简述默认网关冗余协议

来源：互联网发布：php证书编辑：程序博客网时间：2024/05/29 08:09

一．HSRP（热备份路由选择协议）

1．概述

HSRP -- Hot Standby Routing Protocol，热备份路由选择协议。

HSRP是目前最为流行的默认网关冗余协议，是CISCO专用协议。

HSRP具有如下特征：

· 尽管多台路由器可以存在于一个HSRP组中，但只有活跃路由器转发通信流。

· 组中有最高优先级的路由器变成活跃路由器（某些情况下，需配置抢占权）。

· 如果活跃路由器失效，备份路由器将自动承担活跃路由器的功能。

· HSRP组的路由器通过使用组播地址224.0.0.2的UDP协议1985端口发送hello数据包。

· 路由器接收来自活跃路由器的hello消息，并在hello保持时间内视其有效。

· HSRP定义了路由器能存在6种状态。

· 多个热备份组可以同时存在于一个局域网段上。在局域内，最多只能有255个备份组。

· 当运行HSRP时，一定不能让末端用户站点发现备份组中路由器的物理MAC地址，任何将路由器的物理MAC地址通知给主机的协议都应当被关闭（如：需关闭ICMP重定向）

2．HSRP的组成员

· 一台活跃路由器 -- 活跃路由器对前往虚拟IP地址的通信流进行转发。

· 一台备用路由器 -- 备用路由器在活跃路由器出现故障时接管其工作。活跃路由器出现

故障后，备用路由器将成为活跃路由器，并开始转发数据流。

· 一台虚拟路由器 -- 虚拟路由器并非真实的路由器，而是一个这样的概念：在主机看来，

整个HSRP组就是一台虚拟路由器，主机将数据包发送给虚拟路由器，而数据包转发工作是由活跃路由器完成的。

· 其它HSRP成员路由器 -- 这引起路由器既不是活跃路由器，也不是备用路由器，但被配

置成参与HSRP组中。它们监控活跃路由器和备用路由器，并在活跃、备用路由器都发生故障时成为活跃、备用路由器。

3．HSRP状态（共6种状态）

· 初始状态 – 所有路由器一开始都处于初始状态。这是HSRP的起始状态。

· 学习状态 – 此状态下，路由器还不知道虚拟IP地址，也未收到活跃路由器发送的hello

消息，而是在等待活跃路由器发送hello消息。

· 监听状态 – 路由器知道了虚拟IP地址，但未获悉活跃和备用路由器。

· 发言(speak)状态 – 处于发言状态的HSRP路由器定期地发送hello消息，参与活跃和

备用路由器的选择。除非成为活跃或备用路由器，否则路由器将保

持发言状态。

· 备用状态 – 在备用状态下，HSRP路由器为下一任活跃路由器候选者，并定期发送hello

消息。HSRP组中至少有一台备用路由器。

· 活跃状态 – 在活跃状态下，路由器对发送给HSRP组的虚拟MAC地址和IP地址的数据包进行转发。并定期发送hello消息。

注：并非所有HSRP路由器都能经历上述所有状态。例如，既不是活跃路由器也不是备用路

由器的路由器便不能进入备用状态和活跃状态。

4．HSRP虚拟MAC地址

HSRP组中的活跃路由器负责对发送给虚拟路由器的通信流进行转发。如果终端将数据包

发送到虚拟路由器的MAC地址，活跃路由器将接收并处理这些数据包；如果终端发送一个包

含虚拟路由器IP地址的ARP请求，活跃路由器将用虚拟路由器的MAC地址进行应答。

虚拟路由器的MAC地址为：0000.0c 07.ac xx（其中xx为HSRP组号的十六进制）

厂商编码虚拟MAC 组号

5．HSRP认证

作用：防止将路由器错误地配置到并不希望加入的HSRP组内。

实现：HSRP内的认证功能是通过HSRP包内插入共享的明文密码实现的。

缺点：尽管认证提供了一定安全性，但带来问题可能更多。首先由于密码在线路上明文传输，因此入侵者可以很容易用HSRP数据包来探测并将密码重放（relay）到线路中；其次，如果收到了包含错误认证值的数据包，HSRP伙伴会将其忽略，这意味着，如果一台路由器错误地配置了要加入的HSRP组，那么，可能会有两台或者更多的路由器将会收不到其它路由器发生的有效HELLO消息，然后同时决定成为活跃路由器，在这种情况下，它们会同时使用相同的IP和MAC地址，这会在网络中引起问题。

