Protocolo de redundancia de enrutamiento virtual VRRP: la base del respaldo en caliente de sistema dual

Others 2020-10-29 12:57:31 views: null

VRRP

I. Resumen

Antecedentes

Con el desarrollo de Internet, las personas tienen requisitos cada vez más altos para la confiabilidad de la red. Especialmente para los usuarios finales, es muy importante poder mantenerse en contacto con otras partes de la red en tiempo real. En términos generales, el host se comunica con la red externa configurando la puerta de enlace predeterminada.

El anfitrión envía el mensaje enviado a la red externa a la puerta de enlace, que es pasada a la red externa por la puerta de enlace, para realizar la comunicación entre el anfitrión y la red externa. En circunstancias normales, el anfitrión puede confiar completamente en el trabajo de la puerta de enlace, pero cuando la puerta de enlace se rompe, la comunicación entre el anfitrión y el mundo exterior se interrumpirá. Para resolver el problema de la interrupción de la red, puede confiar en agregar una puerta de enlace para resolverlo. Sin embargo, dado que la mayoría de los hosts solo permiten configurar una puerta de enlace predeterminada, el administrador de la red debe intervenir manualmente en la configuración de la red para que el host use la nueva puerta de enlace para comunicarse; A veces, las personas usan protocolos de enrutamiento dinámico para resolver el problema de las fallas de la red, como ejecutar RIP, OSPF, etc., o usar IRDP. Sin embargo, estos protocolos no pueden satisfacer las necesidades de los usuarios debido a su compleja configuración o bajo rendimiento de seguridad.

Para resolver mejor el problema de la interrupción de la red, los desarrolladores de la red propusieron VRRP, que no necesita cambiar la situación de la red, ni requiere ninguna configuración en el host, solo necesita configurar unos pocos comandos en el enrutador correspondiente. La copia de seguridad de la puerta de enlace del siguiente salto se puede realizar sin ninguna carga para el host. En comparación con otros métodos, VRRP puede satisfacer mejor las necesidades de los usuarios.

Introducción a VRRP

VRRP (Protocolo de redundancia de enrutador virtual) es un protocolo tolerante a fallas. Generalmente, todos los hosts de una red establecen una ruta predeterminada. Puede asignar dinámicamente la responsabilidad de un enrutador virtual a uno de los enrutadores VRRP en la LAN. El enrutador VRRP que controla las direcciones IP de los enrutadores virtuales se denomina enrutador maestro y es responsable de reenviar paquetes a estas direcciones IP virtuales. Una vez que el enrutador principal no está disponible, este proceso de selección proporciona un mecanismo de conmutación por error dinámico, que permite que la dirección IP del enrutador virtual sea el enrutador de primer salto predeterminado para el host final. La ventaja de usar VRRP es que hay una mayor disponibilidad de ruta predeterminada sin la necesidad de configurar enrutamiento dinámico o protocolos de descubrimiento de enrutamiento en cada host final. El paquete VRRP se encapsula en un paquete IP y se envía (la capa inferior se basa en el protocolo IP) y admite varios protocolos de capa superior.

Conceptos relacionados

  • VRID: el identificador del enrutador virtual. Un grupo de enrutadores con el mismo VRID constituye un enrutador virtual.

  • Enrutador virtual: consta de un enrutador maestro y varios enrutadores de respaldo. El host utiliza el enrutador virtual como puerta de enlace predeterminada.

  • Enrutador maestro (maestro): el enrutador responsable del reenvío de mensajes en el enrutador virtual.

  • Enrutador de respaldo: un enrutador que puede reemplazar al enrutador maestro cuando falla el enrutador maestro.

  • Dirección IP virtual: la dirección IP del enrutador virtual. Un enrutador virtual puede tener una o más direcciones IP.

  • Propietario de la dirección IP: el enrutador cuya dirección IP de la interfaz es la misma que la dirección IP virtual se denomina propietario de la dirección IP.

