收藏
下载资源

神舟数码vrrp原理综述

上传人:ji****n 文档编号:45691944 上传时间:2018-06-18 格式:DOC 页数:19 大小:376.50KB
返回 下载 相关 举报
神舟数码vrrp原理综述_第1页
第1页 / 共19页
神舟数码vrrp原理综述_第2页
第2页 / 共19页
神舟数码vrrp原理综述_第3页
第3页 / 共19页
神舟数码vrrp原理综述_第4页
第4页 / 共19页
神舟数码vrrp原理综述_第5页
第5页 / 共19页
点击查看更多>>
资源描述

《神舟数码vrrp原理综述》由会员分享,可在线阅读,更多相关《神舟数码vrrp原理综述(19页珍藏版)》请在金锄头文库上搜索。

1、VRRP 综述和需求分析引言本文档是 VRRP 的综述和需求分析文档,概述 VRRP 的功能和概念,分析 VRRP 的报 文格式以及 VRRP 中的状态转换,描述 VRRP 应用于路由器或交换机中所必须实现的命令, 对 VRRP 要实现的功能和配置做需求分析。 VRRP 可以应用于 Multi-access,Multicast,或 Broadcast 网络上,本文只描述在以太网 上实现 VRRP,对于在 FDDI、TokenRing 等其他形式的网络不作描述,同时只考虑 IP 网 络时的情况,而不考虑 IPX、AppleTalk 等其他协议。系统概述VRRP 和以下模块存在接口关系:IP,CL

2、I 和配置系统。 IP 识别接收到的 VRRP 报文,然后传给 VRRP 子系统进行处理;VRRP 子系统发送 VRRP 报文时,传给 IP 进行处理。基本概念和定义终端可以使用多种方法决定它们到特定 IP 地址的第一跳。目前常用的方法有两种:一 种是动态学习,如代理 ARP、路由协议(RIP 和 OSPF)以及 IRDP(ICMP Router Discovery Protocol) 、DHCP;另一种是静态配置。在每一个终端都运行动态路由协议是不 现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收 敛度、安全性等许多问题的限制。因此普遍采用对终端 IP 设备静态

3、路由配置,一般是给终 端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复 杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器 损坏,所有使用该网关为下一跳主机的通信必然要中断。采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称 VRRP)可以很好的避免静态指定网关的这种缺陷。VRRP 的优点就是它有更高的实用性,并且它无须在每个终端都配置动态路由或寻找路由的协议。在 VRRP 协议中,有两组重要的概念:VRRP 路由器(VRRP Router)和虚拟路由器 (Virtua

4、l Router),主控路由器(Virtual Router Master)和备份路由器(Virtual Router Backup)。 VRRP 路由器是指运行 VRRP 协议的路由器,是物理实体。虚拟路由器是指 VRRP 协议创 建的,是逻辑概念。一组 VRRP 路由器协同工作,共同构成一台虚拟路由器。该虚拟路由 器对外表现为一个具有唯一固定 IP 地址和 MAC 地址的逻辑路由器。处于同一个 VRRP 组 中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个 VRRP 组中有且只有一 台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP 协议使用 选择策略从路由

5、器组中选出一台作为主控,负责 ARP 和转发 IP 数据包。当由于某种原因 主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换过 程非常迅速而且不用改变 IP 地址和 MAC 地址,故对终端使用者系统是透明的。TABLE 2-1. 保护网关路由器的各种方法保护网关路由器的各种方法方法方法优点优点缺点缺点Dynamic Routing(RIP/OSPF)flexible: different failover hierarchies can be established more failure points protectedrequires routing soft

6、ware in the hosts demanding on the hosts challenging to administer security concernsICMP Discovery(IRDP)may come with new IP stacks in the hostsrequires discovery software in the hosts with older IP stacks-not responsive, may lead to black holesProxy ARPno special software required in the hostnot re

7、psonsive, may lead to black holes-may require rebooting of the hostsDHCP does not help with failoverVRRP with Static Routingstatic route configuration commonly available with TCP/IP does not require any special software in the host based on an industry standard-responsive or can be fine-tuned to be

8、responsiveprotects only the default routers-local interface but mechanism extendable to trigger a switch over in the case of other interfaces applicable only to IP networks, -but other protocols such as IPX on a VRRP interface able to be piggy-backed with IP for VRRP主要工作过程下图表示由三个 VRRP 路由器组成的构成一台虚拟路由

9、器的过程。在这个例子中,路 由器 A,B 和 C 都是 VRRP 路由器,他们组成了一台虚拟路由器。该虚拟路由器的 IP 地 址和路由器 A 的以太接口地址(10.0.0.1)一致。图 1: VRRP 虚拟路由器示例 1 因为虚拟路由器使用 ROUTER A 的以太口的 IP 地址, 因此 ROUTER A 被认为是主控 路由器(Virtual Router Master) 。作为主控路由器,ROUTER A 控制虚拟路由器的 IP 地址, 并对发往该 IP 地址的报文进行转发。CLIENT 1 到 3 配置的缺省网关的 IP 地址都 是 10.0.0.1。而 Router B 和 Route

