虚拟路由冗余协议研究与应用毕业论文

虚拟路由冗余协议研究与应用毕业论文内容摘要：

中的优先级，则将自己的状态转为备份路由器，否则保持自己的状态不变。 通过这样一个过程，就会将优先级最大的路由器选成新的主控路由器，完成 VRRP 的备份功能。 VRRP 控制报文只有一种 ： VRRP 通告 (advertisement)。 它使用 IP多播数据包进行封装，组地址为 ，发布范围只限于同一局域网内。 这保证了 VRID 在不同网络中可以重 复使用。 为了减少网络带宽消耗只有主控路由器才 可以周期性的发送VRRP 通告报文。 备份路由器在一定时间间隔内 (MASTERDOWNTIME) 收不到 VRRP 或收到优先级为 0的通告后启动新的一轮 VRRP选举。 一个虚拟路由器 (由主控路由器执行其功能 )拥有一个虚拟 MAC 地址，地址的格式为 00005E0001[VRID]。 在同一个 VRRP 组中，无论哪一台 VRRP 路由器是主控路由器，其虚拟 MAC 地址不变。 当虚拟路由器回应 ARP 请求时，回应的是虚拟 MAC 10 地址。 这样，对于网络中的 IP 终端设备来说，主备 路由器之间的切换是透明的， IP终端设备对外的通信不会因为一台路由器的故障而受到影响，即消除了单点故障。 VRRP 的安全认证 既然一个 VRRP 备份组的 MASTER 的选举靠的是报文优先级，那么毫无疑问，伪 造MASTER 是一种比较容易的攻击手段 ： 网络中的恶意主机构造高优先级报文发送出去，促使真正的 VRRP 路由器转到 BACKUP 状态，导致网络中报文无法转发。 为了解决这个问题， VRRP 协议规定了报文认证，即对收到的 VRRP 报文进行检查是否符合本地的认证信息。 VRRP 定义了两种认证方式 ： 简单字符认证 (Simple Text Passwords)和 MD5 认证。 通过将同一备份组的各个路由器 VRRP 认证方式设置成相同 (相同认证类型和认证字 )保证 BACKUP 只接受真正 MASTER 的报文。 在一个安全的网络中，可以将认证方式设置为不认证，路由器对要发送的 VRRP 报文不进行任何认证处理，而收到 VRRP 报文的路由器也不进行任何认证就认为是一个真实的、合法的 VRRP 报文。 这种情况下，不需要设置认证字。 在一个有可能受到安全威胁的网络中，可以将认证方式设置为SIMPLE，则发送 VRRP 报文的路由器就会将 认证 字填入 到 VRRP 报文中， 而收到的 VRRP 报文的路由器会将收到的 VRRP 报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的 VRRP 报文，否则认为是一个非法的报文，将予丢弃。 在这种情况下，应当设置长度为不超过 8 位的认证字。 在一个非常不安全的网络中，可以将认证方式设置为 MD5，则路由器就会利用认证报头 (Authentication Header)[7]提供的认证方式和 MD5 算法来对 VRRP 报文进行认证。 这种情况下，应当设置长度为不超过 8 位的认证字，对于没有通过认证的报文将做丢弃处理。 动态路由发现机制分析 VRRP 相对于一些动态路由发现机制的优势值得探讨，简单分析如下。 (l) 代理 ARP 代理 ARP 要求在主网络采用 ARP 协议进行 IP地址到物理地址映射时，当本地网络上各台主机调用 ARP 解析远端网络上主机的物理地址时，网关 G 代替主机响应，给出的物理地址是 G 本身的物理地址，由 G 来应答。 而网关 G 要求对隐藏网络的各主机了如指掌，这样所有进入隐藏网络的数据报文都先送到网关 G，网关 G 在将报文 11 送往应该到达的主机，同样网关 G 也掌握主网络上的主机，以便对外出的数据进行合适的操作。 在代理 ARP机 制中，主机是一个动态学到路由器 MAC 的过程，这可以视作一种路由发现机制。 但是这种路由发现非常不灵活，试想网关 G 现在 down 掉，主机将不能继续访问远端网络。 而新的路由器的 MAC 并不能为主机所知，除非主机重新发起 ARP 请求。 (2) 动态路由协议 常见的一些路由协议比如 OSPF[8]， RIF 非常复杂，而且适应网络拓扑结构的收敛速度其实是比较慢的，满足不了用户需要。 而且在管理开销、设备处理效率和安全性等方面面临着很多问题。 所 以路由协议并不能替代 VRRP。 (3) ICMP Router Discovery IRD 监听网络中的路由组播的 hello 消息，当一 定时限未收到 hello 消息时换用其他的路由器。 缺点是时间过长，一般要 7～ 10 分钟，生命周期 30 分钟。 这显然也是无法满足用户需要的。 (4) DHCP DHCP[8]本身是一种强大的动态主机配置协议，可以从远端传递各种网络配置参数。 比如可以配置 IP 地址 +网关。 但是， DHCP 没有网关主动切换的能力。 综上所述， VRRP 相比各种机制的优点有 ： 配置简单，开销低 ； 备份过程是由路由器自动进行选举，对于主机而 言不可见。 换言之主机在理论上完全不受路由器切换的影响 ； 高效灵活，反应迅速； 协议本身简单，易于实现。 但是 VRRP 协议看似简单，其实涉及甚广，要想很好地实现和应用，都需要花一番工夫。 下面介绍一下 VRRP 的常见组网应用。 4 VRRP的 应用及 配置 VRRP 应用 最典型的 VRRP 应用 ： RA、 RB 组成一个 VRRP 路由器组，假设 RA的处理能力高于RB，则将 RA 配置成 IP 地址所有者， Hl、 H H3 的默认网关设定为 RA。 则 RA 成为MASTER，负责 ICMP 重定向、 ARP应答和 IP 报文的转发 ； 一旦 RA失败， RB立即启动 12 切换，成为 MASTER，从而保证了对客户 透明的安全切换。 在 VRRP 应用中， RA在线时 RB只是作为 BACKUP，不参与转发工作，闲置了路由器 RB和链路 LB。 通过合理的网络设计，可以到达备份和负载分担的双重效果。 让 RA、RB 同时属于互为备份的两个 VRRP 组 ： 在组 1 中 RA 为 IP 地址所有者 ： 组 2中 RB 为IP地址所有者。 