2010軟件水平考試三級(jí)網(wǎng)絡(luò)：VRRP協(xié)議的定義

　　VRRP協(xié)議是什么呢?這個(gè)可能大家不熟。這個(gè)協(xié)議也是路由協(xié)議的一種。只不過比較特殊。是路由和路由之間的一種協(xié)議。那么它的基本概念和相關(guān)的定義，我們?cè)谖恼轮芯蛠頌榇蠹以敿?xì)介紹一下。

　　一 協(xié)議概述

　　在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中,為了保證不直接物理連接的設(shè)備之間的通信,必須指定路由?目前常用的指定路由的方法有兩種:一種是通過路由協(xié)議(比如:內(nèi)部路由協(xié)議RIP和OSPF)動(dòng)態(tài)學(xué)習(xí);另一種是靜態(tài)配置?在每一個(gè)終端都運(yùn)行動(dòng)態(tài)路由協(xié)議是不現(xiàn)實(shí)的,大多客戶端操作系統(tǒng)平臺(tái)都不支持動(dòng)態(tài)路由協(xié)議,即使支持也受到管理開銷?收斂度?安全性等許多問題的限制?因此普遍采用對(duì)終端IP設(shè)備靜態(tài)路由配置,一般是給終端設(shè)備指定一個(gè)或者多個(gè)默認(rèn)網(wǎng)關(guān)(Default Gateway)?靜態(tài)路由的方法簡(jiǎn)化了網(wǎng)絡(luò)管理的復(fù)雜度和減輕了終端設(shè)備的通信開銷,但是它仍然有一個(gè)缺點(diǎn):如果作為默認(rèn)網(wǎng)關(guān)的路由器損壞,所有使用該網(wǎng)關(guān)為下一跳主機(jī)的通信必然要中斷?即便配置了多個(gè)默認(rèn)網(wǎng)關(guān),如不重新啟動(dòng)終端設(shè)備,也不能切換到新的網(wǎng)關(guān)?采用虛擬路由冗余協(xié)議 (Virtual Router Redundancy Protocol,簡(jiǎn)稱VRRP)可以很好的避免靜態(tài)指定網(wǎng)關(guān)的缺陷?

　　在VRRP協(xié)議中,有兩組重要的概念:VRRP路由器和虛擬路由器,主控路由器和備份路由器?VRRP路由器是指運(yùn)行VRRP的路由器,是物理實(shí)體,虛擬路由器是指VRRP協(xié)議創(chuàng)建的,是邏輯概念?一組VRRP路由器協(xié)同工作,共同構(gòu)成一臺(tái)虛擬路由器?該虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定 IP地址和MAC地址的邏輯路由器?處于同一個(gè)VRRP組中的路由器具有兩種互斥的角色:主控路由器和備份路由器,一個(gè)VRRP組中有且只有一臺(tái)處于主控角色的路由器,可以有一個(gè)或者多個(gè)處于備份角色的路由器?VRRP協(xié)議使用選擇策略從路由器組中選出一臺(tái)作為主控,負(fù)責(zé)ARP相應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包,組中的其它路由器作為備份的角色處于待命狀態(tài)?當(dāng)由于某種原因主控路由器發(fā)生故障時(shí),備份路由器能在幾秒鐘的時(shí)延后升級(jí)為主路由器?由于此切換非常迅速而且不用改變IP地址和MAC地址,故對(duì)終端使用者系統(tǒng)是透明的?

　　二 工作原理

　　一個(gè)VRRP路由器有唯一的標(biāo)識(shí):VRID,范圍為0—255?該路由器對(duì)外表現(xiàn)為唯一的虛擬MAC地址,地址的格式為00-00-5E-00 -01-[VRID]?主控路由器負(fù)責(zé)對(duì)ARP請(qǐng)求用該MAC地址做應(yīng)答?這樣,無論如何切換,保證給終端設(shè)備的是唯一一致的IP和MAC地址,減少了切換對(duì)終端設(shè)備的影響?