10、r C 被认为是备份路由器(Virtual Router Backup) 。 如果主 控路由器失败,配置优先级较高的备份路由器将成为新的主控路由器,对 LAN 主机提供 不中断的服务。当原主控路由器 A 回复后,它会重新成为主控路由器。 注意到在此例子中,ROUTER B 和 C 的 IP 地址只作为路由器本身的接口地址,并没 有被别的路由器备份。为了达到可以互相备份的效果,引入另外一种 LAN 拓扑结构:图 2: VRRP 虚拟路由器示例 2 在这个拓补结构中,两个虚拟路由器被配置。两台路由器共享从 CLIENT 1 到 CLIENT 4 的流量。ROUTER A 和 B 互相充当对方的备份

11、路由器。对于虚拟路由器 1, ROUTER A 是 IP 地址 10.0.0.1 的拥有者和主控路由器, 同时是 ROUTER B 的备份路由器。 CLIENT 1 和 2 配置的缺省 IP 地址为 10.0.0.1。对于虚拟路由器 2, ROUTER B 是 IP 地址 10.0.0.2 的拥有者和主控路由器, 同时是 ROUTER A 的备份路由器。 CLIENT 3 和 4 配置 缺省网关 10.0.0.2。由此可以到达备份和负载分担双重效果。这样,既分担了设备负载和网 络流量,又提高了网络可靠性。工作原理一个 VRRP 路由器有唯一的标识:VRID,范围为 0-255。该路由器对外表现

12、为唯一的 虚拟 MAC 地址,地址的格式为 00-00-5E-00-01-VRID(按 Internet 标准的 16 进制的 Bit 顺序) 。前三个 octets 是从 IANAs OUI 得出,接下来的两个 octets (00-01)表示分配给 VRRP 协议的地址块。这种映射方法可以使一个网络上能够有多达 255 个 VRRP 路由器。 主控路由器负责对 ARP 请求用该 MAC 地址做应答。这样,无论如何切换,对于终端设备 是透明的。VRRP 控制报文只有一种:VRRP 通告(advertisement)。它使用 IP 多播数据包进行封 装,组地址为 224.0.0.18,发布范围

13、只限于同一局域网内。这保证了 VRID 在不同网络中可 以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送 VRRP 通告报文。 备份路由器在连续三个通告间隔内(skew_time 也产生优先级的影响)收不到 VRRP 或收 到优先级为 0 的通告后启动新的一轮 VRRP 选举。先介绍两个概念:若某个 VRRP 路由器的接口 IP 地址和虚拟路由器的 IP 地址相同, 则称该路由器为 VRRP 组中的 IP 地址所有者;This is the router that, when up, will respond to packets addressed to one of the

14、se IP addresses for ICMP pings, TCP connections, etc. Primary IP Address:从一组真正的接口地址中选择出的一个 IP 地址。一个可能的算法是总 是选择第一个地址。VRRP 的通告报文总是用 Primary IP 地址作为 IP 包的源 IP。 在 VRRP 路由器组中,按优先级选举主控路由器,VRRP 协议中优先级范围是 0- 255。IP 地址所有者自动具有最高优先级:255。优先级 0 一般用在 IP 地址所有者主动放弃 主控路由器角色时使用。可配置的优先级范围为 1-254。优先级的配置原则可以依据链路 的速度和成本、

15、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优 先级的虚拟路由器获胜,因此,如果在 VRRP 组中有 IP 地址所有者,则它总是作为主控路 由器的角色出现。对于相同优先级的备份路由器,按照 IP 地址大小顺序选举。VRRP 还提 供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级 的主控路由器而成为新的主控路由器。 为了保证 VRRP 协议的安全性(RFC2338,对于新的 Draft 则取消了该项) ,提供了两 种安全认证措施:明文认证和 IP 头认证。明文认证方式要求:在加入一个 VRRP 路由器组 时,必须同时提供相同的 VRID 和明文密码

16、。适合于避免在局域网内的配置错误,但不能 防止通过网络监听方式获得密码。IP 头认证的方式提供了更高的安全性,能够防止报文重 放和修改等攻击。报文结构VRRP 的报文位于 MAC Header 和 IP Header 之后,MAC header IP header VRRP message该结构中某些重要 IP 域解释如下: Source IP Address:一个 32 比特的域,存放主控路由器连接到 LAN 上的接口的 Primary IP 地址。 Destination IP Address:一个 32 比特的域,存放发送 VRRP 通告时的多播地址,该地 址为 224.0.0.18,一个虚拟路由器组中的所有路由器都接收该多播地址。 Time to Live(TTL):一个 8 比特域,该域的值必须为 255,如果接收到的 VRRP 报文 里 TTL 值不等于 255,则要丢弃该报文。这是安全机制的一种。 Protocol:一个 8

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 初中教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号