VRRP
一、实验软件
GNS3
二、实验目的
当一条链路出现故障,另外一条链路在很短的时间内恢复链路(备份)三、实验拓扑图
四、配置
VRRP:
1、基本配置
ip地址划分
接口配置
PAT
默认路由
VRRP
接口配置注意NO SHUTDOWN(开启接口)
PA T设置:
R2:
access-list 1 permit any
ip nat ins sou list 1 int f0/0 over
int f0/0
ip nat outside
int f1/0
ip nat inside
R2:
access-list 2 permit any
ip nat ins sou list 2 int f1/0 over
int f1/0
ip nat outside
int f0/0
ip nat inside
默认路由:
R1:IP ROUTE 0.0.0.0 0.0.0.0 FA 0/0
R2:IP ROUTE 0.0.0.0 0.0.0.0 FA 1/0
VRRP:
R1:
int f0/0
ip virtual-reassembly
int 1/0
ip virtual-reassembly
vrrp 10 ip 192.168.30.254 (地址为pc的网关地址)vrrp 10 priority 150
vrrp 10 track 1 decrement 100
track 1 int f0/0 line-protocol
R2:
int f1/0
ip virtual-reassembly
int 0/0
ip virtual-reassembly
vrrp 10 ip 192.168.30.254 (地址为pc的网关地址)
题目:《VRRP虚拟路由器冗余协议应用实例及工作原理》 部门:研华IAG FAE 作者:李子龙 时间:2011年4月 VRRP虚拟路由器冗余协议应用实例及工作原理 一、VRRP协议简介 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在IP 包中发送。 使用VRRP ,可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器。虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟IP 地址就会映射到一个备份路由器的IP 地址(这个备份路由器就成为了主路由器)。VRRP 也可用于负载均衡。VRRP 是IPv4 和IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。
OSPF 学习笔记 OSPF 协议号是89,也就是说在ip 包的protocol 中是89,用ip 包来传送 数据包格式: 在OSPF 路由协议的数据包中,其数据包头长为24 个字节,包含如下8 个字段: * Version number-定义所采用的OSPF 路由协议的版本。 * Type-定义OSPF 数据包类型。OSPF 数据包共有五种: * Hello-用于建立和维护相邻的两个OSPF 路由器的关系,该数据包是周期性地发送的。 * Database Description-用于描述整个数据库,该数据包仅在OSPF 初始化时发送。 * Link state request-用于向相邻的OSPF 路由器请求部分或全部的数据,这种数据包是在当 路由器发现其数据已经过期时才发送的。 * Link state update-这是对link state 请求数据包的响应,即通常所说的LSA 数据包。 * Link state acknowledgment-是对LSA 数据包的响应。 * Packet length-定义整个数据包的长度。 * Router ID-用于描述数据包的源地址,以IP 地址来表示,32bit * Area ID-用于区分OSPF 数据包属于的区域号,所有的OSPF 数据包都属于一个特定 的OSPF 区域。 * Checksum-校验位,用于标记数据包在传递时有无误码。 * Authentication type-定义OSPF 验证类型。 * Authentication-包含OSPF 验证信息,长为8 个字节。 FDDI 或快速以太网的Cost 为1,2M 串行链路的Cost 为48,10M 以太网的Cost 为10 等。 所有路由器会通过一种被称为刷新(Flooding)的方法来交换链路状态数据。Flooding 是指路由器将其LSA 数据包传送给所有与其相邻的OSPF 路由器,相邻路由器根据其接收到的链路状态信息 更新自己的数据库,并将该链路状态信息转送给与其相邻的路由器,直至稳定的一个过程。当路由 器有了一个完整的链路状态数据库时,它就准备好要创建它的路由表以便能够转发数据流。CISCO 路由器上缺省的开销度量是基于网络介质的带宽。要计算到达目的地的最低开销,链路状态型路由选择协议(比如OSPF)采用Dijkstra 算法,OSPF 路由表中最多保存 6 条等开销路由条目以进行负 载均衡,可以通过"maximum-paths" 进行配置。如果链路上出现fapping 翻转,就会使路由器不停 的计算一个新的路由表,就可能导致路由器不能收敛。路由器要重新计算客观存它的路由表之前先 等一段落时间,缺省值为 5 秒。