VRRP基本原理.docx
《VRRP基本原理.docx》由会员分享,可在线阅读,更多相关《VRRP基本原理.docx(8页珍藏版)》请在冰豆网上搜索。
VRRP基本原理
VRRP协议原理
课程目标:
●熟悉VRRP的概念及其作用
●熟悉VRRP的工作原理
第一章VRRP产生背景
&知识点
l了解虚拟路由器冗余协议(VRRP)产生的原因。
l了解VRRP的基本作用。
随着Internet的迅猛发展,基于网络的应用逐渐增多。
这就对网络的可靠性提出了越来越高的要求。
当前,在部分网络环境,用户对网络的要求非常高,任何停工和储运损耗都会对用户造成严重影响。
例如:
1.Internet服务提供商提供Web主机设备,为了使得用户的Web服务器对公众总是有效的,必须保证用户99.9999%的正常运行时间。
2.过程控制应用必须能够适时访问它的控制的系统,否则可能会发生结果损失严重的控制。
3.有时,运行在IP主机上的应用会超时,如果业务运行对网络应用要求较高,这种超时会带来很坏影响。
越来越多的IP主机使用DHCP指定它们的IP地址和网关,主机在与和自己不处于相同网段的主机通信时,会把包送到自己的网关,由网关来完成后续任务。
这样网关的稳定性就成为重要的一点。
例如:
有三台主机在相同网段上,这三台主机都设置了一个网关(10.0.0.1),该网关就是主机所在网段内的一个路由器R1的接口地址,由R1将报文转发出去。
这样,主机发出的目的地址不在本网段的报文将被通过网关发往R1,从而实现了主机与外部网络的通信。
然而,万一R1出现故障,主机将与外界失去联系,陷入孤立的境地。
一些主机使用网关侦探办法获得,但一般不推广使用这一方法(RFC1122),动态Ping网关也是禁止使用的。
ICMP路由发现协议允许路由器通过IP主机被发现,但尚未广泛使用。
目前常用的指定网关的方法有两种:
一种是通过路由协议(比如:
内部路由协议RIP和OSPF)动态学习;另一种是静态配置。
在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。
因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(DefaultGateway)。
静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:
如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。
即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。
这就意味着大部分主机无法快速知道路由器和与之相联的局域网连接是否已经失败,而且IP主机检测连路失败与替代路由器进行交换需要很长时间。
斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案;但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。
虚拟路由冗余协议(VRRP:
VirtualRouterRedundancyProtocol)就是一种很好的解决方案。
在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
为了避免由这个默认网关造成的单点故障,可以在一个广播域中配置多个路由器接口,并在这些路由器上运行VRRP(虚拟路由器冗余协议)。
简单来说,VRRP是一种容错协议,它为具有组播或广播能力的局域网,(如以太网)设计,它保证当局域网内主机的下一跳路由器出现故障时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。
为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。
而网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息。
一个虚拟路由器由一个主路由器和若干个备份路由器组成,主路由器实现真正的转发功能。
当主路由器出现故障时,一个备份路由器将成为新的主路由器接替它的工作。
第二章VRRP的工作原理
&知识点
l掌握VRRP的工作原理。
l掌握VRRP的各个基本概念。
l了解VRRP路由器的几种状态。
二.1VRRP协议概述
在VRRP协议中,有两组重要的概念:
VRRP路由器和虚拟路由器,主控路由器和备份路由器。
VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。
一组VRRP路由器协同工作,共同构成一台虚拟路由器。
该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。
处于同一个VRRP组中的路由器具有两种互斥的角色:
主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。
当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。
由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
只有当这个VRRP组中的所有的路由器都不能正常工作时,该域中的主机才不能与域外界通信。
VRRP中只定义了一种报文——VRRP报文,这是一种组播报文,封装在IP报文上,由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
VRRP还定义了三种状态:
模型初始状态(Initialize)、主用状态(Master)、备份状态(Backup)。
其中只有主用状态可以为到虚拟IP地址的转发请求服务。
VRRP协议仅仅适用于IPv4版本的路由器。
对于IPv6版本的路由器将会有新的规范来规定相关内容。
二.2VRRP协议相关名词
lVRRP路由器:
运行虚拟路由冗余协议(VRRP)的路由器。
