首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

HSRP(热备份路由器协议)的详细介绍

所属分类: 网络安全 / 安全其它 阅读数: 138
收藏 0 赞 0 分享
Part I: Fundamental
HSRP(Hot Standby Router Protocol):Cisco私有的第3层协议。
HSRP为IP网络提供网络冗余,确保用户流量能立即并透明地恢复网络边界设备或接入电路中的第一跳故障。
在LAN中,多个router组成一个HSRP组,其中一个router代表这个HSRP转发这个LAN中的数据流,其它所有router只发送HSRP hello来维持这种HSRP组关系。
一个HSRP组共享一个IP和一个MAC地址。每个router可以加入多个组。
一个HSRP组由一台active router,一台standby router及other routers。
1>active router转发指向VIP的数据流,并发送HSRP hello包给所有其它HSRP组成员。(最终处于active state)
2>standby router不转发指向VIP的数据流,发送HSRP hello包给所有其它HSRP组成员,并监控active router的状态。(最终处于standby state)
3>other routers不转发指向VIP的数据流,只监控HSRP hello包,不发送。它们执行普通router的工作,只转发目标为他们自己的分组,不转发目标为VIP的地址。(最终处于listen state)

Part II: HSRP Operation
当standby router在一定时间内没有收到active router的hello包时,它就认为active router出现故障了,并取代它的active router的角色。因为host设备使用VIP及VMAC来标识它们的网关设备,所有它们不会发现这种变更,也不会感觉到服务的中断。

active router的选择:
1>优选priority大的HSRP router,默认的priority值为100
2>优选lowest mac地址

为了方便进行负载均衡,一个router可以属于多个HSRP组的成员,每个HSRP组有一个VIP及VMAC。
一个LAN最多支持255个HSRP组。

如果host设备发送数据分组给VIP的VMAC地址,由active router来进行相应的数据流转发。
如果host设备发送一个对VIP的ARP请求,由active router用相应的VMAC来应答。


Part III: VMAC Format
VMAC地址由3部分组成:
1>Vendor ID:MAC地址的前3个字节
2>HSRP code:2个字节,一般为07.ac,指示此地址为HSRP router。
3>Group ID:MAC地址的最后一个字节,为HSRP的组号。
\ \   Part Ⅶ:HSRP Command Reference
1> standby {group-number} ip {virtual-ip-address}
group-number:缺省为0,可配置范围0-255
注:使用HSRP时,host设备不能发现HSRP router的真实MAC地址,所以在配置了HSRP时,cisco设备自动禁用了ICMP重定向:no ip redirects

2> standby {group-number} priority {priority-value}
priority:缺省为100,可配置范围0-255
priority最高的router成为active router,priority相同,则最高ip地址的router为active router

3> standby {group-number} preempt
允许一台router只要有高的priority就可以立即强占成为active router

4> standby {group-number} {hellotime} {holdtime}
group-number:缺省为0,可配置范围0-255
hellotime:缺省为3,可配置范围1-255
holdtime:缺省为10,可配置范围1-255

5> standby {group-number} track {type number} {interface-priority}
type number:使HSRP监控此接口,如果此接口down掉,则接口的HSRP priority值减去interface-priority
interface-priority:接口down掉的惩罚值。

6> show standby {type number} {group} {brief}
Switch#show standby Vlan11 11
Vlan11 - Group 11
Local state is Active, priority 110
Hellotime 3 holdtime 10
Next hello sent in 00:00:02.944
Hot standby IP address is 172.16.11.115 configured
Active router is local
Standby router is 172.16.11.114 expires in 00:00:08
Standby virtual mac address is 0000.0c07.ac01

7> debug standby [errors] [events] [packets]
监控HSRP所有的状态改变及hello包的发送。

8> debug standby terse
监控HSRP所有的errors,events和packets信息(不包括hello及advertisement packets)



Part Ⅷ: HSRP Configuration
RouterA:
!
interface Vlan10
ip address 172.16.10.32 255.255.255.0
no ip redirects
standby 1 priority 150
standby 1 ip 172.16.10.110
standby 2 priority 50
standby 2 ip 172.16.10.120
RouterB:
!
interface Vlan10
ip address 172.16.10.33 255.255.255.0
no ip redirects
standby 1 priority 50
standby 1 ip 172.16.10.110
standby 2 priority 150
standby 2 ip 172.16.10.120
RouterA#show standby brief
P indicates configured to preempt.
Interface Grp Prio P State Active Standby Virtual IP
Vl10 1 150 Active local 172.16.10.33 172.16.10.110
Vl10 2 50 Standby 172.16.10.33 local 172.16.10.120