在CISCO 配置命令中"timers spf spf-delay spy-holdtime" 可以对两次连续SPF 计算之间的最短时间(缺省值10 秒)进配置。 路由器初始化时Hello 包是用224.0.0.5 广播给域内所有OSPF 路由器,选出DR 后在用224.0.0.6 和DR,BDR 建立邻接。DR 用224.0.0.5 广播给DRother LSA BDR 也是 DRother 用224.0.0.6 广播LSA 给DR 和BDR DR 是在一个以太网段内选举出来的,如果一个路由器有多个以太网段那么将会有多个 DR 选举;DR 的选择是通过OSPF 的Hello 数据包来完成的,在OSPF 路由协议初始化的过程中,会通过Hello 数据包在一个广播性网段上选出一个ID 最大的路由器作为指定
常用动态路由协议安全性分析及应用 【摘要】路由器寻找的最佳路径是路由协议,它能保持各个路由器间的路由表相同,实现各个路由器间的相互连通,且在网络间传递数据包。可见,动态路由协议是借助路由器间的信息传递,计算、更新网络结构。但在此过程中,存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP 和RIP V2三种常用的动态路由协议安全性进行分析,并总结其应用。 【关键词】动态路由安全性应用 连接网络的重要硬件设备,是路由器,它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程,它能够满足网络结构变化的需求。常用的动态路由分为三种,分别为BGP协议、OSPF协议和RIP V2协议。如果在数据包传递过程中,协议出现漏洞,那么容易被人利用,给网络安全造成严重影响。所以,分析常用动态路由协议安全性显得尤为重要。 一、常用动态路由协议安全性分析 1.1 BGP协议安全性 多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络,需要定义一个自治系统号,即ASN,它们
的分配由IANA完成[1]。自治系统号共有65535个,其中私用保留的为65512―65535。路由信息在共享状态下,此号码的维护方式可以采取层的方式。BGP采用会话管理,其中TCP 的179端口可起到触发作用,使Keepalive和update信息被触发,且累及其邻居,从而更新和传播BGP路由表。 然而,因BGP的传输方式以TCP为主,那么容易导致BGP 出现关于TCP的诸多问题,例如拒绝服务攻击,预测序列号,SYN Flood攻击等。BGP主要是利用TCP的序列号,未使用自身的序列号。所以,一旦设备应用可预测序列号,就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备,没有采用预测序列号方案,这就降低了受到攻击的风险。一些BGP在默认状态下,未采用相关的认证机制,有些BGP继续沿用明文密码,这样,大大增加了受到攻击的可能性。 实际应用BGP协议时,还会受到伪造报文攻击等其他攻击。但通常情况下,BGP主要在核心网的出口应用,且配置密码认证,因此,BGP协议的安全性相对较高。 1.2 OSPF协议安全性 复杂是OSPF运行机制的主要特征,运行中的诸多环节都有可能受到攻击者的攻击,给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送,这样极易导致攻击实体资源枯
如何使用热备份路由器协议确保冗余 如果路由器出现故障而导致企业无法接入互联网会发生什么?这就是为什么需要在网络中提供冗余的重要性。下面我们将教你如何使用热备份路由器协议确保冗余。 如果路由器出现故障而导致企业无法接入互联网会发生什么?企业可以接受吗?或许可暂时逃脱处罚,但是你需要制定一个更好的计划,而不仅仅是简单的桌面呼叫支持。 这就是为什么需要在网络中提供冗余的重要性。考虑为当前路由器增加一个可以立即接管的备份路由器。企业需要的只是硬件,cisco软件会完成其他事情。让我们考察如何利用热备份路由器协议(hsrp)配置它。 什么是hsrp? hsrp是cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以,如果某台路由器发生故障,备份路由器会接管主路由器的路由功能。 然而,cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议(vrrp)。另一个hsrp的可替换选择是网关负载平衡协议(glbp ),这是cisco的另一个私有解决方案。 样例网络 在我们讨论如何配置hsrp之前,让我们关注一下例子中使用的网络。为了帮助你更好的理解hsrp是如何工作的,这里是一个基本的网络图表:
在我们的样例网络中,我们配置pc的缺省网关为ip地址10.1.1.3.然而,这个ip地址没有指向一个真实的设备;相反,它作为主路由器的虚拟ip地址。 hsrp如何工作? 在使用hsrp的时候,路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器发送hello数据包,备用路由器假定主路由器已关闭,从而进行接管。然后备用路由器假定对虚拟ip地址负责,并开始对虚拟ip地址指向的虚拟以太网mac地址响应。 主和备用路由器交换hsrp hello包,所以相互知道对方在哪儿。这些hello包使用多播224.0.0.2和udp端口1985.hsrp的最基本形式从ios 10.0 开始可用,但是在ios 11和12版本中有更新的特性发布。 什么决定活动路由器?首先,你可以配置一个优先数来决定它,然后它是由最高的ip地址决定。缺省优先数是100;一个更高的优先数表示优先路由器。 当然,在建立路由器冗余的时候,并不限制于仅仅两台路由器。实际上,可以建立一起工作的路由器组并且拥有多个备用路由器。 如何配置hsrp? 你可以在路由器的接口配置模式使用standby命令完成几乎所有hsrp配置。让我们考虑在配置图表中显示的网络所采用的步骤。
OSPF各种类型详解 一、OSPF数据包类型 1.Hello包:用于建立和维护相邻的两个OSPF路由器的邻接关系,该数据包是周期性地发送的。 2.Database Description(数据库描述包DBD):用于描述整个数据库,该数据包仅在OSPF初始化时发送。 3.Link state request(链路状态请求包LSQ):用于向相邻的OSPF路由器请求部分或全部的数据,这种数据包是在当路由器发现其数据已经过期时才发送的。 4.Link state update(链路状态更新包LSU):这是对link state请求数据包的响应,即通常所说的LSA数据包。 5.Link state acknowledgment(链路状态确认包LSAck):是对LSA数据包的确认,以确保可靠地传输和信息交换。 二、OSPF网络类型 OSPF链路类型有3种:点到点,广播型,NBMA。在3种链路类型上扩展出5种网络类型:点到点,广播,NBMA,点到多点,虚链路。其中虚链路较为特殊,不针对具体链路,而NBMA链路对应NBMA和点到多点两种网络类型。 以上是RFC的定义,在Cisco路由器的实现上,我们应记为3种链路类型扩展出8种网络类型,其中NBMA链路就对应5种,即在RFC的定义基础上又增加了3种类型。首先分析一下3种链路类型的特点: 1. 点到点:一个网络里仅有2个接口,使用HDLC或PPP封装,不需寻址,地址字段固定为FF; 2. 广播型:广播型多路访问,目前而言指的就是以太网链路,涉及IP 和Mac,用ARP 实现二层和三层映射; 3. NBMA:网络中允许存在多台Router,物理上链路共享,通过二层虚链路(VC)建立逻辑上的连接。
网络基础IPv6路由协议及安全 IPV6的概念现在已并不陌生。面对这个新的网络命令者,与前一个主宰者IPV4的不同,具体体现在哪里呢?下面就对IPV6路由协议在安全问题上,从以下三个方面做一个深入的研究。 1.协议安全 在协议安全层面上,IPV6路由协议全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。 2.网络安全 IPv6路由协议的网络安全包括以下4个方面,详细介绍如下: ●端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的 IPV6报文进行透传,从而实现端到端的安全。 ●对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可 以通过配置的IPSec网关实现。因为IPSec作为IPV6路由协议的扩展报头不能被中间路由器而 只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPV6 路由协议扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加 灵活,有利于提供完善的内部网络安全,但是比较复杂。 ●通过安全隧道构建安全的VPN。此处的VPN是通过IPV6路由协议的IPSec隧道实现的。在路 由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的 路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加 密板卡。 ●通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的 主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外 部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。 3.其他安全保障 IPV6路由协议的IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证,但是数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。 对于物理层的安全隐患,可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。 对于物理层以上层面的安全隐患,可以采用以下防护手段:通过诸如AAA、TACACS+、RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击;通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层网络的攻击;通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。 路由器和交换机对IPSec的完善支持保证了网络数据和信息内容的有效性、一致性以及完整性,并且为网络安全提供了诸多解决办法。
