配置原理:
在这个配置中,在主设备R1起作用时,链路出外网的网关都指向R1.但当ros R1 失效后,ros R2 接管设备R1的作用,成为新的网关,开始出理以前Ros R1 所处理的数据包。在Ros R1功能恢复正常时,Ros R2 取代Ros R1 作网关。
配置方案:
Ros R1的配置:
1,在R1的接口添加vrrp 的端口,命名为vrrp1,设置vrid 为49,优先级为254.
为ros r1 配置IP。指定vrrp的虚拟网关,接口指向为vrrp1。
Ros R2 配置方法:
在相应的接口添加vrrp ,,命名为vrid 为49
为ros r2 配置IP,在端口ether1上添加IP.vrrp1上添加虚拟IP:192.168.93.203
检测:
配置一台PC。
PC:IP为:192.168.93.204 ? ? ? ? ? ?网关:192.168.93.203
在ros r2上ping pc 机,查看arp 表
总结: 从ros r1 和ros r2 的vrrp interface 中可以看到,通过vrrp虚拟出来的接口IP 和mac 是相同的. 通过在pc上ping网关,和抓到的mac, 检测到虚拟网关工作正常.
公共模块 —谢婷 2014年4月802.11无线网络
摘要802.11概述 拓扑结构 Mac层 安全
概述 802.11 是IEEE家族的一员, 也是LAN的标准之一. 802.11 和Ethernet (802.3)标准相似, 有时候被称作无线以太网“wireless Ethernet”. 也因此802.11经常用来称作Wireless LANs (WLANs) Wi-Fi是一个无线网络通信技术的品牌,由Wi-Fi联盟所持有,使用在符合IEEE802.11标准的产品上,目的是改善基于IEEE802.11标准的网线产品之间的互通性。
概述-802.11层次模型 LLC子层 Mac 层 802.11标准范畴 物理层 802.11 规定了三种物理层标准 频率跳变扩展频谱(FHSS)PHY规范 直接序列扩展频谱(DSSS)PHY规范 红外线(IR)PHY规范
概述-802.11协议 IEEE 802.11是一个协议簇,主要包含以下规范 ?物理层规范:802.11a ,802.11b ,802.11g ,802.11n ?Mac 层规范:802.11i ,802.11r ,802.11h 等?高层协议规范:802.11f ,802.11p ,802.11s 等 物理层 Mac 层网络层以上IEEE 802.11a IEEE 802.11b IEEE 802.11g IEEE 802.11n IEEE 802.11d IEEE 802.11e IEEE 802.11h IEEE 802.11i IEEE 802.11j IEEE 802.11k IEEE 802.11c IEEE 802.11F
题目:《VRRP虚拟路由器冗余协议应用实例及工作原理》 部门:研华IAG FAE 作者:李子龙 时间:2011年4月 VRRP虚拟路由器冗余协议应用实例及工作原理 一、VRRP协议简介 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在IP 包中发送。 使用VRRP ,可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器。虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟IP 地址就会映射到一个备份路由器的IP 地址(这个备份路由器就成为了主路由器)。VRRP 也可用于负载均衡。VRRP 是IPv4 和IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 2338。
OSPF 学习笔记 OSPF 协议号是89,也就是说在ip 包的protocol 中是89,用ip 包来传送 数据包格式: 在OSPF 路由协议的数据包中,其数据包头长为24 个字节,包含如下8 个字段: * Version number-定义所采用的OSPF 路由协议的版本。 * Type-定义OSPF 数据包类型。OSPF 数据包共有五种: * Hello-用于建立和维护相邻的两个OSPF 路由器的关系,该数据包是周期性地发送的。 * Database Description-用于描述整个数据库,该数据包仅在OSPF 初始化时发送。 * Link state request-用于向相邻的OSPF 路由器请求部分或全部的数据,这种数据包是在当 路由器发现其数据已经过期时才发送的。 * Link state update-这是对link state 请求数据包的响应,即通常所说的LSA 数据包。 * Link state acknowledgment-是对LSA 数据包的响应。 * Packet length-定义整个数据包的长度。 * Router ID-用于描述数据包的源地址,以IP 地址来表示,32bit * Area ID-用于区分OSPF 数据包属于的区域号,所有的OSPF 数据包都属于一个特定 的OSPF 区域。 * Checksum-校验位,用于标记数据包在传递时有无误码。 * Authentication type-定义OSPF 验证类型。 * Authentication-包含OSPF 验证信息,长为8 个字节。 FDDI 或快速以太网的Cost 为1,2M 串行链路的Cost 为48,10M 以太网的Cost 为10 等。 所有路由器会通过一种被称为刷新(Flooding)的方法来交换链路状态数据。Flooding 是指路由器将其LSA 数据包传送给所有与其相邻的OSPF 路由器,相邻路由器根据其接收到的链路状态信息 更新自己的数据库,并将该链路状态信息转送给与其相邻的路由器,直至稳定的一个过程。当路由 器有了一个完整的链路状态数据库时,它就准备好要创建它的路由表以便能够转发数据流。CISCO 路由器上缺省的开销度量是基于网络介质的带宽。要计算到达目的地的最低开销,链路状态型路由选择协议(比如OSPF)采用Dijkstra 算法,OSPF 路由表中最多保存 6 条等开销路由条目以进行负 载均衡,可以通过"maximum-paths" 进行配置。如果链路上出现fapping 翻转,就会使路由器不停 的计算一个新的路由表,就可能导致路由器不能收敛。路由器要重新计算客观存它的路由表之前先 等一段落时间,缺省值为 5 秒。在CISCO 配置命令中"timers spf spf-delay spy-holdtime" 可以对两次连续SPF 计算之间的最短时间(缺省值10 秒)进配置。 路由器初始化时Hello 包是用224.0.0.5 广播给域内所有OSPF 路由器,选出DR 后在用224.0.0.6 和DR,BDR 建立邻接。DR 用224.0.0.5 广播给DRother LSA BDR 也是 DRother 用224.0.0.6 广播LSA 给DR 和BDR DR 是在一个以太网段内选举出来的,如果一个路由器有多个以太网段那么将会有多个 DR 选举;DR 的选择是通过OSPF 的Hello 数据包来完成的,在OSPF 路由协议初始化的过程中,会通过Hello 数据包在一个广播性网段上选出一个ID 最大的路由器作为指定
冗余通讯接口设计思考 1数据下行 RGL网关作为ModbusTCP服务器,而DCS作为ModbusTCP客户端。两个FDSI模块(无论其主从状态)均向RGL网关写入数据,以保证两个RGL网关数据的一致性。在最初建立连接时,FDSI模块需将所有数据写入RGL网关,其后既可定期将所有数据刷新,也能够仅在数据发生变化时传输新的数据。为了对网关的主从状态实行监管,设置了两个主从标签变量:RGL997SY:RGL网关1的主从状态;RGL998SY:RGL网关2的主从状态;与其他数据一样,这两个数据在建立通讯之初必须由FDSI写入RGL网关,其后则既可定期传输,也可在数据发生变化时实行数据传输。FDSI发出的上述两个变量应遵守下述准则:RGL997SY 为1而RGL998SY为0,该组合表示RGL网关1和FDSI1处于主工作状态而RGL网关2和FDSI2处于热备用工作状态(从状态)。该组合下,RGL机架将采纳由FDSI1传输到RGL网关1的相关数据。RGL997SY为0而RGL998SY为1,该组合表示RGL网关2和FDSI2处于主工作状态而RGL网关1和FDSI1处于从工作状态。该组合下,RGL机架将采纳由FDSI2传输到RGL网关2的相关数据。RGL网关不实行数据的写操作,除非RGL网关与FDSI之间的通讯中断或RGL网关无法从FDSI模块读取数据的时间超过3秒。在上述两种情况下,RGL网关将对主从标签变量实行复位,其他数据维持不变,即保持中断数据通讯前的数据。如果两个主从标签变量均为1或均为0,RGL机架将使用最后一个由0转变为1的主从标签变量所对应的RGL网关的数据。RGL网关定期(100毫秒)读取ModbusTCP数据库中的数据,所以RGL网关的时间延迟不超过200毫秒。RGL网关对其内部故障实时监测,如果某个RGL网关探测到出现内部故障,将停止与FDSI模块和RGL机架的数据通讯(既不发出数据,也不接收数据)。RGL机架实时发送距上次数据传输的计时信号到RGL网关,若相关计时信号超过3秒,则RGL网关认为与RGL机架之间的通讯出现故障,RGL网关将停止接收FDSI模块传输的数据。
常用动态路由协议安全性分析及应用 【摘要】路由器寻找的最佳路径是路由协议,它能保持各个路由器间的路由表相同,实现各个路由器间的相互连通,且在网络间传递数据包。可见,动态路由协议是借助路由器间的信息传递,计算、更新网络结构。但在此过程中,存在一定弊端影响常用动态路由器安全性。现就BGP、OSFP 和RIP V2三种常用的动态路由协议安全性进行分析,并总结其应用。 【关键词】动态路由安全性应用 连接网络的重要硬件设备,是路由器,它可以实现数据包的传递。而动态路由协议指的是路由器表的更新过程,它能够满足网络结构变化的需求。常用的动态路由分为三种,分别为BGP协议、OSPF协议和RIP V2协议。如果在数据包传递过程中,协议出现漏洞,那么容易被人利用,给网络安全造成严重影响。所以,分析常用动态路由协议安全性显得尤为重要。 一、常用动态路由协议安全性分析 1.1 BGP协议安全性 多个相互连接的商业网络共同组成了Internet。各个ISP或企业网络,需要定义一个自治系统号,即ASN,它们