  • Dirección MAC virtual: un enrutador virtual tiene una dirección MAC virtual. El formato de la dirección MAC virtual es 00-00-5E-00-01- {VRID}. En circunstancias normales, el enrutador virtual responde a la solicitud de ARP con la dirección MAC virtual . Solo cuando el enrutador virtual está especialmente configurado, responde a la dirección MAC real de la interfaz.

  • Prioridad: VRRP determina el estado de cada enrutador en el enrutador virtual en función de la prioridad.

  • Modo no preventivo: si el enrutador de respaldo funciona en modo no preventivo, siempre que el enrutador maestro no falle, el enrutador de respaldo no se convertirá en el enrutador maestro incluso si posteriormente se configura con una prioridad más alta.

  • Modo de preferencia: si el enrutador de respaldo funciona en modo de preferencia, cuando recibe un paquete VRRP, compara su prioridad con la prioridad en el paquete de publicidad. Si su prioridad es mayor que la del enrutador maestro actual, se adelantará activamente para convertirse en el enrutador maestro; de lo contrario, mantendrá el estado de respaldo.

2. La estructura del mensaje de VRRP

El protocolo VRRP tiene un solo tipo de paquete, es decir, el paquete VRRP (paquete de publicidad). Los paquetes VRRP se utilizan para anunciar la prioridad y el estado del dispositivo maestro a todos los enrutadores VRRP en el mismo enrutador virtual.

Los paquetes VRRP se encapsulan en paquetes IP y se envían a la dirección de multidifusión IPv4 asignada a VRRP. En el encabezado del paquete IP, la dirección de origen es la dirección de interfaz principal (no la dirección virtual ni la dirección auxiliar) que envía el paquete, la dirección de destino es 224.0.0.18, el TTL es 255 y el número de protocolo es 112. La estructura del mensaje VRRP se muestra en la Figura 1.

Los paquetes VRRP se encapsulan en paquetes IP. Utilice una dirección de multidifusión IPv4 VRRP dedicada ( número de protocolo 112, dirección de multidifusión 224.0.0.18 )

El número de protocolo IP asignado por IANA a VRRP es 112 (decimal).

La dirección IP de multidifusión asignada por IANA a VRRP es 224.0.0.18. Esta es una dirección de multidifusión de rango local. Independientemente del valor TTL, el enrutador tiene prohibido reenviar paquetes con esta dirección como dirección de destino.

En el encabezado IP del paquete VRRP, el TTL debe ser 255. Cuando un enrutador VRRP recibe un paquete de protocolo VRRP cuyo TTL no es igual a 255, debe descartarlo .

Inserte la descripción de la imagen aquí

  • Versión: 4 bits, número de versión del protocolo, el VRRP actual es la versión 2.

  • Tipo: 4 bits, que define el tipo de paquete VRRP. Esta versión del protocolo define solo un tipo de mensaje y el valor del campo es 1: ADVERTISEMENT. Los mensajes con tipos desconocidos deben descartarse.

  • ID de Rtr virtual: 8 bits, el campo de identificación del enrutador virtual (VRID) identifica el enrutador virtual cuyo estado informa este mensaje. El rango configurable es 1 ~ 255. No existe un valor predeterminado.

  • Prioridad: 8 bits El campo Prioridad declara la prioridad del enrutador VRRP que envía este mensaje. Cuanto mayor sea el valor, mayor será la prioridad. Este campo es un entero sin signo de 8 bits.

    Si el enrutador VRRP es el propietario de la dirección IP de la dirección del enrutador virtual, su prioridad se convierte automáticamente en el valor máximo de 255. La prioridad del enrutador VRRP de respaldo debe estar entre 1 y 254. 0 significa que el dispositivo deja de participar en VRRP y se utiliza para hacer que el enrutador de respaldo se convierta en el enrutador principal lo antes posible sin esperar a que expire el temporizador. La prioridad predeterminada del enrutador VRRP es 100.

  • Recuento de direcciones IP: 8 bits, la cantidad de direcciones IP incluidas en este anuncio de transmisión VRRP.

