A. HSRP是思科私有協議
HSRP是思科私有的!叫做熱備份路由協議。VRRP叫做虛擬路由器冗餘協議。從2個名字來看就看出這2個協議應該是十分相似的。它們所起到的作用就是「備份、冗餘」。唯一的區別是HSRP必要為虛擬路由器配置一個單獨外觀地址。表面看起來好像是只有一台路由器。VRRP是直接配置一個IP地址作為一個路由器之間共享地址。
B. 雙路由雙出口配置(配置是思科或銳捷都行)
可以使用多HSRP組負載均衡來實現
起兩個HSRP組 1和2 就有了兩個HSRP虛擬地址
調整兩台路由器的優先順序 讓RA成為組1的active 組2的standby
RB成為組1的standby 組2的active
之後通過劃兩個vlan 對應兩個DHCP pool 網關分別指向 兩個HSRP虛擬地址
這樣就實現了負載均衡,同時也保證了一台路由器down掉以後 馬上切換到另一台路由器。
下面的配置供樓主參考(思科路由器的配置)
RA:
(config)#int f0/0
(config-if)#ip add 10.16.6.6 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 preempt
(config-if)#standby 1 track f0/2
(config-if)#standby 1 priority 120
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 preempt
(config-if)#standby 2 track s0 30
(config-if)#standby 2 priority 100
RB:
(config)#int f0/0
(config-if)#ip add 10.16.6.5 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 ip preempt
(config-if)#standby 1 track f0/2
(config-if)#standby 1 priority 100
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 track s0
(config-if)#standby 2 priority 120
(config-if)#standby 2 preempt
vlan和dhcp樓主自己配置一下 網關分別指向10.16.6.100和10.16.6.200就可以了
如果只是模擬的話 只要在PC下面把網關分別指向10.16.6.100和10.16.6.200就可以了
希望對樓主有所幫助~
C. 誰能解釋下思科HSRP和VRRP,兩個到底是什麼東西,具體用途是什麼
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的設備間建立認證機制.並且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果」擁有」虛擬路由器地址的路由器被建立並且正在運行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價於一個HSRP的組標識符).
2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價消息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始(Initial)狀態,學習(Learn)狀態,監聽(Listen)狀態,對話(Speak)狀態,備份(Standby)狀態,活動(Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.
3. HSRP有三種報文,而且有三種狀態可以發送報文 (Hello)報文 (Resign)報文 (Coup)報文
VRRP有一種報文
VRRP廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種參數,還可以用於主路由器的選舉。
4. HSRP將報文承載在UDP報文上,而VRRP承載在TCP報文上(HSRP 使用UDP 1985埠,向組播地址224.0.0.2 發送hello消息。)
5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.
強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的密鑰用於產生hash值.路由器發送一個VRRP分組產生MD5 hash值,並將它置於要發送的通告中,在接收時,接受方使用相同的密鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個消息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發出能影響選擇過程的通告消息或者其他一些方法中斷網路.
另外,VRRP包括一個保護VRRP分組不會被另外一個遠程網路添加內容的機制(設置TTL值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)
