JS-CZ-006路由器安全技术.ppt

1、路由器安全技术,技术基础课程系列,讲师介绍,迈普通信xxx部门：张三 电话邮箱：,课程内容,路由器身份认证体制,看是否有配置line,AAA认证,用户登录,进入Shell,未配置line,未配置AAA,已配置line,已配置AAA,看是否有配置AAA,line认证,用户及级别设置,设置用户及相关属性 使用user命令来配置本地用户和相关用户权限属性。,用户分015级，15最高；只有高级别用户才能对低级别用户操作； 设置用户密码时的参数0代表以明文输入，而不是以密文输入。,用户及级别设置,修改命令的级别 在迈普路由器IOS中的每个shell命令都有一个默认的级别，但是可

2、以通过命令privilege来修改其默认级别。 保证只有相应级别及以上的用户才有配置、查看相应命令的权限。,设置enable密码 设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码。若没有配置enable密码，则非console用户不能进入特权模式。,用户及级别设置,设置line属性 路由器支持一个console口用户最多16个telnet用户和16个ssh用户同时登录到设备上，line命令可以为这些登录设置不同的认证、授权等属性。,AAA技术概念,AAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。

3、它提供了一个用来对这三种安全功能进行配置的一致性框架。AAA的配置实际上是对网络安全的一种管理。 这里的网络安全主要指访问控制。包括： 哪些用户可以访问网络服务器？ 具有访问权的用户可以得到哪些服务？ 如何对正在使用网络资源的用户进行记账？,AAA基本原理,NAS：网络接入服务器（Network Access Server）。在路由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接（比如拨号连接）从而获得访问其他网络的权限时，NAS起到了验证用户的作用 RADIUS：远程身份认证拨入用户服务（Remote Authentication Dial In User Serv

4、ice） Tacacs：Tacacs是终端访问控制系统（Terminal Access Controller Access Control System）的简称,AAA认证相关配置,AAA认证简单设置命令,配置范例,router(config-if)# aaa new-model 启动AAA功能 router(config-if)# aaa authentication login default local 对登陆用户根据本地用户数据库进行身份认证,Dot1x接入认证体系,802.1X IEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.

5、1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要解决以太网内认证和安全方面的问题。 802.1X协议是一种基于端口的网络接入控制协议（port based network acce ss control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。 802.1X系统为典型的Client/Server 结构，如图 所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Serv

6、er ）,802.1X的认证方式,802.1X认证系统使用EAP （Extensible Authentication Protocol ，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。 在客户端与设备端之间，EAP协议报文使用 EAPOL封装格式，直接承载于LAN 环境中。 在设备端与RADIUS 服务器之间，可以使用两种方式来交换信息： EAP 协议报文由设备端进行中继，使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS 协议中 EAP 协议报文由设备端进行终结，采用包含 PAP（Password Authentication Protoco

7、l ，密码验证协议）或CHAP （Challenge Handshake Authentication Protocal，质询握手验证协议）属性的报文与RADIUS 服务器进行认证交互,802.1X认证流程,802.1X认证相关配置,802.1X认证常用命令,dot1x eap-relay 该命令配置端口的EAP模式，EAP中继或者EAP终结。相关的no命令恢复配置缺省值。 dot1x eap-relay enable|disable; no dot1x eap-relay,dot1x port-control 该命令在端口启用或者关闭802.1X功能。相关的no命令恢复配置缺省值。 dot1

8、x port-control enable|disable no dot1x port-control,dot1x port-method 该命令配置端口802.1X的认证模式，基于端口 认证模式或者基于用户认证模式。相关的no命令恢复配置缺省值。 dot1x port-method portbased|macbased no dot1x port-method 备注:Portbased:基于端口 的认证模式 macbased:基于用户的认证模式,课程内容,内联网通常采用一定的安全措施与企业或机构外部的Internet用户相隔离，这个安全措施就是防火墙（firewall）。防火墙技术一般分为两

9、类: 网络级防火墙:主要是用来防止整个网络出现外来非法的入侵。属于这类的有包过滤（packet filtering）和授权服务器（authorization server）。 应用级防火墙:从应用程序来进行存取控制。通常使用应用网关或委托服务器（proxy server）来区分各种应用。例如，可以只允许通过万维网的应用，而阻止FTP应用的通过。,访问控制列表（ACL）技术,迈普路由器采用的是包过滤式的防火墙技术； 包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据； 访问控制列表以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，

