《vrrp协议详解》由会员分享,可在线阅读,更多相关《vrrp协议详解(65页珍藏版)》请在金锄头文库上搜索。
1、 1 姓名:边冬松 工号:01023 综合测试支持部 VRRP协议 综合测试支持部 n 理解VRRP的基本概念 n 掌握VRRP的基本工作原理 n 掌握我司设备VRRP特性 n 解释使用VRRP过程中遇到的一些问题 课程目标 学习完本课程,您应该能够: n VRRP的产生 n VRRP的原理 n 我司VRRP的特性 n 使用VRRP时的常见问题 目录 5 VRRP的产生 6 l 对于局域网中的端主机,存在多种方法可以使其 知道它的第一跳路由器地址,其中包括: 运行某种动态路由协议,比如运行RIP或者OSPF 配置ICMP Router Discovery Protocol(IRDP) 配置静态
2、缺省路由,即配置网关。 VRRP的产生 7 l 采用动态路由协议,由于管理开销、处理开销、安 全原因以及在某些平台上不支持等原因而不现实。 设想:在一个网络上的所有主机都运行邻居或者路由发现 协议,往往主机数量都非常庞大,这样就不得不使用较大 的定时器值以减小协议开销,而这又会给检测死亡邻居过 程带来明显的延迟,最终导致长得不可接受的“黑洞”时间 。 VRRP的产生 8 VRRP的产生 9 l 在实际应用中,使用配置静态缺省路由,即在主 机配置网关的方法相当普遍,这种方法具有最小 化的配置和运行开销,并且被所有基于IP的应用 所支持。 但是,这种方法也有缺点,即增加了单点故障的可能性 。缺省路
3、由器的不可用将带来灾难性的结果:当缺省路 由器失效时,所有相连的端主机将由于不能检测到可以 替换的其他可用路径而造成网络中断。 VRRP的产生 10 l 综合以上两种方法存在的问题,设计产生了虚拟 路由器冗余协议(VRRP),采用了静态缺省路 由的方法,并且很好的避免了单点故障。 协议定义的选举过程提供了一个当负责转发的主路由器 失效时,备份路由器可以接替负责转发的动态容错机制 。VRRP协议的这一优点使得每一个端主机不用配置任 何动态路由协议或者路由发现协议,就可以获得更高的 可靠性。 VRRP的产生 n VRRP的产生 n VRRP的原理 n 我司VRRP的特性 n 使用VRRP时的常见问
4、题 目录 12 l VRRP全称Virtual Router Redundancy Protocol (虚拟路由器冗余协议)。 简单来说,VRRP是一种容错协议,它保证当主机的下一 跳路由器坏掉时,可以及时的由另一台路由器来代替, 从而保持通讯的连续性和可靠性。 概述 13 l 虚拟路由器 VRRP协议管理的抽象对象,可以由虚拟路由器标 识(VRID)和一组IP地址来定义 l 虚拟路由器的主路由器 负责转发发往虚拟路由器IP地址的报文,响应虚拟 路由器IP地址ARP请求 l 虚拟路由器的备份路由器 当主路由器失效时,接替主路由器 VRRP基本概念 14 l虚拟路由器的IP Address 虚拟
5、路由器使用的IP地址,可以用其接口上的真实地 址作为虚拟路由器的IP地址 ,也可以单独配置一个IP 地址 l虚拟路由器的MAC地址 00-00-5e-00-01-xx ,00 00 5E 由IANA分配。00 01 为分配给VRRP协议的地址块。xx为VRRP虚拟路由器 标识。该映射在一个网络中提供最多255个VRRP路由 器组。 VRRP相关概念 15 l VRRP协议只有一种报文,即主路由器定时向 其它成员发送的组播报文。 l VRRP协议报文封装在IP报文中,通过组播方 式进行发送。 VRRP报文结构 16 VRRP报文结构 17 l Version 版本号 报文中的version字段指
6、VRRP协议版本 ,目前普遍应用 的为版本 2 l Type 类型 type字段定义了VRRP报文的类型。本版本的协议仅定 义了一个报文类型: 1 ADVERTISEMENT 通告, 带有未知类型的报 文将被丢弃 VRRP报文 18 l Virtual Rtr ID (VRID) 虚拟路由器标识(VRID)字段标识了此报文所报告状态 的虚拟路由器。可配置的范围是1-255。没有缺省值。 l Priority Priority字段申明了发送此报文的VRRP路由器的优先级 。值越高优先级越高。该字段为8位无符号整型。缺省的 VRRP路由器优先级为100。 注:如果VRRP路由器是虚拟路由器地址的I
7、P地址所有者,那么其优先级必 须为255。优先级值0 用于指示当前虚拟路由器的主路由器停止参与VRRP 组。主要用于触发备用路由器快速地迁移到主路由器,而不用等待当前主 路由器超时。 VRRP报文 19 l Authentication Type 认证类型 认证类型字段用于标识要用到的认证方法。在一个虚拟 路由器组内认证类型是唯一的。认证类型字段是一个8位 无符号整型。如果报文携带未知的认证类型或者该认证 类型和本地配置的认证方法不匹配,那么该报文必须被 丢弃。 目前定义的认证方法有: 0 - No Authentication 不认证 1 - Reserved 保留 2 - Reserved
8、 保留 VRRP报文 20 l Authentication Data 验证字 验证字,目前只有明文认证才用到该部分,对于其它认 证方式,一律填0。 收到未知验证类型,或者错误验证字都会丢弃 VRRP报文 21 l Advertisement Interval VRRP通告间隔时间,单位为秒。缺省为1秒。这个字段 主要用于错误配置路由器时的故障定位和解决。 l Checksum 校验和字段用于检测VRRP消息的数据是否出错。 l IP Address IP 地址字段为虚拟路由器的一个或者多个IP地址。IP地 址的数量在“Count IP Addrs”字段中说明。IP地址字段 用于错误配置路由器
