A. HSRP是思科私有协议
HSRP是思科私有的!叫做热备份路由协议。VRRP叫做虚拟路由器冗余协议。从2个名字来看就看出这2个协议应该是十分相似的。它们所起到的作用就是“备份、冗余”。唯一的区别是HSRP必要为虚拟路由器配置一个单独外观地址。表面看起来好像是只有一台路由器。VRRP是直接配置一个IP地址作为一个路由器之间共享地址。
B. 双路由双出口配置(配置是思科或锐捷都行)
可以使用多HSRP组负载均衡来实现
起两个HSRP组 1和2 就有了两个HSRP虚拟地址
调整两台路由器的优先级 让RA成为组1的active 组2的standby
RB成为组1的standby 组2的active
之后通过划两个vlan 对应两个DHCP pool 网关分别指向 两个HSRP虚拟地址
这样就实现了负载均衡,同时也保证了一台路由器down掉以后 马上切换到另一台路由器。
下面的配置供楼主参考(思科路由器的配置)
RA:
(config)#int f0/0
(config-if)#ip add 10.16.6.6 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 preempt
(config-if)#standby 1 track f0/2
(config-if)#standby 1 priority 120
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 preempt
(config-if)#standby 2 track s0 30
(config-if)#standby 2 priority 100
RB:
(config)#int f0/0
(config-if)#ip add 10.16.6.5 255.255.255.0
(config-if)#standby 1 ip 10.16.6.100
(config-if)#standby 1 ip preempt
(config-if)#standby 1 track f0/2
(config-if)#standby 1 priority 100
(config-if)#standby 2 ip 10.16.6.200
(config-if)#standby 2 track s0
(config-if)#standby 2 priority 120
(config-if)#standby 2 preempt
vlan和dhcp楼主自己配置一下 网关分别指向10.16.6.100和10.16.6.200就可以了
如果只是模拟的话 只要在PC下面把网关分别指向10.16.6.100和10.16.6.200就可以了
希望对楼主有所帮助~
C. 谁能解释下思科HSRP和VRRP,两个到底是什么东西,具体用途是什么
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址,它指定使 用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
3. HSRP有三种报文,而且有三种状态可以发送报文 (Hello)报文 (Resign)报文 (Coup)报文
VRRP有一种报文
VRRP广播报文:由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
4. HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证.
强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.
另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
D. 三层交换机上配置VLAN的IP有何用与HSRP有何关联
vlan 上配IP就是真实的网关地址,启用了HSRP后用一个虚拟的IP地址取代了这两个地址作为网关地址并在PC上配置好,而真实地IP地址主要用于两台或者多台三层交换机之间进行通信,保证负责转发的三层交换机挂掉后,备用的能够顶上。HSRP真实地址和虚拟地址不能相同。
E. 在三层交换机上配置HSRP协议时要创建一个SVI接口,何解
SVI是和某个VLAN关联的IP接口。每个SVI只能和一个VLAN关联,有以下两种类型:
– SVI是本机的管理接口,通过该管理接口管理员可管理交换机。
– SVI是一个网关接口,用于3层交换机中跨VLAN之间的路由。
给SVI分配IP地址用来建立VLAN之间的路由。
F. 如何配置Cisco HSRP
二、HSRP配置的具体步骤:
1.实验背景
随着业务的发展,BENET公司对互联网的访问要求越来越高,因此公司决定采用冗余路由器以及2条连接到互联网的链路,以保障到互联网的访问不间断
作为网络管理人员,需要设计实施出口路由设备和出口链路的冗余备份
两台路由器分别为两个子网提供访问外部网络的出口(两个子网分别为对方的外部网络),并用HSRP实现设备级的冗余,以保障网络的连通
2.HSRP配置拓扑图
3.实验任务
任务1HSRP的基本配置
完成标准使用命令showstandby可以看到配置已经生效
任务2配置HSRP的优先级
完成标准在两个路由器上面使用showstandby查看各自的优先级已经配置成功
任务3配置HSRP占先权
完成标准1在两个路由器上使用showstandby可看到占先权已配置
LocalstateisActive,priority120,maypreempt
完成标准2LAN内的PC配置HSRP虚拟IP地址作为网关,任意中断组内一台路由器时,与外部通信不断
任务4配置HSRP的端口跟踪
完成标准中断活跃路由器的外出接口线路,使用showstandby,可以看到原备份路由器成为活跃路由器,两个网段的PC之间通信不中断
4.具体配置步骤:
第一步:配置路由器接口的IP和HSRP
RA:
RA(config)#interfacef0/0
RA(config)#noswitchport
RA(config-if)#ipadd172.15.1.1255.255.255.0
RA(config-if)#noshut
加入备份组10,虚拟IP:172.15.1.3
RA(config)#interfacef0/0
RA(config-if)#standby10ip172.15.1.3
RA(config)#interfacef0/1
RA(config-if)#ipadd172.16.1.1255.255.255.0
关闭端口重定向:
RA(config)#interfacef0/0
