理解VRRP协议ppt课件

理解VRRP协议,贾振超044152006/08/15,VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性,理解VRRP协议,VRRP简介,VRRP(VirtualRouterRedundancyProtocol,虚拟路由器冗余协议)由一台以上的路由器(三层交换机)虚拟成一台路由器的协议。增加链路可靠性的协议。RFC2338RFC3768中定义用于消除静态缺省路由环境中的单点故障每一个端主机不用配置任何动态路由协议或者路由发现协议就可以获得更高可靠性的缺省路径,VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性,理解VRRP协议,VRRP原理,典型的组网方式,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,IPaddress10.100.10.1,Internet,ActualIPaddress10.100.10.11,ActualIPaddress10.100.10.12,ActualIPaddress10.100.10.13,ActualIPaddress10.100.10.14,X,如果出现网管单点故障，则内部网络全部中断,VRRP原理,使用VRRP的组网方式单备份组,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,ActualIPaddress10.100.10.3,VirtualIPaddress10.100.10.4,Internet,ActualIPaddress10.100.10.11,ActualIPaddress10.100.10.12,ActualIPaddress10.100.10.13,ActualIPaddress10.100.10.14,VRID1:Priority100:VirtualIP10.100.10.1,VRID1:Priority110:VirtualIP10.100.10.1,Master,Backup,如果出现单台故障，但虚拟路由器仍然存在，链路基本不会受影响,X,VRRP原理,使用VRRP的组网方式多备份组,既实现了流量的分担，又增加了链路的可靠性,Gateway:10.100.10.1,Gateway:10.100.10.2,Gateway:10.100.10.1,Gateway:10.100.10.2,ActualIPaddress10.100.10.3,VirtualIPaddress10.100.10.4,Internet,ActualIPaddress10.100.10.11,ActualIPaddress10.100.10.12,ActualIPaddress10.100.10.13,ActualIPaddress10.100.10.14,VRID1:Priority100:VirtualIP10.100.10.1VRID2:Priority100:VirtualIP10.100.10.2,VRID1:Priority110:VirtualIP10.100.10.1VRID2:Priority100:VirtualIP10.100.10.2,MasterBackup,BackupMaster,VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性,理解VRRP协议,VRRP的技术细节,VRRP路由器运行VRRP协议的路由器虚拟路由器VRRP协议管理的抽象对象，由ip地址VRID组成IP地址所有者与虚拟路由器IP相同的VRRP路由器，优先级是255(最高级别)虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文响应虚拟路由器IP地址ARP请求虚拟路由器的备份路由器当主路由器失效时，变成主路由器主IP地址从一个真实接口的地址集合中选出的IP地址,名词解释,VRRP的技术细节,名词解释,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,Gateway:10.100.10.1,ActualIPaddress10.100.10.3,VirtualIPaddress10.100.10.4,Internet,ActualIPaddress10.100.10.11,ActualIPaddress10.100.10.12,ActualIPaddress10.100.10.13,ActualIPaddress10.100.10.14,VRID1:Priority100:VirtualIP10.100.10.1,VRID1:Priority110:VirtualIP10.100.10.1,Master,Backup,虚拟路由器的VRID(virtualrouteridentifier)用来标识虚拟路由器，取值范围1-255,虚拟路由器的MAC地址00-00-5e-00-01-xxxx为vrid值,00-00-5e-00-01-01,虚拟路由器的IPAddress虚拟路由器使用的ip地址,虚拟路由器的priority用来标识运行VRRP协议路由