的分配由IANA完成[1]。自治系统号共有65535个,其中私用保留的为65512―65535。路由信息在共享状态下,此号码的维护方式可以采取层的方式。BGP采用会话管理,其中TCP 的179端口可起到触发作用,使Keepalive和update信息被触发,且累及其邻居,从而更新和传播BGP路由表。 然而,因BGP的传输方式以TCP为主,那么容易导致BGP 出现关于TCP的诸多问题,例如拒绝服务攻击,预测序列号,SYN Flood攻击等。BGP主要是利用TCP的序列号,未使用自身的序列号。所以,一旦设备应用可预测序列号,就容易受到该类型攻击。在Internet中运行的大部分路由器都采用了Cisco设备,没有采用预测序列号方案,这就降低了受到攻击的风险。一些BGP在默认状态下,未采用相关的认证机制,有些BGP继续沿用明文密码,这样,大大增加了受到攻击的可能性。 实际应用BGP协议时,还会受到伪造报文攻击等其他攻击。但通常情况下,BGP主要在核心网的出口应用,且配置密码认证,因此,BGP协议的安全性相对较高。 1.2 OSPF协议安全性 复杂是OSPF运行机制的主要特征,运行中的诸多环节都有可能受到攻击者的攻击,给OSPF带来不同程度伤害。攻击方式分为以下几种。一是资源消耗攻击。将不同类型的OSPF报文不间断大量发送,这样极易导致攻击实体资源枯
如何使用热备份路由器协议确保冗余 如果路由器出现故障而导致企业无法接入互联网会发生什么?这就是为什么需要在网络中提供冗余的重要性。下面我们将教你如何使用热备份路由器协议确保冗余。 如果路由器出现故障而导致企业无法接入互联网会发生什么?企业可以接受吗?或许可暂时逃脱处罚,但是你需要制定一个更好的计划,而不仅仅是简单的桌面呼叫支持。 这就是为什么需要在网络中提供冗余的重要性。考虑为当前路由器增加一个可以立即接管的备份路由器。企业需要的只是硬件,cisco软件会完成其他事情。让我们考察如何利用热备份路由器协议(hsrp)配置它。 什么是hsrp? hsrp是cisco对冗余的私有协议。它提供几乎100%的路由器可用性和冗余。所以,如果某台路由器发生故障,备份路由器会接管主路由器的路由功能。 然而,cisco还支持其他可用的行业协议。一个行业标准是虚拟路由器冗余协议(vrrp)。另一个hsrp的可替换选择是网关负载平衡协议(glbp ),这是cisco的另一个私有解决方案。 样例网络 在我们讨论如何配置hsrp之前,让我们关注一下例子中使用的网络。为了帮助你更好的理解hsrp是如何工作的,这里是一个基本的网络图表:
在我们的样例网络中,我们配置pc的缺省网关为ip地址10.1.1.3.然而,这个ip地址没有指向一个真实的设备;相反,它作为主路由器的虚拟ip地址。 hsrp如何工作? 在使用hsrp的时候,路由器既可以是主的也可以是备用的。如果主路由器在一段时间内没有向备用路由器发送hello数据包,备用路由器假定主路由器已关闭,从而进行接管。然后备用路由器假定对虚拟ip地址负责,并开始对虚拟ip地址指向的虚拟以太网mac地址响应。 主和备用路由器交换hsrp hello包,所以相互知道对方在哪儿。这些hello包使用多播224.0.0.2和udp端口1985.hsrp的最基本形式从ios 10.0 开始可用,但是在ios 11和12版本中有更新的特性发布。 什么决定活动路由器?首先,你可以配置一个优先数来决定它,然后它是由最高的ip地址决定。缺省优先数是100;一个更高的优先数表示优先路由器。 当然,在建立路由器冗余的时候,并不限制于仅仅两台路由器。实际上,可以建立一起工作的路由器组并且拥有多个备用路由器。 如何配置hsrp? 你可以在路由器的接口配置模式使用standby命令完成几乎所有hsrp配置。让我们考虑在配置图表中显示的网络所采用的步骤。
OSPF各种类型详解 一、OSPF数据包类型 1.Hello包:用于建立和维护相邻的两个OSPF路由器的邻接关系,该数据包是周期性地发送的。 2.Database Description(数据库描述包DBD):用于描述整个数据库,该数据包仅在OSPF初始化时发送。 3.Link state request(链路状态请求包LSQ):用于向相邻的OSPF路由器请求部分或全部的数据,这种数据包是在当路由器发现其数据已经过期时才发送的。 4.Link state update(链路状态更新包LSU):这是对link state请求数据包的响应,即通常所说的LSA数据包。 5.Link state acknowledgment(链路状态确认包LSAck):是对LSA数据包的确认,以确保可靠地传输和信息交换。 二、OSPF网络类型 OSPF链路类型有3种:点到点,广播型,NBMA。在3种链路类型上扩展出5种网络类型:点到点,广播,NBMA,点到多点,虚链路。其中虚链路较为特殊,不针对具体链路,而NBMA链路对应NBMA和点到多点两种网络类型。 以上是RFC的定义,在Cisco路由器的实现上,我们应记为3种链路类型扩展出8种网络类型,其中NBMA链路就对应5种,即在RFC的定义基础上又增加了3种类型。首先分析一下3种链路类型的特点: 1. 点到点:一个网络里仅有2个接口,使用HDLC或PPP封装,不需寻址,地址字段固定为FF; 2. 广播型:广播型多路访问,目前而言指的就是以太网链路,涉及IP 和Mac,用ARP 实现二层和三层映射; 3. NBMA:网络中允许存在多台Router,物理上链路共享,通过二层虚链路(VC)建立逻辑上的连接。
