網絡設備冗餘的兩種主要方法:
使用路由,
使用冗餘協議,如熱備份路由協議(Hot Standby Router Protocol,HSRP),虛擬路由器冗餘協議(Virtual Router Rebundancy Protocol VRRP) 或者任意兩個設備間的失效處理機制(failover)
一,路由冗餘
靜態:使用帶有不同權值的靜態路由,即浮動路由
動態:當一個設備出現故障時,以一種允許次優路徑作爲一個最優路徑的方法構建網絡;(網絡關鍵位置部署全互聯冗餘)
HSRP:
虛擬IP地址不能是其中一個路由器的IP地址
活動路由器就是實際承擔虛擬路由器轉發任務的路由器;能夠變成活動路由器的所有路由器被稱爲HSRP組或者備份組;路由器進入一個被稱爲會話(speak)的狀態,發出包含自身優先級的HSRP Hello數據包。在HSRP組中所有配置了虛擬地址的路由器都會發出包含這個信息的HSRP數據包,數據包被髮送到多播地址224.0.0.2,所有HSRP組都可以收到該消息。當一個路由器沒有在所有hello數據包中沒有找到擁有比自己更高優先級的路由器時,就承擔了活動路由器的任務;進入活動狀態;第二高優先級的路由器則稱爲了備用路由器;成爲了活動路由器或者備用路由器,會週期性發送Hello信息通告HSRP組,指示自己是活動路由器或者是備份路由器;
當備份路由器接收到活動路由器發來的優先級比自己低的消息,它通過發送一個有自己優先級和其他參數信息的hello數據包,指明它要接替轟動路由器。這個消息稱爲政變Hello消息(coup hello message)
檢測失效:
每個活動路由會在hello包中包含一個保持時間(holdtime)後者可以在HSRP組的每個路由器中設置保持時間,依據收到這個消息,備份路由會啓動活動計時器,該值等於保持計時器,當備用路由器在活動計時器計時終止之前沒有收到活動計時器發來的hello消息,活動路由器被認爲失效;備份路由器就會進入speak狀態,通告自己優先級;該組其他路由器若配置有虛擬地址,也會通告自己的優先級;
數據包格式:
HSRP基於UDP1985端口
TTL值均爲1
轉發到多播地址224.0.0.2
源地址總是路由器實際地址,不是虛擬地址;
版本號(version):HSRP版本
操作代碼(Op Code): 0-hello 通告一個路由器正在運行,並且有能力成爲活動或者備份路由器
1-政變 用於一個路由器想變成活動路由器是發送
2-放棄 用於路由器不想擔任活動路由器時發送
狀態(state):路由器發送消息時的狀態:
0-初始狀態 Init
1-學習 Learn
2-偵聽 Listen
4-會話 Speak
8-備用 Standby
16-活動 Active
Hellotime:包含路由器發送不同hello消息之間以秒計算的時間差;如果hellotime沒從別的路由器學習到,後者沒有手工配置,默認值是3秒;
保持時間(Holdtime):至少是hellotime的三倍,並且必須大於hellotime;處於活動狀態的路由不能從其他路由器噓唏保持時間值,但是可以沿用之前活動路由器的學習到的保持時間;也可使用手工配置的的hellotime和holdtime的字段值;活動路由器不能同時使用一個手工配置的時間值和一個從其他路由器(前任活動路由器)學到的時間值;,如果保持時間沒有學習也沒有手工配置,默認爲10秒;
優先級(priority):用於選擇活動路由器和備用路由器,當兩個路由器比較優先級是,優先級數值高的路由器獲選。若優先級相同,那麼高IP地址的路由器獲選。
組(group):用於確定備用路由器組。
認證數據(Autentication Data):包含一個明文的八字符的可複用密碼;
虛擬IP地址(virtual IP addres): 這個組使用的虛擬IP地址,只有在沒有手工指定並且hello消息經過認證時才能學習到;
HSRP安全:
可能有攻擊者迫使路由器選擇一個不存在的路由器作爲活動路由器,這就創建了一個黑洞,結果導致DOS攻擊。
故障恢復協議(Failover Protocol):
故障恢復是一個在PIX防火牆中實現的協議,允許失效防火牆的功能被一個備用防火牆接替。