　　VRRP控制報(bào)文只有一種:VRRP通告(advertisement)?它使用IP多播數(shù)據(jù)包進(jìn)行封裝,組地址為224.0.0.18,發(fā)布范圍只限于同一局域網(wǎng)內(nèi)?這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用?為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文?備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一輪VRRP選舉?

　　在VRRP路由器組中,按優(yōu)先級(jí)選舉主控路由器,VRRP協(xié)議中優(yōu)先級(jí)范圍是0—255?若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動(dòng)具有最高優(yōu)先級(jí):255?優(yōu)先級(jí)0一般用在IP地址所有者主動(dòng)放棄主控者角色時(shí)使用?可配置的優(yōu)先級(jí)范圍為1—254?優(yōu)先級(jí)的配置原則可以依據(jù)鏈路的速度和成本?路由器性能和可靠性以及其它管理策略設(shè)定?主控路由器的選舉中, 高優(yōu)先級(jí)的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現(xiàn)?對(duì)于相同優(yōu)先級(jí)的候選路由器,按照IP地址大小順序選舉?VRRP還提供了優(yōu)先級(jí)搶占策略,如果配置了該策略,高優(yōu)先級(jí)的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級(jí)的主控路由器而成為新的主控路由器?

　　為了保證VRRP協(xié)議的安全性, 提供了兩種安全認(rèn)證措施:明文認(rèn)證和IP頭認(rèn)證?明文認(rèn)證方式要求:在加入一個(gè)VRRP路由器組時(shí),必須同時(shí)提供相同的VRID和明文密碼?適合于避免在局域網(wǎng)內(nèi)的配置錯(cuò)誤,但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼?IP頭認(rèn)證的方式提供了更高的安全性,能夠防止報(bào)文重放和修改等攻擊?

　　三 應(yīng)用實(shí)例

　　最典型的VRRP應(yīng)用:RTA?RTB組成一個(gè)VRRP路由器組,假設(shè)RTB的處理能力高于RTA,則將RTB配置成IP地址所有者,H1? H2?H3的默認(rèn)網(wǎng)關(guān)設(shè)定為RTB?則RTB成為主控路由器,負(fù)責(zé)ICMP重定向?ARP應(yīng)答和IP報(bào)文的轉(zhuǎn)發(fā);一旦RTB失敗,RTA立即啟動(dòng)切換,成為主控,從而保證了對(duì)客戶透明的安全切換?

　　在VRRP應(yīng)用中,RTA在線時(shí)RTB只是作為后備,不參與轉(zhuǎn)發(fā)工作,閑置了路由器RTA和鏈路L1?通過合理的網(wǎng)絡(luò)設(shè)計(jì),可以到達(dá)備份和負(fù)載分擔(dān)雙重效果?讓RTA?RTB同時(shí)屬于互為備份的兩個(gè)VRRP組:在組1中RTA為IP地址所有者;組2中RTB為IP地址所有者?將H1的默認(rèn)網(wǎng)關(guān)設(shè)定為RTA;H2?H3的默認(rèn)網(wǎng)關(guān)設(shè)定為RTB?這樣,既分擔(dān)了設(shè)備負(fù)載和網(wǎng)絡(luò)流量,又提高了網(wǎng)絡(luò)可靠性?

　　VRRP協(xié)議的工作機(jī)理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處?但二者主要的區(qū)別是在CISCO的HSRP中,需要單獨(dú)配置一個(gè)IP地址作為虛擬路由器對(duì)外體現(xiàn)的地址,這個(gè)地址不能是組中任何一個(gè)成員的接口地址?

　　使用VRRP協(xié)議,不用改造目前的網(wǎng)絡(luò)結(jié)構(gòu),最大限度保護(hù)了當(dāng)前投資,只需最少的管理費(fèi)用,卻大大提升了網(wǎng)絡(luò)性能,具有重大的應(yīng)用價(jià)值?