默认网关冗余协议 HSRRP VRRP GLBP HSRRP HSRRP:Hot standby routing protocol 热备用路由选择协议 有活跃路由器和备用路由器以及虚拟路由器,活跃路由器和备用路由器两者之间通过HELLO数据包来传输消息,默认时间为3s ,holddown time 为10 秒。Hsrrp的默认优先级为100。如果在非抢占(preempt)的情况下首先初始化的为活跃路由器。备用路由器时监控活跃路由器在其down的状态下实现迅速的切换。虚拟路由器让主机始终拥有可用的路由器。 HSSRP定义了六种状态:
并非所有的路由器经历上面的所有状态。 虚拟路由器的MAC地址为比如:00000c07ac2f 00000c为厂商标记 07ac为HSRRP周知标记 21为组标记
配置需求: 通过修改权值使R1的活跃路由器为SW4,备用为sw1,R2的活跃路由器为SW1备用为SW3。实现vlan间的负载均衡。 修改hello time 4秒和holddown time 为12秒。 做MD5认证。 开启活跃路由器的抢占。 配置: Sw1 interface FastEthernet0/23 no switchport ip address 12.1.1.1 255.255.255.0 ! interface Vlan30 ip address 192.168.1.251 255.255.255.0 standby timers 4 12(设置hello 和holddown时间为4 和11秒) standby 100 ip 192.168.1.250 (设置vlan30虚拟路由器的IP为192.168.1.250) standby 100 preempt (对组100开启抢占) standby 100 authentication md5 key-string zhang (HSSRP的MD5认证)
网络基础IPv6路由协议及安全 IPV6的概念现在已并不陌生。面对这个新的网络命令者,与前一个主宰者IPV4的不同,具体体现在哪里呢?下面就对IPV6路由协议在安全问题上,从以下三个方面做一个深入的研究。 1.协议安全 在协议安全层面上,IPV6路由协议全面支持认证头(AH)认证和封装安全有效负荷(ESP)信息安全封装扩展头。AH认证支持hmac_md5_96、hmac_sha_1_96认证加密算法,ESP封装支持DES_CBC、3DES_CBC以及Null等三种算法。 2.网络安全 IPv6路由协议的网络安全包括以下4个方面,详细介绍如下: ●端到端的安全保证。在两端主机上对报文进行IPSec封装,中间路由器实现对有IPSec扩展头的 IPV6报文进行透传,从而实现端到端的安全。 ●对内部网络的保密。当内部主机与因特网上其他主机进行通信时,为了保证内部网络的安全,可 以通过配置的IPSec网关实现。因为IPSec作为IPV6路由协议的扩展报头不能被中间路由器而 只能被目的节点解析处理,因此IPSec网关可以通过IPSec隧道的方式实现,也可以通过IPV6 路由协议扩展头中提供的路由头和逐跳选项头结合应用层网关技术来实现。后者的实现方式更加 灵活,有利于提供完善的内部网络安全,但是比较复杂。 ●通过安全隧道构建安全的VPN。此处的VPN是通过IPV6路由协议的IPSec隧道实现的。在路 由器之间建立IPSec的安全隧道,构成安全的VPN是最常用的安全网络组建方式。IPSec网关的 路由器实际上就是IPSec隧道的终点和起点,为了满足转发性能的要求,该路由器需要专用的加 密板卡。 ●通过隧道嵌套实现网络安全。通过隧道嵌套的方式可以获得多重的安全保护。当配置了IPSec的 主机通过安全隧道接入到配置了IPSee网关的路由器,并且该路由器作为外部隧道的终结点将外 部隧道封装剥除时,嵌套的内部安全隧道就构成了对内部网络的安全隔离。 3.其他安全保障 IPV6路由协议的IPSec为网络数据和信息内容的有效性、一致性以及完整性提供了保证,但是数据网络的安全威胁是多层面的,它们分布在物理层、数据链路层、网络层、传输层和应用层等各个部分。 对于物理层的安全隐患,可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。 对于物理层以上层面的安全隐患,可以采用以下防护手段:通过诸如AAA、TACACS+、RADIUS等安全访问控制协议控制用户对网络的访问权限来防止针对应用层的攻击;通过MAC地址和IP地址绑定、限制每端口的MAC地址使用数量、设立每端口广播包流量门限、使用基于端口和VLAN的ACL、建立安全用户隧道等来防范针对二层网络的攻击;通过进行路由过滤、对路由信息的加密和认证、定向组播控制、提高路由收敛速度、减轻路由振荡的影响等措施来加强三层网络的安全性。 路由器和交换机对IPSec的完善支持保证了网络数据和信息内容的有效性、一致性以及完整性,并且为网络安全提供了诸多解决办法。
