HSRP与HSRP认证

作者:课课家教育更新于： 2019-02-22 10:03:09

　　HSRP，也就是我们所说的热备份路由器协议，这是一个Cisco的专有协议。在这里我们就来讲讲HSRP的概念、工作原理等以及HSRP认证方面的内容，希望通过本文的讲解，大家对于HSRP会有更多的认识和了解。

　　实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包;如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了传统模式下因路由器切换而带来的数据丢失问题。

　　HSRP组成员

　　HSRP备份有一台活跃路由器，一台备份路由器，一台虚拟路由器和其他路由器组成。

　　活跃路由器：主要功能是转发到虚拟路由器的数据包。组中的另一台路由器被选为备份路由器。活跃路由器通过发送Hello消息来承担和保持它活跃的角色。

　　备份路由器：只要功能是监视HSRP组的运行状态，并且到活跃路由器不能运行时，迅速承担起转发数据包的责任。备份路由器也传输Hello消息，告知组中所有路由器备份路由器的角色和状态变化。

　　虚拟路由器：主要功能是想最终用户提供一台可以连续工作的路由器。虚拟路由器配置有它自己的IP地址和MAC地址，但并不实际转发数据包。

　　其他路由器：这些路由器监视Hello消息，但不做应答。这些路由器转发任何经由他们的数据包，但并不转发经由虚拟路由器的数据包。

　　HSRP的工作过程

　　HSRP路由器利用Hello包来互相监听各自的存在。当路由器长时间没有接收到Hello包时，就认为活动路由器故障，备份路由器就会成为活动路由器。HSRP协议利用优先级决定哪个路由器成为活动路由器。如果一个路由器的优先级比其它路由器的优先级高，则该路由器成为活动路由器。路由器的默认优先级是100。在一个组中，最多有一个活动路由器和一个备份路由器。HSRP路由器发送的组播(224.0.0.2)消息有以下三种：

　　Hello：通知其它路由器发送者的HSRP优先级和状态信息，HSRP路由器默认每3秒发送一个Hello消息。

　　Coup：当一个备用路由器变为一个活动路由器时发送一个Coup消息。

　　Resign：当活动路由器要当机或者当有优先级更高的路由器发送Hello消息时，主动发送一个Resign消息。

　　HSRP工作原理

　　例如将真实路由器A和B捆绑成虚拟路由器VR后，谁成为Active路由器，谁成为Standby备份路由器呢?HSRP用优先级来决定，优先级高的成为Active路由器。优先级默认都是100，可以修改。如果优先级相同，IP地址高的成为Active路由器。路由器间通过组播(224.0.0.2)Hello包来互相监听各自的存在。Hello包默认每3秒发一次，如果长期收不到Active路由器发出的Hello包，就认为Active路由器出故障了，Standby备份路由器就将成为Active路由器。

　　HSRP示例

  下图显示了一个网段的HSRP配置。其中的备份组中有两台路由器，Rouer A是活动路由器，Rouer B是备份路由器。它们两个一起形成一个虚拟路由器。每台路由器都用虚拟路由器的MAC地址和IP地址进行配置。

　　在这样一个示例中，网络中的主机默认网关配置就要指向这个虚拟路由器IP地址，而不是指向Router A或者Router B。当Host C发送一个数据包到Host B时，它会先以虚拟路由器的MAC地址作为源MAC地址把数据包发送到虚拟路由器。正常情况下，肯定是通过Router A来对Host C的请示进行响应的，因为它是备份组的活动路由器。如因某种原因，Router A停止了工作，则Router B会以虚拟路由器的MAC地址和IP地址ARP映射表项进行响应，同时成为活动路由器。然后，Host C使用Router B的ARP响应包中的虚拟路由器IP地址发送数据包给Host B。当Rouer B接收到数据包后，再转发给Host B。直到Router A恢复正常工作之前，HSRP一直允许Router B为Host C网段中到达Host B所在网段的用户提供不间断的服务，当然同时它仍然负责正常的Host A和Host B网段这间的用户通信。

　　HSRP认证

　　HSRP认证可以阻止错误的HSRP Hello包引起的拒绝服务(denial-of-service，DoS)攻击。例如，Router A的优先级为120，并且为当前的活动路由器。如果一个主机非法发送一个带有优先级为130(比当前活动路由器的优先级还高)的HSRP Hello欺骗包，则Router A停止成为活动路由器。如果Router A配置了认证，则以上的HSRP Hello欺骗包会被忽略，Router A继续保持为活动路由器。

　　HSRP支持两种认证方式：文件认证(Text Authentication)和MD5认证(MD5 Authentication)。HSRP忽略非认证的HSRP消息(也就是必须配置HSRP认证)，默认为文本认证。在文本认证方式中，以下两种情形下的HSRP包都将被忽略：

　　流入包和路由器上配置的认证方案不一样

　　流入包和路由器上配置的认证字符串不一样

　　HSRP MD5认证是对上面的HSRP文本认证的增强，它在HSRP包中产生一个MD5消息摘要。MD5认证方式更加安全，可以更有效地阻止HSRP欺骗攻击。

　　MD5认证允许每个HSRP组成员路由器使用一个密钥产生一个加密的MD5哈希值作为发出的HSRP Hello包的一部分。当流入Hello包所产生的加密哈希值与路由器中所产生的哈希值不一样时，这个流入Hello包将被忽略。

　　MD5哈希值可以在配置中使用一个密钥字符串直接给出，也可以间接通过一个密钥链提供。

　　通过上面的内容阐述，大家对于HSRP的知识掌握了吗?如果理解起来有点困难的话建议多阅读几遍哦，或者也可以搜索其他的相关内容结合起来学习参考，这样会更好地去渗透理解哦。如果对本文还算满意的话，请不要吝啬给小编一个赞。