vrrp认证
㈠ 求思科VRRP命令
config)#int vlan 1
config-if)#ip address 192.168.1.1 255.255.255.0 //给vlan1 设定ip
config-if)#vrrp 1 ip 192.168.1.254 //设定第一跳ip
config-if)#vrrp 1 preempt //设定抢占优先
config-if)#vrrp 1 timer advertise 5
config-if)#vrrp 1 authentiation md5 123 //设定认证方式为MD5加密
㈡ 华为的VRRP是什么主要干些什么
虚拟路由器冗余协议
(VRRP:Virtual Router Rendancy Protocol)
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虚拟路由冗余协议)是一种容错协
议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),
这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器
RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段
内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。
VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以
太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路
由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个
虚拟路由器,称之为一个备份组。
这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的
某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master
的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅
仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省
路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机
就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏
掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内
的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
关于VRRP 协议的详细信息,可以参考RFC 2338。
一、 应用实例
最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。
在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。
VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
二、工作原理
一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
㈢ HSRP与VRRP有什么区别
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 (Hello)报文 (Resign)报文 (Coup)报文
VRRP有一种报文
VRRP广播报文:由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
㈣ VRRP详解
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像 HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC 地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始 (Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动 (Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 呼叫(Hello)报文 告辞(Resign)报文 突变(Coup)报文
VRRP有一种报文
VRRP广播报文:由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
㈤ 锐捷交换机的VRRP协议是干什么用的
cisco的HSRP知道吗?
两者都是做热备份冗余的:
1.HSRP建立一个备份组,然后定义一个虚拟的内路由器IP地址,在这个组中谁是容ACTIVE路由器谁就需要继承这个虚拟路由器IP
VRRP允许将虚拟路由器的IP地址定义给一个特定的路由器
2.HSRP是CISCO私有 VRRP是RFC2338公有的
3.HSRP在应用层,使用UDP1985端口,向组播地址224.0.0.2发送HELLO,VRRP在传输层,协议号为112
4.HSRP的6个状态:初始—学习—侦听HELLO—会话,参与选举—选举出AVTICE和STANDBY,VRRP的3个状态:初始状态,主状态和备份状态
5.VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和MD5认证的加强认证.
㈥ vrrp协议的优先级到底是1大还是254大
VRRP优先级的取抄值范围为0到255(数值袭越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给路由器主动放弃Master位置时候使用,255则是系统保留给IP地址拥有者使用。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则该VRRP路由器被称为该IP地址的所有者;IP地址所有者自动具有最高优先级:255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master路由器。
㈦ 思科认证到底是什么
既然你是学网络工程的,我就告诉你吧。就以你现在学校教的以及你个人可以承受能力,建议你去考CCNA CCNP这2个一起考。CCNA价格是250美元 CCNP是200美元一门,考试难度NA比较简单,都是基础,CCNP相对较难。如果没有NA 的底子或是对路由交换不熟,建议不要考,
当然也有些专门的学校号称包过的,其实就是有一个环境让你去学习,成功率高点而已,在中国考试基本都是找学校考,老师也会帮你翻译好的题目让你来做,考试是英文的,我考试是01年考的那时候没中文,现在听说有学校翻译好有中文题库,具体的你要去学校的问问看。。。
考试难度,不好说,na容易过,也是个基本,np相对难得过,。。。至于ccie考这个在中国很难有环境给你来做,np就足够了,混个电信,或运营商,代理商类型的公司基本足够,作为刚毕业学生有np对找工作很有帮助的。。。。。。。
㈧ vrrp协议的优先级到底是1大还是254大
vrrp没有优先级,vrid才有,虚拟路由ID是取值越小,优先级越高。
㈨ 迪普设备部署普通双机+VRRP模式下 可以同步哪些配置
系统管理配置、对象设置、新建接口设置 VLAN 认证模块 日志管理 安全策略 NAT ALG VPN 攻击防护 应用安全