虚拟路由冗余协议Virtual Router Redundancy Protocol (VRRP) 概要: 虚拟路由冗余协议Virtual Router Redundancy Protocol (VRRP) ,VRRP 协议是保证访问一些资源不会中断,即通过多台路由器组成一个网关集合,如果其中一台路由器出现故障,会自动启用另外一台。两个或多个路由器建立起一个动态的虚拟集合,每一个路由器都可以参与处理数据,这个集合最大不能超过255 个虚拟路由器( 可参考虚拟路由协议) 。一般现在的路由器都支持该协议。 规格 需要功能包: system 软件等级: Level1 操作路径: /ip vrrp 相关协议和标准: VRRP , AH , HMAC-MD5-96 within ESP and AH 属性 虚拟路由冗余协议是一种为路由提供高效率的路由选择协议。一个或多个IP 地址可以分配到一个虚拟路 由上,一个虚拟路由节点应该具备以下状态: ?MASTER 状态, 一个节点回答所有的请求给相应请求的IP 地址。仅只有一个MASTER 路由器在虚拟路由中。每隔一段时间这个主节点发出VRRP 广播包给所有backup 路由器。?BACKUP 状态, VRRP 路由器监视Master 路由器的状态。它不会回答任何来至相应IP 地址的请求,当MASTER 路由器无法工作时(假设至少三次VRRP 数据连接丢失),选择过程发生,新的 MASTER 会根据优先级产生。 VRRP Routers 操作路径: /ip vrrp 属性描述 name ( 名称) – VRRP 名称 interface ( 名称) –选择那个接口(interface )在VRRP 上运行。 vrid ( 整型: 0-255; 默认: 1 ) –虚拟路由的身份号( 必须是在接口(interface )上是唯一的) priority ( 整型: 1-255; 默认: 100 ) –当前节点的优先级( 高的数值代表高的优先级) interval ( 整型: 1-255; 默认: 1 ) – VRRP 更新间隔秒数。定义MASTER 经过多少时间未向VRRP 集 合节点发出广播数据。 preemption-mode (yes | no; 默认: yes ) –是否启用优先模式。 no –一个backup 节点在当前的master 失效之前,是不会选择master ,即使该backup 的优先高于 当前master 的级别 yes –该节点总是拥有最高优先级。 authentication (none | simple | ah; 默认: none ) –使用VRRP 的广播数据包的验证方法 none –没有验证 simple –纯文本的验证 ah –验证标题使用HMAC-MD5-96 算法 password ( 文本; 默认: "" ) –需要验证时的密码,不使用验证时可以被忽略。8 位字符长文本字符串(为纯文本验证方式);16 位字符长文本字符串(为需要128 位key 的AH 验证)on-backup ( 名称; 默认: "" ) –当节点为backup 状态时执行的脚步 on-master ( 名称; 默认: "" ) - 当节点为master 状态时执行的脚步 注: 所有同一个集合的节点,必须使相同的vrid , interval , preemption-mode , authentication 和password . 第255 的优先级被保留为真正的虚拟路由的主机IP 地址。 添加一个VRRP 事例在ether1 的接口上,一个虚拟路由的vrid 设置为 1 ,因为是虚拟路由的主机,
VRRP协议介绍 参考资料: RFC 3768 1. 前言 VRRP(Virtual Router Redundancy Protocol)协议是用于实现路由器冗余的协议,最新协议在RFC3768中定义,原来的定义RFC2338被废除,新协议相对还简化了一些功能。 2. 协议说明 2.1 协议 VRRP协议是为消除在静态缺省路由环境下的缺省路由器单点故障引起的网络失效而设计的主备模式的协议,使得在发生故障而进行设备功能切换时可以不影响内外数据通信,不需要再修改内部网络的网络参数。VRRP协议需要具有IP地址备份,优先路由选择,减少不必要的路由器间通信等功能。 VRRP协议将两台或多台路由器设备虚拟成一个设备,对外提供虚拟路由器IP(一个或多个),而
