理解VRRP协议ppt课件

理解VRRP协议 贾振超044152006 08 15 VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性 理解VRRP协议 VRRP简介 VRRP VirtualRouterRedundancyProtocol 虚拟路由器冗余协议 由一台以上的路由器 三层交换机 虚拟成一台路由器的协议 增加链路可靠性的协议 RFC2338RFC3768中定义用于消除静态缺省路由环境中的单点故障每一个端主机不用配置任何动态路由协议或者路由发现协议就可以获得更高可靠性的缺省路径 VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性 理解VRRP协议 VRRP原理 典型的组网方式 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 IPaddress10 100 10 1 Internet ActualIPaddress10 100 10 11 ActualIPaddress10 100 10 12 ActualIPaddress10 100 10 13 ActualIPaddress10 100 10 14 X 如果出现网管单点故障 则内部网络全部中断 VRRP原理 使用VRRP的组网方式 单备份组 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 ActualIPaddress10 100 10 3 VirtualIPaddress10 100 10 4 Internet ActualIPaddress10 100 10 11 ActualIPaddress10 100 10 12 ActualIPaddress10 100 10 13 ActualIPaddress10 100 10 14 VRID1 Priority100 VirtualIP10 100 10 1 VRID1 Priority110 VirtualIP10 100 10 1 Master Backup 如果出现单台故障 但虚拟路由器仍然存在 链路基本不会受影响 X VRRP原理 使用VRRP的组网方式 多备份组 既实现了流量的分担 又增加了链路的可靠性 Gateway 10 100 10 1 Gateway 10 100 10 2 Gateway 10 100 10 1 Gateway 10 100 10 2 ActualIPaddress10 100 10 3 VirtualIPaddress10 100 10 4 Internet ActualIPaddress10 100 10 11 ActualIPaddress10 100 10 12 ActualIPaddress10 100 10 13 ActualIPaddress10 100 10 14 VRID1 Priority100 VirtualIP10 100 10 1VRID2 Priority100 VirtualIP10 100 10 2 VRID1 Priority110 VirtualIP10 100 10 1VRID2 Priority100 VirtualIP10 100 10 2 MasterBackup BackupMaster VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性 理解VRRP协议 VRRP的技术细节 VRRP路由器运行VRRP协议的路由器虚拟路由器VRRP协议管理的抽象对象 由ip地址VRID组成IP地址所有者与虚拟路由器IP相同的VRRP路由器 优先级是255 最高级别 虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文响应虚拟路由器IP地址ARP请求虚拟路由器的备份路由器当主路由器失效时 变成主路由器主IP地址从一个真实接口的地址集合中选出的IP地址 名词解释 VRRP的技术细节 名词解释 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 Gateway 10 100 10 1 ActualIPaddress10 100 10 3 VirtualIPaddress10 100 10 4 Internet ActualIPaddress10 100 10 11 ActualIPaddress10 100 10 12 ActualIPaddress10 100 10 13 ActualIPaddress10 100 10 14 VRID1 Priority100 VirtualIP10 100 10 1 VRID1 Priority110 VirtualIP10 100 10 1 Master Backup 虚拟路由器的VRID virtualrouteridentifier 用来标识虚拟路由器 取值范围1 255 虚拟路由器的MAC地址00 00 5e 00 01 xxxx为vrid值 00 00 5e 00 01 01 虚拟路由器的IPAddress虚拟路由器使用的ip地址 虚拟路由器的priority用来标识运行VRRP协议路由器对应VRID的优先级取值范围0 