  • Tipo de autenticación: 8 bits, el campo de tipo de autenticación se utiliza para identificar el método de autenticación que se utilizará. El tipo de autenticación es único dentro de un grupo de enrutadores virtuales. El campo de tipo de autenticación es un entero sin signo de 8 bits. Si el paquete lleva un tipo de autenticación desconocido o el tipo de autenticación no coincide con el método de autenticación configurado localmente, el paquete debe descartarse.

    Los métodos de autenticación definidos actualmente son:

    • 0 ——Sin autenticación

      Este tipo de autenticación indica que el intercambio de paquetes de protocolo VRRP no requiere autenticación. Al enviar un mensaje de protocolo VRRP, el campo de datos de autenticación se establecerá en 0; al recibir un mensaje de protocolo, el campo de datos de autenticación se ignorará.

    • 1-Reservado

    • 2-Reservado

    Explicación:
    Las primeras versiones de VRRP definían algunos tipos de autenticación [RFC2338]. Las definiciones de estos tipos de autenticación se han eliminado en este documento, porque la experiencia real muestra que estos métodos de autenticación no brindan ninguna garantía de seguridad real y solo causarán múltiples Maestros en un grupo VRRP.

  • Adver Int: 8 bits, tiempo de intervalo de notificación VRRP, en segundos. El valor predeterminado es 1 segundo. Este campo se utiliza principalmente para la localización y resolución de fallas cuando el enrutador está mal configurado.

  • Suma de comprobación: 16 bits, el campo de suma de comprobación se utiliza para detectar si los datos del mensaje VRRP son incorrectos.

    La suma de comprobación es la suma del complemento de 16 bits de 1 del mensaje VRRP completo a partir del campo de versión. (RFC1071 describe los detalles del cálculo de la suma de comprobación).

  • Dirección IP: 32 bits, el campo de dirección IP es una o más direcciones IP del enrutador virtual. El número de direcciones IP se indica en el campo "Recuento de direcciones IP". El campo de dirección IP se utiliza para localizar y resolver la falla cuando el enrutador está configurado incorrectamente.

  • Datos de autenticación: 32 bits, la cadena de autenticación solo se utiliza para compatibilidad con versiones anteriores de RFC2338. Este campo debe establecerse en 0 al enviar un mensaje VRRP y debe ignorarse al recibir un mensaje VRRP.

En tercer lugar, la máquina de estado de VRRP

En el protocolo VRRP se definen tres máquinas de estado: estado inicial (inicializar), estado activo (maestro) y estado de respaldo (respaldo). Entre ellos, solo el dispositivo activo puede reenviar los paquetes enviados a la dirección IP virtual.

Inserte la descripción de la imagen aquí

  • Inicializar

El estado de inicialización es el estado inicial de VRRP. Después de configurar la interfaz con VRRP, si la interfaz está inactiva (por ejemplo, la interfaz está apagada o no hay cables conectados), el estado de VRRP de la interfaz se estancará en la inicialización.

Una vez que la interfaz está activada, si la prioridad VRRP del mensaje al inicio es 255 (esto sucede cuando la dirección IP real de la interfaz es la dirección IP virtual VRRP), entonces el estado VRRP de la interfaz cambiará de inicializar a maestro, y Si la prioridad VRRP de la interfaz no es 255, ingresa al estado de respaldo.

  • Maestro, cuando el enrutador está en estado maestro, hará lo siguiente:

    • Envíe periódicamente paquetes VRRP, el intervalo de tiempo predeterminado es 1 s.

    • Responda a la solicitud ARP de la dirección IP virtual con la dirección MAC virtual.

    • Reenvío de paquetes IP cuya dirección MAC de destino es una dirección MAC virtual.

    • Si es el propietario de esta dirección IP virtual, recibirá un paquete IP cuya dirección IP de destino es esta dirección IP virtual. De lo contrario, descarte el paquete IP.

