【文章內(nèi)容簡介】 中的優(yōu)先級，則將自己的狀態(tài)轉(zhuǎn)為備份路由器，否則保持自己的狀態(tài)不變。通過這樣一個過程，就會將優(yōu)先級最大的路由器選成新的主控路由器，完成 VRRP 的備份功能。 VRRP 控制報文只有一種 ： VRRP 通告 (advertisement)。它使用 IP多播數(shù)據(jù)包進行封裝，組地址為 ，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這保證了 VRID 在不同網(wǎng)絡(luò)中可以重 復(fù)使用。為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才 可以周期性的發(fā)送VRRP 通告報文。備份路由器在一定時間間隔內(nèi) (MASTERDOWNTIME) 收不到 VRRP 或收到優(yōu)先級為 0的通告后啟動新的一輪 VRRP選舉。 一個虛擬路由器 (由主控路由器執(zhí)行其功能 )擁有一個虛擬 MAC 地址，地址的格式為 00005E0001[VRID]。在同一個 VRRP 組中，無論哪一臺 VRRP 路由器是主控路由器，其虛擬 MAC 地址不變。當虛擬路由器回應(yīng) ARP 請求時，回應(yīng)的是虛擬 MAC 10 地址。這樣，對于網(wǎng)絡(luò)中的 IP 終端設(shè)備來說，主備 路由器之間的切換是透明的， IP終端設(shè)備對外的通信不會因為一臺路由器的故障而受到影響，即消除了單點故障。 VRRP 的安全認證 既然一個 VRRP 備份組的 MASTER 的選舉靠的是報文優(yōu)先級，那么毫無疑問，偽 造MASTER 是一種比較容易的攻擊手段 ： 網(wǎng)絡(luò)中的惡意主機構(gòu)造高優(yōu)先級報文發(fā)送出去，促使真正的 VRRP 路由器轉(zhuǎn)到 BACKUP 狀態(tài)，導(dǎo)致網(wǎng)絡(luò)中報文無法轉(zhuǎn)發(fā)。為了解決這個問題， VRRP 協(xié)議規(guī)定了報文認證，即對收到的 VRRP 報文進行檢查是否符合本地的認證信息。 VRRP 定義了兩種認證方式 ： 簡單字符認證 (Simple Text Passwords)和 MD5 認證。通過將同一備份組的各個路由器 VRRP 認證方式設(shè)置成相同 (相同認證類型和認證字 )保證 BACKUP 只接受真正 MASTER 的報文。在一個安全的網(wǎng)絡(luò)中，可以將認證方式設(shè)置為不認證，路由器對要發(fā)送的 VRRP 報文不進行任何認證處理，而收到 VRRP 報文的路由器也不進行任何認證就認為是一個真實的、合法的 VRRP 報文。這種情況下，不需要設(shè)置認證字。在一個有可能受到安全威脅的網(wǎng)絡(luò)中，可以將認證方式設(shè)置為SIMPLE，則發(fā)送 VRRP 報文的路由器就會將 認證 字填入 到 VRRP 報文中， 而收到的 VRRP 報文的路由器會將收到的 VRRP 報文中的認證字和本地配置的認證字進行比較，相同則認為是真實的、合法的 VRRP 報文，否則認為是一個非法的報文，將予丟棄。在這種情況下，應(yīng)當設(shè)置長度為不超過 8 位的認證字。在一個非常不安全的網(wǎng)絡(luò)中，可以將認證方式設(shè)置為 MD5，則路由器就會利用認證報頭 (Authentication Header)[7]提供的認證方式和 MD5 算法來對 VRRP 報文進行認證。這種情況下，應(yīng)當設(shè)置長度為不超過 8 位的認證字，對于沒有通過認證的報文將做丟棄處理。 動態(tài)路由發(fā)現(xiàn)機制分析 VRRP 相對于一些動態(tài)路由發(fā)現(xiàn)機制的優(yōu)勢值得探討，簡單分析如下。 (l) 代理 ARP 代理 ARP 要求在主網(wǎng)絡(luò)采用 ARP 協(xié)議進行 IP地址到物理地址映射時，當本地網(wǎng)絡(luò)上各臺主機調(diào)用 ARP 解析遠端網(wǎng)絡(luò)上主機的物理地址時，網(wǎng)關(guān) G 代替主機響應(yīng)，給出的物理地址是 G 本身的物理地址，由 G 來應(yīng)答。而網(wǎng)關(guān) G 要求對隱藏網(wǎng)絡(luò)的各主機了如指掌，這樣所有進入隱藏網(wǎng)絡(luò)的數(shù)據(jù)報文都先送到網(wǎng)關(guān) G，網(wǎng)關(guān) G 在將報文 11 送往應(yīng)該到達的主機，同樣網(wǎng)關(guān) G 也掌握主網(wǎng)絡(luò)上的主機，以便對外出的數(shù)據(jù)進行合適的操作。