10、ICMP的类型、代码，IGMP的类型等）进行筛选； 访问列表根据过滤的内容可以分成2类，标准访问列表和扩展访问列表；,标准访问列表配置实例,实例实现目标 建立标准访问列表2，定义了三条规则; 将标准访问列表2应用于以太接口0; 从以太接口0来的包中，只允许子网上的主机IP地址为发来的包通过，允许子网上所有机器发来的包，拒绝接收其它的包。,扩展访问列表配置命令,定义扩展访问控制列表 定义一个扩展访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入扩展访问列表配置模式。no格式是删掉某个访问列表，包含它下面的所有规则。 no ip a

11、ccess-list extended access-list-number | access-list-name ,规则定义 配置一条permit（或deny）扩展访问列表规则，no格式是删除指定的规则。 no sequence permit protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type igmp-type operator destination-port destination-port ack / fin / esta

12、blished / psh / rst / syn / urg precedence precedence tos tos log audit time-range time-range-name,扩展访问列表规则参数,扩展访问列表规则参数,扩展访问列表配置命令,在接口上应用访问控制列表 对于往内的访问列表，如果允许这个包，路由器软件继续处理这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并向源地址发送ICMP管理状态不可达的包。 对于往出的访问列表，收到并路由一个包到接口后，防火墙软件根据访问列表检测包。如果允许这个包，路由器软件就会转发这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并

13、向源地址发送ICMP管理状态不可达的包。,no ip access-group access-list-number | access-list-name in | out ,防火墙的其他安全功能,伪源地址检测伪源地址一直是攻击者最常利用的手段，常常被使用在会话劫持、DOS攻击等场合，而对于这样的报文进行检测也往往是很具有技术性的；最常规的检测是在各接口上配置接收方向的访问列表，进行包的过滤，但这种检测是相当有限的； 迈普路由器有相应的检测机制，从这样几个角度进行： 接收接口是否正确，如果接收到某报文的接口根本没有到达其源地址的路由，其路由应该取决于其它接口，该报文将被拦截； 从本路由器上根本

14、找不到到达某报文源地址的路由，该报文被拦截； 从源地址来看，是直连路由且属于以太网，但在ARP表中找不到该MAC地址与源IP地址的对应，很可能是欺骗，拦截该报文； 不是直连路由，是接口路由，如果在ARP表中找不到该报文的MAC项，是不正常的，拦截该报文； 如果按照源地址来看是网关路由，但MAC地址却不是对应的网关的物理地址，很可能也是欺骗，拦截该报文； 其余的包，确定正常的或无法确定的，都放行；,防火墙的其他安全功能,攻击检测 根据开关检测攻击：ICMP flood、 Smurf、 Fraggle、 SYN flood、 LAND等； 几种攻击包的检测（或监控）：,攻击检测功能,ip icmp

15、 intercept ICMP flood，该攻击通过向目的服务器发送大量ICMP包，占用带宽，从而导致合法报文无法到达目的服务器，达到攻击目的；检测时，对于路由器所保护的各服务器地址为目的地址的ICMP报文进行记数，一旦报文的接收频率高出正常范围，则怀疑存在攻击行为，严格控制报文的流经频率；直到频率低出范围，又开始放行；此处理方式有一定的局限性：即当拒绝过量包时也拒绝了合法的包，但在综合考虑系统自身的承受能力的前提下，此方法是最合理的，且保证了目标服务器不被淹没；此方法只能用来保护路由器后面的目标服务器，但不能保护路由器自身；,no ip icmp intercept list access

16、-list-number | access-list-name maxcount ,攻击检测功能,ip smurf intercept Smurf也是一种这种类型的攻击，攻击者先使用该受害主机的地址，向一个广播地址发送ICMP回响请求，在此广播网络上，潜在的数以千计的计算机将会做出响应，大量响应将发送到受害主机，此攻击后果同ICMP flood，但比之更为隐秘；此类包可通过两种方式拦截，如果伪源地址检测能够检测出来，直接拒绝该包，另外，可打开smurf检测开关，如果源地址是受保护的目的服务器地址，而目的地址是一个广播地址，则拦截这样的包； smurf自身利用的是ICMP_ECHO包，但考虑到其