    • Si recibe un paquete con una prioridad más alta que la suya, cambiará al estado de respaldo ( VRRP habilita el modo de preferencia por defecto ).

    • Si recibe un paquete con la misma prioridad que el suyo, y la dirección IP principal del remitente es mayor que su propia dirección IP principal, cambiará al estado de Copia de seguridad.

    • Cuando se recibe el evento Shutdown de la interfaz, se convierte a Initialize.

  • Copia de seguridad. Cuando el enrutador está en el estado de Copia de seguridad, hará lo siguiente:

    • Reciba los paquetes VRRP enviados por el Maestro para determinar si el estado del Maestro es normal.

    • No se responde a la solicitud ARP de la dirección IP virtual.

    • Descarte los paquetes IP cuya dirección MAC de destino sea la dirección MAC virtual.

    • Descarte los paquetes IP cuya dirección IP de destino sea una dirección IP virtual.

    • En el estado Backup, si se recibe un paquete con una prioridad menor que la suya, el paquete se descarta sin reiniciar el temporizador; si se recibe un paquete con la misma prioridad, el temporizador se reinicia sin comparar más direcciones IP.

    • Cuando Backup recibe el evento de que expira el temporizador MASTER_DOWN_TIMER, se convertirá en Master.

    • Cuando se recibe el evento Shutdown de la interfaz, se convierte a Initialize.

Cuarto, el proceso de elección y trabajo del Máster en VRRP

Elección del enrutador maestro

En un grupo VRRP, solo puede haber un enrutador maestro en circunstancias normales. VRRP determina qué enrutador actuará como maestro en función de la prioridad y la dirección IP. El rango de prioridad es de 0 a 255. Cuanto mayor sea la prioridad , mejor , y es más probable que el enrutador se convierta en el maestro. Entre ellos, 0 y 255 son dos prioridades especiales y no se pueden configurar directamente.

  • La prioridad es 255: cuando la dirección IP de la interfaz del enrutador es la misma que la dirección IP virtual del VRRP, su prioridad se convertirá automáticamente en el valor máximo de 255. En este momento, el enrutador se denomina propietario de la dirección IP.

  • Prioridad 0: Aparece cuando el enrutador maestro abandona activamente el rol de maestro. Por ejemplo, cuando la configuración VRRP de la interfaz se elimina manualmente, el enrutador maestro enviará inmediatamente un paquete VRRP con una prioridad de 0 para notificar al respaldo en la red. enrutador.

Cuando se activa una interfaz con VRRP, si la prioridad VRRP de la interfaz es 255, entonces su estado VRRP cambiará directamente de Inicializar (estado inicial) a Maestro (estado maestro), y si la prioridad VRRP de la interfaz no es 255, Luego, primero cambie a Copia de seguridad (estado de copia de seguridad) y luego decida si cambiar a Maestro de acuerdo con el resultado de la competencia.

Si hay dos enrutadores maestros en el mismo grupo VRRP en el mismo dominio de transmisión, compararán sus prioridades entre sí. El dispositivo con el valor de prioridad más alto ganará y continuará manteniendo el estado maestro, mientras que el enrutador que falle la competencia ganará Cambie al estado de Copia de seguridad. Si las prioridades de los dos enrutadores maestros son iguales, la interfaz del enrutador con la dirección IP de interfaz más grande permanecerá en el estado maestro, mientras que el otro dispositivo cambiará al estado de respaldo. Por supuesto, cuando una red funciona de manera estable, no debe haber dos enrutadores maestros en el mismo grupo VRRP al mismo tiempo.

El enrutador en el estado Maestro enviará periódicamente paquetes VRRP y describirá su prioridad, dirección IP y otra información en los paquetes. En el mismo dominio de difusión, los enrutadores de respaldo del mismo grupo VRRP escucharán estos paquetes. Si un nuevo enrutador de respaldo (su prioridad es más alta que el enrutador maestro actual) aparece en la red en este momento, y la función de preferencia está activada, ignorará el paquete VRRP recibido, cambiará al maestro para escuchar y enviará su propio VRRP al mismo tiempo. El mensaje también describe su prioridad y otra información en el mensaje Después de recibir el mensaje VRRP, el enrutador maestro anterior cambia al estado de respaldo.