D. 三層交換機上配置VLAN的IP有何用與HSRP有何關聯
vlan 上配IP就是真實的網關地址,啟用了HSRP後用一個虛擬的IP地址取代了這兩個地址作為網關地址並在PC上配置好,而真實地IP地址主要用於兩台或者多台三層交換機之間進行通信,保證負責轉發的三層交換機掛掉後,備用的能夠頂上。HSRP真實地址和虛擬地址不能相同。
E. 在三層交換機上配置HSRP協議時要創建一個SVI介面,何解
SVI是和某個VLAN關聯的IP介面。每個SVI只能和一個VLAN關聯,有以下兩種類型:
– SVI是本機的管理介面,通過該管理介面管理員可管理交換機。
– SVI是一個網關介面,用於3層交換機中跨VLAN之間的路由。
給SVI分配IP地址用來建立VLAN之間的路由。
F. 如何配置Cisco HSRP
二、HSRP配置的具體步驟:
1.實驗背景
隨著業務的發展,BENET公司對互聯網的訪問要求越來越高,因此公司決定採用冗餘路由器以及2條連接到互聯網的鏈路,以保障到互聯網的訪問不間斷
作為網路管理人員,需要設計實施出口路由設備和出口鏈路的冗餘備份
兩台路由器分別為兩個子網提供訪問外部網路的出口(兩個子網分別為對方的外部網路),並用HSRP實現設備級的冗餘,以保障網路的連通
2.HSRP配置拓撲圖
3.實驗任務
任務1HSRP的基本配置
完成標准使用命令showstandby可以看到配置已經生效
任務2配置HSRP的優先順序
完成標准在兩個路由器上面使用showstandby查看各自的優先順序已經配置成功
任務3配置HSRP佔先權
完成標准1在兩個路由器上使用showstandby可看到佔先權已配置
LocalstateisActive,priority120,maypreempt
完成標准2LAN內的PC配置HSRP虛擬IP地址作為網關,任意中斷組內一台路由器時,與外部通信不斷
任務4配置HSRP的埠跟蹤
完成標准中斷活躍路由器的外出介面線路,使用showstandby,可以看到原備份路由器成為活躍路由器,兩個網段的PC之間通信不中斷
4.具體配置步驟:
第一步:配置路由器介面的IP和HSRP
RA:
RA(config)#interfacef0/0
RA(config)#noswitchport
RA(config-if)#ipadd172.15.1.1255.255.255.0
RA(config-if)#noshut
加入備份組10,虛擬IP:172.15.1.3
RA(config)#interfacef0/0
RA(config-if)#standby10ip172.15.1.3
RA(config)#interfacef0/1
RA(config-if)#ipadd172.16.1.1255.255.255.0
關閉埠重定向:
RA(config)#interfacef0/0
RA(config)#noipredirects
RB:
RB的配置過程與RA同理
此時由於RA的f0/0與RA的f0/0的優先順序相同,RB的f0/0的ip大於RA的f0/0的ip,
所以RB被指定為活躍路由器。
第二步:配置優先順序和佔先權來改變活躍路由器
RA(config)#interfacef0/0
RA(config-if)#standby10priority120
RA(config-if)#exit
此時由於改變RA的優先順序,RA成為活躍路由器。
RB(config)#interfacef0/0
RB(config-if)#standby40priority150
RB(config-if)#standby40preempt
此時down掉RA的f0/0
RA(config)#interfacef0/0
RA(config-if)#shutdown
此時RB成為活躍路由器。
第三步:配置HSRP的埠跟蹤
RA(config)#interfacef0/0
在組10內配置對f0/1的埠跟蹤,失效後優先順序為50。
RA(config-if)#standby10track50
RB(config)#interfacef0/0
RB(config-if)#standby10preempt
此時down掉RA的f0/1
RA(config)#interfacef0/1
RA(config-if)#shutdown
此時RB成為活躍路由器。
G. 備份技術(VRRP,HSRP,雙機熱備,所有的備份技術)詳細。