Part Ⅸ: Tuning HSRP Operations
Subsecond Failover:
HSRP hellotime及holdtime可以配置为millisecond级别,进而将HSRP故障检测时间减少到1秒内。
switch(config-if)#standby 1 timers msec 200 msec 750

Preempt Time Aligned with Router Boot Time:
preempt是HSRP很重要的一个特性,它允许主router在经历failover后再次成为active router。
当主router重启后,HSRP应该等待此router与其它相连的设备建立好相应的通信连接后再preempt HSRP。否则有可能会导致packets不可达。
这时就需要在preempt之前有一个延迟,以等待router完成它的通信连接或路由信息收集。这个延迟要根据不同设备不同的启动时间来设定,一般这个延迟应该比启动时间大一倍,以确保主router有能力成为active router。
switch(config-if)#standby 1 preempt
switch(config-if)#standby 1 preempt delay minimum 180
更多精彩内容其他人还在看

大势至电脑文件安全管理软件、电脑资料防止泄密管控软件和计算机文件防泄密软件V12版

这篇文章主要介绍了大势至电脑文件安全管理软件、电脑资料防止泄密管控软件和计算机文件防泄密软件V12版本发布,彻底防止计算机泄密重要文件的相关资料,需要的朋友可以参考下
收藏 0 赞 0 分享

如何把文件夹设置密码、怎样在电脑文件夹加密、怎样设置文件夹加密的方法

这篇文章主要介绍了如何把文件夹设置密码、怎样在电脑文件夹加密、怎样设置文件夹加密的方法,需要的朋友可以参考下
收藏 0 赞 0 分享

电脑文档安全管理系统之企业商业机密如何保护、如何保护公司商业秘密

这篇文章主要为大家详细介绍了电脑文档安全管理系统之企业商业机密如何保护,如何保护公司商业秘密,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
收藏 0 赞 0 分享

大势至公司文件防泄密方案、企业防泄密软件网络版的管理端与客户端连接设置的方法

这篇文章主要为大家详细介绍了大势至公司文件防泄密方案、企业防泄密软件网络版的管理端与客户端连接设置的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
收藏 0 赞 0 分享

如何实现每次访问共享文件都需要输入账户和密码 远程访问共享文件需要用户密码验证

如何使得用户每次访问共享文件都需要输入密码呢?下面脚本之家小编给大家带来了如何实现每次访问共享文件都需要输入账户和密码、怎样设置远程访问共享文件需要用户密码验证,感兴趣的朋友一起看看吧
收藏 0 赞 0 分享

共享文件如何禁止下载、共享文件防复制、禁止复制共享文件内容、禁止拖动共享文件的行

这篇文章主要介绍了共享文件如何禁止下载、共享文件防复制、禁止复制共享文件内容、禁止拖动共享文件的行为的相关资料,非常具有实用价值,需要的朋友可以参考下
收藏 0 赞 0 分享

文件夹共享给指定电脑、文件夹共享给指定用户、文件夹共享给特定用户的方法

这篇文章主要介绍了文件夹共享给指定电脑、文件夹共享给指定用户、文件夹共享给特定用户的方法的相关资料,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
收藏 0 赞 0 分享

公司数据防泄密方案之如何防止电脑文件泄露、公司电脑防止资料泄露?

公司日常办公都是通过计算机网络进行,员工日常工作中形成的重要文件都是存储在各自的电脑上,那么公司如何防止商业机密泄露、防止电脑资料泄露呢?本文就来详细的介绍一下
收藏 0 赞 0 分享

复杂背景的验证码识别破解 以Discuz的动画验证码为例。

对于比较复杂的验证码,比如DZ论坛最新的验证码,处理起来相对麻烦一些,但是原理还是和普通的识别一样的,无非多了个背景处理的方案,看如下对DZ论坛的验证码的识别的思路
收藏 0 赞 0 分享

收集的比较齐全的黑链代码大全

这么多黑链代码,到底那种黑链代码的写法最好呢。本尊现在给各位朋友一些建议。
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-22