banner
bladedragon

bladedragon

首頁封存關於

VRRP入門

#ICT#安全30
AI 翻譯
這篇文章透過AI由簡體中文翻譯成繁體中文查看原文
AI 生成的摘要
VRRP(虚拟路由冗余协议)是一种解决局域网中配置静态网关出现单点失效现象的路由协议。它能够将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。VRRP有三种状态:初始状态、活动状态、备份状态。VRRP的报文是Advertisement报文,目的IP地址是224.0.0.18,目的MAC地址是01-00-5e-00-00-12,协议号是112。VRRP还有两种工作模式:主备备份和负载分担。负载分担是指多个VRRP备份组同时承担业务转发,解决流量分担不均的问题。此外,VGMP(VRRP Group Management Protocol)是一种用于实现防火墙的主备备份和故障自动迁移的协议。

背景#

隨著移動辦公、網上購物、即時通訊、互聯網金融、互聯網教育等業務蓬勃發展,網絡承載的業務越來越多,越來越重要。所以如何保證網絡的不間斷傳輸成為網絡發展過程中急需解決的一個問題。

對此,其中一種解決方案是,使用一套使用一套冗余備份機制,避免傳統組網引發的單點故障,以便在路由器出現故障的時候及時進行鏈路切換,保證業務平滑進行。

傳統解決方案

  1. 配備多台路由器解決單點故障
  2. 使用動態路由協議解決多網關衝突,實現鏈路回切

但是傳統方案依然存在幾個問題

  1. 一些動態路由協議使用廣播報文進行鏈路切換速度上比較緩慢
  2. 在許多情景下可能會不支持使用動態路由

於是,VRRP 應運而生。

VRRP 的基本概念#

VRRP

虛擬路由冗余協議 (Virtual Router Redundancy Protocol,簡稱 VRRP) 是由 IETF 提出的解決局域網中配置靜態網關出現單點失效現象的路由協議。

VRRP 能夠在不改變組網的情況下,將多台路由器虛擬成一個虛擬路由器,通過配置虛擬路由器的 IP 地址為默認網關,實現網關的備份

優勢#

採用 VRRP 的鏈路保護機制比依賴動態路由協議的廣播報文來進行鏈路切換的時間更短,同時彌補了不能使用動態路由情況下的鏈路保護。

名詞解釋#

image

  • VRRP 路由器:運行 VRRP 的設備,它可能屬於一個或多個虛擬路由器。
  • 虛擬路由器 (備份組): 同一個廣播域的一組路由器組織成一個虛擬路由器,備份組中的所有路由器一起,共同提供一個虛擬 IP 地址,作為內部網絡的網關地址。
  • 虛擬 IP 地址:虛擬路由器的 IP 地址,一個虛擬路由器可以有一個或多個 IP 地址,由用戶配置。
  • IP 地擁有者:如果一個 VRRP 路由器將虛擬路由器的 IP 地址作為真實的接口地址,則該設備是 IP 地址擁有者。
  • 虛擬 MAC 地址:是虛擬路由器根據虛擬路由器 ID 生成的 MAC 地址。 當虛擬路由器回應 ARP 請求時,使用虛擬 MAC 地址,而不是接口的真實 MAC 地址。
  • 主 IP 地址:從接口的真實 IP 地址中選出來的一個主用 IP 地址,通常選擇配置的第一個 IP 地址。
    VRRP 廣播報文使用主 IP 地址作為 IP 報文的源地址。
  • 主(Master)路由器:在同一個備份組中的多個路由器中,只有一台處於活動狀態,只有主路由器能轉發以虛擬 IP 地址作為下一跳的報文。
  • 備份(Backup)路由器:在同一個備份組中的多個路由器中,除主路由器外,其他路由器均為備份路由器,處於備份狀態。

狀態機

  • VRRP 有三種狀態:初始狀態、活動狀態、備份狀態。其狀態切換過程如下:

image

協議報文

vrrp 只有一種報文:Advertisement 報文;其目的 IP 地址是 224.0.0.18(組播地址),目的 MAC 地址是 01-00-5e-00-00-12,協議號是 112

