Cisco三大网关冗余协议及报文分析

CISCO（思科）网络协议总结大全作者从网络、路由、数据链路、网络安全技术等4个方面对Cisco所使用的网络协议进行了分类和特点介绍。

1、思科网络路由协议网络/路由(Network/Routing)CGMP:思科组管理协议(CGMP:Cisco Group Management Protocol)EIGRP:增强的内部网关路由选择协议(EIGRP:Enhanced Interior Gateway Routing Protocol)IGRP:内部网关路由协议(IGRP:Interior Gateway Routing Protocol)HSRP:热备份路由器协议(HSRP:Hot Standby Routing Protocol)RGMP:Cisco Router Port Group Management ProtocolCGMP:思科组管理协议CGMP:Cisco Group Management Protocol思科组管理协议CGMP 主要用来限定只向与IP 组播客户机相连的端口转发IP 组播数据包。

这些客户机自动加入和离开接收IP 组播流量的组，交换机根据请求动态改变其转发行为。

CGMP 主要提供以下服务:允许IP 组播数据包被交换到具有IP 组播客户机的那些端口。

将网络带宽保存在用户字段，不致于转播不必要的IP组播流量。

不需要改变终端主机系统。

在为交换网络中的每个组播组创建独立VLAN 时不会产生额外开销。

一旦CGMP 被激活使用，它能自动识别与CGMP-Capable 路由器连接的端口。

CGMP 通过缺省方式被激活，它支持最大为64的IP 组播组注册。

支持CGMP 的组播路由器周期性地相发送CGMP 加入信息(Join Messages)，用来通告自己执行网络交换行为。

接收交换机保存信息，并设置一个类似于路由器保持时间(Holdtime)的定时器(Timer)。

交换机每接收一个CGMP 加入信息，定时器也随其不断更新。

一、网关冗余（一）网关冗余的基本知识：路由器冗余技术可分为：动态冗余和静态冗余两种。

动态冗余不太合适，所以只讲静态冗余1、静态路由冗余：(1)HSRP 热备份路由协议(cisco专有协议）(2) VRRP 虚拟路冗余协议(3)GLBP网关负载均衡(二) HSRP 详解1、HSRP特征：(1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。

组号取值范围0--255。

建议将vlan id作为hsrp组的标识符。

(2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。

优先级高的为活跃路由器。

默认优先级为100，取值范围0--255。

优先级相同，IP地址值最大的获胜。

(3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。

且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。

但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

(4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包(5)所有客户端把数据包发给虚拟路由器。

虚拟路由器收到数据包后由活跃路由器转发数据包。

当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。

备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

2、HSRP虚MAC地址00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码；07 ac 为hsrp周知标记；2f 为hsrp组标识符，用十六进制表示方法,此处则表示组号为47（十六进制2f转为十进制后的值）show ip arp可显示虚拟ip对应的虚拟mac地址。

show standby也可显示。

3、HSRP负载均衡（1）一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组（2）一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。

2)HSRP（Hot Standby Routing Protocol）(私有协议）（在三层交换机与路由器上可以做）·HSRP是一种网关冗余协议，它通过在冗余网关之间共享协议和MAC，提供不间断的IP路径冗余。

·HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP，其实就是将多台物理的路由器组合成一台虚拟路由器。

主机的网关设为此虚拟IP就可以了。

·HSRP的hello包包含priority(默认100)，hello间隔（默认3S），holdtime(默认10S),虚拟网关IP·HSRP的hello包发向组播地址224.0.0.2(所有路由器)·HSRP路由器的默认优先级是100，优先级相同的情况下比较IP地址，越大越优。

·一个HSRP组可以包含多台路由器，在一个稳定的组里面只有两台路由器发送hello 包，一台是active路由器，一台是备份路由器，其它路由器不发送hello包，但都处于监听状态。

