07-链路和网关冗余技术(HSRP、VRRP)

一、网关冗余（一）网关冗余的基本知识：路由器冗余技术可分为：动态冗余和静态冗余两种。

动态冗余不太合适，所以只讲静态冗余1、静态路由冗余：(1)HSRP 热备份路由协议(cisco专有协议）(2) VRRP 虚拟路冗余协议(3)GLBP网关负载均衡(二) HSRP 详解1、HSRP特征：(1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。

组号取值范围0--255。

建议将vlan id作为hsrp组的标识符。

(2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。

优先级高的为活跃路由器。

默认优先级为100，取值范围0--255。

优先级相同，IP地址值最大的获胜。

(3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。

且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。

但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

(4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包(5)所有客户端把数据包发给虚拟路由器。

虚拟路由器收到数据包后由活跃路由器转发数据包。

当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。

备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

2、HSRP虚MAC地址00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码；07 ac 为hsrp周知标记；2f 为hsrp组标识符，用十六进制表示方法,此处则表示组号为47（十六进制2f转为十进制后的值）show ip arp可显示虚拟ip对应的虚拟mac地址。

show standby也可显示。

3、HSRP负载均衡（1）一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组（2）一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。

链路冗余技术：保障您网络通畅的最佳方案网络通信时常发生因链路故障而失去连接的现象，导致网络中断和数据丢失。

这种情况下，链路冗余技术可以帮助您保障网络的稳定性和可靠性。

在一般的网络架构中，通过在通信的路径上增加多条链路，同时对传输的数据进行备份存储，实现对链路的冗余备份，避免单点故障，并增加网络的吞吐量和带宽利用率。

目前比较常见的链路冗余技术有VRRP（Virtual Router Redundancy Protocol）、HSRP （Hot Standby Router Protocol）、GLBP（Gateway Load Balancing Protocol）等。

VRRP技术通过虚拟路由器实现链路冗余，当主路由器出故障时，备用路由器可以实时接管主路由器的工作。

而HSRP则通过选主机制确保高可用性的路由器成为主机，并通过心跳检测机制不断监测链路的连接状态、负载均衡等情况。

GLBP技术则是一种较为高级的链路冗余技术，可以实现对多个网关的负载均衡和链路的冗余备份，效果更加优异。

通过采用链路冗余技术，可以有效地消除网络故障带来的影响，降低企业的维护成本并提高网络的可用性。

如果您的企业需要一种高效可靠的网络保障技术，不妨考虑使用链路冗余技术。

2)HSRP（Hot Standby Routing Protocol）(私有协议）（在三层交换机与路由器上可以做）·HSRP是一种网关冗余协议，它通过在冗余网关之间共享协议和MAC，提供不间断的IP路径冗余。

·HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP，其实就是将多台物理的路由器组合成一台虚拟路由器。

主机的网关设为此虚拟IP就可以了。

·HSRP的hello包包含priority(默认100)，hello间隔（默认3S），holdtime(默认10S),虚拟网关IP·HSRP的hello包发向组播地址224.0.0.2(所有路由器)·HSRP路由器的默认优先级是100，优先级相同的情况下比较IP地址，越大越优。

·一个HSRP组可以包含多台路由器，在一个稳定的组里面只有两台路由器发送hello 包，一台是active路由器，一台是备份路由器，其它路由器不发送hello包，但都处于监听状态。

·HSRP可以配置多个组，配多个组的目地是为了做负载分担·虚拟MAC地址：前40位固定(0000.0c)，将HSRP的组标识符换成十六进制，接到最后就可以了例如：HSRP组为47，换成十六进制是2fMAC地址前40位为0000.0c07.ac最后得到：0000.0c07.ac2f·HSRP状态：1、Initial All routers begin in the initial state, when HSRP is not running (初始状态,如果手动配置虚拟IP，直接跳到Listen状态）2、learn (没有收到hello包，没有虚拟ip地址,等待收到hello包)3、listen（收到hello包，有了虚拟ip地址,除了active和standby，其它路由器都是这个状态）4、speak (周期发送hello包，开始选active和standby router)5、Standby （没选到active的，除了active外优先级最高的router，会继续发hello包，只有一个）6、active （选到的转发的router，会继续发hello包，只有一个）例：R1、R2、R3运行路由协议，宣告所有接口。

HSRP和VRRP的区别与HSRP相同，VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器。

HSRP是cisco私有的，只适用于cisco设备。

VRRP是符合internet标准（RFC2338）。

区别：1.就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生,但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址，它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).2.另外一个不同是VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.3. HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文告辞(Resign)报文突变(Coup)报文VRRP有一种报文VRRP广播报文:由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

4. HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口，向组播地址224.0.0.2 发送hello消息。

)5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用MD5 HMAC ip认证的强认证.强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP 在它的消息中使用的TTL值是1.6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)●HSRP允许多个路由器共享一个虚拟IP和MAC地址，这样如果其中一台路由器失效了，终端用户也不会察觉到。

虚拟MAC地址：00-00-0c-07-ac-01(组号)VRRP虚拟MAC地址：00-00-5e-00-01-VRIDhsrp和vrrp的区别hsrp和vrrp都可以作为路由备份使用。

HSRP是思科的私有协议，VRRP是标准协议区别：1、HSRP不支持将真实的接口地址，设置为虚拟的网关地址，而VRRP支持2、HSRP将报文承载在UDP报文上，使用UDP端口1985，每三秒发送一次hello包，如果10秒standby设备没收到，就自动切换。

而VRRP承载在TCP报文上，每一秒发送一次hello 包，如果三秒没有收到，就自动切换3、HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文，告辞(Resign)报文，突变(Coup)报文VRRP有一种报文VRRP广播报文：由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

4、HSRP有六种状态初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态VRRP三种状态三种状态模型：初始状态(Initialize)、主状态(Master)、备份状态(Backup)5，HSRP发送hello报文目的地址是组播地址224.0.0.2VRRP发送hello报文目的地址是组播地址224.0.0.186,HSRP可以跟踪端口状态，根据所跟踪端口的状态进行切换，VRRP 也可以，先需要定义追踪的目标举例：track 1 interface s2/1 line-protocolint f0/0vrrp 1 track 1 decryement XX（主设备down之后，优先级需要减多少，主设备优先级降低之后，只有比backup设备的优先级低，backup设备的状态才会有bakcup变成master）7，HSRP支持256组，VRRP支持255组8，HSRP主动发送hello包，VRRP，master发送hello包，backup不发送9，HSRP需要配置抢占，才可以完成抢占功能VRRP支持负载均衡，默认就可以抢占，不需要配置GLBP:AVG:负载收集需要充当网关设备的MAC地址，并分配虚拟的MAC地址，相当于网关的作用，AVF：只负责数据的转发，不参与MAC地址分配最多支持4个组支持网关负载均衡默认采用轮询的方式实现负载均衡一般建议使用VRRP但是需要在和思科设备时采用HSRP。

HSRP与VRRP的区别HSRP是cisco的专有协议.在Cisco的HSRP之后,internet工程任务小组(internet engineering task force,IETF)也制定一种路由冗余协议:虚拟路由冗余协议(Virtual Router Redundancy Protocol,VRRP),目前包括Csico在内的主流厂商均在其产品中支持VRRP协议VRRP的工作原理与HSRP相似,也是将系统中的多台路由器组成VRRP组，该组拥有同一个虚拟IP 地址作为LAN 的默认网关地址，在任何时刻，一个组内控制虚拟IP地址的路由器是主路由器（Master），由它来转发数据包。

如果主路由发生了故障，VRRP组将选择一个优先权最高的冗余备份路由器（Backup）作为新的主路由器。

VRRP和HSRP也有很多不同。

VRRP和HSRP 的一个主要的区别在安全方面：它允许参与VRRP组的设备间建立认证机制。

另一个主要区别：VRRP中只有三种状态----初始状态（Initialize）、主状态（Master）、备份状态（Backup），而HSRP 有六种状态。

其余在报文类型、报文格式和通过TCP而非UDP发送的报文方面也有所不同HSRP配置路由器的六种状态：1）初始状态：所有路由器都从初始状态开始，是一种起始状态，同时表明HSRP还没有运行，配置发生变化或一个端口第一次启用时，就进入状态。

2）学习状态：路由器等待来自活跃路由器的消息。

路由器还没有看到来自活跃路由器的hello 消息，也没有看学习到虚拟路由器的IP地址3）监听状态：路由器知道了虚拟的IP 地址，但它既不是活跃路由器，也不是备份路由器。

这时，路由器监听来自活跃路由器和备份路由器的hello消息。

除活跃路由器和备份路由器之外的路由器都保持监听状态。

4）发言状态：路由器的周期性的发送hello消息，并参与活跃或备份路由器的竞选。

路由器在获得虚拟路由器的IP 地址之前，不能进入发言状态。