一、 HSRP協議概述 ---- 實現HSRP的條件是系統中有多台路由器,它們組成一個「熱等待組」,這個組形成一個虛擬路由器。在任一時刻,一個組內只有一個路由器是活動的,並由它來轉發數據包,如果活動路由器發生了故障,將選擇一個等待路由器來替代活動路由器,但是在本網路內的主機看來,虛擬路由器沒有改變。所以主機仍然保持連接,沒有受到故障的影響,這樣就較好地解決了路由器切換的問題。 ---- 為了減少網路的數據流量,在設置完活動路由器和等待路由器之後,只有活動路由器和等待路由器定時發送HSRP報文。如果活動路由器失效,等待路由器將接管成為活動路由器。如果等待路由器失效或者變成了活動路由器,將由另外的路由器被選為等待路由器。 ---- 在實際的一個特定的區域網中,可能有多個熱等待組並存或重疊。每個熱等待組模仿一個虛擬路由器工作,它有一個Well-known-MAC地址和一個IP地址。該IP地址、組內路由器的介面地址、主機在同一個子網內,但是不能一樣。當在一個區域網上有多個熱等待組存在時,把主機分布到不同的熱等待組,可以使負載得到分擔。 二、HSRP協議數據包格式 ---- 在熱等待組內,路由器定時以不同類型的數據報文廣播狀態信息。該協議運行在UDP之上,埠號為1985,目的地址為多播地址224.0.0.2,TTL標記為1。數據包的源地址為發送方路由器的實際IP地址,而不是虛擬地址,這樣可以用來標記不同的路由器。UDP的格式如圖1所示。 ---- 版本: 指示HSPR的版本信息。 ---- 操作碼: 用來描述數據包中報文的類型,可能的值為0、1和2,如表1所示。 ---- 狀態: 描述發出該報文的路由器的當前狀態。在一個熱等待組內的所有路由器都運行著這樣的狀態機,有以下6種狀態,見表2。 ---- 呼叫時間: 只在呼叫報文中有意義,表示路由器定時發送呼叫報文的間隔時間,以秒為單位。如果該參數沒有在路由器上配置,它可能要從活動路由器上學習獲得。如果沒有配置也沒有學習,那麼建議使用預設值3。 ---- 保持時間: 只在呼叫報文中有意義,被接收路由器用來判斷該呼叫報文是否合法,單位為秒,其值至少是呼叫時間的3倍。如果該參數沒有配置,也同樣可以從活動路由器上學習。活動路由器不能從等待路由器學習呼叫時間和保持時間,它只能繼續使用從先前的活動路由器學習來的該值。建議的預設值為10。 ---- 優先順序: 該參數用來選擇活動和等待路由器,2個具有不同優先順序的路由器,優先順序高的將成為活動路由器。2個具有相同優先順序的路由器,IP地址高的將成為活動路由器。 ---- 組: 用來標記路由器所在的熱等待組。對令牌環類型的網路,合法的值是0、1和2,對於其他類型的網路,合法值是0~255。 ---- 認證碼: 包括8個明文的字元作為密碼,如果沒有配置,預設值為0×63 0×69 0×73 0×63 0×6F 0×00 0×00 0×00。 ---- 虛擬IP地址: 4個8位組,用來指定本熱等待組的虛擬IP地址,它可以是從活動路由器的呼叫報文中學習來的。如果沒有配置該地址,並且呼叫報文是需要認識的,那麼只能通過活動路由器學習。 ---- 在配置路由器或路由交換模塊(Route Switch Mole,RSM)時需要為上述欄位賦值。 三、 HSRP中路由器的狀態及狀態轉換 ---- 在熱等待組中,每個路由器運行著一個簡單的狀態機,通過當前的狀態和事件的觸發,而轉換成不同的狀態。其中包括以下狀態。 ---- 1.初始狀態 HSRP啟動時的狀態,HSRP還沒有運行,一般是在改變配置或埠剛剛啟動時進入該狀態。 ---- 2.學習狀態 在該狀態下,路由器還沒有決定虛擬IP地址,也沒有看到認證的、來自活動路由器的HELLO報文。路由器仍在等待活動路由器發來的HELLO報文。 ---- 3.監聽狀態 路由器已經得到了虛擬IP地址,但是它既不是活動路由器也不是等待路由器。它一直監聽從活動路由器和等待路由器發來的HELLO報文。 ---- 4.說話狀態 在該狀態下,路由器定期發送HELLO報文,並且積極參加活動路由器或等待路由器的競選。 ---- 5.等待狀態 處於該狀態的路由器是下一個候選的活動路由器,它定時發送HELLO報文。 ---- 6.活動狀態 處於活動狀態的路由器承擔轉發數據包的任務,這些數據包是發給該組的虛擬MAC地址的。它定時發出HELLO報文。 ---- 另外,每一個路由器都有3個計時器,即活動計時器、等待計時器和呼叫計時器。 ---- 狀態的變化都是由事件引起的,不同的事件作用於不同的狀態在就會產生不同的動作,如啟動計時器、發報文等。 四、HSRP的配置實例 ---- 某校園網規模比較大,上網的主機相對比較多,共分配有16個C類地址。為了保證數據安全和廣播風暴,提高網路性能,將校園網劃分成60個子網。在網路中心採用Cisco系統公司的Catalyst 5509作為中心交換機,並且帶有RSM作為VLAN間的路由器,另外使用一個Cisco 7000系列的路由器和RSM。它們都支持VLAN以及VLAN上的HSRP。如圖2所示。 ---- 在每一個虛擬區域網內都有一個HSRP組,從邏輯上講,Cisco 7010和Cisco 5509的RSM在每個虛擬區域網上都有區域網介面,並且都配置有IP地址,同時配置一個虛擬地址,該地址作為在該虛擬區域網內所有主機的網關。