网关冗余技术(HSRP、VRRP、GLBP)Sniffer 网关冗余技术是大型网络中不可缺少的技术,当网络足够大的时候,我们要考虑的不光是网络本身的性能问题,冗余技术也是必不可少的。 通过这个实验详细说明HSRP、VRRP、GLBP的配置以及它们的区别,并最后用sniffer 分析一下包结构。 网络拓朴: 实验任务:
分别用HSRP、VRRP、glbp实现网关冗余 Sniffer分析三种协议包结构 环境描述: 3台Cisco3640 + NE-4E模块,该配置拥有4个Ethernet 1台Cisco3640+NE-16ESW R3 Lo1、lo2、lo3、sniffer pc用来测试 地址分配: 设备名称接口IP地址描述 R1E0/0192.168.1.1/24TO SW-F0/0 E0/1192.168.1.1/24TO R3-E0/1 R2E0/0192.168.1.2/24TO SW-F0/1 E0/1192.168.3.2/24TO R3-E0/2 R3E0/1192.168.2.1/24TO R1-E0/1 E0/2192.168.3.1/24TO R2-E0/1 SW F0/0-TO R1-E0/0 F0/1-TO R2-E0/0 F0/10-TO Sniffer SNiffer NIC192.168.20.20/24TO SW-F0/10 详细配置: 1、IP地址设置 R1 (config) #int e0/0 R1 (config-if) #ip add 192.168.1.1255.255.255.0 R1 (config-if) #no sh
虚拟路由冗余协议Virtual Router Redundancy Protocol (VRRP) 概要: 虚拟路由冗余协议Virtual Router Redundancy Protocol (VRRP) ,VRRP 协议是保证访问一些资源不会中断,即通过多台路由器组成一个网关集合,如果其中一台路由器出现故障,会自动启用另外一台。两个或多个路由器建立起一个动态的虚拟集合,每一个路由器都可以参与处理数据,这个集合最大不能超过255 个虚拟路由器( 可参考虚拟路由协议) 。一般现在的路由器都支持该协议。 规格 需要功能包: system 软件等级: Level1 操作路径: /ip vrrp 相关协议和标准: VRRP , AH , HMAC-MD5-96 within ESP and AH 属性 虚拟路由冗余协议是一种为路由提供高效率的路由选择协议。一个或多个IP 地址可以分配到一个虚拟路 由上,一个虚拟路由节点应该具备以下状态: ?MASTER 状态, 一个节点回答所有的请求给相应请求的IP 地址。仅只有一个MASTER 路由器在虚拟路由中。每隔一段时间这个主节点发出VRRP 广播包给所有backup 路由器。?BACKUP 状态, VRRP 路由器监视Master 路由器的状态。它不会回答任何来至相应IP 地址的请求,当MASTER 路由器无法工作时(假设至少三次VRRP 数据连接丢失),选择过程发生,新的 MASTER 会根据优先级产生。 VRRP Routers 操作路径: /ip vrrp 属性描述 name ( 名称) – VRRP 名称 interface ( 名称) –选择那个接口(interface )在VRRP 上运行。 vrid ( 整型: 0-255; 默认: 1 ) –虚拟路由的身份号( 必须是在接口(interface )上是唯一的) priority ( 整型: 1-255; 默认: 100 ) –当前节点的优先级( 高的数值代表高的优先级) interval ( 整型: 1-255; 默认: 1 ) – VRRP 更新间隔秒数。定义MASTER 经过多少时间未向VRRP 集 合节点发出广播数据。 preemption-mode (yes | no; 默认: yes ) –是否启用优先模式。 no –一个backup 节点在当前的master 失效之前,是不会选择master ,即使该backup 的优先高于 当前master 的级别 yes –该节点总是拥有最高优先级。 authentication (none | simple | ah; 默认: none ) –使用VRRP 的广播数据包的验证方法 none –没有验证 simple –纯文本的验证 ah –验证标题使用HMAC-MD5-96 算法 password ( 文本; 默认: "" ) –需要验证时的密码,不使用验证时可以被忽略。8 位字符长文本字符串(为纯文本验证方式);16 位字符长文本字符串(为需要128 位key 的AH 验证)on-backup ( 名称; 默认: "" ) –当节点为backup 状态时执行的脚步 on-master ( 名称; 默认: "" ) - 当节点为master 状态时执行的脚步 注: 所有同一个集合的节点,必须使相同的vrid , interval , preemption-mode , authentication 和password . 第255 的优先级被保留为真正的虚拟路由的主机IP 地址。 添加一个VRRP 事例在ether1 的接口上,一个虚拟路由的vrid 设置为 1 ,因为是虚拟路由的主机,