在代理 ARP機 制中，主機是一個動態(tài)學(xué)到路由器 MAC 的過程，這可以視作一種路由發(fā)現(xiàn)機制。但是這種路由發(fā)現(xiàn)非常不靈活，試想網(wǎng)關(guān) G 現(xiàn)在 down 掉，主機將不能繼續(xù)訪問遠端網(wǎng)絡(luò)。而新的路由器的 MAC 并不能為主機所知，除非主機重新發(fā)起 ARP 請求。 (2) 動態(tài)路由協(xié)議 常見的一些路由協(xié)議比如 OSPF[8]， RIF 非常復(fù)雜，而且適應(yīng)網(wǎng)絡(luò)拓撲結(jié)構(gòu)的收斂速度其實是比較慢的，滿足不了用戶需要。而且在管理開銷、設(shè)備處理效率和安全性等方面面臨著很多問題。 所 以路由協(xié)議并不能替代 VRRP。 (3) ICMP Router Discovery IRD 監(jiān)聽網(wǎng)絡(luò)中的路由組播的 hello 消息，當一 定時限未收到 hello 消息時換用其他的路由器。缺點是時間過長，一般要 7～ 10 分鐘，生命周期 30 分鐘。這顯然也是無法滿足用戶需要的。 (4) DHCP DHCP[8]本身是一種強大的動態(tài)主機配置協(xié)議，可以從遠端傳遞各種網(wǎng)絡(luò)配置參數(shù)。比如可以配置 IP 地址 +網(wǎng)關(guān)。但是， DHCP 沒有網(wǎng)關(guān)主動切換的能力。 綜上所述， VRRP 相比各種機制的優(yōu)點有 ： 配置簡單，開銷低 ； 備份過程是由路由器自動進行選舉，對于主機而 言不可見。換言之主機在理論上完全不受路由器切換的影響 ； 高效靈活，反應(yīng)迅速； 協(xié)議本身簡單，易于實現(xiàn)。 但是 VRRP 協(xié)議看似簡單，其實涉及甚廣，要想很好地實現(xiàn)和應(yīng)用，都需要花一番工夫。下面介紹一下 VRRP 的常見組網(wǎng)應(yīng)用。 4 VRRP的 應(yīng)用及 配置 VRRP 應(yīng)用 最典型的 VRRP 應(yīng)用 ： RA、 RB 組成一個 VRRP 路由器組，假設(shè) RA的處理能力高于RB，則將 RA 配置成 IP 地址所有者， Hl、 H H3 的默認網(wǎng)關(guān)設(shè)定為 RA。則 RA 成為MASTER，負責 ICMP 重定向、 ARP應(yīng)答和 IP 報文的轉(zhuǎn)發(fā) ； 一旦 RA失敗， RB立即啟動 12 切換，成為 MASTER，從而保證了對客戶 透明的安全切換。 在 VRRP 應(yīng)用中， RA在線時 RB只是作為 BACKUP，不參與轉(zhuǎn)發(fā)工作，閑置了路由器 RB和鏈路 LB。通過合理的網(wǎng)絡(luò)設(shè)計，可以到達備份和負載分擔的雙重效果。讓 RA、RB 同時屬于互為備份的兩個 VRRP 組 ： 在組 1 中 RA 為 IP 地址所有者 ： 組 2中 RB 為IP地址所有者。將 Hl 的默認網(wǎng)關(guān)設(shè)定為 RA； H H3的默認網(wǎng)關(guān)設(shè)定為 RB。這樣，既分擔了設(shè)備負載和網(wǎng)絡(luò)流量，又提高了網(wǎng)絡(luò)可靠性。 使用 VRRP 協(xié)議，不用改造目前的網(wǎng)絡(luò)拓撲結(jié)構(gòu)，最大限度節(jié)約了投資成本，只需較少的管理費用，卻大大提升了網(wǎng)絡(luò)的可靠性和可用性 ，具有重大的應(yīng)用價值。 VRRP 協(xié)議本身需要配合動態(tài)路由協(xié)議使用，才能達到較好的冗余特性。另外簡單的二層交換機可能會對 VRRP 的組播組地址不識別而導(dǎo)致 VRRP 異常，這 個在使用交換機的時候需要特別注意 。 VRRP 配置 以下這些配置都是在銳捷 R2600 路由器上實現(xiàn)的。 在圖 ，在路由器 R1與 R2上配置了 VRRP備份組來為內(nèi)部網(wǎng)段 /24提供 VRRP服務(wù)，而在路由器 R3 上沒有配置 VRRP 而只是配置了普通路由功能。下面將 給出路由器 R1與 R2 的 VRRP 相關(guān)配置 [9][10]和 R3 的普通配置。 13 圖 建立 VRRP環(huán)境的網(wǎng)絡(luò)連接示意圖 在下面的配置示例中，路由器 R3 的配置是不變的。