如何確保VRRP協(xié)議的安全?

來(lái)源:投稿網(wǎng) 時(shí)間:2023-07-14 10:00:07

一，引言

隨著(zhù)計算機技術(shù)的快速發(fā)展，基于局域網(wǎng)的大學(xué)、中學(xué)和小學(xué)的校園辦公和基于互聯(lián)網(wǎng)的應用也逐漸增加，對校園網(wǎng)絡(luò )的可靠性提出了越來(lái)越高的要求。網(wǎng)絡(luò )中的核心設備對于確保校園網(wǎng)絡(luò )的正常運行非常重要。如果核心網(wǎng)絡(luò )設備的可靠性得到保證，校園網(wǎng)絡(luò )的可靠性基本得到保證。

二是校園網(wǎng)絡(luò )可靠性現狀。

網(wǎng)絡(luò )可靠性，又稱(chēng)網(wǎng)絡(luò )可用性，采用平均故障間隔MTBF和無(wú)故障工作時(shí)間兩個(gè)參數來(lái)衡量。平均故障間隔越小，無(wú)故障工作時(shí)間越長(cháng)，網(wǎng)絡(luò )設備的可靠性越高。不同行業(yè)對可靠性有不同的要求。一般網(wǎng)絡(luò )暫時(shí)中斷不影響使用。對于網(wǎng)絡(luò )依賴(lài)性高的電子商務(wù)和金融行業(yè)，網(wǎng)絡(luò )中斷意味著(zhù)經(jīng)濟利益受到損害。網(wǎng)絡(luò )可靠性的研究和討論具有重要意義。

網(wǎng)絡(luò )設備的投資在網(wǎng)絡(luò )建設中占有相當大的比例高檔、高可靠性的網(wǎng)絡(luò )設備往往價(jià)格昂貴。由于資金因素，一般規模的校園網(wǎng)絡(luò )建設不可能配備高檔設備。網(wǎng)絡(luò )的可靠性需要設備本身的可靠性來(lái)保證。通常，使用與工作設備配置相同的網(wǎng)絡(luò )設備作為冷設備。當工作設備出現問(wèn)題時(shí)，冷設備進(jìn)入網(wǎng)絡(luò )，恢復通信，該方案，網(wǎng)絡(luò )中斷時(shí)間一般在十分鐘左右，不能滿(mǎn)足校園網(wǎng)絡(luò )可靠性的要求，現在學(xué)校工作通過(guò)網(wǎng)絡(luò )、學(xué)生狀況管理、學(xué)術(shù)管理、教師登錄、學(xué)校辦公、網(wǎng)絡(luò )招生等，十分鐘以上的網(wǎng)絡(luò )中斷也會(huì )使正常的日常工作混亂，特別是網(wǎng)絡(luò )招生工作，網(wǎng)絡(luò )中斷是嚴重的后果。如果更新所有網(wǎng)絡(luò )設備，購買(mǎi)高可靠性的核心設備（通常有兩個(gè)主控板，另一個(gè)板卡備份，網(wǎng)絡(luò )可以在幾秒鐘內恢復工作）是一個(gè)很好的可靠性解決方案，但從資本投資的角度來(lái)看，大多數學(xué)校沒(méi)有這樣的經(jīng)濟容忍度。從保護現有投資的角度來(lái)看，我們可以采用廉價(jià)冗余的理念，在可靠性和經(jīng)濟性方面找到平衡。

三、VRRP協(xié)議綜述。

VRRP協(xié)議是什么？

虛擬路由冗余協(xié)議(VirtuairouterrndancyProtocol，簡(jiǎn)稱(chēng)VRRP協(xié)議。本協(xié)議中，一對路由設備協(xié)同備份終端IP設備的默認網(wǎng)關(guān)(Defauitgateway)。當路由設備停機時(shí)，備份路由設備應及時(shí)接管轉發(fā)，并向用戶(hù)提供透明切換，以提高網(wǎng)絡(luò )可靠性。

VRRP協(xié)議的重要概念。

在VRP協(xié)議中，有兩個(gè)重要的概念：VRP路由器和虛擬路由器；主控制路由器和備份路由器。VRP路由器是物理實(shí)體，虛擬路由器是由VRP協(xié)議創(chuàng )建的，是邏輯概念。一組VRP路由器組成一個(gè)具有唯一固定LP地址和MAC地址的虛擬路由器。VRP組中的路由器有兩個(gè)相互排斥的角色：主控制路由器和備份路由器。VRP組中只有一個(gè)主控角色的路由器，可以有一個(gè)或多個(gè)備份角色的路由器。使用選擇策略從路由器組中選擇一個(gè)作為主控制器，負責相應的ARP操作和轉發(fā)IP數據包，組中的其他路由器作為備份角色處于待命狀態(tài)。當主控制路由器出現故障時(shí)，備份路由器可以在幾秒鐘內將其升級為主路由器。此切換速度非?？?，無(wú)需更改IP地址。該組中的其他路由器作為備份角色處于待命狀態(tài)。當主控制路由器出現故障時(shí)，備份路由器可以在幾秒鐘內升級為主路由器。

VRRP協(xié)議的工作原理。

VRRP路由器采用VRID標識，價(jià)值為0-255，表現為唯一的虛擬MAC地址，格式為00-00-5E-00-01-[VRID]。主控路由器負責響應ARP請求，使用MAC地址。VRRP控制報告是VRP通知。使用IP多播數據包進(jìn)行包裝，使用組播地址。發(fā)布范圍僅限于同一局域網(wǎng)。主控路由器定期發(fā)送VRP通知報告，備份路由器在連續三個(gè)通知間隔內無(wú)法收到VRP通知或收到0優(yōu)先通知后啟動(dòng)新一輪VRP選舉。選舉參數為優(yōu)先級和IP地址。VRRP協(xié)議中的優(yōu)先級范圍為0-255，高價(jià)值優(yōu)先級。優(yōu)先級配置原則可根據鏈路的速度和成本、路由器的性能和可靠性以及其他管理策略設置。

如何確保VRRP協(xié)議的安全？可采用兩種安全認證措施：明文認證和IP頭認證。在添加VRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼。適用于避免局域網(wǎng)配置錯誤，但網(wǎng)絡(luò )監控竊取密碼防范較低；IP頭認證提供了更高的安全性，可以防止報紙重放和修改。