网关冗余和负载均衡VRRP 一、交换机SW1(R6)交换机SW2(R4)配置 R6>enable R6#conf t R6(config)#hostname SW1 SW1 (config)#int fa0/0 SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1 (config)#int fa0/1 SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1 (config)#int fa0/2
SW1 (config-if)#no shutdown SW1 (config-if)#exit SW1#vlan database SW1 (vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW1 (vlan)#exit SW1#conf t SW1 (config)#int range fa0/0 - 2 SW1 (config-if-range)#switchport access vlan 2 SW1 (config-if-range)#exit SW1 (config-if-range)#exit SW1(config)#int vlan 2 SW1(config-if)#ip add 192.168.13.2 255.255.255.0 SW1(config-if)#no shutdown SW1(config-if)#exit SW1(config)#exit SW1# R4>enable R4#conf t R4(config)#host SW2 SW2(config)#int fa0/1 SW2(config-if)#no shutdown SW2(config-if)#exit SW2(config)#int f0/0 SW2(config-if)#no shutdown SW2(config-if)#exit SW2(config)#exit SW2#vlan database SW2(vlan)#vlan 2 VLAN 2 added: Name: VLAN0002 SW2(vlan)#exit SW2#conf t SW2(config)#int range fa0/0 - 1 SW2(config-if-range)#switchport access vlan 2 SW2(config-if-range)#end SW2# 二、配置PC1(R7)PC2(R5) R7>enable R7#conf t
VRRP协议介绍 参考资料: RFC 3768 1. 前言 VRRP(Virtual Router Redundancy Protocol)协议是用于实现路由器冗余的协议,最新协议在RFC3768中定义,原来的定义RFC2338被废除,新协议相对还简化了一些功能。 2. 协议说明 2.1 协议 VRRP协议是为消除在静态缺省路由环境下的缺省路由器单点故障引起的网络失效而设计的主备模式的协议,使得在发生故障而进行设备功能切换时可以不影响内外数据通信,不需要再修改内部网络的网络参数。VRRP协议需要具有IP地址备份,优先路由选择,减少不必要的路由器间通信等功能。 VRRP协议将两台或多台路由器设备虚拟成一个设备,对外提供虚拟路由器IP(一个或多个),而
在路由器组内部,如果实际拥有这个对外IP的路由器如果工作正常的话就是MASTER,或者是通过算法选举产生,MASTER实现针对虚拟路由器IP的各种网络功能,如ARP请求,ICMP,以及数据的转发等;其他设备不拥有该IP,状态是BACKUP,除了接收MASTER的VRRP状态通告信息外,不执行对外的网络功能。当主机失效时,BACKUP将接管原先MASTER的网络功能。 配置VRRP协议时需要配置每个路由器的虚拟路由器ID(VRID)和优先权值,使用VRID将路由器进行分组,具有相同VRID值的路由器为同一个组,VRID是一个0~255的正整数;同一组中的路由器通过使用优先权值来选举MASTER,优先权大者为MASTER,优先权也是一个0~255的正整数。 VRRP协议使用多播数据来传输VRRP数据,VRRP数据使用特殊的虚拟源MAC地址发送数据而不是自身网卡的MAC地址,VRRP运行时只有MASTER路由器定时发送VRRP通告信息,表示MASTER工作正常以及虚拟路由器IP(组),BACKUP只接收VRRP数据,不发送数据,如果一定时间内没有接收到MASTER的通告信息,各BACKUP将宣告自己成为MASTER,发送通告信息,重新进行MASTER选举状态。 2.2 MASTER选举 如果对外的虚拟路由器IP就是路由器本身配置的IP地址的话,该路由器始终都是MASTER;否则如果不具备虚拟IP的话,将进行MASTER选举,各路由器都宣告自己是MASTER,发送VRRP通告信息; 如果收到其他机器的发来的通告信息的优先级比自己高,将转回BACKUP状态;
