1.在功能上,vrrp和hsrp非常相似,但是就安全而言,vrrp對hsrp的乙個主要優勢:它允許參與vrrp組的裝置間建立認證機制.並且,不像hsrp那樣要求虛擬路由器不能是其中乙個路由器的ip位址,但是vrrp允許這種情況發生(如果」擁有」虛擬路由器位址的路由器被建立並且正在執行,那麼應該總是由這個虛擬路由器管理—等價於hsrp中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習mac位址,它指定使 用的mac位址00-00-5e-00-01-vrid,這裡的vrid是虛擬路由器的id(等價於乙個hsrp的組識別符號).
2.另外乙個不同是vrrp不使用hsrp中的政變或者乙個等價訊息,vrrp的狀態機比hsrp的要簡單,hsrp有6個狀態(初始(initial)狀態,學習(learn)狀態,監聽(listen)狀態,對話(speak)狀態,備份(standby)狀態,活動(active)狀態)和8個事件, vrrp只有3個狀態(初始狀態(initialize)、主狀態(master)、備份狀態(backup))和5個事件.
3. hsrp有三種報文,而且有三種狀態可以傳送報文 呼叫(hello)報文 告辭(resign)報文 突變(coup)報文
vrrp有一種報文
vrrp廣播報文:由主路由器定時發出來通告它的存在,使用這些報文可以檢測虛擬路由器各種引數,還可以用於主路由器的選舉。
4. hsrp將報文承載在udp報文上,而vrrp承載在tcp報文上(hsrp 使用udp 1985埠,向組播位址224.0.0.2 傳送hello訊息。)
5.vrrp的安全:vrrp協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 md5 hmac ip認證的強認證.
強認證方法使用ip認證頭(ah)協議.ah是與用在ipsec中相同的協議,ah為認證vrrp分組中的內容和分組頭提供了乙個方法. md5 hmac 的使用表明使用乙個共享的金鑰用於產生hash值.路由器傳送乙個vrrp分組產生md5 hash值,並將它置於要傳送的通告中,在接收時,接受方使用相同的金鑰和md5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個訊息就是真正來自於乙個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者通過訪問lan而發出能影響選擇過程的通告訊息或者其他一些方法中斷網路.
另外,vrrp包括乙個保護vrrp分組不會被另外乙個遠端網路新增內容的機制(設定ttl值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,hsrp在它的訊息中使用的ttl值是1.
HSRP和VRRP的配置
hsrp是思科的私有協議 hsrp的預設優先順序為100,路由器啟動後,根據優先順序決定誰可以成為活躍路由器,優先順序高的將勝出。如果路由器優先順序相同,再比較埠ip位址,ip位址大的成為活路躍路由器。hsrp配置規則 inte ce f0 x 進入物理介面或者svi介面 ip address x ...
HSRP的工作原理
在整個電力局企業網內,虛網之間的交換 三層交換 是通過7609路由交換機 多層交換特徵卡msfc2 和5500交換機 路由交換模組rsm 來實現的。兩台交換機通過cisco的熱備路由器協議 hsrp 可以實現路由裝置之間的冗餘,即三層交換的冗餘。hsrp協議是針對於ip協議,參與hsrp協議的路由裝...
HSRP協議簡介和配置 ielab
hsrp hot standby router protocol 熱備份路由器協議,設計目標是支援特定情況下 ip 流量失敗轉移不會引起混亂 並允許主機使用單路由器,以及即使在實際第一跳路由器使用失敗的情形下仍能維護路由器間的連通性。換句話說,當源主機不能動態知道第一跳路由器的 ip 位址時,hsr...