使用认证配置命令：standby 10 authentication key

建议：不使用HSRP认证功能。

6．配置案例

R1配置：

int f0/1 进入接口(注：网关冗余协议只能配在以太网接口上)

ip add 192.168.1.252 255.255.255.0 设置端口实IP地址

no ip redirects 关闭icmp重定向（防止将物理MAC通告给主机）

standby 10 ip 192.168.1.254 将接口加入HSRP组10,并配置虚拟IP（组号为0-255）

standby 10 times 5 15 更改hello和保持时间（默认为3、10）

standby 10 priority 150 设优先级,0-255之间,默认为100,相同则比物理IP谁大

standby 10 preempt 设置抢占(否则，第一个运行的是活跃,第二为备份)

standby 10 track f0/2 20 跟踪f0/2，如果down，优先级将自动减20(默认减10)

R2配置：验证命令：

int f0/1 show standby

ip add 192.168.1.253 255.255.255.0 show standby brief

noip redirects debug standby

standby10 ip 192.168.1.254

standby10 times 5 15

standby10 priority 140

standby10 preempt

二．VRRP（虚拟路由器冗余协议）

1．概述

VRRP – Virtual Router RedundancyProtocol，虚拟路由器冗余协议。

VRRP类似于HSRP，不同之处在于VRRP是业界标准的路由冗余协议。

VRRP有以下特征：

· HSRP和VRRP之间的主要区别在于VRRP备用路由器不发送通告，所以VRRP主路由器并不知道当前的备用路由器（HSRP的主路由器知道当前备用）。

· VRRP默认即启用了抢占功能，如果希望禁止抢占，需修改默认配置。（HSRP默认关闭）

· 如果优先组配置为0，那么路由器将不会成为VRRP组中的虚拟路由器。

· 如要将备路由器接替主路由器，则需将主路由器优先级设为0.

· VRRP组的路由器通过使用组播地址224.0.0.18发送hello数据包来相互通信。

· 在故障切换方面，备用路由器变为活跃路由器取决于两个定时器：通告间隔和主路由器失效间隔。通告间隔默认为1秒，可修改；主路由器失效间隔指的是多长时间没收到通告后，备用路由器将认为主路由器已失效，是不可修改的，其值至少为通告间隔的3倍。

· VRRP组的虚拟MAC地址格式为00-00-5e-00-01-xx(其中xx是十六进制的VRRP组号)

2．配置案例

conft

int f0/1

ip add 192.168.1.2 255.255.255.0 配置物理端口实IP地址

vrrp 10 ip 192.168.1.1 将端口加入VRRP组10中,组号为0-255，并配置虚拟IP。

vrrp 10 priority 90 设组优先级为90，1-254之间，默认为100。

vrrp 10 timers advertise 2 设置通告间隔为2秒，默认为1秒

show vrrp 验证命令

三．GLBP（网关负载均衡协议）

1．概述

GLBP – Gateway Load Balancing Protocol，网关负载均衡协议。

GLBP是另外一种业界标准协议，多台路由器不仅承担备份网关路由器的角色，而且共享转发流量的负载。GLBP与HSRP和VRRP不同，后两者只有活跃路由器能够转发流量。

GLBP组最多可以有4台用作IP默认网关的成员路由器。这些网关被称为AVF（虚拟转发器）。GLBP自动管理虚拟MAC地址的分配、决定谁负责处理工作，并确保每台终端在网关或跟踪的接口出现故障时都有转发路径。这些功能是由组中的AVG（活跃虚拟网关）完成的。

在发生故障之后，为最大限度地提高资源的使用效率，其余的AVG之间将调整负载均衡比例。在默认情况下，GLBP以循环方式根据源主机来均衡负载（轮流机制）。

需要注意的是，只有AVG（也叫主网关）响应ARP请求，AVG负责管理GLBP组中的成员。

2．配置案例

R1配置：

conf t

int f0/1

ip add 1.1.1.2255.255.255.0 配置物理端口实IP地址

glbp 10 ip 1.1.1.1 将端口加入glbp组10中,组号为0-1023，并配置虚拟IP。

glbp 10 priority 255 设组优先级为90，1-255之间，默认为100。

R2配置的优先级为160

R3配置的优先级为150

阅读全文

0 0