Proceso de trabajo

trabajo normal

Después de habilitar la función VRRP, el enrutador determinará su función en el grupo de respaldo según la prioridad. El enrutador con la prioridad más alta se convierte en el enrutador maestro y el enrutador con la prioridad más baja se convierte en el enrutador de respaldo. El enrutador maestro envía periódicamente mensajes de publicidad VRRP para notificar a otros enrutadores en el grupo de respaldo que están funcionando normalmente; el enrutador de respaldo inicia un temporizador para esperar la llegada de los mensajes de publicidad.

  • En el modo preventivo, cuando el enrutador de respaldo recibe el mensaje de publicidad VRRP, compara su prioridad con la prioridad en el mensaje de publicidad. Si es mayor que la prioridad en el mensaje publicitario, se convertirá en el enrutador maestro; de lo contrario, permanecerá en el estado de respaldo.

  • En el modo no preventivo, siempre que el enrutador maestro no falle, los enrutadores del grupo de respaldo siempre mantienen el estado maestro o de respaldo, y el enrutador de respaldo no se convertirá en el enrutador maestro incluso si posteriormente se configura con una prioridad más alta.

Si el temporizador del enrutador de respaldo expira y aún no recibe el mensaje de anuncio VRRP del enrutador maestro, se considera que el enrutador maestro no ha funcionado normalmente. En este momento, el enrutador de respaldo se considerará a sí mismo como el enrutador maestro y enviará mensajes de anuncio VRRP. Los enrutadores del grupo de respaldo eligen el enrutador maestro de acuerdo con la prioridad para asumir la función de reenvío de paquetes.

Conmutación por error de VRRP

El enrutador maestro envía periódicamente paquetes VRRP para anunciar su información de configuración (prioridad, etc.) y el estado de funcionamiento en el enrutador virtual. El enrutador de respaldo juzga si el enrutador maestro está funcionando normalmente al recibir el paquete VRRP.

  • Cuando el enrutador maestro abandona activamente el estado del maestro (por ejemplo, el enrutador maestro sale del enrutador virtual), enviará un paquete VRRP con una prioridad de 0, lo que hará que el enrutador de respaldo cambie rápidamente para convertirse en el enrutador maestro. Este tiempo de conmutación se denomina tiempo de sesgo y el método de cálculo es: (256-Prioridad del enrutador de respaldo) / 256, en segundos (cuanto mayor sea la prioridad del enrutador de respaldo, menor será el tiempo).

  • Cuando el enrutador maestro no puede enviar paquetes VRRP debido a una falla en la red, el enrutador de respaldo no puede saber inmediatamente su estado de funcionamiento. Después de que el enrutador de respaldo espera por un período de tiempo, si no ha recibido paquetes VRRP, pensará que el enrutador maestro no puede funcionar normalmente y se actualizará al enrutador maestro, enviando paquetes VRRP periódicamente. El tiempo de espera predeterminado del enrutador de respaldo se llama Master_Down_Interval, y el valor es: (3 × intervalo de envío de paquetes VRRP) + tiempo de sesgo, en segundos. Si varios enrutadores de respaldo compiten por la posición del enrutador maestro en este momento, el enrutador maestro se elegirá por prioridad.

En una red con un rendimiento insuficientemente estable, es posible que el enrutador de respaldo no reciba el mensaje del enrutador maestro durante el Intervalo_desconectado maestro debido a la congestión de la red y que se apropie activamente de la posición como maestro. Si el mensaje del enrutador maestro original llega en este momento, aparecerá. Los miembros del enrutador virtual frecuentemente se apropian del maestro. Para paliar la aparición de este fenómeno, se formula especialmente un temporizador de espera de retardo. Puede hacer que el enrutador de respaldo espere el tiempo de espera de retraso después de esperar el Master_Down_Interval. Si el paquete VRRP todavía no se recibe durante este período, el enrutador de respaldo cambiará al enrutador maestro y enviará paquetes VRRP.