下面給出路由器 R3 的配置 ： routeraen 14 進入特權(quán)用戶模式 Password: 輸入密碼 routeraconfig t 進入全局配置模式 Enter configuration mands, one per line. End with CNTL/Z. routera(config)hostname R3 更改路由器名為 R1 R3(config)interface fastether1/0 配置接口 FE0 R3(configif)ip address 設(shè)置 FE0 的 IP地址 R3(configif)no shutdown 激活當前接口 R3(configif)exit 返回上一級 R3(config)int f1/1 配置接口 FE1 R3(configif)no shutdown 激活當前接口 R3(configif)ip address 設(shè)置 FE0 的 IP地址 R3(configif)exit 返回上一級 R3(config)router ospf 啟動 OSPF 路由協(xié)議 R3(configrouter)work area 0 設(shè)置發(fā)布路由 R3(configrouter)work area 0 R3(configrouter)end R3 14 R3show ip route 顯示路由信息 Codes: C connected, S static, R RIP O OSPF, IA OSPF inter area N1 OSPF NSSA external type 1, N2 OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2 * candidate default Gateway of last resort is no set C , FastEther 1/1 C O [110/2] via , 00:00:17, FastEther 1/1 C , FastEther 1/0 C R3 VRRP 單備份組配置 按照圖 建立連接。在這個配置示例中，用戶工作站群 ()使用路由器 R1 與 R2 組成的備份組，并將其網(wǎng)關(guān)指向該備份組設(shè)置的虛擬路由器的IP地址 ，經(jīng)由虛擬路由器 訪問遠程用戶工作站群(其工作網(wǎng)絡(luò)為 /24)。在這里 R1 被設(shè)置成 VRRP 的 Master 路由器。正常情況下，路由器 R1 作為活動路由器提供網(wǎng)關(guān) ()的功能。 一旦路由器 R1 失效，將由 路由器 R2來承擔虛擬路由器的路由轉(zhuǎn)發(fā)功能，由此實現(xiàn)了簡單路由冗余。對于網(wǎng)絡(luò)用戶來說，只看得到虛擬路由器 并不關(guān)心 R1 和R2誰在工作，誰是 MASTER，誰是 BACKUP。 下面分別給出路由器 R1 與 R2的相關(guān)配置。 配置 IP 地址、路由協(xié)議、 VRRP 路由器 R1 的配置： Router2624en Password: Router2624config t Enter configuration mands, one per line. End with CNTL/Z. Router2624(config)hostname R1 R1(config)interface fastether0 R1(configif)no shutdown R1(configif)ip address R1(configif)vrrp 1 ip 啟用 VRRP 15 R1(configif)vrrp 1 priority 120 設(shè)置 VRRP 備份組 1 的優(yōu)先級 為 120，默認為 100 R1(configif)vrrp 1 timers advertise 3 設(shè)置主路由器 VRRP 廣告間隔 ，可以有效防止路由組播風暴 R1(configif)vrrp 1 authentication string 設(shè)置 VRRP 的驗證字符串 ，可以加強 VRRP 的安全性 R1(configif)exit R1(config)int f1 R1(configif)no shutdown R1(configif)ip address R1(configif)exit R1(config)router ospf 120 R1(configrouter)work area 0 R1(configrouter)work area 0 R1(configrouter)exit R1(config)end R1show vrrp brief 查看當前的 VRRP 狀態(tài) Interface Grp Pri Time Own Pre State Master addr Group addr FastEther0 1 120 P Master R1 R1show ip route Codes: C connected, S static, R RIP O OSPF, IA OSPF inter area E1 OSPF external type 1, E2 OSPF external type 2 Gateway of last resort is not set , 1 subs O [110/2] via , 0