17、它的ICMP请求包也将导致同样的后果，因此，将检测扩展到类型ICMP_TSTAMP、ICMP_IREQ、ICMP_MASKREQ；,no ip smurf intercept list access-list-number | access-list-name masklen number ,攻击检测功能,ip fraggle intercept 攻击fraggle严格说来，是一个smurf的变种，它针对许多防火墙对于ICMP包检查比较严格的前提，不再向广播地址发ICMP请求包，而是改为发送UDP包，当目的网段的计算机收到该包并检查到目的端口不可达时，将发给受害主机一个“目的端口不可达”的差错

18、报文，大量的报文同时涌向受害主机，因而达到攻击目的；此检测与smurf检测大同小异，仅仅类型不同而已；,no ip fraggle intercept list access-list-number | access-list-name masklen number ,攻击检测功能,ip tcp intercept land LAND攻击则利用了系统的另一个弱点：许多系统不知道如何处理源地址与端口号等同于目的地址与端口号的SYN建连请求，导致系统紊乱或死机；因此，如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口，当即扔掉这样的包。,no ip tcp intercept land,

19、攻击检测功能,ip tcp intercept land LAND攻击则利用了系统的另一个弱点：许多系统不知道如何处理源地址与端口号等同于目的地址与端口号的SYN建连请求，导致系统紊乱或死机；因此，如果检测到了某个报文的源地址等于目的地址、源端口等于目的端口，当即扔掉这样的包。,no ip tcp intercept list access-list-number | access-list-name maxcount number ,防火墙的监控与维护, show access-lists 显示访问列表的内容, 当没有名称和编号时，显示所有的访问列表。 show access-lists a

20、ccess-list-number | access-list-name audit, show ip interface list 显示各接口上访问列表的应用。, clear access-list counters 清除访问列表的计数器, 当没有名称和编号时，清除所有的访问列表的计数器。, debug ip packet access-list 查看访问列表的过滤处理信息来监控和维护防火墙。,课程内容,NAT的概念,网络地址转换（NAT）主要用来完成局部地址与全局地址之间的转换。NAT解决了Internet地址耗竭问题，企业内部网只需少量的全局地址就可达到与INTERNET的互连。 NAT

21、使一个组织在多个域内重用注册过的IP地址，只要离开该域以前将那些重用地址转换为全局的唯一注册IP地址即可。,NAT的相关术语,内部本地地址：分配给内部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC）或服务提供商（ISP）分配的合法的IP地址。 内部全局地址：合法的IP地址（由NIC或ISP分配的），用于向外部世界表示一个或多个内部本地IP地址。 外部本地地址：分配给外部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC）或服务提供商（ISP）分配的合法的IP地址。 外部全局地址：合法的外部IP地址（由NIC或ISP分配的），internet上实际存在的地址。 静态转

22、换：在内部本地地址与内部全局地址之间建立一个一对一的映射。当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的。 动态转换：在一个内部本地地址与一个全局地址池之间建立一个映射。,NAT的分类应用,你想接入Internet，但你的主机并不都具有全球唯一的IP地址 通常情况下，内部本地地址通常采用127、192等保留网段作为内部本地地址。而这些地址相对外网来说不可达。为了要使得内部网络访问外部的某些地址，就需要使用内部源NAT地址转换。为了节省内部全局地址池中的地址，可以重载内部全局地址，允许路由器将多个本地地址映像为一个全局地址。 你想进行基本的TCP信息流负载分配 如果内部网络中有多台

23、提供同样服务的主机（如Web Server），它们拥有连续的几个内部IP地址，通过配置内部目的地址NAT转换可以实现简单的TCP负 载分担，而通过一个或几个全局IP地址对外提供服务。 你希望只有部分外网段才能访问内网服务器 可以在与外界通信时，使用外部源NAT地址转换，把外部全局IP地址转换成外部本地IP地址。,NAT常用配置命令,NAT常用配置命令,静态转换内部源地址,在与外界通信时，使用转换内部源地址把你自己的IP地址转换成全局唯一的IP地址。可以选择配置静态或动态转换。 在本例中，建立到静态转换，然后将以太接口f0配置为内部接口，串口s0/0配

