VRRP工作原理及與HSRP的區別

虛擬路由器冗餘協議（VRRP）是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱爲主路由器，它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作爲終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。

VRRP既沒用UDP，也沒用TCP，VRRP包封裝在IP包中發送，協議號是112，VRRP控制報文只有一種：VRRP通告(advertisement)。它使用IP多播數據包進行封裝，組地址爲224.0.0.18，發佈範圍只限於同一局域網內。
VRRP跟ICMP、ARP這些協議相似，承載在IP協議之上，協議號是112，所以要建立VRRP主備關係的三層設備之間必須在同一個局域網內，即二層互通。因此要求兩臺三層設備之間，如果是交換機，必須互連端口打trunk，且允許建立主備關係的VLAN通過。如果是兩臺路由器或防火牆，一般中間都會連接一臺二層交換機，其中二層交換機再下連用戶接入交換機。

VRRP協議的工作機理與CISCO公司的HSRP（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在CISCO的HSRP中，需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

使用VRRP協議，不用改造目前的網絡結構，最大限度保護了當前投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的應用價值。

 1.在功能上VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且不像HSRP那樣要
求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果”擁有”虛擬路由器地址的路由器被建立並且正在運行,那麼應
該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是爲了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使用的
MAC地址00-00-5e-00-01-VRID,這裏的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單，HSRP有6個狀態(初始(Initial)狀態，學習
(Learn)狀態，監聽(Listen)狀態，對話(Speak)狀態，備份(Standby)狀態，活動(Active)狀態)和8個事件，VRRP只有3個狀態(初始狀態
(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3.HSRP有三種報文，而且有三種狀態可以發送報文 呼叫(Hello)報文/告辭(Resign)報文/突變(Coup)報文，VRRP有一種報文，廣播報文，由主
路由器定時發出來通告它的存在，使用這些報文可以檢測虛擬路由器各種參數，還可以用於主路由器的選舉。
4.HSRP將報文承載在UDP報文上，而VRRP承載在IP報文上，協議號是112，VRRP報文的組播組地址爲224.0.0.18(HSRP 使用UDP 1985端口，向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證;簡單的明文密碼;使用MD5 HMAC ip認證的強認證;
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH爲認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表
明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密
鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防
止***者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網絡.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網絡添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地***的大
部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)
7.hsrp爲私有，vrrp不支持接口跟蹤機制。