下面以VLAN 9為例,RSM中VLAN 9的配置如下: ---- interface Vlan9 ---- description surportcenter ---- ip address 202.120.95.66 255.255.255.224 該路由器在該VLAN9上的介面的IP地址以及掩碼 no ip redirects no ip directed-broadcast no ip route-cache cef standby 9 timers 3 250 定義熱等待組號為9,每3秒交換一次hello信息,250沒有收到hello信息就開切換 standby 150 priority 110 定義路由器的權值,值越大,成為活動路由器的希望越大 standby 9 preempt Enable該組的HSRP搶占功能,誰的權值大就可以立即成為活動路由器 standby 9 ip 202.120.95.65 該組的虛擬IP地址,作為該VLAN中主機的網關地址 Cisco 7010路由器中介面的配置如下: interface FastEthernet0/0.9 description surportcenter ip address 202.120.95.67 255.255.255.224 cisco7010在VLAN9上的介面的IP地址以及掩碼,該地址和RSM中的地址必須屬於同一個子網,並且不同 no ip redirects encapsulation is l 9 所使用的虛擬區域網協議 standby 9 timers 3 250 和在RSM中的含義一樣,並且必須相同 standby 9 priority 100 比在RSM中的值小,所以RSM在該VLAN中為活動的 standby 9 preempt 和在RSM中含義一樣 standby 9 ip 202.120.95.65 該組的虛擬IP地址,必須和RSM中一樣 ---- 為了達到負載均衡的目的,應該使Cisco 5509 RSM和Cisco 7010承擔大致相同的負載,我們的方法是,在RSM中,VLAN 1到VLAN 30的權值為110,VLAN 31到VLAN 60的權值為100; 相反,在Cisco 7010中,VLAN 1到VLAN 30的權值為100,VLAN 31到VLAN 60的權值為100。這樣,在正常情況下,Cisco 5509的RSM負責VLAN 1到VLAN 30的路由,Cisco 7010負責VLAN 31到VLAN 60的路由。如果有一方出現了故障,將由另一個來負載全部的路由工作。 五、HSRP存在的問題 ---- 對於在HSRP協議,最大的問題是沒有提供安全防護,在一個區域網內部,通過發送虛假的UDP多播數據包很容易對區域網中的路由器實施攻擊,導致數據包黑洞(Packet Black Hole)和拒絕服務攻擊(Denial-of-Service Attack)。一般無法從一個區域網的外部實施攻擊,因為大多數路由器都不轉發目的地址為所有路由器的多播地址(224.0.0.2)。 ---- HSRP只是實現了路由器的平滑切換,使用戶感覺不到這種切換,保證了網路的穩定性。但是,一個HSRP組內的路由器不能互通它們的其他網路配置信息,例如訪問控制列表等。所以在管理實施管理時,為了保證一致性,必須對它們進行相同的修改,增加了管理的復雜性,這也許是為了提高性能而付出的代價吧。
本篇文章來自<A href='http://www.soidc.net'>IDC專家網</a> 原文鏈接:http://www.soidc.net/articles/1215484951247/20050822/1215945398754_1.html
虛擬路由器冗餘協議
(VRRP:Virtual Router Rendancy Protocol)
虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成為了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虛擬路由冗餘協議)是一種容錯協
議。通常,一個網路內的所有主機都設置一條預設路由(如圖3-1所示,10.100.10.1),
這樣,主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器
RouterA,從而實現了主機與外部網路的通信。當路由器RouterA 壞掉時,本網段
內所有以RouterA 為預設路由下一跳的主機將斷掉與外部的通信。
VRRP 就是為解決上述問題而提出的,它為具有多播或廣播能力的區域網(如:以
太網)設計。我們結合下圖來看一下VRRP 的實現原理。VRRP 將區域網的一組路
由器(包括一個Master 即活動路由器和若干個Backup 即備份路由器)組織成一個
虛擬路由器,稱之為一個備份組。
這個虛擬的路由器擁有自己的IP 地址10.100.10.1(這個IP 地址可以和備份組內的
某個路由器的介面地址相同),備份組內的路由器也有自己的IP 地址(如Master
的IP 地址為10.100.10.2,Backup 的IP 地址為10.100.10.3)。區域網內的主機僅
僅知道這個虛擬路由器的IP 地址10.100.10.1,而並不知道具體的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它們將自己的預設
路由下一跳地址設置為該虛擬路由器的IP 地址10.100.10.1。於是,網路內的主機
就通過這個虛擬的路由器來與其它網路進行通信。如果備份組內的Master 路由器壞
掉,Backup 路由器將會通過選舉策略選出一個新的Master 路由器,繼續向網路內
的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通信。
關於VRRP 協議的詳細信息,可以參考RFC 2338。