24、置为外部接口。,静态转换内部源地址,router 配置,如果分配的外部地址足够多，也可将内部整个网段映射到外部网段,动态转换内部源地址,动态转换内部源地址,router 配置, 注意：访问列表必须只允许那些将被转换的地址。一个允许太多地址的访问列表会导致不可预期的结果。,重载一个内部全局地址,为了节省内部全局地址池中的地址，可以允许路由器将多个本地地址映像为一个全局地址。当多个本地地址映像到一个全局地址时，则用每个内部主机的TCP或UDP端口号来区分这些本地地址。,重载一个内部全局地址,router 配置,转换内部目的地址,如果内部网络中有多台提供同样服务的主机（如多台Web Server，它

25、们拥有连续的几个内部IP地址），通过配置内部目的地址的NAT转换可以实现简单的TCP负载分担，而通过一个或几个全局IP地址对外提供服务。,转换内部目的地址,访问列表必须只允许那些将被转换的地址； 如果内部主机只有一个就不再需要进行TCP负载分担，不需要使用此配置,router 配置,静态转换外部源地址,在与外界通信时，使用转换外部原地址把外部全局IP地址转换成外部本地IP地址。可以配置静态或动态转换。,静态转换外部源地址,router 配置,如果分配的地址足够多，也可以同时将外部整个网段映射到内部网段,动态转换外部源地址,首先由外部主机向内部主机发起连接，报文为195.1.1

26、.1- 经过路由器后，使用地址池中的地址0替换源地址，报文变为0- 主机收到请求后，响应请求，报文为-0 响应报文经过路由器后，使用外部地址替换目的地址，报文变为-，并根据目的地址转发给主机,动态转换外部源地址,router 配置,NAT配置注意事项,全局地址和本地地址不能交迭。 配置时静态的地址不能与动态的地址池中的地址交迭。 作为连接问题的一个解决方案，只有当一个内部网中有相对少量的主机同时与这个域的外界通信时，

27、NAT才是实用的。在这种情况下，在必须与外界通信时，这个域的IP地址中只有一个很小的子集必须被转换成全球唯一的IP地址。当不再使用时，这些地址还能被重新使用。 当应用程序中嵌入IP地址或端口时，NAT对端用户来说就成为不透明的，故NAT也不能用于此种情况，在应用程序中嵌入了IP地址和端口的应用协议中，现在只支持FTP，MMS，OICQ，TFTP。 路由信息只能向内不能向外传播。 需设定NAT与ISP的路由器之间的静态路由配置。 IP OPTION 不能正常的支持。 当有多个接口时，要使用同样的NAT表。,NAT的监控命令,NAT的监控命令,NAT监控信息实例,描述与分析： Type：NAT转换

28、记录的类型 Pro：IP协议类型 Inside global：内部全局地址和端口 Inside local：内部局部地址和端口 Outside local：外部局部地址和端口 Outside global：外部全局地址和端口 Age：记录余下的生命期（秒） 括号中的内容：当前的TCP状态,router# show ip nat translations Type Pro Inside global Inside local Outside local Outside global Age NAT ICMP 41:1024 00:1024 - 128

29、.255.125.125:1024 50 NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0) NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0),该显示结果表明内部局部地址00分别向外部地址25发送了ICMP报文，向外部地址的80端口发起了两条TCP连接。,NAT的监控命令,show ip nat statistics信息分析（1

30、）,NAT的监控命令,show ip nat statistics信息分析（2）,NAT的监控命令,show running-config ip nat信息分析 显示结果： ip nat pool pp 40 41 netmask ip nat inside source list 1 pool pp overload 描述与分析: 配置了一个地址池内地址为40-41的地址池 pp，并将该地址池地址与access-list 1绑定，并采用端口重载方式,show ip na

31、t pool信息分析,NAT的监控命令,描述与分析： source：地址信息 rcv_pkts/s：每秒接收的报文数 rcv_bits/s：每秒接收的bit数 send_pkts/s： 每秒平均的发送报文数 send_bits/s： 每秒平均的发送bits数 tcp/udp/other： 当前的用户的TCP/UDP/OTHER的分别的连接数,show local stat信息分析,source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other : 5 42720 2 720 1 /1 /0 129