它将参与一台或多台虚拟路由器。
l虚拟路由器(VirtualRouter):
由VRRP协议管理、设置,作为LAN上终端主机的缺省路由。
lIP拥有者(IPAddressOwner):
拥有与虚拟路由器有相同IP地址的VRRP路由器。
此路由器响应ICMPPing包、TCP连接等。
l主用路由器:
负责转发发给虚拟路由器的数据包,并响应ARP请求的路由器。
若一台拥有与虚拟路由器有相同IP地址的VRRP路由器(IP拥有者)活动,则此VRRP路由器为主用路由器。
l备用路由器:
在VRRP中,其他参与此虚拟路由器的均为备用路由器。
它将在主用路由器不能工作时接替其工作。
lVRID:
一个虚拟路由器有唯一的标识,范围为0—255。
该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。
主控路由器负责对ARP请求用该MAC地址做应答。
这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
二.3VRRP工作机制
lVRRP协议包主要是用来传递VRRP路由器优先级、主用路由器状态(含有VRID)等信息。
主用路由器总是发送“keep-alive”广告,其频率取决于广告发送间隔参数的值,缺省为1秒。
l每个虚拟路由器组有一个VRID,它定义了此组的所有成员。
若多个虚拟路由器在某个接口上创建,则每个虚拟路由器必须有唯一的标识符(VRID);如果虚拟路由器在不同接口上创建,用户可以重复使用虚拟路由器的ID。
l若主用路由器不能工作,则优先级最高的备用路由器将接替主用路由器工作(很短的延时),作为有效的虚拟路由器转发数据包。
l虚拟路由器在响应ARP请求时返回一个虚拟的MAC地址。
此虚拟MAC地址取决于虚拟路由器ID。
虚拟MAC地址=00005E:
0001XX(XX为16进制的虚拟路由器ID)
lVRRP控制报文只有一种:
VRRP通告(advertisement)。
为减少网络流量,只有主用路由器可以定期发布VRRP广告消息(keep-alive消息),它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。
这保证了VRID在不同网络中可以重复使用。
如果备用路由器在一段时间内未收到来自主用路由器的“keep-alive”广告,便自动转换到主用状态,并将自己广告出去。
(缺省为3.6s)
备用路由器等待时间计算公式:
=3×广告发送间隔+(256-优先级)/256
其中优先级表示:
备用路由器配置的优先级
l在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。
若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:
255。
优先级0一般用在IP地址所有者主动放弃主控者角色时使用。
可配置的优先级范围为1—254。
优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。
主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。
对于相同优先级的候选路由器,则谁先发VRRP报文,谁就成为主用。
若不是该虚拟路由器的IP地址拥有者,其缺省优先级的值为100,用户可对此进行更改。
l若不是该虚拟路由器的IP地址拥有者,其缺省优先级的值为100,用户可对此进行更改。
l
VRRP还提供了优先级抢占策略PreemptMode,如果配置了该策略,表示新加入的VRRPROUTER如果优先级高于当前的MASTER,可以强占MASTER地位。
所以ADDRESSOWNER重启后仍回到MASTER位置。
l如果主用路由器被人为的重启或接口被人为地关闭,它将发送特殊的“keep-alive”广告,告知备用路由器,急需新的主用路由器。
l为了保证VRRP协议的安全性,提供了两种安全认证措施:
明文认证和IP头认证。
明文认证方式要求:
在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。
适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。
IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
lRFC2338标准规定,转变成主用路由器的备用路由器不响应ping,不可接受telnet,不响应发至虚拟IP地址的SNMP请求。
这样也表示原主用路由器(即IP地址拥有者)已出故障。
二.4VRRP报文结构
VRRP协议包封装在IP包中,使用IPv4格式的多播地址。
其中包含的字段有:
lVersion―version字段规定了VRRP协议的版本。
当前使用的是第2版。
lType―type字段规定了该VRRP数据包的类型。
在该版本的协议中数据包类型只有一种:
1ADVERTISEMENT。
lVirtualRouterID―VirtualRouterIdentifier(VRID)字段根据数据包报告状况识别虚拟路由器。
lPriority―规定虚拟路由器发送VRRP路由器的优先级。
虚拟路由器在分配VRRP路由器时必须使用优先级值:
1到254之间(十进制)。
lCountIPAddresses―IP地址数,包含在该VRRPadvertisement中。
lAuthType―识别使用的认证方法。
lAdvertisementInterval―显示advertisement间的时间间隔。
lChecksum―16位,用于检测VRRP信息中的数据破坏情况。
lIPAddress(es)―指与虚拟路由器相连接的一个或更多的IP地址。
所包含的地址数定义在“CountIPAddrs”字段。
这些字段主要用于发现并修复误配置路由器。
lAuthenticationData―当前authentication字符串只用于简单文本认证,类似于开放最短路径优先路由选择协议(OSPF)中的简单文本认证。