RA(config)#noipredirects
RB:
RB的配置过程与RA同理
此时由于RA的f0/0与RA的f0/0的优先级相同,RB的f0/0的ip大于RA的f0/0的ip,
所以RB被指定为活跃路由器。
第二步:配置优先级和占先权来改变活跃路由器
RA(config)#interfacef0/0
RA(config-if)#standby10priority120
RA(config-if)#exit
此时由于改变RA的优先级,RA成为活跃路由器。
RB(config)#interfacef0/0
RB(config-if)#standby40priority150
RB(config-if)#standby40preempt
此时down掉RA的f0/0
RA(config)#interfacef0/0
RA(config-if)#shutdown
此时RB成为活跃路由器。
第三步:配置HSRP的端口跟踪
RA(config)#interfacef0/0
在组10内配置对f0/1的端口跟踪,失效后优先级为50。
RA(config-if)#standby10track50
RB(config)#interfacef0/0
RB(config-if)#standby10preempt
此时down掉RA的f0/1
RA(config)#interfacef0/1
RA(config-if)#shutdown
此时RB成为活跃路由器。
G. 备份技术(VRRP,HSRP,双机热备,所有的备份技术)详细。
一、 HSRP协议概述 ---- 实现HSRP的条件是系统中有多台路由器,它们组成一个“热等待组”,这个组形成一个虚拟路由器。在任一时刻,一个组内只有一个路由器是活动的,并由它来转发数据包,如果活动路由器发生了故障,将选择一个等待路由器来替代活动路由器,但是在本网络内的主机看来,虚拟路由器没有改变。所以主机仍然保持连接,没有受到故障的影响,这样就较好地解决了路由器切换的问题。 ---- 为了减少网络的数据流量,在设置完活动路由器和等待路由器之后,只有活动路由器和等待路由器定时发送HSRP报文。如果活动路由器失效,等待路由器将接管成为活动路由器。如果等待路由器失效或者变成了活动路由器,将由另外的路由器被选为等待路由器。 ---- 在实际的一个特定的局域网中,可能有多个热等待组并存或重叠。每个热等待组模仿一个虚拟路由器工作,它有一个Well-known-MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内,但是不能一样。当在一个局域网上有多个热等待组存在时,把主机分布到不同的热等待组,可以使负载得到分担。 二、HSRP协议数据包格式 ---- 在热等待组内,路由器定时以不同类型的数据报文广播状态信息。该协议运行在UDP之上,端口号为1985,目的地址为多播地址224.0.0.2,TTL标记为1。数据包的源地址为发送方路由器的实际IP地址,而不是虚拟地址,这样可以用来标记不同的路由器。UDP的格式如图1所示。 ---- 版本: 指示HSPR的版本信息。 ---- 操作码: 用来描述数据包中报文的类型,可能的值为0、1和2,如表1所示。 ---- 状态: 描述发出该报文的路由器的当前状态。在一个热等待组内的所有路由器都运行着这样的状态机,有以下6种状态,见表2。 ---- 呼叫时间: 只在呼叫报文中有意义,表示路由器定时发送呼叫报文的间隔时间,以秒为单位。如果该参数没有在路由器上配置,它可能要从活动路由器上学习获得。如果没有配置也没有学习,那么建议使用缺省值3。 ---- 保持时间: 只在呼叫报文中有意义,被接收路由器用来判断该呼叫报文是否合法,单位为秒,其值至少是呼叫时间的3倍。如果该参数没有配置,也同样可以从活动路由器上学习。活动路由器不能从等待路由器学习呼叫时间和保持时间,它只能继续使用从先前的活动路由器学习来的该值。建议的缺省值为10。 ---- 优先级: 该参数用来选择活动和等待路由器,2个具有不同优先级的路由器,优先级高的将成为活动路由器。2个具有相同优先级的路由器,IP地址高的将成为活动路由器。 ---- 组: 用来标记路由器所在的热等待组。对令牌环类型的网络,合法的值是0、1和2,对于其他类型的网络,合法值是0~255。 ---- 认证码: 包括8个明文的字符作为密码,如果没有配置,缺省值为0×63 0×69 0×73 0×63 0×6F 0×00 0×00 0×00。 ---- 虚拟IP地址: 4个8位组,用来指定本热等待组的虚拟IP地址,它可以是从活动路由器的呼叫报文中学习来的。如果没有配置该地址,并且呼叫报文是需要认识的,那么只能通过活动路由器学习。 ---- 在配置路由器或路由交换模块(Route Switch Mole,RSM)时需要为上述字段赋值。 三、 HSRP中路由器的状态及状态转换 ---- 在热等待组中,每个路由器运行着一个简单的状态机,通过当前的状态和事件的触发,而转换成不同的状态。其中包括以下状态。 ---- 1.初始状态 HSRP启动时的状态,HSRP还没有运行,一般是在改变配置或端口刚刚启动时进入该状态。 ---- 2.学习状态 在该状态下,路由器还没有决定虚拟IP地址,也没有看到认证的、来自活动路由器的HELLO报文。路由器仍在等待活动路由器发来的HELLO报文。 ---- 3.监听状态 路由器已经得到了虚拟IP地址,但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。 ---- 4.说话状态 在该状态下,路由器定期发送HELLO报文,并且积极参加活动路由器或等待路由器的竞选。 ---- 5.等待状态 处于该状态的路由器是下一个候选的活动路由器,它定时发送HELLO报文。 ---- 6.活动状态 处于活动状态的路由器承担转发数据包的任务,这些数据包是发给该组的虚拟MAC地址的。它定时发出HELLO报文。 ---- 另外,每一个路由器都有3个计时器,即活动计时器、等待计时器和呼叫计时器。 ---- 状态的变化都是由事件引起的,不同的事件作用于不同的状态在就会产生不同的动作,如启动计时器、发报文等。 四、HSRP的配置实例 ---- 某校园网规模比较大,上网的主机相对比较多,共分配有16个C类地址。为了保证数据安全和广播风暴,提高网络性能,将校园网划分成60个子网。在网络中心采用Cisco系统公司的Catalyst 5509作为中心交换机,并且带有RSM作为VLAN间的路由器,另外使用一个Cisco 7000系列的路由器和RSM。它们都支持VLAN以及VLAN上的HSRP。如图2所示。 ---- 在每一个虚拟局域网内都有一个HSRP组,从逻辑上讲,Cisco 7010和Cisco 5509的RSM在每个虚拟局域网上都有局域网接口,并且都配置有IP地址,同时配置一个虚拟地址,该地址作为在该虚拟局域网内所有主机的网关。下面以VLAN 9为例,RSM中VLAN 9的配置如下: ---- interface Vlan9 ---- description surportcenter ---- ip address 202.120.95.66 255.255.255.224 该路由器在该VLAN9上的接口的IP地址以及掩码 no ip redirects no ip directed-broadcast no ip route-cache cef standby 9 timers 3 250 定义热等待组号为9,每3秒交换一次hello信息,250没有收到hello信息就开切换 standby 150 priority 110 定义路由器的权值,值越大,成为活动路由器的希望越大 standby 9 preempt Enable该组的HSRP抢占功能,谁的权值大就可以立即成为活动路由器 standby 9 ip 202.120.95.65 该组的虚拟IP地址,作为该VLAN中主机的网关地址 Cisco 7010路由器中接口的配置如下: interface FastEthernet0/0.9 description surportcenter ip address 202.120.95.67 255.255.255.224 cisco7010在VLAN9上的接口的IP地址以及掩码,该地址和RSM中的地址必须属于同一个子网,并且不同 no ip redirects encapsulation is l 9 所使用的虚拟局域网协议 standby 9 timers 3 250 和在RSM中的含义一样,并且必须相同 standby 9 priority 100 比在RSM中的值小,所以RSM在该VLAN中为活动的 standby 9 preempt 和在RSM中含义一样 standby 9 ip 202.120.95.65 该组的虚拟IP地址,必须和RSM中一样 ---- 为了达到负载均衡的目的,应该使Cisco 5509 RSM和Cisco 7010承担大致相同的负载,我们的方法是,在RSM中,VLAN 1到VLAN 30的权值为110,VLAN 31到VLAN 60的权值为100; 相反,在Cisco 7010中,VLAN 1到VLAN 30的权值为100,VLAN 31到VLAN 60的权值为100。这样,在正常情况下,Cisco 5509的RSM负责VLAN 1到VLAN 30的路由,Cisco 7010负责VLAN 31到VLAN 60的路由。如果有一方出现了故障,将由另一个来负载全部的路由工作。 五、HSRP存在的问题 ---- 对于在HSRP协议,最大的问题是没有提供安全防护,在一个局域网内部,通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击,导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Service Attack)。一般无法从一个局域网的外部实施攻击,因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2)。 ---- HSRP只是实现了路由器的平滑切换,使用户感觉不到这种切换,保证了网络的稳定性。但是,一个HSRP组内的路由器不能互通它们的其他网络配置信息,例如访问控制列表等。所以在管理实施管理时,为了保证一致性,必须对它们进行相同的修改,增加了管理的复杂性,这也许是为了提高性能而付出的代价吧。
本篇文章来自<A href='http://www.soidc.net'>IDC专家网</a> 原文链接:http://www.soidc.net/articles/1215484951247/20050822/1215945398754_1.html
虚拟路由器冗余协议
(VRRP:Virtual Router Rendancy Protocol)
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟 IP 地址就会映射到一个备份路由器的 IP 地址(这个备份路由器就成为了主路由器)。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Rendancy Protocol,虚拟路由冗余协议)是一种容错协
议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),
这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器
RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段
内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。
VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以
太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路
由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个
虚拟路由器,称之为一个备份组。
这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的
某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master
的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅
仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省
路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机
就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏
掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内
的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
关于VRRP 协议的详细信息,可以参考RFC 2338。