HSRP和VRRP的比較

VRRP：虛擬路由器冗餘協議 （VRRP：Virtual Router Redundancy Protocol）

　　虛擬路由器冗餘協議（VRRP）是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱爲主路由器，它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作爲終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。

　　使用 VRRP ，可以通過手動或 DHCP 設定一個虛擬 IP 地址作爲默認路由器。虛擬 IP 地址在路由器間共享，其中一個指定爲主路由器而其它的則爲備份路由器。如果主路由器不可用，這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址（這個備份路由器就成爲了主路由器）。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。

HSRP：熱備份路由器協議（HSRP：Hot Standby Router Protocol）

    熱備份路由器協議（HSRP）的設計目標是支持特定情況下 IP 流量失敗轉移不會引起混亂、並允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說，當源主機不能動態知道第一跳路由器的 IP 地址時，HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器，對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。

　　負責轉發數據包的路由器稱之爲主動路由器（Active Router）。一旦主動路由器出現故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制，並指定一個虛擬的 IP 地址作爲網絡系統的缺省網關地址。如果主動路由器出現故障，備份路由器（Standby Routers）承接主動路由器的所有任務，並且不會導致主機連通中斷現象。

　　HSRP 運行在 UDP 上，採用端口號1985。路由器轉發協議數據包的源地址使用的是實際 IP 地址，而並非虛擬地址，正是基於這一點，HSRP 路由器間能相互識別。

VRRP和HSRP之間區別

1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且不像HSRP那樣要

求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果”擁有”虛擬路由器地址的路由器被建立並且正在運行,那麼應

該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是爲了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使用的

MAC地址00-00-5e-00-01-VRID,這裏的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).

2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單，HSRP有6個狀態(初始(Initial)狀態，學習

(Learn)狀態，監聽(Listen)狀態，對話(Speak)狀態，備份(Standby)狀態，活動(Active)狀態)和8個事件，VRRP只有3個狀態(初始狀態

(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.

3.HSRP有三種報文，而且有三種狀態可以發送報文 呼叫(Hello)報文/告辭(Resign)報文/突變(Coup)報文，VRRP有一種報文，廣播報文，由主

路由器定時發出來通告它的存在，使用這些報文可以檢測虛擬路由器各種參數，還可以用於主路由器的選舉。

4.HSRP將報文承載在UDP報文上，而VRRP承載在TCP報文上(HSRP 使用UDP 1985端口，向組播地址224.0.0.2 發送hello消息。)

5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證;簡單的明文密碼;使用MD5 HMAC ip認證的強認證;
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH爲認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表

明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密

鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防

止***者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.

另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網絡添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地***的大

部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.

6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)

7.hsrp爲私有，vrrp不支持接口跟蹤機制