首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

HSRP(热备份路由器协议)的详细介绍

所属分类: 网络安全 / 安全其它 阅读数: 171
收藏 0 赞 0 分享
Part I: Fundamental
HSRP(Hot Standby Router Protocol):Cisco私有的第3层协议。
HSRP为IP网络提供网络冗余,确保用户流量能立即并透明地恢复网络边界设备或接入电路中的第一跳故障。
在LAN中,多个router组成一个HSRP组,其中一个router代表这个HSRP转发这个LAN中的数据流,其它所有router只发送HSRP hello来维持这种HSRP组关系。
一个HSRP组共享一个IP和一个MAC地址。每个router可以加入多个组。
一个HSRP组由一台active router,一台standby router及other routers。
1>active router转发指向VIP的数据流,并发送HSRP hello包给所有其它HSRP组成员。(最终处于active state)
2>standby router不转发指向VIP的数据流,发送HSRP hello包给所有其它HSRP组成员,并监控active router的状态。(最终处于standby state)
3>other routers不转发指向VIP的数据流,只监控HSRP hello包,不发送。它们执行普通router的工作,只转发目标为他们自己的分组,不转发目标为VIP的地址。(最终处于listen state)

Part II: HSRP Operation
当standby router在一定时间内没有收到active router的hello包时,它就认为active router出现故障了,并取代它的active router的角色。因为host设备使用VIP及VMAC来标识它们的网关设备,所有它们不会发现这种变更,也不会感觉到服务的中断。

active router的选择:
1>优选priority大的HSRP router,默认的priority值为100
2>优选lowest mac地址

为了方便进行负载均衡,一个router可以属于多个HSRP组的成员,每个HSRP组有一个VIP及VMAC。
一个LAN最多支持255个HSRP组。

如果host设备发送数据分组给VIP的VMAC地址,由active router来进行相应的数据流转发。
如果host设备发送一个对VIP的ARP请求,由active router用相应的VMAC来应答。


Part III: VMAC Format
VMAC地址由3部分组成:
1>Vendor ID:MAC地址的前3个字节
2>HSRP code:2个字节,一般为07.ac,指示此地址为HSRP router。
3>Group ID:MAC地址的最后一个字节,为HSRP的组号。
\ \   Part Ⅶ:HSRP Command Reference
1> standby {group-number} ip {virtual-ip-address}
group-number:缺省为0,可配置范围0-255
注:使用HSRP时,host设备不能发现HSRP router的真实MAC地址,所以在配置了HSRP时,cisco设备自动禁用了ICMP重定向:no ip redirects

2> standby {group-number} priority {priority-value}
priority:缺省为100,可配置范围0-255
priority最高的router成为active router,priority相同,则最高ip地址的router为active router

3> standby {group-number} preempt
允许一台router只要有高的priority就可以立即强占成为active router

4> standby {group-number} {hellotime} {holdtime}
group-number:缺省为0,可配置范围0-255
hellotime:缺省为3,可配置范围1-255
holdtime:缺省为10,可配置范围1-255

5> standby {group-number} track {type number} {interface-priority}
type number:使HSRP监控此接口,如果此接口down掉,则接口的HSRP priority值减去interface-priority
interface-priority:接口down掉的惩罚值。

6> show standby {type number} {group} {brief}
Switch#show standby Vlan11 11
Vlan11 - Group 11
Local state is Active, priority 110
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.944
Hot standby IP address is 172.16.11.115 configured
Active router is local
Standby router is 172.16.11.114 expires in 00:00:08
Standby virtual mac address is 0000.0c07.ac01

7> debug standby [errors] [events] [packets]
监控HSRP所有的状态改变及hello包的发送。

8> debug standby terse
监控HSRP所有的errors,events和packets信息(不包括hello及advertisement packets)



