VRRP
VRRP前言
随着网络应用的不断深入和发展,用户对网络可靠性的需求越来越高。保证网络可靠性的措施:1)网络中路由器运行动态路由协议如RIP、OSPF可以实现网络路由的冗余和备份。2)网络边缘终端用户运行一个动态路由协议来实现可靠性是不行的。一般企业局域网通过路由器连接外网,局域网内的用户主机通过配置默认网关来于外部网络实现通信,因此局域网的默认网关/路由需要实现可靠性(冗余和备份即高可用)。
终端目前一般使用两种方法决定它们到特定IP地址的第一跳。
- 1)第一种方法:动态学习:如代理ARP、路由协议(RIP和OSPF)以及IRDP(ICMP Router Discovery Protocol)、DHCP
- 2)第二种方法:静态配置:在每个终端运行动态路由协议是不现实的,大多数客户端OS都不支持动态路由协议,即使支持也受到诸多限制。因此目前普遍采用对终端IP设备静态路由配置,一般是给终端指定一个或者多个默认网关(Default Gateway)。但是这种静态配置却有一个缺点:作为静态网关的路由器损坏,所有使用该网关为下一跳的主机通信必然中断。
虚拟路由冗余协议(Virtual Router Redundancy Protocol ,即VRRP)可以解决上述指定的静态网关单点故障的问题。
VRRP协议解析
在VRRP协议中有两组重要的概念:VRRP路由器(VRRP Router)和虚拟路由器(Virtual Router)、主控路由器(Virtual Router Master)和备份路由器(Virtual Router Master Backup)。
- VRRP路由器是指运行VRRP协议的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是一组逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器,该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器,处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器。一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器,VRRP协议使用选择策略从路由器组中选出一台作为Master Router,负责ARP和转发IP数据包。当由于某种原因Master Router发生故障时,Backup Router能在几秒的时间延迟升级为Master Router。由于此切换过程非常迅速而且不用改变IP地址和MAC地址,这样就解决了静态网关的单点故障。
主要工作过程
LAN拓扑一:
1)图示:
2)说明:
-
由三个VRRP路由器构成的一台虚拟路由器。其中路由器A、B、C都是VRRP路由器,它们构成了一台虚拟路由器,该虚拟路由器的IP地址和路由器A的以太网接口地址(10.0.0.1)一致。
-
因为虚拟路由器使用RouterA的以太网口的IP地址,因此RouterA为主控路由器(Virtual Router Master),作为主控路由器,RouterA控制虚拟路由器的IP地址,并对发往改IP地址的数据报文进行转发,client1~client3的默认网关IP均指向10.0.0.1。
-
RouterB和RouterC则是此虚拟路由器中的备份路由器(Virtual Router Backup)。如果Virtual Router Master故障,配置优先级较高的Virtual Router Backup将成为新的Virtual Router Master,对LAN主机提供不中断的转发服务。默认当原Virtual Router Master即RouterA修复之后,它会重新成为Virtual Router Master(抢占式)。
-
注意:上述LAN拓扑中,RouterB和RouterC的IP地址只作为路由器本身的接口地址,并没有被识别到路由器备份。为了可以达到相互备份的效果,引入另外一种LAN拓扑结构。
LAN拓扑二:
1)图示:
2)说明:
- 互为主备、分担设备负载和网络流量
工作原理
1)一个VRRP路由器具有一个唯一的标识:VRID,范围0-255。该路由器对外表现为唯一的MAC地址,地址格式为00-00-5E-00-01-{VRID}。(按Internet标准的16进制的Bit顺序)。前三个octets是从IANA’s OUI得出,接下来的两个octets (00-01)表示分配给VRRP协议的地址块。这种映射方法可以使一个网络上能够有多达255个VRRP路由器。主控路由器负责对ARP请求用该MAC地址做应答。
2)VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内(skew_time也产生优先级的影响)收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
安全考虑
1)VRRP目前不包含任何类型的认证。以前的版本含有从无到强的多种认证方式,运行经验和进一步的分析已经表明,认证并没有能够提供真正有效的安全措施,由于VRRP协议的性质,无法预防不正确的用户配置或防止恶意的路由器成为主控路由器。一般来说,由于LAN的性质,LAN中的任意设备都能够破坏各种通讯。所以在本规范中去掉了多余的认证。
2)在认证方式之外,VRRP包含了一种机制可以使VRRP报文免于被来自其他远程网络的篡改和攻击(设置TTL=255,接收时进行检查)。
3)VRRP不提供任何加密。加密对于VRRP的正确运行没有必要,而且,VRRP消息中不包含需要加密的信息,其内容对于LAN中的所有节点都是public的。
VRRP-网络层实现
2644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
