网关冗余HSRP

一、网关冗余（一）网关冗余的基本知识：路由器冗余技术可分为：动态冗余和静态冗余两种。

动态冗余不太合适，所以只讲静态冗余1、静态路由冗余：(1)HSRP 热备份路由协议(cisco专有协议）(2) VRRP 虚拟路冗余协议(3)GLBP网关负载均衡(二) HSRP 详解1、HSRP特征：(1)一组路由器组成一个虚拟路由器，虚拟路由器有自已的IP和MAC地址。

组号取值范围0--255。

建议将vlan id作为hsrp组的标识符。

(2)一个HSRP路由组需两台以上路由器，一个为活跃路由器，一个为备用路由器，其他的为成员路由器。

优先级高的为活跃路由器。

默认优先级为100，取值范围0--255。

优先级相同，IP地址值最大的获胜。

(3)HSRP路由器组中，活跃路由器和备用路由器之间互传HELLO消息以示存在。

且活跃路由器和备用路由器把hello消息传给所有的HSRP组中的路由器。

但成员路由器只接收活跃路由器和备用路由器的HELLO消息，但不响应。

(4)成员路由器只接转发发给自已的数据包，但不转发发送给虚拟路由器的数据包(5)所有客户端把数据包发给虚拟路由器。

虚拟路由器收到数据包后由活跃路由器转发数据包。

当活跃路由器出现故障后，备份路由器接替活跃路由器的工作。

备份路由器也出错时，成员路由器争当活跃路由器,以转发数据包。

2、HSRP虚MAC地址00 00 0c 07 ac 2f //这个虚拟MAC地址的组成为：00 00 0c 为厂商编码；07 ac 为hsrp周知标记；2f 为hsrp组标识符，用十六进制表示方法,此处则表示组号为47（十六进制2f转为十进制后的值）show ip arp可显示虚拟ip对应的虚拟mac地址。

show standby也可显示。

3、HSRP负载均衡（1）一个网段或一个VLAN可以有多个HSRP 组, 最多可有255个组（2）一个路由器可以是一个hsrp组中的活跃路由器，同时可为另一个HSRP组中的备用路由器或成员路由器。

链路冗余技术：保障您网络通畅的最佳方案网络通信时常发生因链路故障而失去连接的现象，导致网络中断和数据丢失。

这种情况下，链路冗余技术可以帮助您保障网络的稳定性和可靠性。

在一般的网络架构中，通过在通信的路径上增加多条链路，同时对传输的数据进行备份存储，实现对链路的冗余备份，避免单点故障，并增加网络的吞吐量和带宽利用率。

目前比较常见的链路冗余技术有VRRP（Virtual Router Redundancy Protocol）、HSRP （Hot Standby Router Protocol）、GLBP（Gateway Load Balancing Protocol）等。

VRRP技术通过虚拟路由器实现链路冗余，当主路由器出故障时，备用路由器可以实时接管主路由器的工作。

而HSRP则通过选主机制确保高可用性的路由器成为主机，并通过心跳检测机制不断监测链路的连接状态、负载均衡等情况。

GLBP技术则是一种较为高级的链路冗余技术，可以实现对多个网关的负载均衡和链路的冗余备份，效果更加优异。

通过采用链路冗余技术，可以有效地消除网络故障带来的影响，降低企业的维护成本并提高网络的可用性。

如果您的企业需要一种高效可靠的网络保障技术，不妨考虑使用链路冗余技术。

2)HSRP（Hot Standby Routing Protocol）(私有协议）（在三层交换机与路由器上可以做）·HSRP是一种网关冗余协议，它通过在冗余网关之间共享协议和MAC，提供不间断的IP路径冗余。

·HSRP在2个或多个路由器间创建虚拟MAC和虚拟IP，其实就是将多台物理的路由器组合成一台虚拟路由器。

主机的网关设为此虚拟IP就可以了。

·HSRP的hello包包含priority(默认100)，hello间隔（默认3S），holdtime(默认10S),虚拟网关IP·HSRP的hello包发向组播地址224.0.0.2(所有路由器)·HSRP路由器的默认优先级是100，优先级相同的情况下比较IP地址，越大越优。

·一个HSRP组可以包含多台路由器，在一个稳定的组里面只有两台路由器发送hello 包，一台是active路由器，一台是备份路由器，其它路由器不发送hello包，但都处于监听状态。

·HSRP可以配置多个组，配多个组的目地是为了做负载分担·虚拟MAC地址：前40位固定(0000.0c)，将HSRP的组标识符换成十六进制，接到最后就可以了例如：HSRP组为47，换成十六进制是2fMAC地址前40位为0000.0c07.ac最后得到：0000.0c07.ac2f·HSRP状态：1、Initial All routers begin in the initial state, when HSRP is not running (初始状态,如果手动配置虚拟IP，直接跳到Listen状态）2、learn (没有收到hello包，没有虚拟ip地址,等待收到hello包)3、listen（收到hello包，有了虚拟ip地址,除了active和standby，其它路由器都是这个状态）4、speak (周期发送hello包，开始选active和standby router)5、Standby （没选到active的，除了active外优先级最高的router，会继续发hello包，只有一个）6、active （选到的转发的router，会继续发hello包，只有一个）例：R1、R2、R3运行路由协议，宣告所有接口。