255255用来标识IP地址所有者的优先级0标识主路由器停止参与VRRP组1 254是备份路由器可以配置的范围缺省值为100 VRRP的技术细节 VRRP报文的发送方式由虚拟路由器的主路由器定时 Adver Timer 发送 备份的只监听 当Master Down Timer时间没有收到主路由器的VRRP则认为主的down掉了 抢班夺权VRRP报文的类型只有一种名为advertisement的通告报文虚拟路由器的抢占模式抢占 Preempt 谁优先级高谁老大非抢占 Non Preempt 谁资历老谁老大虚拟路由器的认证方式三种认证方式 无认证简单认证md5认证同一个虚拟路由器组认证方式必须相同 名词解释 VRRP的技术细节 VRRP报文的源MAC00 00 5e 00 01 xxxx为VRID号VRRP报文的目的MAC01 00 5e 00 00 12源IP发送接口的主IP地址目的IP224 0 0 18TTL255协议号为112VRRP版本号2报文类型1 AdvertisementVRID1 255Priority0 255CountIPAddresses在此Vrrp公告中包含的IP地址个数AuthenticationType0 不认证 1 简单 2 MD5 AdvertisementInterval1 255ChecksumVRRP字段的校验和IPAddresses就是CountIPAddresses所指的ip地址AuthenticationData与认证类型有关 VRRP报文 VRRP的技术细节 VRRP报文格式 VRRP的技术细节 VRRP路由器状态迁移 接收到startup事件Priority 255 接收到startup事件Priority 255 接收到shutdown事件 定时器Master Down Timer超时 接收到shutdown事件 收到advertisement报文优先级高于本地优先级或者优先级相同但是收到报文的主ip大于本地主ip地址 VRRP的技术细节 VRRP路由器Backup状态目的是监视主路由器的可用性及其状态 禁止响应对虚拟路由器IP地址的ARP请求必须丢弃目的MAC地址为虚拟路由器MAC地址的报文禁止接收目的地址为虚拟路由器IP地址的报文 VRRP路由器Master状态目的是转发发往虚拟路由器IP地址的报文必须响应对虚拟路由器IP地址的ARP请求必须转发目的MAC地址为虚拟路由器MAC地址的报文如果该路由器不是虚拟路由器IP地址的所有者 那么禁止接收目的IP地址为虚拟路由器IP地址的报文如果该路由器是虚拟路由器IP地址的所有者 那么必须接收目的IP地址为虚拟路由器IP地址的报文 VRRP的技术细节 当接受到VRRP报文必须检验IPTTL是否为255必须检验VRRP的版本号是否为2必须检验VRRP报文是否完整 包含了固定的字段 IP地址和认证数据 必须检验VRRP校验和必须检验收到报文的接口上配置的VRID和本地路由器是否是IP地址所有者优先级等于255 必须检验报文中的认证类型是否和本地配置的认证类型匹配检验失败 则丢弃该报文可以检验 CountIPAddrs 和对该VRID虚拟路由器配置的IP地址数量是否匹配检验失败 记录到日志 如果不是由ip地址所有者发出则丢弃该报文必须检验报文中AdverInterval是否与本地虚拟路由器配置中的相同检验失败 则丢弃该报文 VRRP的技术细节 当发送VRRP报文根据虚拟路由器的配置参数填充VRRP报文的各个字段计算VRRP校验和设置源MAC地址为虚拟路由器的MAC地址 00 00 5e 00 01 xx 设置源IP地址为接口的主IP地址设置VRRP的IP协议号 112 发送VRRP报文到VRRP的IP多播组地址 224 0 0 18 VRRP的技术细节 HSRP HotStandbyRouterProtocol Cisco的私有协议VRRPHSRP都是为网络中的主机提供路由备份的容错协议 事实上 RFC2338中规定的VRRP协议就是在Cisco的私有协议HSRP的基础上制定出来的 但是VRRP对HSRP进行了简化和增强 主要区别 HSRP有六种状态机 初始 Initial 状态 学习 Learn 状态 监听 Listen 状态 对话 Speak 状态 备份 Standby 状态 活动 Active 状态 而VRRP只有三种 HSRP有三种报文 呼叫 Hello 报文 告辞 Resign 报文 突变 Coup 报文 而且有三种状态可以发送报文 而VRRP只有一种报文 且只有Master才能发送报文 HSRP报文封装在UDP报文上 VRRP报文是封装在IP报文上 VRRP支持将真实接口IP地址设置为虚拟IP地址 HSRP不支持 VRRPVSHSRP VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性 理解VRRP协议 我司产品VRRP特性 使用真实mac还是虚拟mac 真实mac优势虚拟mac优势对于终端只知道虚拟路由器的mac Quidway vrrpmethod real macRealMACMethodvirtual macVirtualMACMethod虚拟路由器是否能够被ping 不被ping通优势不易被攻击能够分辨出ip地址所有者能被ping通优势便于定位 Quidway vrrpping enablevlan接口或