在路由器组内部,如果实际拥有这个对外IP的路由器如果工作正常的话就是MASTER,或者是通过算法选举产生,MASTER实现针对虚拟路由器IP的各种网络功能,如ARP请求,ICMP,以及数据的转发等;其他设备不拥有该IP,状态是BACKUP,除了接收MASTER的VRRP状态通告信息外,不执行对外的网络功能。当主机失效时,BACKUP将接管原先MASTER的网络功能。 配置VRRP协议时需要配置每个路由器的虚拟路由器ID(VRID)和优先权值,使用VRID将路由器进行分组,具有相同VRID值的路由器为同一个组,VRID是一个0~255的正整数;同一组中的路由器通过使用优先权值来选举MASTER,优先权大者为MASTER,优先权也是一个0~255的正整数。 VRRP协议使用多播数据来传输VRRP数据,VRRP数据使用特殊的虚拟源MAC地址发送数据而不是自身网卡的MAC地址,VRRP运行时只有MASTER路由器定时发送VRRP通告信息,表示MASTER工作正常以及虚拟路由器IP(组),BACKUP只接收VRRP数据,不发送数据,如果一定时间内没有接收到MASTER的通告信息,各BACKUP将宣告自己成为MASTER,发送通告信息,重新进行MASTER选举状态。 2.2 MASTER选举 如果对外的虚拟路由器IP就是路由器本身配置的IP地址的话,该路由器始终都是MASTER;否则如果不具备虚拟IP的话,将进行MASTER选举,各路由器都宣告自己是MASTER,发送VRRP通告信息; 如果收到其他机器的发来的通告信息的优先级比自己高,将转回BACKUP状态;
虚拟路由器冗余协议 (VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在IP 包中发送。 使用VRRP ,可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器。虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟IP 地址就会映射到一个备份路由器的IP 地址(这个备份路由器就成为了主路由器)。VRRP 也可用于负载均衡。VRRP 是IPv4 和IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协 议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1), 这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器 RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段 内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。 VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以 太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路 由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个 虚拟路由器,称之为一个备份组。 这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的 某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master 的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅 仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的 IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省 路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机 就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏 掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内 的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 关于VRRP 协议的详细信息,可以参考RFC 2338。
VRRP是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。[1] 一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。 VRRP是一种路由容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协 议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP 就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:以太网)设计。 VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同,相同的则称为ip 拥有者),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3。[1] 它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。[2] 工作原理 VRRP的工作过程如下: 1. 路由器开启VRRP功能后,会根据优先级确定自己在备份组中的角色。优先级高的路由器成为主用路由器,优先级低的成为备用路由器。主用路由器定期发送VRRP通告报文,通知备份组内的其他路由器自己工作正常;备用路由器则启动定时器等待通告报文的到来。 2.