Método de autenticación VRRP

VRRP proporciona tres métodos de autenticación:

  • Sin autenticación: no se realiza ninguna autenticación de la legalidad de ningún mensaje VRRP y no se proporciona ninguna garantía de seguridad.

  • Autenticación de caracteres simple: en una red que puede verse amenazada por la seguridad, el método de autenticación se puede configurar en autenticación de caracteres simple. El enrutador que envía el paquete VRRP completa la clave de autenticación en el paquete VRRP, y el enrutador que recibe el paquete VRRP compara la clave de autenticación en el paquete VRRP recibido con la clave de autenticación configurada localmente. Si las claves de autenticación son las mismas, el mensaje recibido se considera un mensaje VRRP legal; de lo contrario, el mensaje recibido se considera un mensaje ilegal.

  • Autenticación MD5: en una red muy insegura, el método de autenticación se puede configurar en autenticación MD5. El enrutador que envía el mensaje VRRP utiliza la clave de autenticación y el algoritmo MD5 para cifrar el mensaje VRRP, y el mensaje cifrado se almacena en AuthenticationHeader (encabezado de autenticación). El enrutador que recibe el paquete VRRP utilizará la clave de autenticación para descifrar el paquete y verificar la legitimidad del paquete.

5. Funciones proporcionadas por VRRP

Copia de seguridad primaria

Esta es la forma básica en que VRRP proporciona una copia de seguridad de la dirección IP. El modo maestro de respaldo requiere el establecimiento de un enrutador virtual, que incluye un maestro y varios dispositivos de respaldo.

  • En circunstancias normales, todos los negocios los realiza el Maestro.
  • Cuando el maestro falla, el dispositivo de respaldo se hace cargo.

Compartiendo carga

Ahora se permite a un enrutador realizar copias de seguridad de varios. La carga compartida se puede lograr a través de múltiples configuraciones de enrutadores virtuales.

La carga compartida significa que varios enrutadores realizan servicios simultáneamente, por lo que es necesario establecer dos o más grupos de respaldo.

El método de reparto de carga tiene las siguientes características.

- 每个备份组都包括一个Master设备和若干Backup设备。

  • El maestro de cada grupo de respaldo puede ser diferente.

  • El mismo enrutador puede unirse a varios grupos de respaldo y diferentes grupos de respaldo tienen diferentes prioridades.
    Inserte la descripción de la imagen aquí

Como se muestra en la figura, configure dos grupos de respaldo: grupo 1 y grupo 2:

  • El RouterA actúa como maestro en el grupo de respaldo 1 y actúa como respaldo en el grupo de respaldo 2.

  • El RouterB funciona como respaldo en los grupos de respaldo 1 y 2.

  • El router C funciona como maestro en el grupo de respaldo 2 y funciona como respaldo en el grupo de respaldo 1.

  • Algunos hosts usan el grupo de respaldo 1 como puerta de enlace, y otros hosts usan el grupo de respaldo 2 como puerta de enlace.

De esta manera, para lograr el propósito de compartir el flujo de datos y hacer copias de seguridad entre sí.

Función de seguimiento

Inserte la descripción de la imagen aquí

Supervisar enlace ascendente

La función de transmisión de la red VRRP a veces requiere tecnología adicional para mejorar su trabajo. Por ejemplo, cuando el enlace ascendente del enrutador maestro a una determinada red se interrumpe repentinamente, el host no puede acceder de forma remota a la red a través del enrutador maestro. En este momento, puede resolver este problema supervisando la función de enlace ascendente de la interfaz especificada. Cuando el enrutador maestro descubre que el enlace ascendente está defectuoso, reduce activamente su prioridad (hace que la prioridad del enrutador maestro sea menor que la del enrutador de respaldo) e inmediatamente envía paquetes VRRP. Una vez que el enrutador de respaldo recibe un paquete VRRP con una prioridad más baja que él mismo, espera a que Skew_Time cambie al nuevo enrutador maestro. Por lo tanto, el enrutador de respaldo que puede llegar a esta red actúa como el nuevo enrutador maestro de VRRP y ayuda al host a completar la comunicación de red.

