网络设备冗余的两种主要方法:
使用路由,
使用冗余协议,如热备份路由协议(Hot Standby Router Protocol,HSRP),虚拟路由器冗余协议(Virtual Router Rebundancy Protocol VRRP) 或者任意两个设备间的失效处理机制(failover)
一,路由冗余
静态:使用带有不同权值的静态路由,即浮动路由
动态:当一个设备出现故障时,以一种允许次优路径作为一个最优路径的方法构建网络;(网络关键位置部署全互联冗余)
HSRP:
虚拟IP地址不能是其中一个路由器的IP地址
活动路由器就是实际承担虚拟路由器转发任务的路由器;能够变成活动路由器的所有路由器被称为HSRP组或者备份组;路由器进入一个被称为会话(speak)的状态,发出包含自身优先级的HSRP Hello数据包。在HSRP组中所有配置了虚拟地址的路由器都会发出包含这个信息的HSRP数据包,数据包被发送到多播地址224.0.0.2,所有HSRP组都可以收到该消息。当一个路由器没有在所有hello数据包中没有找到拥有比自己更高优先级的路由器时,就承担了活动路由器的任务;进入活动状态;第二高优先级的路由器则称为了备用路由器;成为了活动路由器或者备用路由器,会周期性发送Hello信息通告HSRP组,指示自己是活动路由器或者是备份路由器;
当备份路由器接收到活动路由器发来的优先级比自己低的消息,它通过发送一个有自己优先级和其他参数信息的hello数据包,指明它要接替轰动路由器。这个消息称为政变Hello消息(coup hello message)
检测失效:
每个活动路由会在hello包中包含一个保持时间(holdtime)后者可以在HSRP组的每个路由器中设置保持时间,依据收到这个消息,备份路由会启动活动计时器,该值等于保持计时器,当备用路由器在活动计时器计时终止之前没有收到活动计时器发来的hello消息,活动路由器被认为失效;备份路由器就会进入speak状态,通告自己优先级;该组其他路由器若配置有虚拟地址,也会通告自己的优先级;
数据包格式:
HSRP基于UDP1985端口
TTL值均为1
转发到多播地址224.0.0.2
源地址总是路由器实际地址,不是虚拟地址;
版本号(version):HSRP版本
操作代码(Op Code): 0-hello 通告一个路由器正在运行,并且有能力成为活动或者备份路由器
1-政变 用于一个路由器想变成活动路由器是发送
2-放弃 用于路由器不想担任活动路由器时发送
状态(state):路由器发送消息时的状态:
0-初始状态 Init
1-学习 Learn
2-侦听 Listen
4-会话 Speak
8-备用 Standby
16-活动 Active
Hellotime:包含路由器发送不同hello消息之间以秒计算的时间差;如果hellotime没从别的路由器学习到,后者没有手工配置,默认值是3秒;
保持时间(Holdtime):至少是hellotime的三倍,并且必须大于hellotime;处于活动状态的路由不能从其他路由器嘘唏保持时间值,但是可以沿用之前活动路由器的学习到的保持时间;也可使用手工配置的的hellotime和holdtime的字段值;活动路由器不能同时使用一个手工配置的时间值和一个从其他路由器(前任活动路由器)学到的时间值;,如果保持时间没有学习也没有手工配置,默认为10秒;
优先级(priority):用于选择活动路由器和备用路由器,当两个路由器比较优先级是,优先级数值高的路由器获选。若优先级相同,那么高IP地址的路由器获选。
组(group):用于确定备用路由器组。
认证数据(Autentication Data):包含一个明文的八字符的可复用密码;
虚拟IP地址(virtual IP addres): 这个组使用的虚拟IP地址,只有在没有手工指定并且hello消息经过认证时才能学习到;
HSRP安全:
可能有攻击者迫使路由器选择一个不存在的路由器作为活动路由器,这就创建了一个黑洞,结果导致DOS攻击。
故障恢复协议(Failover Protocol):
故障恢复是一个在PIX防火墙中实现的协议,允许失效防火墙的功能被一个备用防火墙接替。