HSRP.VRRP.GLBP-介绍和区别

HSRP.VRRP.GLBP介绍和区别  

HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）

实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。

特点：

     1. 高度的可靠性，两台路由器之间采用HSRP（热备份冗余协议）协议，来保证两台路由器中的任意一台down掉，或路由器的广域网口down，都会迅速切换到另外一台。

     2.有效实现了负载均衡，充分利用了带宽资源，实现了负载均衡。

　　 3.不存在单点故障问题。

VRRP： 虚拟路由器冗余协议 （Virtual Router Redundancy Protocol）

虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。 使用 VRRP ，可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址（这个备份路由器就成为了主路由器）。

VRRP 也可用于负载均衡。 最典型的VRRP应用：A、B组成一个VRRP路由器组，假设B的处理能力高于A，则将B配置成IP地址所有者，H1、H2、H3的 默认网关设定为B。则B成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦B失败，A立即启动切换，成为主控，从而保证了对客户透明的安全切换。

如下图： 在VRRP应用中，A在线时B只是作为后备，不参与转发工作，闲置了路由器A和链路。通过合理的网络设计，可以到达备份和负载分担双重效果。如下图：让A、B同时属于互为备份的两个VRRP组：在组1中A为IP地址所有者；组2中B为IP地址所有者。将H1的默认网关设定为 A；H2、H3的默认网关设定为B。这样，既分担了设备负载和网络流量，又提高了网络可靠性。

GLBP：网关负载均衡协议（Gateway Load Balancing Protocol）

大家都知道HSRP,VRRP只有一个虚拟的网关地址，一个虚拟的MAC地址，同时只能有一个物理端口处于ACTIVE状态，其他物理端口都处于 stadby/backup状态。GLBP是一个类似于HSRP，VRRP的虚拟网关协议，和HSRP，VRRP不一样的是GLBP组可以同时使用多个物理端口进行数据转发,从而达到网关的备份与负载均衡。

GLBP是如何达到网关备份与负载均衡的呢？

1. 提供一个统一的虚拟IP实现网关的热备份：这个IP分配给加入到GLBP组中的所有路由器，当中一个作为ACTIVE的路由器（AVG）为所有发到这个虚拟IP的数据包进行转发。其中一台路由器一直处于standby状态（SVG），假若有其他剩余的路由器将延于Listen状态，当主路由器停止工作时自动切换。

2. 提供虚拟MAC地址实现负载均衡：Active virtual gateway（AVG）负责为组里的每个路由器分配虚拟的MAC地址，同时负责响应虚拟IP的请求，根据负载均衡的算法分配不同的虚拟MAC匹配这个虚拟IP，实现负载均衡。 假如有r1,r2,r3三台路由器在共享同一网段192.168.0.0/24，IP分别为192.168.0.1/24,192.168.0.2 /24,192.168.0.3/24,因此，你可能配置192.168.0.254/24作为虚拟网关。在这三台路由器中，哪台将成为AVG呢？我们可以使用glbp x priority x来设置r2作为AVG负责数据包的转发，配置r1为SVG，那么r3则为其他（处于listen状态）.这样，当r2（AVG）失效时，r1(SVG) 会马上顶替上来，达到网关的热备份。 有人也许会问，如果我想50%的流量发送到r1;20%的流量发送到r2;30%的流量发送到r3,这样有没有办法实现呢？答案当然是肯定的，让我们想像一下同一网段内主机通信的情况，在192.168.0.0/24上的每台主机都需要使用ARP协议把192.168.0.254/24这个IP的mac地 址解析出来，然后把数据封装成数据帧发送出去，这里面，我们就有文章可做了， HSRP和VRRP，只是把活动路由器的虚拟MAC地址响应给客户端主机，但GLBP可以把组内路由器的虚拟MAC地址 (192.168.0.254/24的虚拟MAC地址)响应给客户端主机，这样就可以做到负载的分担了，同时起用了GLBP的AVG路由器会执行负载均衡的算法，手工在不同的物理接口设置不同的权重值(如50,30,20)可以影响和调整负载均衡的效果。至此虚拟网关的备份与负载均衡已经介绍完了。

VRRP和HSRP之间区别

1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—-等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).

2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单，HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件，VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.

3.HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文/告辞(Resign)报文/突变(Coup)报文，VRRP有一种报文，广播报文，由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

4.HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口，向组播地址224.0.0.2 发送hello消息)。

5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证;简单的明文密码;使用MD5 HMAC ip认证的强认证;强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.

6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)

7.HSRP为私有，VRRP不支持接口跟踪机制