  • VRRP puede monitorear directamente el estado de la interfaz conectada al enlace ascendente. Cuando la interfaz conectada al enlace ascendente está inactiva, el enrutador maestro se reduce según la prioridad especificada. La prioridad de VRRP se puede reducir a 1 como mínimo.

  • VRRP puede usar tecnología NQA (análisis de calidad de red Network Quality Analyzer, una tecnología de estadísticas y detección de rendimiento de red en tiempo real, puede realizar estadísticas sobre información de red como tiempo de respuesta, fluctuación de red, tasa de pérdida de paquetes, etc.) para monitorear la conexión de enlace ascendente remota Finalizar el estado del host o de la red. Por ejemplo, la función de detección de eco ICMP de NQA está habilitada en el dispositivo maestro para detectar la accesibilidad del host remoto. Cuando falla la detección de eco ICMP, puede notificar al dispositivo el resultado de la detección para lograr el propósito de reducir la prioridad de VRRP.

  • VRRP también puede utilizar la tecnología BFD (Bidirectional Forwarding Detection). Es un protocolo de red que se utiliza para detectar fallas entre dos puntos de reenvío. Puede proporcionar una detección de nivel de milisegundos y puede lograr una detección de enlace rápida. BFD pasa a través de la capa superior. El enlace de los protocolos de enrutamiento puede lograr una rápida convergencia de enrutamiento y garantizar la continuidad del negocio). Monitorear el estado de la red o el host remoto de la conexión de enlace ascendente. Como la precisión de BFD puede alcanzar los 10 ms, BFD puede detectar rápidamente cambios en el estado del enlace, logrando el propósito de una preferencia rápida. Por ejemplo, puede usar la tecnología BFD en el enrutador maestro para monitorear el estado físico del dispositivo ascendente. Una vez que el dispositivo ascendente se interrumpe, el cambio se detectará rápidamente y la prioridad del enrutador maestro se reducirá, lo que hará que el enrutador de respaldo espere el tiempo de sesgo y la preferencia para convertirse en uno nuevo. Enrutador maestro.

Backup monitorea el estado de trabajo del Master

Después de que el enrutador maestro se rompe, el enrutador de respaldo normalmente necesita esperar a que el Intervalo_desc. Maestro cambie a la nueva posición Maestro. Durante este tiempo, el host no podrá comunicarse normalmente porque no hay un dispositivo maestro para reenviar paquetes para él. Para resolver esta falla de red, el dispositivo de respaldo proporciona una función para monitorear el estado de funcionamiento del maestro, de modo que después de que el enrutador maestro se rompe, el respaldo puede cambiar inmediatamente al nuevo enrutador maestro para mantener la comunicación de red.

El enrutador de respaldo monitorea el enrutador maestro usando tecnología BFD con función de detección rápida. Utilice esta tecnología en el dispositivo de respaldo para monitorear el estado del enrutador maestro. Una vez que el enrutador maestro falla, el respaldo puede cambiar automáticamente al nuevo enrutador maestro, reduciendo el tiempo de conmutación a milisegundos.

En los siguientes casos, BFD puede notificar a la placa de interfaz de la falla detectada, acelerando así el interruptor principal / de respaldo VRRP.

  • La interfaz incluida en el grupo de respaldo falla.

  • Master y Backup no están conectados directamente.

  • El maestro y el respaldo están conectados directamente, pero hay equipos de transmisión en el enlace intermedio.