·HSRP可以配置多个组，配多个组的目地是为了做负载分担·虚拟MAC地址：前40位固定(0000.0c)，将HSRP的组标识符换成十六进制，接到最后就可以了例如：HSRP组为47，换成十六进制是2fMAC地址前40位为0000.0c07.ac最后得到：0000.0c07.ac2f·HSRP状态：1、Initial All routers begin in the initial state, when HSRP is not running (初始状态,如果手动配置虚拟IP，直接跳到Listen状态）2、learn (没有收到hello包，没有虚拟ip地址,等待收到hello包)3、listen（收到hello包，有了虚拟ip地址,除了active和standby，其它路由器都是这个状态）4、speak (周期发送hello包，开始选active和standby router)5、Standby （没选到active的，除了active外优先级最高的router，会继续发hello包，只有一个）6、active （选到的转发的router，会继续发hello包，只有一个）例：R1、R2、R3运行路由协议，宣告所有接口。

HSRP和VRRP的区别与HSRP相同，VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器。

HSRP是cisco私有的，只适用于cisco设备。

VRRP是符合internet标准（RFC2338）。

区别：1.就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生,但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址，它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).2.另外一个不同是VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.3. HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文告辞(Resign)报文突变(Coup)报文VRRP有一种报文VRRP广播报文:由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

4. HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口，向组播地址224.0.0.2 发送hello消息。

)5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用MD5 HMAC ip认证的强认证.强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP 在它的消息中使用的TTL值是1.6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)●HSRP允许多个路由器共享一个虚拟IP和MAC地址，这样如果其中一台路由器失效了，终端用户也不会察觉到。

10Internet Communication互联网+通信随着高速铁路的快速发展，铁路系统在国民生产和生活中发挥越来越大的作用。

由于铁路系统具有部门多、地点分散、环境复杂等特点，为保证铁路系统的运输安全，铁路综合视频监控系统的稳定性和安全性尤为重要。

在赣深高铁综合视频监控系统中，数据通信网采用OSPF 和VRRP 协议进行联动，以保证综合视频监控服务器的正常运行，一旦设置不合理，数据通信网内极容易产生次优路由，严重影响综合视频监控服务器的正常运行，因此有必要对综合视频监控系统网络结构及协议进行深入分析。

一、网络结构赣深高铁综合视频监控系统网络结构，如图1所示。

图1　综合视频监控系统网络结构示意图接入路由器AR01作为综合视频监控网络的出口，由华为NE20E-S8担当；CE01和CE02作为综合视频监控服务器接入交换机，由华为S7706担当，三台设数据通信网OSPF 和VRRP 联动引发 次优路由问题分析备间运行OSPF 协议实现路由互通。

为确保综合视频监控系统的高可靠性和高可用性，综合视频监控服务器Server01和Server02之间采用热备的方式，同时每台服务器均采用双网卡主备模式，即同一时间仅有主网卡进行工作。

并且为了防止单台网关交换机故障影响，采用VRRP 协议实现综合视频监控服务器网关的虚拟化冗余备份[1]，在CE01和CE02上配置两个VRRP 备份组，其中备份组1的VIP（虚拟网关）作为Server01的网关，其Master（主用）路由设备为CE01；备份组2的VIP 作为Server02的网关，其Master 路由设备为CE02。

在网络正常状态下，工程建设人员为确保Server1的流量全部从CE01和AR01的直连链路转发，Server2的流量全部从CE02和AR01的直连链路转发，并且不允许两台Server 的流量在一条链路上转发。

工程建设人员在CE01和CE02的下行接口VLANIF 上均配置arp direct-route enable 的命令，通过基于ARP 表生成主机路由，CE01和CE02将Server01和Server02的主机路由分别通告给AR01，实现AR01路由表中关于Server01和Server02的主机路由下一跳分别为CE01和CE02。