纯文本中达到8个字符。
lTTL-TTL值为255
lPotocolNumber-VRRP的协议号是112(十进制)
lSourceAddress-VRRP包发出来时的接口的主地址
lDestinationAddress-VRRP的目的地址是224.0.0.18,发布范围只限于同一局域网内。
二.5VRRP路由器的状态机制
组成虚拟路由器的路由器会有三种状态分别是Initialize,Master和Backup下面对这三种状态进行说明:
1.Initialize
系统启动后进入此状态,当收到接口startup的消息,将转入Backup(优先级不为255时)或Master(状态优先级为255时)。
在此状态(Initialize)时,路由器不会对VRRP报文做任何处理。
2.Master
当路由器处于Master状态时它将会做下列工作:
l定期发送VRRP组播报文;只有主用路由器可以定期发布VRRP广告消息(keep-alive消息),它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。
l发送免费gratuitousARP报文,以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址;
l响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址;
l转发目的MAC地址为虚拟MAC地址的IP报文;
l如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文,否则,丢弃这个IP报文。
需要注意的是,由于有这一点要求,所以除非主路由器是IP地址拥有者,否则主机ping虚拟IP地址不能ping通;在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup,只有当接收到接口的Shutdown事件时才会转为Initialize。
3.Backup
当路由器处于Backup状态时它将会做下列工作:
l接收Master发送的VRRP组播报文,从中了解Master的状态。
备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
l对虚拟IP地址的ARP请求,不做响应。
l丢弃目的MAC地址为虚拟MAC地址的IP报文。
l丢弃目的IP地址为虚拟IP地址的IP报文。
l只有当Backup接收到MASTER_DOWN这个定时器到时的事件时,才会转为Master,而当接收到比自己的优先级小的VRRP报文时,它只是做丢弃这个报文的处理,从而就不对定时器做重置处理,这样定时器就会在
若干次这样的处理之后到时,于是就转为Master。
只有当接收到接口的Shutdown事件时,才会转为Initialize。
第三章与HSRP比较
&知识点
l了解VRRP与OSPF之间的区别。
VRRP协议的工作机理与CISCO公司的HSRP(HotStandbyRoutingProtocol)有许多相似之处,他们的比较如下:
lHSRP将报文承载在UDP报文上,而VRRP承载在IP报文上(HSRP使用UDP1985端口,向组播地址224.0.0.2发送hello消息)。
lVRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1。
lVRRP中如果两路由器都不是网关地址拥有者且优先级相同,则谁先发VRRP报文,谁就成为主用,而HSRP中是谁的IP地址最高谁成为主用。
lHSRP中主用路由器每3秒发一次KEEP-ALIVE包,10秒为失效时间;而VRRP中主用路由器是每1秒发一次KEEP-ALIVE包,VRRP的主用路由器失效时间:
3×广告发送间隔+(256-优先级)/256。
l在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符)。
l安全方面:
VRRP对HSRP的一个主要优势,它允许参与VRRP组的设备间建立认证机制。
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法.MD5HMAC的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络。
l另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态),VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))。
lHSRP有三种报文,而且有三种状态可以发送报文,呼叫(Hello)报文,告辞(Resign)报文,突变(Coup)报文;VRRP有一种报文-VRRP广播报文:
由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
思考题
1.虚拟路由器的IP地址应该和VRRP路由器组中的某个路由器IP地址相同吗?
2.IPaddressowner(IP地址拥有者)和masterrouter(主用路由器)是同一个路由器吗?
二者什么时候是同一个路由器,什么时候不是一个路由器?
3.当IP拥有者(ipaddressowner)down掉之后,将会由哪个备用路由器(backuprouter)来接替其主用路由器(masterrouter)的工作?
如果这时,该主用由器(masterrouter)又down掉了,那么新的主用路由器(masterrouter)又该由谁担任?
如果这时IP拥有者(ipaddressowner)重新UP起来,它会夺回主用路由器(masterrouter)到身份吗?
如果UP起来的并不是IP拥有者(ipaddressowner),则会夺回主用路由器(masterrouter)的身份吗?
4.VRRP中虚拟网关的IP和MAC地址是如何组成的?
升级会员 