什麼是hsrp協定?
熱備份路由器協定(HSRP)的設計目标是支援特定情況下 IP 流量失敗轉移不會引起混亂、并允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。實作HSRP的條件是系統中有多台路由器,它們組成一個“熱備份組”,這個組形成一個虛拟路由器。換句話說,當源主機不能動态知道第一跳路由器的 IP 位址時,HSRP 協定能夠保護第一跳路由器不出故障。
原理
負責轉發資料包的路由器稱之為活動路由器(Active Router)。一旦主動路由器出現故障,HSRP 将激活備份路由器(Standby Routers)取代主動路由器。HSRP 協定提供了一種決定使用主動路由器還是備份路由器的機制,并指定一個虛拟的 IP 位址作為網絡系統的預設網關位址。如果主動路由器出現故障,備份路由器(Standby Routers)承接主動路由器的所有任務,并且不會導緻主機連通中斷現象。
HSRP 運作在UDP上,采用端口号1985。路由器轉發協定資料包的源位址使用的是實際 IP 位址,而并非虛拟位址,正是基于這一點,HSRP 路由器間能互相識别。
HSRP協定利用一個優先級方案來決定哪個配置了HSRP協定的路由器成為預設的主動路由器。如果一個路由器的優先級設定的比所有其他路由器的優先級高,則該路由器成為主動路由器。路由器的預設優先級是100,是以如果隻設定一個路由器的優先級高于100,則該路由器将成為主動路由器。
通過在設定了HSRP協定的路由器之間發多點傳播(位址224.0.0.2)來得知各自的HSRP優先級,HSRP協定選出目前的主動路由器。當在預先設定的一段時間内主動路由器不能發送hello消息時,優先級最高的備用路由器變為主動路由器。路由器之間的包傳輸對網絡上的所有主機來說都是透明的。
配置了HSRP協定的路由器交換以下三種多點多點傳播消息:
Hello———hello消息通知其他路由器發送路由器的HSRP優先級和狀态資訊,HSRP路由器預設為每3秒鐘發送一個hello消息;
Coup———當一個備用路由器變為一個主動路由器時發送一個coup消息;
Resign———當主動路由器要當機或者當有優先級更高的路由器發送hello消息時,主動路由器發送一個resign消息。在任一時刻,配置了HSRP協定的路由器都将處于以下六種狀态之一:
Initial———HSRP啟動時的狀态,HSRP還沒有運作,一般是在改變配置或端口剛剛啟動時進入該狀态。
Learn——— 學習狀态,不知道虛拟IP,未看到活躍路由器發hello。等待活躍路由器發hello。
Listen———路由器已經得到了虛拟IP位址,但是它既不是活動路由器也不是等待路由器。它一直監聽從活動路由器和等待路由器發來的HELLO封包。
Speak———在該狀态下,路由器定期發送HELLO封包,并且積極參加活動路由器或等待路由器的競選。
Standby———當主動路由器失效時路由器準備接管包傳輸功能。
Active———路由器執行包傳輸功能。
與VRRP的差别
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的裝置間建立認證機制.并且,不像HSRP那樣要求虛拟路由器不能是其中一個路由器的ip位址,但是VRRP允許這種情況發生(如果”擁有”虛拟路由器位址的路由器被建立并且正在運作,那麼應該總是由這個虛拟路由器管理—等價于HSRP中的活動路由器),但是為了確定萬一失效發生的時候終端主機不必重新學習MAC位址,它指定使用的MAC位址00-00-5e-00-01-VRID,這裡的VRID是虛拟路由器的ID(等價于一個HSRP的組辨別符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀态機比HSRP的要簡單,HSRP有6個狀态(初始(Initial)狀态,學習(Learn)狀态,監聽(Listen)狀态,對話(Speak)狀态,備份(Standby)狀态,活動(Active)狀态)和8個事件, VRRP隻有3個狀态(初始狀态(Initialize)、主狀态(Master)、備份狀态(Backup))和5個事件.
3. HSRP有三種封包,而且有三種狀态可以發送封包 呼叫(Hello)封包 告辭(Resign)封包 突變(Coup)封包
VRRP有一種封包
VRRP廣播封包:由主路由器定時發出來通告它的存在,使用這些封包可以檢測虛拟路由器各種參數,還可以用于主路由器的選舉。
4. HSRP将封包承載在UDP封包上,而VRRP承載在IP封包上(HSRP 使用UDP 1985端口,向多點傳播位址224.0.0.2 發送hello消息,HSRP 版本2向224.0.0.102發送hello消息)
5.VRRP的安全:VRRP協定包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協定.AH是與用在IPSEC中相同的協定,AH為認證VRRP分組中的内容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用于産生hash值.路由器發送一個VRRP分組産生MD5 hash值,并将它置于要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組内容和分組頭的hash值,如果結果相同,這個消息就是真正來自于一個可信賴的主機,如果不相同,它必須丢棄,這可以防止攻擊者通過通路LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠端網絡添加内容的機制(設定TTL值=255,并在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滞時間(skew-time)
HSRP熱備份實驗。
實驗要求:配置hsrp熱備份
ESW1為vlan2的根網橋
ESW1為活躍路由器,ESW2為備份路由器。
使其一個斷開連接配接,還可以通信。
思路:先給三層交換機和路由器配置IP位址,配置路由,然後再給三層交換機配置中繼鍊路,在建立vlan,将用戶端加入vlan,
配置hsrp。
VRRP