cisco路由器的参数和功能知识Cisco（思科）路由器是一种网络设备，被广泛应用于各种规模的网络环境中。

它具备丰富的参数和功能，为网络管理员提供了高度灵活和强大的配置选项。

本文将介绍Cisco路由器的参数和功能知识。

一、路由器参数知识1. IP地址：IP（Internet Protocol）地址是计算机在网络中唯一标识的地址。

Cisco 路由器支持IPv4和IPv6协议，管理员可以配置IP地址以及子网掩码来正确地划分网络。

2. 网关：网关是连接两个不同网络的设备，通常是路由器。

Cisco 路由器可以作为默认网关，将数据包从本地网络转发到其他网络。

3. 路由表：路由表是路由器存储的一份记录。

其中包含了网络之间的最佳路径，路由器通过查找路由表来决定数据包的转发方向。

4. ARP（Address Resolution Protocol）：ARP是用于解析网络层地址（IP地址）和物理层地址（MAC地址）之间对应关系的协议。

路由器可以维护ARP缓存表，记录IP地址和MAC地址的映射关系。

5. NAT（Network Address Translation）：NAT是一种将私有IP地址转换为公共IP地址的技术，用于解决IP地址短缺问题。

Cisco 路由器支持多种NAT方式，如静态NAT、动态NAT和PAT（Port Address Translation）。

二、路由器功能知识1. 路由：路由器最主要的功能就是进行数据包的路由转发。

路由器可以通过学习路由协议（如OSPF、RIP等）来更新路由表，并根据最佳路径将数据包转发到目标网络。

2. ACL（Access Control List）：ACL是一种基于网络流量的过滤机制，通过对数据包的源、目的IP地址、协议、端口等进行匹配，来决定是否允许或拒绝数据包通过路由器。

3. DHCP（Dynamic Host Configuration Protocol）：DHCP是一种自动分配IP地址的协议，可以通过路由器为网络中的设备提供动态IP地址、DNS服务器地址、网关地址等信息。

三大网络厂商网络虚拟化技术【Cisco VSS、H3C IRF2、huawei CSS】解析Cisco H3C huawei随着云计算的高速发展，虚拟化应用成为了近几年在企业级环境下广泛实施的技术，而除了服务器/存储虚拟化之外，在2012年SDN（软件定义网络）和OpenFlow大潮的进一步推动下，网络虚拟化又再度成为热点。

不过谈到网络虚拟化，其实早在2009年，各大网络设备厂商就已相继推出了自家的虚拟化解决方案，并已服务于网络应用的各个层面和各个方面。

而今天，我们就和大家一起来回顾一下这些主流的网络虚拟化技术。

思科虚拟交换系统VSS思科虚拟交换系统VSS就是一种典型的网络虚拟化技术，它可以实现将多台思科交换机虚拟成单台交换机，使设备可用的端口数量、转发能力、性能规格都倍增。

例如，它可将两台物理的Cisco catalyst 6500系列交换机整合成为一台单一逻辑上的虚拟交换机，从而可将系统带宽容量扩展到1.4Tbps。

思科虚拟交换系统VSS而想要启用VSS技术，还需要通过一条特殊的链路来绑定两个机架成为一个虚拟的交换系统，这个特殊的链路称之为虚拟交换机链路(Virtual Switch Link，即VSL)。

VSL承载特殊的控制信息并使用一个头部封装每个数据帧穿过这条链路。

虚拟交换机链路VSL在VSS之中，其中一个机箱指定为活跃交换机，另一台被指定为备份交换机。

而所有的控制层面的功能，包括管理(SNMP，Telnet，SSH等)，二层协议(BPDU，PDUs，LACP等)，三层协议(路由协议等)，以及软件数据等，都是由活跃交换机的引擎进行管理。

此外，VSS技术还使用机箱间NSF/SSO作为两台机箱间的主要高可用性机制，当一个虚拟交换机成员发生故障时，网络中无需进行协议重收敛，接入层或核心层交换机将继续转发流量，因为它们只会检测出EtherChannel捆绑中有一个链路故障。

而在传统模式中，一台交换机发生故障就会导致STP/HSRP和路由协议等多个控制协议进行收敛，相比之下，VSS 将多台设备虚拟化成一台设备，协议需要计算量则大为减少。