32、.255.104.104: 22 7140 416 3416580 2164/2615/0 all: 27 49860 418 3417300 4323/2616/0,NAT的调试命令,课程内容,DHCP协议简介,当网络规模达到一定程度，它就开始变得难以管理。特别在手工分发IP地址的网络环境中为了减轻管理员跟踪记录手工分配I P地址的负担。 IETF为此设计了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）。 DHCP采用客户端/服务器模式，从一个地址池中把I P地址分配给请求主机，它提供一种机制，允许计算机不必手工参与即可加入新的网络和获取

33、IP地址，这个概念术语称作即插即用网络（ plug-and-play networking）。 DHCP也能提供其他信息，如网关IP、DNS服务器、缺省域和网络范围内HOSTS文件的位置。,DHCP消息格式,DHCP的报文类型,DHCPDISCOVER：客户端用于地址申请的广播报文。 DHCPOFFER：服务器端对客户端DHCPDISCOVER报文的回复，包含了所提供的IP地址和网络配置信息。 DHCPREQUEST：在不同的状态下，用途不同： (a) 在请求状态时，请求服务器同意开始使用所提供的IP地址。 (b) 在更新状态，请求提供IP地址的服务器更新IP地址租用时间。 (c) 在重绑定状

34、态，广播请求子网中的服务器，是否允许继续使用当前的IP地址。 DHCPACK：服务器端对客户端请求的同意报文。 DHCPNAK：服务器端对客户端请求的否定报文。客户端必须重新开始申请。 DHCPRELEASE：客户端主动终止IP地址的使用，用于释放IP地址报文。 DHCPDECLINE：由于地址已经被使用，客户端对服务器提供的地址表示拒绝。 DHCPINFORM：客户端要求服务器提供最新的网络配置信息。,DHCP简单工作流程,客户机通过DHCPDISCOVER广播提出请求。也可直接请求租用的永久地址。 服务器收到请求，返回附有一个可用地址的DHCPOFFER报文。 客户机若收到多个DHCPOF

35、FER报文，选择第一个的地址或其所请求的那个。 客户机广播含有服务器标识的DHCPREQUEST报文并等待。 服务器检查收到的DHCPREQUEST报文，当其中的标识与服务器相符，发回DHCPACK报文，如果所请求的I P已被分配或者租期已满，发回DHCPNAK报文。 如果客户机收到DHCPACK报文，即开始使用IP地址。如它收到DHCPNAK，会重新开始整个过程。假如I P有问题，客户机会发送一个DHCPDECLINE报文给服务器并重新开始。,DHCP客户端变迁,租用更新定时器,重绑定定时器,租用到期定时器,定时器重置为0,DHCP常用配置命令,DHCP配置范例,范例说明：maipu路由器r

36、outerA的f0口通过一台二层交换机与两台PC以及routerB相连，routerA作为DHCP服务器端，两台PC和routerB作为客户端。其中routerA的f0口ip地址为。,DHCP配置范例,router A配置,router B配置,DHCP的中继代理,中继代理：能中继服务器和客户机之间的交互报文。这样可以使服务器能处理不在该服务器所在子网的DHCP报文。这意味着不必为每一个子网设置一个服务器，为每一个子网设置一个服务器开销很大 中继代理工作原理： DHCP客户机广播一个消息。 中继代理把收到报文的接口对应的IP地址放到消息的giaddr（中继IP地址）域中，然后

37、单播至服务器。 服务器给中继代理返回应答(通过单播)。应答分配的IP地址与giaddr域地址相同。 中继代理会从giaddr域中I P地址对应的接口中广播应答。,/24,租用,DHCP消息,DHCP中继代理配置范例,范例说明：如图所示，router A是一个dhcp的服务器，router B是一个dhcp中继，router A的f0口地址为，和router B的f0为 ，e0的ip地址为，所以router A的地址池，是一个跨网段的为pc1和pc2分配地址。,DHCP中继代理配置范例,router A配置,ro