虚拟路由器冗余协议 (VRRP:Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(VRRP)是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP 包封装在IP 包中发送。 使用VRRP ,可以通过手动或DHCP 设定一个虚拟IP 地址作为默认路由器。虚拟IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟IP 地址就会映射到一个备份路由器的IP 地址(这个备份路由器就成为了主路由器)。VRRP 也可用于负载均衡。VRRP 是IPv4 和IPv6 的一部分。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协 议。通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1), 这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器 RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段 内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。 VRRP 就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以 太网)设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路 由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个 虚拟路由器,称之为一个备份组。 这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的 某个路由器的接口地址相同),备份组内的路由器也有自己的IP 地址(如Master 的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅 仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的 IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省 路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机 就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏 掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内 的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。 关于VRRP 协议的详细信息,可以参考RFC 2338。
网络设备及链路冗余部署 ——基于锐捷设备 8.1 冗余技术简介 随着Internet的发展,大型园区网络从简单的信息承载平台转变成一个公共服务提供平台。作为终端用户,希望能时时刻刻保持与网络的联系,因此健壮,高效和可靠成为园区网发展的重要目标,而要保证网络的可靠性,就需要使用到冗余技术。高冗余网络要给我们带来的体验,就是在网络设备、链路发生中断或者变化的时候,用户几乎感觉不到。 为了达成这一目标,需要在园区网的各个环节上实施冗余,包括网络设备,链路和广域网出口,用户侧等等。大型园区网的冗余部署也包含了全部的三个环节,分别是:设备级冗余,链路级冗余和网关级冗余。本章将对这三种冗余技术的基本原理和实现进行详细的说明。 8.2设备级冗余技术 设备级的冗余技术分为电源冗余和管理板卡冗余,由于设备成本上的限制,这两种技术都被应用在中高端产品上。 在锐捷网络系列产品中,S49系列,S65系列和S68系列产品能够实现电源冗余,管理板卡冗余能够在S65系列和S68系列产品上实现。下面将以S68系列产品为例为大家介绍设备级冗余技术的应用。 8.2.1S6806E交换机的电源冗余技术 图8-1 S6806E的电源冗余 如图8-1所示,锐捷S6806E内置了两个电源插槽,通过插入不同模块,可以实现两路AC电源或者两路DC电源的接入,实现设备电源的1+1备份。工程中最常见配置情况是同