Part Ⅷ: HSRP Configuration
RouterA:
!
interface Vlan10
ip address 172.16.10.32 255.255.255.0
no ip redirects
standby 1 priority 150
standby 1 ip 172.16.10.110
standby 2 priority 50
standby 2 ip 172.16.10.120
RouterB:
!
interface Vlan10
ip address 172.16.10.33 255.255.255.0
no ip redirects
standby 1 priority 50
standby 1 ip 172.16.10.110
standby 2 priority 150
standby 2 ip 172.16.10.120
RouterA#show standby brief
P indicates configured to preempt.
Interface Grp Prio P State Active Standby Virtual IP
Vl10 1 150 Active local 172.16.10.33 172.16.10.110
Vl10 2 50 Standby 172.16.10.33 local 172.16.10.120


Part Ⅸ: Tuning HSRP Operations
Subsecond Failover:
HSRP hellotime及holdtime可以配置为millisecond级别,进而将HSRP故障检测时间减少到1秒内。
switch(config-if)#standby 1 timers msec 200 msec 750

Preempt Time Aligned with Router Boot Time:
preempt是HSRP很重要的一个特性,它允许主router在经历failover后再次成为active router。
当主router重启后,HSRP应该等待此router与其它相连的设备建立好相应的通信连接后再preempt HSRP。否则有可能会导致packets不可达。
这时就需要在preempt之前有一个延迟,以等待router完成它的通信连接或路由信息收集。这个延迟要根据不同设备不同的启动时间来设定,一般这个延迟应该比启动时间大一倍,以确保主router有能力成为active router。
switch(config-if)#standby 1 preempt
switch(config-if)#standby 1 preempt delay minimum 180
更多精彩内容其他人还在看

常见网络安全问题及解决办法

网络安全是一门涉及计算机、网络、通讯、密码、信息安全、应用数学、数论、信息论等多种学科的综合性学科,涉及面极广,而且不断更新和发展
收藏 0 赞 0 分享

黑客攻击著名门户网案告破 百万网民浏览网站受影响

百万网民浏览网站受影响 北京警方40天破案,在大连警方的协助下,成功破获了该起案件,两名黑客在大连落网
收藏 0 赞 0 分享

怎样在不同网络安全需求下创建DMZ区的4种常用方法

。DMZ (Demilitarized Zone)是网络安全中最重要的分区术语。因为DMZ包含设备性质,所以将其同网络的其他部分分隔开来,创建DMZ的方法有很多,怎样创建DMZ有赖于网络的安全需求,创建DMZ的最常用的方法如下4种
收藏 0 赞 0 分享

警告:如果你的密码设置成这20个,赶紧改了

大家平时设置密码时,为了省事就设置很简单的密码,殊不知却留下了很大的安全隐患
收藏 0 赞 0 分享

BIOS和DOS中断大全

这篇文章主要为大家介绍下BIOS和DOS中断名相关的资料,需要的朋友可以收藏下
收藏 0 赞 0 分享

公共场所免费WIFI盗取机密信息的几个案例

如今电子商务社会,每个人的手机号上都绑定很多东西。比如网银、支付宝、银行卡、等很多关系到个人财产的东西。骗子也利用了这点来开始作案。下面来分享几个案例给大家认识到什么时候需谨慎
收藏 0 赞 0 分享

4个常用的HTTP安全头部

由于HTTP是一个可扩展的协议,各浏览器厂商都率先推出了有效的头部,来阻止漏洞利用或提高利用漏洞的难度。了解它们是什么,掌握如何应用,可以提高系统的安全性
收藏 0 赞 0 分享

七类最危险的网络管理员小结

在这里,我们将看到七种最不安全的网络管理员,并且总结了我观察这个行业多年的经验,描述了这些不安全因素的特点
收藏 0 赞 0 分享

DDoS的攻击方法及防范介绍

DDoS攻击其实就是一种利用某种技术手段将目标服务器与互联网连接的所有通道堵死,从而造成服务器与互联网失去联系,正常访问者无法获取服务器上的数据。我们这样解释详细很多站长应该能看懂
收藏 0 赞 0 分享

加速乐:第一时间破壳漏洞纪实 上演拦截戏码

今年4 月爆发的OpenSSL“心脏出血”漏洞才5 级!GNU Bash Shell作为一种被广泛应用在Linux和Unix家族中的命令行解析器,使该漏洞会影响大量基于Linux/Unix的设备
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 www.zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22