VRRP协议的基本概念和工作机理.docVIP

VRRP协议的基本概念和工作机理 VRRP协议不知道大家是否清楚，那么我们就来详细说一下。这个协议也是范属于路由协议的。那么在路由中它是如何进行工作的呢？首先还是让我们从TCP/IP协议来引入吧。 一?协议概述 在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由?目前常用的指定路由的方法有两种:一种是通过路由协议(比如:内部路由协议RIP和OSPF)动态学习;另一种是静态配置?在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销?收敛度?安全性等许多问题的限制?因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(Default Gateway)?静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断?即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关?采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷? 在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器?VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念?一组VRRP路由器协同工作,共同构成一台虚拟路由器?该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器?处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器?VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态?当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器?由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的? 二?工作原理 一个VRRP路由器有唯一的标识:VRID,范围为0—255?该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]?主控路由器负责对ARP请求用该MAC地址做应答?这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响? VRRP控制报文只有一种:VRRP通告(advertisement)?它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内?这保证了VRID在不同网络中可以重复使用?为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文?备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举? 在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255?若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255?优先级0一般用在IP地址所有者主动放弃主控者角色时使用?可配置的优先级范围为1—254?优先级的配置原则可以依据链路的速度和成本?路由器性能和可靠性以及其它管理策略设定?主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现?对于相同优先级的候选路由器,按照IP地址大小顺序选举?VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器? 为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证?明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码?适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码?IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击? 三? 应用实例 最典型的VRRP应用:RTA?RTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1?H2?H3的默认网关设定为RTB?则RTB成为主控路由器,负责ICMP重定向?ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换? 在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1?通过合理的网络设计,可以到达备份和负载分担双重效果?让RTA?RTB同时属