题目常用动态路由协议安全性分析 声明 本人郑重声明:所呈交的毕业论文,是本人在指导教师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的科研成果,也不包含为获得其他教育机构的学位或证书而使用过的材料。我承诺,论文中的所有内容均真实、可信。本论文的成果属于云南警官学院所有。 论文(设计)作者签名:李世悦
2016年6 月15 日
目录 第一章前言 (4) 第二章路由器 (5) 2.1路由器的概念.............................. 错误!未定义书签。 2.2路由器的作用和功能......................... 错误!未定义书签。第三章动态路由概述 ............................ 错误!未定义书签。第四章RIP OSPF BGP-4三个协议的使用情况....... 错误!未定义书签。 4.1路由信息协议RIP........................... 错误!未定义书签。 4.2OSPF协议.................................. 错误!未定义书签。 4.3BGP-4协议................................. 错误!未定义书签。第五章安全性分析.............................. 错误!未定义书签。 5.1RIP协议的安全性分析........................ 错误!未定义书签。 5.2OSPF协议的安全性分析....................... 错误!未定义书签。 5.3BGP-4协议的安全性分析...................... 错误!未定义书签。第六章总结..................................... 错误!未定义书签。小结.......................................... 错误!未定义书签。致谢. (14) 常用动态路由协议安全性分析 计算机科学专业与技术
RIP路由协议(Routing Information Protocols,路由信息协议)是使用最广泛的距离向量协议,它是由施乐(Xerox)在70年代开发的。当时,RIP是XNS (Xerox Network Service,施乐网络服务)协议簇的一部分。TCP/IP版本的RIP是施乐协议的改进版。RIP最大的特点是,无论实现原理还是配置方法,都非常简单。 度量方法RIP的度量是基于跳数(hops count)的,每经过一台路由器,路径的跳数加一。如此一来,跳数越多,路径就越长,RIP算法会优先选择跳数少的路径。RIP支持的最大跳数是15,跳数为16的网络被认为不可达。 路由更新RIP路由协议中路由的更新是通过定时广播实现的。缺省情况下,路由器每隔30秒向与它相连的网络广播自己的路由表,接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播,最终网络上所有的路由器都会得知全部的路由信息。正常情况下,每30秒路由器就可以收到一次路由信息确认,如果经过180秒,即6个更新周期,一个路由项都没有得到确认,路由器就认为它已失效了。如果经过240秒,即8个更新周期,路由项仍没有得到确认,它就被从路由表中删除。上面的30秒,180秒和240秒的延时都是由计时器控制的,它们分别是更新计时器(_updateTimer)、无效计时器(Invalid Timer)和刷新计时器(Flush Timer)。 路由循环距离向量类的算法容易产生路由循环,RIP路由协议是距离向量算法的一种,所以它也不例外。如果网络上有路由循环,信息就会循环传递,永远不能到达目的地。为了避免这个问题,RIP等距离向量算法实现了下面4个机制。 水平分割(split horizon)。水平分割保证路由器记住每一条路由信息的来源,并且不在收到这条信息的端口上再次发送它。这是保证不产生路由循环的最基本措施。 毒性逆转(poison reverse)。当一条路径信息变为无效之后,路由器并不立即将它从路由表中删除,而是用16,即不可达的度量值将它广播出去。这样虽然增加了路由表的大小,但对消除路由循环很有帮助,它可以立即清除相邻路由器之间的任何环路。 触发更新(trigger update)。当路由表发生变化时,更新报文立即广播给相邻的所有路由器,而不是等待30秒的更新周期。同样,当一个路由器刚启动RIP 路由协议时,它广播请求报文。收到此广播的相邻路由器立即应答一个更新报文,而不必等到下一个更新周期。这样,网络拓扑的变化会最快地在网络上传播开,减少了路由循环产生的可能性。 抑制计时(holddown timer)。一条路由信息无效之后,一段时间内这条路由都处于抑制状态,即在一定时间内不再接收关于同一目的地址的路由更新。如果,路由器从一个网段上得知一条路径失效,然后,立即在另一个网段上得知这个路由有效。这个有效的信息往往是不正确的,抑制计时避免了这个问题,而且,当一条链路频繁起停时,抑制计时减少了路由的浮动,增加了网络的稳定性。 即便采用了上面的4种方法,路由循环的问题也不能完全解决,只是得到了最大程度的减少。一旦路由循环真的出现,路由项的度量值就会出现计数到无穷大(_countto Infinity)的情况。这是因为路由信息被循环传递,每传过一个路由器,度量值就加1,一直加到16,路径就成为不可达的了。RIP路由协议选择16作为不可达的度量值是很巧妙的,它既足够的大,保证了多数网络能够正常运行,又足够小,使得计数到无穷大所花费的时间最短。 邻居有些网络是NBMA(Non-Broad_cast MultiAccess,非广播多路访问)
虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在IP包中发送 中文名称:虚拟路由器冗余协d 英文名称:Virtual Router Redundancy Protocol 简称:VRRP 是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Bac kup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Bac kup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。
计算机工程系 网络1210班(28)朱金贵 网络层安全路由协议目录 第一节网络路由协议概述 1.1路由协议概念 1.11 自治域(Autonomous System) 1.12 收敛(Convergence) 1.13 路由算法 1.2静态路由与动态路由 1.3动态路由协议的分类 第二节动态路由协议 2.1 内部网关协议(IGP,Internal Gateway Protocol) 2.11 路由信息协议RIP的优缺点及需要改进的地方 2.12放式最短路优先路由信息协议OSPF的特点和优缺点 2.13 RIP和OSPF的比较 2.2 外部网关协议(EGP,External Gateway Protocol) 2.21外部网关协议(EGP,External Gateway Protocol) 2.22边界网关协议(BGP,Border Gateway Protocol) 2.23域间路由协议(Internal Domain RoutingProtocol) 第三节心得体会 附录参考文选 第一节网络路由协议概述 1.1路由协议概念 路由协议概念:路由器必须与相邻路由器互通信息以交换路由信息,更新维护动态路由表使之正确反映网络的拓扑结构变化,并由路由器根据量度标准来决定最佳路径,路由协议是路由器之间进行通信而采用的协议,当网络启用了路由协议,网络便具有了能够自动更新路由表的强大功能。 1.11 自治域(AS,Autonomous System) 自治域(AS,Autonomous System):由单个实体管理,具有统一管理机构、统一路由策略的网络。在这里单个实体,通常指单独的因特网服务提供者(ISP,Internet Service Provider)。 1.12 收敛(Convergence) 收敛(Convergence):对于路由协议,网络上的路由器在一条路径不能使用时必须经历决定替代路径的
竭诚为您提供优质文档/双击可除 vrrp协议号 篇一:协议号与端口号大全 协议号与端口号大全-【路由交换技术】 协议号是存在于ip数据报的首部的20字节的固定部分,占有8bit.该字段是指出此数据报所携带的是数据是使用何 种协议,以便目的主机的ip层知道将数据部分上交给哪个处理过程。也就是协议字段告诉ip层应当如何交 付数据。 而端口,则是运输层服务访问点tsap,端口的作用是让应用层的各种应用进程都能将其数据通过端口向下交付给 运输层,以及让运输层知道应当将其报文段中的数据向上通过端口交付给应用层的进程。 端口号存在于udp和tcp报文的首部,而ip数据报则 是将udp或者tcp报文做为其数据部分,再加上 ip数据报首部,封装成ip数据报。而协议号则是存在 这个ip数据报的首部. ip协议号 0hopoptipv6逐跳选项
1icmpinternet控制消息 2igmpinternet组管理 3ggp网关对网关 4ipip中的ip(封装) 5st流 6tcp传输控制 7cbtcbt 8egp外部网关协议 9igp任何专用内部网关(cisco将其用于igRp)10bbn-Rcc-monbbnRcc监视11nVp-ii网络语音协议 12puppup 13aRgusaRgus 14emconemcon 15xnet跨网调试器 16chaoschaos 17udp用户数据报 18mux多路复用 19dcn-measdcn测量子系统20hmp主机监视 21pRm数据包无线测量
22xns-idpxeRoxnsidp 23tRunk-1第1主干 24tRunk-2第2主干 25leaF-1第1叶 26leaF-2第2叶 27Rdp可靠数据协议 28iRtpinternet可靠事务 29iso-tp4iso传输协议第4类 30netblt批量数据传输协议 31mFe-nspmFe网络服务协议 32meRit-inpmeRit节点间协议 33sep顺序交换协议 343pc第三方连接协议 35idpR域间策略路由协议 36xtpxtp 37ddp数据报传送协议 38idpR-cmtpidpR控制消息传输协议39tp++tp++传输协议 40ilil传输协议 41ipv6ipv6 42sdRp源要求路由协议 43ipv6-Routeipv6的路由标头
虚拟路由冗余协议(vrrp)简介 随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案;但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。 虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。 一、协议概述 在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由。目前常用的指定路由的方法有两种:一种是通过路由协议(比如:内部路由协议RIP 和OSPF)动态学习;另一种是静态配置。在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷。 在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具