虛拟路由器備援協定(VRRP)是一種選擇協定,它可以把一個虛拟路由器的責任動态配置設定到區域網路上的 VRRP 路由器中的一台。控制虛拟路由器 IP 位址的 VRRP 路由器稱為主路由器,它負責轉發資料包到這些虛拟 IP 位址。一旦主路由器不可用,這種選擇過程就提供了動态的故障轉移機制,這就允許虛拟路由器的 IP 位址可以作為終端主機的預設第一跳路由器。使用 VRRP 的好處是有更高的預設路徑的可用性而無需在每個終端主機上配置動态路由或路由發現協定。 VRRP 包封裝在 IP 包中發送。
VRRP既沒用UDP,也沒用TCP,VRRP包封裝在IP包中發送,協定号是112,VRRP控制封包隻有一種:VRRP通告(advertisement)。它使用IP多點傳播資料包進行封裝,組位址為224.0.0.18,釋出範圍隻限于同一區域網路内。
VRRP跟ICMP、ARP這些協定相似,承載在IP協定之上,協定号是112,是以要建立VRRP主備關系的三層裝置之間必須在同一個區域網路内,即二層互通。是以要求兩台三層裝置之間,如果是交換機,必須互連端口打trunk,且允許建立主備關系的VLAN通過。如果是兩台路由器或防火牆,一般中間都會連接配接一台二層交換機,其中二層交換機再下連使用者接入交換機。
1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的裝置間建立認證機制.并且不像HSRP那樣要
求虛拟路由器不能是其中一個路由器的ip位址,但是VRRP允許這種情況發生(如果”擁有”虛拟路由器位址的路由器被建立并且正在運作,那麼應
該總是由這個虛拟路由器管理—等價于HSRP中的活動路由器),但是為了確定萬一失效發生的時候終端主機不必重新學習MAC位址,它指定使用的
MAC位址00-00-5e-00-01-VRID,這裡的VRID是虛拟路由器的ID(等價于一個HSRP的組辨別符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀态機比HSRP的要簡單,HSRP有6個狀态(初始(Initial)狀态,學習
(Learn)狀态,監聽(Listen)狀态,對話(Speak)狀态,備份(Standby)狀态,活動(Active)狀态)和8個事件,VRRP隻有3個狀态(初始狀态
(Initialize)、主狀态(Master)、備份狀态(Backup))和5個事件.
3.HSRP有三種封包,而且有三種狀态可以發送封包 呼叫(Hello)封包/告辭(Resign)封包/突變(Coup)封包,VRRP有一種封包,廣播封包,由主
路由器定時發出來通告它的存在,使用這些封包可以檢測虛拟路由器各種參數,還可以用于主路由器的選舉。
4.HSRP将封包承載在UDP封包上,而VRRP承載在IP封包上,協定号是112,VRRP封包的多點傳播組位址為224.0.0.18(HSRP 使用UDP 1985端口,向多點傳播位址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協定包括三種主要的認證方式:無認證;簡單的明文密碼;使用MD5 HMAC ip認證的強認證;
強認證方法使用IP認證頭(AH)協定.AH是與用在IPSEC中相同的協定,AH為認證VRRP分組中的内容和分組頭提供了一個方法. MD5 HMAC 的使用表
明使用一個共享的密鑰用于産生hash值.路由器發送一個VRRP分組産生MD5 hash值,并将它置于要發送的通告中,在接收時,接受方使用相同的密
鑰和MD5值,重新計算分組内容和分組頭的hash值,如果結果相同,這個消息就是真正來自于一個可信賴的主機,如果不相同,它必須丢棄,這可以防
止攻擊者通過通路LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠端網絡添加内容的機制(設定TTL值=255,并在接受時檢查),這限制了可以進行本地攻擊的大
部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滞時間(skew-time)
7.hsrp為私有,vrrp不支援接口跟蹤機制。
![8個道理,讓你的程式人生受益終生[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)