38、uter B配置,DHCP监控命令,DHCP调试命令,课程内容,多机冗余热备协议介绍,VBRP：Virtual Backup Router Protocol(MP)HSRP: Hot Standby Router Protocol(Cisco) VRRP: Virtual Router Redundancy Protocol(RFC2338)GLBP: Gateway Load Balancing Protocol(Cisco),一个网络内的主机设置一条缺省路由，主机发出的目的地址不在本网段的报文将通过缺省路由发往网关路由器。 为了提高网络稳定性和可靠性，采用多台机器共同承担网关的角色，形成主

39、备关系或者负载均衡的冗余方式。,VRRP协议介绍,VRRP：虚拟路由冗余协议（Virtual Router Redundancy Protocol） 就是为解决多机冗余备份问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。 VRRP协议是在CISCO的私有协议HSRP基础上进行简化后指定出来的（RFC2338）。VRRP将局域网的一组路由器组织成一个虚拟的路由器，称之为一个备份组。这个虚拟的路由器（即备份组）拥有自己的IP地址，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。 当备份组内的MASTER路由器坏掉时，备份组内的其它BACKUP路由器将会接替成为新的MASTE

40、R，继续向网络内的主机提供路由服务，从而实现网络内的主机不间断地与外部网络进行通信。,VRRP相关概念,Master：VRRP的一个状态，活动路由器处于该状态，且保证相关IP报文的转发。优先级高的路由器为master状态。 Backup：VRRP的一个状态，备份路由器处于该状态，且保证在活动路由器失效时，及时切换。 Priority：接口上配置的优先级,VRRP报文结构,VRRP报文是一种多播IP报文（8），协议号是112（0 x70） VRID：接口配置的Virtual Router Identifier (VRID)虚拟路由器ID。 Priority：接口上配置的优先级。

41、 拥有虚拟IP地址的路由器（VIP等于接口IP的路由器），priority等于255，其余路由器只能为1254，缺省是100。 Count IP Addr：虚拟IP地址的个数，一般等于1。,VRRP工作流程,虚拟路由器的三种状态： 初始化状态（Initialize） 活动状态（master） 备份状态（backup）,VRRP竞争原则,优先级为255的接口UP后自动成为Master，不进行竞争； 优先级不为255的接口先进入Backup状态，设置dead定时器，在定时器超时前若没有收到VRRP报文则将自己设为Master参与竞争； 各个接口通过VRRP报文比较优先级，优先级大者为Master；

42、优先级相同则IP地址大的为Master； 在若一个接口因为UP较早先进入Master状态，后来者的优先级比其高时抢占其为Master（需配置抢占功能），优先级相同时不取代； Master接口DOWN，重新进行竞争； 若VRRP对路由器其他接口进行Track，则相应接口状态变化会对Master的优先级造成影响，引起重新竞争,VRRP相关命令,VRRP相关命令,VRRP配置范例,范例说明：如图所示，局域网里的pc1和pc2通过路由器router-a、router-b与Internet相连。pc1、pc2均配置默认网关/16。,VRRP配置范例,routerA配置,rout

43、erB配置,VRRP的监控命令,VRRP的调试命令,debug vrrp event信息,VRRP的调试命令,debug vrrp packet信息,debug vrrp timer信息,VBRP协议介绍,VBRP：虚拟备份路由协议（Virtual Backup Router Protocol）,兼容Cisco的HSRP热备份路由协议（Hot Standby Router Protocol） VBRP通过使多个路由器能够发出关于单个IP地址的请求来解决多机冗余备份问题 在局域网中的用户将必须选择两个路由器之一为默认网关。当两个路由器上的VBRP起作用时，就产生了第三个虚拟路由器并且给它分配一个

44、自己的IP地址，然后使用这个地址作为主机的默认网关。 在任何一个给定的时间里，一个VBRP路由器是活动的路由器，同时一个VBRP路由器是备份路由器。 活动的路由器对通过虚拟的IP地址的流量起作用。如果活动的路由器变得不可用了，备份的路由器将接管操作。,VBRP相关概念,Active Router：活动路由器，当前负责转发报文的路由器。 Standby Router：备份路由器，主备份路由器。 Standby Group：加入VBRP的一组路由器，它们共同维护一个虚拟的路由器。,VBRP报文结构,VBRP报文是一种UDP报文，源和目的端口都是1985，在VBRP中定义了三种类型的报文： Hello报文：由活动路由器