HSRP和VRRP的区别与HSRP相同，VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器。

HSRP是cisco私有的，只适用于cisco设备。

VRRP是符合internet标准（RFC2338）。

区别：1.就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生,但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址，它指定使用的MAC地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).2.另外一个不同是VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件, VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.3. HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文告辞(Resign)报文突变(Coup)报文VRRP有一种报文VRRP广播报文:由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。

4. HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口，向组播地址224.0.0.2 发送hello消息。

)5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用MD5 HMAC ip认证的强认证.强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法. MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5 hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络.另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP 在它的消息中使用的TTL值是1.6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)●HSRP允许多个路由器共享一个虚拟IP和MAC地址，这样如果其中一台路由器失效了，终端用户也不会察觉到。

环形网络中造成大量的流量即“广播风暴”，导致网络的瘫痪，从而影响学校的正常工作，本文根据生成树协议实现网络冗余链路管理的技术手段，从协议的原理、配置、管理等角度进行分析，探讨实现网络冗余链路管理的方法。

由于以太网网桥采用了基于 MAC 地址实现在不同端口之间的数据转发机制，每一个端口对应的是一个以太网的网段，通过学习每个端口的 MAC 地址表的方式，网桥只转发不同端口间的通信。

但由于网桥依赖运行网络中存在的MAC 地址和端口的地址对应表来进行数据的转发，若收到目的地址未知的数据包，只能利用广播的形式来寻址，其后果就是在一个环形网络中造成大量的流量即“广播风暴”，从而导致网络的瘫痪。

为了解决基于二层的“广播风暴”问题，IEEE（电机和电子工程师学会）制定了 802.1D 的生成树协议（Spanning Tree Protocol），它在防止产生环路的基础上提供路径冗余。

生成树协议(STP)是通过生成树算法（STA：Spanning Tree Algorithm）计算出一条到根网桥的无环路路径来避免和消除网络中的环路，它是通过判断网络中存在环路的地方并阻断冗余链路来实现这个目的。

通过这种方式，它确保到每个目的地都只有唯一路径，不会产生环路，从而达到管理冗余链路的目的。

为了实现对冗余链路的管理，找出存在的冗余链路，STA在网络中选举根网桥作为依据，跟踪该可用路径。

若发现存在冗余路径，它将选择最佳路径来进行数据包转发，并阻断其它冗余链路。

Spanning Tree的工作原理Spanning Tree 的工作方式如同生成一棵的树，树的根就称为“根网桥”，每个设备会定义一个优先级，数值越小代表它成为根桥的可能性越大。

