是针对具体接口的,因此需要在接口模式下配置。在一台路由器上,备
份组由(接口,组号)唯一确定。每个备份组都有属于自己的数据和状态。 如果一台路由器有两个以太
网口,可以分别在两个接口上配置两个 HSRP 备份组,为不同网段使用。
4. HSRP与VRRP有什么区别
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 (Hello)报文 (Resign)报文 (Coup)报文
VRRP有一种报文
VRRP广播报文:由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
5. HSRP协议的HSRP 报文
Version : Byte HSRP 报文的版本号。本文档的 HSRP 报文版本为 0 。 Oper Code :1 Byte
描述了 HSRP 报文的类型,共有3 种报文类型: (1)0 —— Hello Hello 类型报文说明发送者处在运
行状态,有能力成为活动/备份路由器。 (2)1 —— COUP COUP 类型报文说明发送者希望成为活动路由
器。 (3)2 —— RESIGN COUP 类型报文说明发送者不再是活动路由器。 State :1 Byte 描述发送
者发送报文时所处的状态。 Hello Time :1 Byte 该域只在 Hello 报文中有意义。它包含发送者发
送 Hello 报文的时间间隔,以秒计; 如果路由器上未配置 Hello Time 值,它可以从组中活动路由器发
送的 Hello 报文中学习到,但须本路由器认证该 Hello 报文; 如果路由器上既未配置 Hello Time,也
未学习到,则赋予缺省值 3。
Hold Time :1 Byte 该域只在 Hello 报文中有意义。它包含发送者发送 Hello 报文的持有时间,以
秒计; Hold Time 必须大于 Hello Time ,而且最好大于三倍 Hello Time ;
如果路由器上未配置 Hold Time ,它可以从组中活动路由器发送的 Hello 报文中学习到,但须本路由器
认证该 Hello 报文; 如果路由器上既未配置 Hello Time ,也未学习到,则赋予缺省值10 。
Priority :1 Byte 该域用来选举活动/备份路由器。当选举过程中出现竞争(多个路由器都想成为活动/
备份路由器)时,优先级最高的竞争者胜,对于优先级相等的竞争者,IP 地址最大的竞争者胜。
Group :1 Byte 此域中记录发送者所在的备份组号。对于以太网,Group 取值范围为0-255 。
Authentication Data :8 Byte 8 字符长的的口令,用于组内成员相互鉴别。 Vritual IP Address
:4 Byte 备份组的虚拟IP地址,备份组模拟的虚拟路由器的 IP 地址。虚拟路由器还有一 MAC 地址,它
由组号直接映射而成:0X00 00 0C 07 AC ** ,其中“**”为备份组号。 组内各成员须至少有如下信息
: (1)备份组号(Group); (2)虚拟 MAC 地址(Virtual MAC Address); (3)优先级
(Priority); (4)Authentication Data; (5)Hello Time; (6)Hold Time; 至少一位组员有
如下信息: (1)虚拟 IP 地址(Virtual IP Address); 每位组员可选择配置如下信息:
(1)抢占标志(Preempt); 如果某位组员的 Preempt 置位,又收到活动路由器的 Hello 报文,发现
自己的优先级比活动路由器高,则该组员可强行取代成为活动路由器。
6. 热备份路由协议(HSRP)的作用和工作原理
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别
HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高,则该路由器成为主动路由器。路由器的缺省优先级是100,所以如果只设置一个路由器的优先级高于100,则该路由器将成为主动路由器。
通过在设置了HSRP协议的路由器之间广播HSRP优先级,HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时,优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
配置了HSRP协议的路由器交换以下三种多点广播消息:
Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息,HSRP路由器默认为每3秒钟发送一个hello消息;
Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息;
Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时,主动路由器发送一个resign消息。在任一时刻,配置了HSRP协议的路由器都将处于以下六种状态之一:
Initial———HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。
learn———路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
Listen———路由器正在监听hello消息。
Speak———在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。
Standby———当主动路由器失效时路由器准备接管包传输功能。
Active———路由器执行包传输功能。
7. HSRP是思科私有协议
HSRP是思科私有的!叫做热备份路由协议。VRRP叫做虚拟路由器冗余协议。从2个名专字来看就看出这属2个协议应该是十分相似的。它们所起到的作用就是“备份、冗余”。唯一的区别是HSRP必要为虚拟路由器配置一个单独外观地址。表面看起来好像是只有一台路由器。VRRP是直接配置一个IP地址作为一个路由器之间共享地址。
8. HSRP协议的HSRP 的用途
HSRP 用于广播或多播来局域网上的路由器热自备份,并适于静态的路由配置,实际上 HSRP 正是解决设备不
能动态适应路由改变的问题。 HSRP 主要用途: 1、主机设置缺省网关 假设主机 A 是局域网中一台需要
访问远程数据的服务器,要求远程访问能力可靠。由于主机 A 中静态设置缺省网关,一旦想更换网关,
必须在主机中重新配置。 通过使用 HSRP,主机中设置虚拟路由器为缺省网关,具体由虚拟路由器中的哪
台路由器完成网关的实际工作,主机并不关心,这就为应用提供了较好的可靠性和灵活性。 2、设置静态
路由 可以通过配置静态缺省路由指向虚拟路由器来实现另外一种备份。
HSRP的实现
9. HSRP协议的HSRP 状态
备份组内的路由器处于各自的状态,根据相互间发送 HSRP 报文来调整新的状态。 HSRP 状态:
(版1)init:所有备权份组内组员的初始状态为 INIT,当组员配置属性或端口 UP 时,进入 INIT 状态。
(2)learn:该组员未设定虚拟 IP 地址,并等待从本组活动路由器发出的认证的 Hello 报文中学习得到自己的虚拟 IP 地址。
(3)listen :该组员已得知或设置了虚拟 IP 地址,通过监听 Hello 报文监视活动/备份路由器,一旦发现活动/备份路由器长时间未发送 Hello 报文,则进入 SPEAK 状态,开始竞选。
(4)speak: 参加竞选活动/备份路由器的组员所处的状态,通过发送 Hello 报文使竞选者间相互比较、竞
争。
(5)standby: 组内备份路由器所处的状态,备份组员监视活动路由器,准备随时在活动路由器坏掉时接替活动路由器。备份路由器也周期性发送 Hello 报文告诉其他组员自己没有坏掉。
(6)ACTIVE:组内活动路由器即负责虚拟路由器实际路由工作的组员所处的状态。活动路由器周期性发送 Hello 报文告诉其他组员自己没有坏掉。
10. HSRP的概念
HSRP:热备份路由器协议(:Hot Standby Router Protocol)
热备份路由器协议(HSRP)的设计目标是支持特定情况下 IP 流量失败转移不会引起混乱、并允许主机使用单路由器,以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说,当源主机不能动态知道第一跳路由器的 IP 地址时,HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器,对应一个虚拟路由器。HSRP 协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
负责转发数据包的路由器称之为主动路由器(Active Router)。一旦主动路由器出现故障,HSRP 将激活备份路由器(Standby Routers)取代主动路由器。HSRP 协议提供了一种决定使用主动路由器还是备份路由器的机制,并指定一个虚拟的 IP 地址作为网络系统的缺省网关地址。如果主动路由器出现故障,备份路由器(Standby Routers)承接主动路由器的所有任务,并且不会导致主机连通中断现象。
HSRP 运行在 UDP 上,采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP 地址,而并非虚拟地址,正是基于这一点,HSRP 路由器间能相互识别。
实际中运用就是一个VLAN ACTIVE 另一台交换机上相同的VLAN STANBY,这样做到双线冗余。