时插入两块P6800-AC模块来实现220v交流电源的1+1备份。 电源模块的冗余备份实施后,在主电源供电中断时,备用电源将继续为设备供电,不会造成业务的中断。 注意:在实施电源的1+1冗余时,请使用两块相同型号的电源模块来实现。如果一块是交流电源模块P6800-AC,另一块是直流电源模块P6800-DC的话,将有可能造成交换机损坏。 8.2.2 S6806E交换机的管理板卡冗余技术 图8-2 S6806E的管理卡冗余 如图8-2所示,锐捷S6806E提供了两个管理卡插槽,M6806-CM为RG-S6806E的主管理模块。承担着系统交换、系统状态的控制、路由的管理、用户接入的控制和管理、网络维护等功能。管理模块插在机箱母板插框中间的第M1,M2槽位中,支持主备冗余,实现热备份,同时支持热插拔。 简单来说管理卡冗余也就是在交换机运行过程中,如果主管理板出现异常不能正常工作,交换机将自动切换到从管理板工作,同时不丢失用户的相应配置,从而保证网络能够正常运行,实现冗余功能。 在实际工程中使用双管理卡的设备都是自动选择主管理卡的,先被插入设备中将会成为主管理卡,后插入的板卡自动处于冗余状态,但是也可以通过命令来选择哪块板卡成为主管理卡。具体配置如下 注意:在交换机运行过程中,如果用户进行了某些配置后执行主管理卡的切换,一定要记得保存配置,否则会造成用户配置丢失 在实际项目中,S65和S68系列的高端交换机一般都处于网络的核心或区域核心位置,承
VRRP是一种选择协议,它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。[1] 一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP 地址可以作为终端主机的默认第一跳路由器。是一种LAN接入设备备份协议。一个局域网络内的所有主机都设置缺省网关,这样主机发出的目的地址不在本网段的报文将被通过缺省网关发往三层交换机,从而实现了主机和外部网络的通信。 VRRP是一种路由容错协议,也可以叫做备份路由协议。一个局域网络内的所有主机都设置缺省路由,当网内主机发出的目的地址不在本网段时,报文将被通过缺省路由发往外部路由器,从而实现了主机与外部网络的通信。当缺省路由器down掉(即端口关闭)之后,内部主机将无法与外部通信,如果路由器设置了VRRP时,那么这时,虚拟路由将启用备份路由器,从而实现全网通信。 VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协 议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP 就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:以太网)设计。 VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同,相同的则称为ip 拥有者),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3。[1] 它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。[2] 工作原理 VRRP的工作过程如下: 1. 路由器开启VRRP功能后,会根据优先级确定自己在备份组中的角色。优先级高的路由器成为主用路由器,优先级低的成为备用路由器。主用路由器定期发送VRRP通告报文,通知备份组内的其他路由器自己工作正常;备用路由器则启动定时器等待通告报文的到来。 2.
题目常用动态路由协议安全性分析 声明 本人郑重声明:所呈交的毕业论文,是本人在指导教师的指导下,独立进行研究所取得的成果。除文中已经注明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的科研成果,也不包含为获得其他教育机构的学位或证书而使用过的材料。我承诺,论文中的所有内容均真实、可信。本论文的成果属于云南警官学院所有。 论文(设计)作者签名:李世悦
2016年6 月15 日
目录 第一章前言 (4) 第二章路由器 (5) 2.1路由器的概念.............................. 错误!未定义书签。 2.2路由器的作用和功能......................... 错误!未定义书签。第三章动态路由概述 ............................ 错误!未定义书签。第四章RIP OSPF BGP-4三个协议的使用情况....... 错误!未定义书签。 4.1路由信息协议RIP........................... 错误!未定义书签。 4.2OSPF协议.................................. 错误!未定义书签。 4.3BGP-4协议................................. 错误!未定义书签。第五章安全性分析.............................. 错误!未定义书签。 5.1RIP协议的安全性分析........................ 错误!未定义书签。 5.2OSPF协议的安全性分析....................... 错误!未定义书签。 5.3BGP-4协议的安全性分析...................... 错误!未定义书签。第六章总结..................................... 错误!未定义书签。小结.......................................... 错误!未定义书签。致谢. (14) 常用动态路由协议安全性分析 计算机科学专业与技术