9、时的故障定位和解决。 VRRP报文 22 l VRRP报文的源MAC 00-00-5e-00-01-xx l VRRP报文的目的MAC 01-00-5e-00-00-12 VRRP报文的二层封装 23 l 源地址 报文被发出的接口的主IP地址 l 目的地址 IANA给VRRP分配的IP组播地址为224.0.0.18。这是一 个本地范围的组播地址。不论TTL的值是多少,路由器 都被 禁止转发以此地址为目标地址的报文。 l TTL TTL必须为255。当VRRP路由器收到TTL不等于255的 VRRP 协议报文后,必须 丢弃。 l 协议号 IANA分配给VRRP的IP协议号为112(十进制) 一般
10、抓包时显示0X70(十六进制) VRRP报文的三层封装 24 l 抓包结果 VRRP报文 25 VRRP组播报文的TTL为何是255 ? 一个问题 26 VRRP组播报文是用来在备份组中路由器之 间维护Master/Backup关系的,只在本网 段进行传播,不能被路由器转发。根据这 些条件,VRRP组播报文的TTL设成1就可 以了。但是,RFC2338规定VRRP组播报 文的TTL必须是255,TTL不等于255的报 文将被丢弃。这种设计主要是从安全方面 考虑的。VRRP可以通过明文或MD5认证来 保证安全,但是无论哪种认证方式都会消 耗一些资源。在本网段的安全可以得到保 证的情况下,攻击主要
11、来自其它的网段, 将TTL设定为255而不必使用认证就可以轻 松应对这样的攻击。因为来自其它网段的 报文要经过路由器转发,TTL必然小于255 。 答案 27 l 优先级为255 VRRP报文 l 优先级为0 28 l 多IP地址 VRRP报文 l 明文验证 29 l VRID 虚拟路由器标识。可配置的范围在1-255(十进制)。 没有缺省值。 l Priority 优先级参数用于在一组VRRP路由器中选举主路由器。 255 被保留给拥有虚拟路由器IP地址的IP地址所有者。0 被保留给主路由器指示其将放弃虚拟路由器的Master的 责任。虚拟路由器的备用路由器可以使用1-254(十进 制)的优
12、先级。缺省值为100。 l IP_Addresses 虚拟路由器的IP地址,一个或者多个,可配置,没有缺 省值。 VRRP的3个参数 30 l Advertisement_Interval 主路由器发送VRRP组播报文的时间间隔,缺省为1秒, 用户可修改。 l Master-down-interval 间隔时间是adver-interval的3倍 Skew_Time 。 l Preempt_delay 抢占时间延迟,默认为0,即立即抢占。 l Skew_Time skew Master_Down_Interval 单位为秒。计算方法为 : (256-优先级)/256 4个计时器 31 l Pr
13、eempt_Mode 抢占模式,控制具有更高优先级的备用路由器可否抢占 具有较低优先级的主路由器,使自己成为Master。当值 为真时,允许抢占;当值为假时,禁止抢占。缺省值为 真。 注意:存在的例外情况是,虚拟路由器IP地址拥有者的 路由器总是抢占的,并且独立于该标志位的设置。 1个模式 32 l 组成虚拟路由器的路由器会有三种状态机,分别 是: Initialize Master Backup VRRP的状态机 33 VRRP的状态机 INITIALIZE MASTER BACKUP 收到一个比自己本地的优先级 大的ADVERTISEMENT报文 MASTER_DOWN_TIMER到时 收
14、到ShutDown消息 收到Startup,且优先级为255 收到Startup,且优先级小于255 收到ShutDown消息 34 l Initialize 系统启动后进入此状态,当收到接口startup的消息,将 转入Backup或Master状态(优先级为255时)。在此状 态时,不会对VRRP报文做任何处理。 VRRP的状态机 35 l Master 定期发送VRRP通告消息。 响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC 地址,而不是接口的真实MAC地址。 转发目的MAC地址为虚拟MAC地址的IP报文。 如果它是这个虚拟IP地址的拥有者(IP Address Owner )
15、,则接收目的IP地址为这个虚拟IP地址的IP报文。否 则,丢弃这个IP报文。 在Master状态中只有接收到比自己的优先级大的VRRP 报文时,才会转为Backup,当接收到接口的Shutdown 事件时,转为Initialize。 VRRP的状态机 36 l Backup 当路由器处于BACKUP状态时,它将会做下列工作: 接收Master发送的VRRP广播报文,从中了解Master。 对虚拟IP地址的ARP请求,不做响应。 丢弃目的MAC地址为虚拟MAC地址的IP报文。 丢弃目的IP地址为虚拟IP地址的IP报文。 接收到VRRP报文后: 如果收到报文的优先级为0 将状态设置为Master,开始发送报文 如果收到报文优先级小于本地优先级 而且 本地设置了抢 占方式,一段时间后转为Master状态 VRRP的状态机 37 l Backup 否则正常接收,对定时器进行重置 处于Backup状态的设备,当3adver_interval(256 - Priority) / 256时间没有收到Master发来的VRRP报文, 则认为当前的Master已经Down掉,将自己转为Master 状态,发送VRRP报文 VRRP的状态机 38 根据优先级的大小挑选主路由器,优先级最大的为主路由 器,若优先级相同,则比较接口的主IP地址,主IP地址大 的就成为主路