BFD detecta la comunicación de la dirección real entre el respaldo y el maestro. Si la comunicación es anormal, el respaldo considera que el maestro no está disponible y actualiza al maestro. La copia de seguridad se convierte en maestro en los dos casos siguientes:

  • Cuando las conexiones directas entre los dos enrutadores están todas desconectadas, Backup toma la iniciativa de actualizar a Master para transportar tráfico ascendente.

  • Cuando el maestro se reinicia, o el enlace entre el maestro y el conmutador se desconecta, o el conmutador conectado al maestro se reinicia, la copia de seguridad se actualiza activamente al maestro y transporta tráfico ascendente.

Requisitos ambientales para la conmutación rápida VRRP:

  • En la copia de seguridad, la interfaz detectada por la sesión BFD debe estar conectada al dispositivo maestro.

  • Cuando el maestro no está disponible, la prioridad de la copia de seguridad aumenta y es mayor que la prioridad del maestro original, lo que le pide que cambie rápidamente al maestro.

Interruptor de ping de la dirección IP virtual

RFC3768 no especifica si se debe hacer ping a una dirección IP virtual. No hacer ping a la dirección IP virtual traerá algunos problemas a la supervisión del estado de funcionamiento del enrutador virtual. Hacer ping a la dirección IP virtual puede facilitar el control del estado de funcionamiento del enrutador virtual, pero traerá peligros ocultos que pueden ser atacados por ICMP. El usuario puede elegir si desea abrir el comando de cambio para controlar la dirección IP virtual de ping.

PD:
Inundación de ICMP (es decir, ataque de inundación de ICMP): cuando la gran cantidad de solicitudes de respuesta generadas por el ping de ICMP excede el límite máximo del sistema, el sistema consume todos los recursos para responder hasta que ya no puede manejar un flujo de información de red efectivo. Esto es la inundación de ICMP ataque. En pocas palabras, el atacante envía múltiples paquetes de solicitud ICMP Echo a la dirección de transmisión de una subred. Y disfrace la dirección de origen como la dirección del host de destino que desea atacar. Luego, todos los hosts de la subred responderán a este paquete de solicitud de eco ICMP y enviarán paquetes de datos al host de destino que está siendo atacado, de modo que este host será atacado y causará congestión en la red . El objetivo principal del ataque ICMP Flood es paralizar la red, que también es uno de los ataques de red más comunes y utilizados.

VGMP y mVRRP se explicarán en detalle en otras publicaciones del blog.

La diferencia entre HSRP y VRRP:

  • Los nombres son diferentes. HSRP está activo y en espera. VRRP es Master y Backup. Y HSRP solo puede tener un Activo y un Standby, y el resto están en estado de monitoreo. VRRP solo puede tener un maestro y el resto son copias de seguridad.

  • La dirección IP del enrutador virtual HSRP no puede entrar en conflicto con la dirección IP del enrutador real, pero VRRP sí. En VRRP, la dirección IP del enrutador virtual se puede establecer en la dirección IP del enrutador real. Debido a que la IP no es importante para el enrutador virtual, los datos reenviados finales se reenvían en función de la dirección Mac del enrutador virtual.

  • El tiempo de saludo de HSRP es de 3 segundos de forma predeterminada y el tiempo de retención es de 10 segundos. En VRRP, el paquete de saludo converge más rápido en 1 s, y el tiempo de espera es 3 s.

  • La dirección de multidifusión HSRP es 224.0.0.2. La dirección de multidifusión VRRP es 224.0.0.18

  • HSRP deshabilita la preferencia de forma predeterminada. VRRP habilita la preferencia de forma predeterminada.

  • HSRP puede rastrear el puerto directamente. VRRP no puede rastrear puertos directamente, pero puede rastrear objetos.

  • Tanto el activo como el en espera de HSRP envían paquetes de saludo. Solo el maestro envía paquetes de saludo en VRRP.

Supongo que te gusta

Origin blog.csdn.net/qq_40741808/article/details/106729043
Recomendado
Clasificación
Diario
Más
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)

Code World

© 2018 codetd.com