下面介紹 vrrp 的兩種主要的工作模式:主備備份和負載分擔

VRRP 主備備份#

過程#

選舉 master#

選舉規則:1. 比較優先級 2. 優先級相同的時候,存在 master 則保持 master 狀態 3. 沒有 master 則比較接口 IP 地址,大的當選 master

備份組狀態維持#

  1. master 周期性發送 vrrp 通告報文給組內設備,從而通知自己處於正常狀態
  2. 主備切換 條件:1. master 主動放棄,發送優先級為 0 的通告報文 2. master 故障,等待 Master_Down_Interval 定時器超時,選舉產生 master。這個 切換時間叫 Skew_Time,計算方式(256-Backup 設備的優先級)/256(單位秒)
  3. Master_Down_Interval 定時器取值:3×Advertisement_Interval+Skew_Time(單位秒)。

主備回切#

  1. 如果原故障 master 路由器恢復,發現收到 RouterB 的 VRRP 報文中的優先級比自己低,RouterA 立即搶佔成為 Master。

    搶佔模式:

    • 默認高優先級 backup 路由器可以搶佔低優先級 master 路由器位置,但是如果 IP 地址擁有者是可用的,則它總是處於搶佔的狀態,並成為 Master 設備
    • 注意搶佔延遲,默認為 0,但是為了防止在網絡不穩定的情況下頻繁切換導致流量中斷,可以設置延遲時間稍長

  2. 注意:如果 VRRP 的上行鏈路故障,由於主備通告正常,將無法引起主備切換

    解決方法:利用 VRRP 的聯動功能監視上行接口或鏈路故障,主動進行主備切換。

image

VRRP 負載分擔#

  • 負載分擔是指多個 VRRP 備份組同時承擔業務轉發,從而解決流量分擔不均,master 負擔過重的情況
  • 負載分擔方式需要建立多個 VRRP 備份組,各備份組的 Master 設備分擔在不同設備上;單台設備可以加入多個備份組,在不同的備份組中扮演不同的角色。

image

VGMP 簡介#

VRRP 雖然可以解決單點故障,實現主備備份,但是在配置防火牆的時候,由於防火牆功能的特殊性,在對其進行主備備份時,傳統 VRRP 方式無法實現主、備用防火牆狀態的一致性。無法實現 VRRP 狀態一致性以及會話表狀態的備份

此時,我們需要引入VGMP(VRRP Group Management Protocol)

VGMP 提出 VRRP 管理組的概念,將同一台防火牆上的多個 VRRP 備份組都加入到一個 VRRP 管理組,由管理組統一管理所有 VRRP 備份組。通過統一控制各 VRRP 備份組狀態的切換,來保證管理組內的所有 VRRP 備份組狀態都是一致的。

基本原理#

  • 當防火牆上的 VGMP 為 Active/Standby 狀態時,組內所有 VRRP 備份組的狀態統一為 Active/Standby 狀態。
  • 狀態為 Active 的 VGMP 也會定期向對端發送 HELLO 報文,通知 Standby 端本身的運行狀態(包括優先級、VRRP 成員狀態等)
  • VGMP HELLO 報文發送周期缺省為 1 秒。當 Standby 端三個 HELLO 報文周期沒有收到對端發送的 HELLO 報
  • 文時,會認為對端出現故障,從而將自己切換到 Active 狀態。

image

VGMP 管理機制#

狀態一致性管理

VGMP 管理組控制所有的 VRRP 備份組統一切換。

搶佔管理

當原來出現故障的主設備故障恢復時,其優先級也會恢復,此時可以重新將自己的狀態搶佔為主。

用 VGMP 實現防火牆的備份以及故障自動遷移從而保證業務連續性的方法也屬於防火牆的雙機熱備技術的一部分,因為篇幅有限,這裡不再展開。

小結#

今天我們從現實一個問題作為切入點,簡單介紹了利用 VRRP 做路由冗余備份,同時針對防火牆的特性,引申出 VGMP 的概念,也算是揭開了防火牆神秘面紗的一角。網絡安全越來越成為我們生活中不可忽視的一部分,對於安全方面知識,下次有機會我們再繼續講述吧。

載入中......
此文章數據所有權由區塊鏈加密技術和智能合約保障僅歸創作者所有。