器对应VRID的优先级取值范围0-255255用来标识IP地址所有者的优先级0标识主路由器停止参与VRRP组1-254是备份路由器可以配置的范围缺省值为100,VRRP的技术细节,VRRP报文的发送方式由虚拟路由器的主路由器定时(Adver_Timer)发送，备份的只监听，当Master_Down_Timer时间没有收到主路由器的VRRP则认为主的down掉了，抢班夺权VRRP报文的类型只有一种名为advertisement的通告报文虚拟路由器的抢占模式抢占(Preempt)谁优先级高谁老大非抢占(Non-Preempt)谁资历老谁老大虚拟路由器的认证方式三种认证方式无认证简单认证md5认证同一个虚拟路由器组认证方式必须相同,名词解释,VRRP的技术细节,VRRP报文的源MAC00-00-5e-00-01-xxxx为VRID号VRRP报文的目的MAC01-00-5e-00-00-12源IP发送接口的主IP地址目的IP224.0.0.18TTL255协议号为112VRRP版本号2报文类型1=AdvertisementVRID1-255Priority0-255CountIPAddresses在此Vrrp公告中包含的IP地址个数AuthenticationType0(不认证)1(简单)2(MD5)AdvertisementInterval1-255ChecksumVRRP字段的校验和IPAddresses就是CountIPAddresses所指的ip地址AuthenticationData与认证类型有关,VRRP报文,VRRP的技术细节,VRRP报文格式,VRRP的技术细节,VRRP路由器状态迁移,接收到startup事件Priority=255,接收到startup事件Priority!=255,接收到shutdown事件,定时器Master_Down_Timer超时,接收到shutdown事件,收到advertisement报文优先级高于本地优先级或者优先级相同但是收到报文的主ip大于本地主ip地址,VRRP的技术细节,VRRP路由器Backup状态目的是监视主路由器的可用性及其状态。禁止响应对虚拟路由器IP地址的ARP请求必须丢弃目的MAC地址为虚拟路由器MAC地址的报文禁止接收目的地址为虚拟路由器IP地址的报文,VRRP路由器Master状态目的是转发发往虚拟路由器IP地址的报文必须响应对虚拟路由器IP地址的ARP请求必须转发目的MAC地址为虚拟路由器MAC地址的报文如果该路由器不是虚拟路由器IP地址的所有者，那么禁止接收目的IP地址为虚拟路由器IP地址的报文如果该路由器是虚拟路由器IP地址的所有者，那么必须接收目的IP地址为虚拟路由器IP地址的报文,VRRP的技术细节,当接受到VRRP报文必须检验IPTTL是否为255必须检验VRRP的版本号是否为2必须检验VRRP报文是否完整（包含了固定的字段：IP地址和认证数据）必须检验VRRP校验和必须检验收到报文的接口上配置的VRID和本地路由器是否是IP地址所有者优先级等于255）必须检验报文中的认证类型是否和本地配置的认证类型匹配检验失败，则丢弃该报文可以检验“CountIPAddrs”和对该VRID虚拟路由器配置的IP地址数量是否匹配检验失败，记录到日志，如果不是由ip地址所有者发出则丢弃该报文必须检验报文中AdverInterval是否与本地虚拟路由器配置中的相同检验失败，则丢弃该报文,VRRP的技术细节,当发送VRRP报文根据虚拟路由器的配置参数填充VRRP报文的各个字段计算VRRP校验和设置源MAC地址为虚拟路由器的MAC地址(00-00-5e-00-01-xx)设置源IP地址为接口的主IP地址设置VRRP的IP协议号(112)发送VRRP报文到VRRP的IP多播组地址(224.0.0.18),VRRP的技术细节,HSRP（HotStandbyRouterProtocol）-Cisco的私有协议VRRPHSRP都是为网络中的主机提供路由备份的容错协议。事实上，RFC2338中规定的VRRP协议就是在Cisco的私有协议HSRP的基础上制定出来的，但是VRRP对HSRP进行了简化和增强。主要区别：HSRP有六种状态机：初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态，而VRRP只有三种。HSRP有三种报文：呼叫(Hello)报文，告辞(Resign)报文，突变(Coup)报文，而且有三种状态可以发送报文，而VRRP只有一种报文，且只有Master才能发送报文。HSRP报文封装在UDP报文上，VRRP报文是封装在IP报文上。VRRP支持将真实接口IP地址设置为虚拟IP地址，HSRP不支持。,VRRPVSHSRP,VRRP简介VRRP的原理VRRP的技术细节我司产品VRRP的特性,理解VRRP协议,我司产品VRRP特性,使用真实mac还是虚拟mac？真实mac优势虚拟mac优势对于终端只知道虚拟路由器的macQuidwayvrrpmethod?real-macRealMACMethodvirtual-macVirtualMACMethod虚拟路由器是否能够被ping？不被ping通优势不易被攻击能够分辨出ip地址所有者能被ping通优势便于定位Quidwayvrrpping-enablevlan接口