参与STP 的所有交换机都通过数据消息的交换来获取网络中其它交换机的信息，这些消息被称为桥接协议数据单元（BPDU）。

BPDU主要内容包括：根信息、路径开销、端口信息、记时器。

实现管理冗余链路，建立无环路生成树的首先选举一个根网桥。

HSRP（Hot Standby Router Protocol）是一种网络协议，用于提供高可用性和冗余性的路由器解决方案。

它的作用包括以下几个方面：
故障恢复：HSRP允许多个路由器组成一个冗余组，其中一个路由器被选为活动路由器，而其他路由器则处于备份状态。

如果活动路由器发生故障或失效，备份路由器可以迅速接管其功能，实现无缝切换，从而实现快速的故障恢复。

高可用性：通过HSRP，网络可以具备高可用性，即使某个路由器发生故障，网络仍然可以保持正常运行。

活动路由器和备份路由器之间进行状态监测和通信，确保备份路由器可以随时接管活动路由器的任务，保证网络的连通性和可达性。

负载均衡：HSRP还可以用于实现负载均衡，将流量在多个路由器之间分配。

通过配置合适的优先级和权重，可以根据网络流量的负载情况动态地调整活动路由器的角色，实现流量的均衡分担，提高网络的整体性能和吞吐量。

网络拓扑优化：HSRP可以根据网络拓扑和需求，灵活配置路由器之间的优先级、权重和预选项等参数，以实现更优化的网络拓扑结构。

通过选择合适的备份路由器和路由器间的通信方式，可以提高网络的可用性、稳定性和性能。

需要注意的是，HSRP是一种网络协议，通常用于企业级网络或大规模网络中，以提供高可用性和故障恢复功能。

具体的配置和使用方式会根据网络设备和厂商的不同而有所差异。

在实际应用中，建议参考相关设备的文档和厂商的建议，以正确配置和使用HSRP。

hsrp的工作原理
HSRP（Hot Standby Router Protocol）是一种冗余路由器协议，用于在网关设备出现故障时实现快速切换和高可用性。

其工作原理如下：
1. 一个HSRP组中有一个主路由器和多个备用路由器。

主路由器负责正常转发网络流量，而备用路由器则处于待命状态，监测主路由器的状态并准备接管流量转发。

2. HSRP组中的所有路由器必须使用相同的组号，并配置为相
同的虚拟IP地址，该IP地址用作默认网关。

主路由器会发送
虚拟IP地址的ARP请求，从而将它与其物理MAC地址绑定。

3. 主路由器周期性地发送Hello消息，以通知备用路由器自己
的存在。

备用路由器在一定时间内没有收到主路由器的Hello
消息时，会认为主路由器故障，进而发起备用路由器之间的选举过程。

4. 当一个备用路由器发现主路由器故障后，它会发送一个通知消息，建议自己成为新的主路由器。

其他备用路由器接收到通知消息后，会比较自己的优先级并选择具有最高优先级的路由器作为新的主路由器。

5. 新的主路由器将更新虚拟IP地址与物理MAC地址的映射，并通过发送Gratuitous ARP消息更新网络中所有设备的ARP
缓存。

6. 一旦备用路由器成为新的主路由器，它将立即开始接管流量，并继续周期性地发送Hello消息以保持网络中的存活状态。

通过使用HSRP，网络管理员可以实现对网络流量的快速切换，从而实现高可用性和故障恢复。

FHRP-⽹关冗余协议通常情况下，在终端设备进⼊⽹络前，都会有⼀个 Router 充当⽹络，作为第⼀跳的⽹络地址。

但假设路由器发⽣故障，此时终端设备就⽆法再接⼊互联⽹。

为了防⽌这样的问题，⼀般会再加⼊⼀台路由器充当备份。

但此时就出现⼀个问题，⽹关地址配这两个路由器中的那个？于是 FHRP 协议出现，可以将多个路由器虚拟成⼀个路由器提供服务，当提供服务的路由器发⽣故障时，会⾃动切换到另⼀台上。

FHRP 是这类路由协议的统称，常见路由协议如下：HSRP 协议，Cisco 私有协议。

VRRP 协议，公有协议。

HSRPHRSP 热备份冗余协议，是 CISCO 私有协议，⽤于解决⽹关的备份问题。

能够在不改变组⽹的情况下，将多台路由器虚拟成⼀个虚拟路由器。

HRSP ⾓⾊HRSP 组：由多个 HRSP 路由器组成，属于同⼀个 HSRP 组，组内的路由器会交换信息，每个组由唯⼀ ID 指定。

经过选举会推选出 Active 路由器和 Standby 路由器。

HSRP 虚拟路由：对每个 HSRP 组，抽象出的虚拟路由器。

作为我拿过来。

具有虚拟 IP 和 MAC。

虚拟出来的 IP 作为⽹关地址。

Active 路由器：HSRP 中实际转发数据包的路由器，每个 HRSP 组中，仅有⼀个 active 路由器，并绑定虚拟 IP，⽤于响应请求。

Stand by 路由器：在 HSRP 组中，处于监听状态的路由器，当 Active 路由器出现问题时，接替⼯作。

HSRP 选举过程处于同⼀ HRSP 组的路由器会向组播地址 224.0.0.2 发送 Hello 报⽂，使⽤ UDP 1985 端⼝。

然后⽐较 Hello 报⽂中的优先级，拥有最⾼优先级（默认为100，范围为1~255）的设备将成为活动路由器。

最后优先级⼀样则⽐较接⼝ IP 地址，选⼤的。

HSRP状态Initial：初始化状态，当接⼝UP的时候或某些配置变更时Listen：路由器已获知虚拟IP，开始侦听其他同组HSRP路由器的Hello消息Speak：发送周期的Hello同时参与Active/Standby路由器的选举Standby：成为Standby路由器，同时周期性的发送Hello，持续侦听Active路由器的Hello消息以便在其失效后接替其位置Active：成为Active路由器，响应PC对于虚拟IP的ARP请求，同时周期性发送Hello消息以宣告⾃⼰的存活状态HSRP 版本HSRPV1HSRPV2IPv4HSRPv4/v6Group numbers 0 - 255Group numbers 0 -4095Virtual MAC: 0000:0C07:ACxx (xx 来源 HSRP 组)Virtual MAC: 0000:0C9F:Fxxx (xxx 来源 HSRP 组)⼴播地址：224.0.0.2⼴播地址：224.0.0.102HSRP 特性在 Active 路由器中负责分发虚拟 IP 和 MACActive 路由器会每三秒给 Standby 路由器发送 Hello 报⽂，如果 10s 未发送，Standby 会成为 Master 宣告 Active 路由器死亡。