将 Hl 的默认网关设定为 RA； H H3的默认网关设定为 RB。 这样，既分担了设备负载和网络流量，又提高了网络可靠性。 使用 VRRP 协议，不用改造目前的网络拓扑结构，最大限度节约了投资成本，只需较少的管理费用，却大大提升了网络的可靠性和可用性 ，具有重大的应用价值。 VRRP 协议本身需要配合动态路由协议使用，才能达到较好的冗余特性。 另外简单的二层交换机可能会对 VRRP 的组播组地址不识别而导致 VRRP 异常，这 个在使用交换机的时候需要特别注意。 VRRP 配置 以下这些配置都是在锐捷 R2600 路由器上实现的。 在图 ，在路由器 R1与 R2上配置了 VRRP备份组来为内部网段 /24提供 VRRP服务，而在路由器 R3 上没有配置 VRRP 而只是配置了普通路由功能。 下面将 给出路由器 R1与 R2 的 VRRP 相关配置 [9][10]和 R3 的普通配置。 13 图 建立 VRRP环境的网络连接示意图 在下面的配置示例中，路由器 R3 的配置是不变的。 下面给出路由器 R3 的配置 ： routeraen 14 进入特权用户模式 Password: 输入密码 routeraconfig t 进入全局配置模式 Enter configuration mands, one per line. End with CNTL/Z. routera(config)hostname R3 更改路由器名为 R1 R3(config)interface fastether1/0 配置接口 FE0 R3(configif)ip address 设置 FE0 的 IP地址 R3(configif)no shutdown 激活当前接口 R3(configif)exit 返回上一级 R3(config)int f1/1 配置接口 FE1 R3(configif)no shutdown 激活当前接口 R3(configif)ip address 设置 FE0 的 IP地址 R3(configif)exit 返回上一级 R3(config)router ospf 启动 OSPF 路由协议 R3(configrouter)work area 0 设置发布路由 R3(configrouter)work area 0 R3(configrouter)end R3 14 R3show ip route 显示路由信息 Codes: C connected, S static, R RIP O OSPF, IA OSPF inter area N1 OSPF NSSA external type 1, N2 OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2 * candidate default Gateway of last resort is no set C , FastEther 1/1 C O [110/2] via , 00:00:17, FastEther 1/1 C , FastEther 1/0 C R3 VRRP 单备份组配置 按照图 建立连接。 在这个配置示例中，用户工作站群 ()使用路由器 R1 与 R2 组成的备份组，并将其网关指向该备份组设置的虚拟路由器的IP地址 ，经由虚拟路由器 访问远程用户工作站群(其工作网络为 /24)。 在这里 R1 被设置成 VRRP 的 Master 路由器。 正常情况下，路由器 R1 作为活动路由器提供网关 ()的功能。 一旦路由器 R1 失效，将由 路由器 R2来承担虚拟路由器的路由转发功能，由此实现了简单路由冗余。 对于网络用户来说，只看得到虚拟路由器 并不关心 R1 和R2谁在工作，谁是 MASTER，谁是 BACKUP。 下面分别给出路由器 R1 与 R2的相关配置。 配置 IP 地址、路由协议、 VRRP 路由器 R1 的配置： Router2624en Password: Router2624config t Enter configuration mands, one per line. End with CNTL/Z. Router2624(config)hostname R1 R1(config)interface fastether0 R1(configif)no shutdown R1(configif)ip address R1(configif)vrrp 1 ip 启用 VRRP 15 R1(configif)vrrp 1 priority 120 设置 VRRP 备份组 1 的优先级 为 120，默认为 100 R1(configif)vrrp 1 timers advertise 3 设置主路由器 VRRP 广告间隔 ，可以有效防止路由组播风暴 R1(configif)vrrp 1 authentication string 设置 VRRP 的验证字符串 ，可以加强 VRRP 的安全性 R1(configif)exit R1(config)int f1 R1(configif)no shutdown R1(configif)ip address R1(configif)exit R1(config)router ospf 120 R1(configrouter)work area 0 R1(configrouter)work area 0 R1(configrouter)exit R1(config)end R1show vrrp brief 查看当前的 VRRP 状态 Interface Grp Pri Time Own Pre State Master addr Group addr FastEther0 1 120 P Master R1 R1show ip route Codes: C connected, S static, R RIP O OSPF, IA OSPF inter area E1 OSPF external type 1, E2 OSPF external type 2 Gateway of last resort is not set , 1 subs O [110/2] via , 0。