如何确保VRRP协议的安全?

来源:华文易迅 时间:

一，引言

随着计算机技术的快速发展，基于局域网的大学、中学和小学的校园办公和基于互联网的应用也逐渐增加，对校园网络的可靠性提出了越来越高的要求。网络中的核心设备对于确保校园网络的正常运行非常重要。如果核心网络设备的可靠性得到保证，校园网络的可靠性基本得到保证。

二是校园网络可靠性现状。

网络可靠性，又称网络可用性，采用平均故障间隔MTBF和无故障工作时间两个参数来衡量。平均故障间隔越小，无故障工作时间越长，网络设备的可靠性越高。不同行业对可靠性有不同的要求。一般网络暂时中断不影响使用。对于网络依赖性高的电子商务和金融行业，网络中断意味着经济利益受到损害。网络可靠性的研究和讨论具有重要意义。

网络设备的投资在网络建设中占有相当大的比例高档、高可靠性的网络设备往往价格昂贵。由于资金因素，一般规模的校园网络建设不可能配备高档设备。网络的可靠性需要设备本身的可靠性来保证。通常，使用与工作设备配置相同的网络设备作为冷设备。当工作设备出现问题时，冷设备进入网络，恢复通信，该方案，网络中断时间一般在十分钟左右，不能满足校园网络可靠性的要求，现在学校工作通过网络、学生状况管理、学术管理、教师登录、学校办公、网络招生等，十分钟以上的网络中断也会使正常的日常工作混乱，特别是网络招生工作，网络中断是严重的后果。如果更新所有网络设备，购买高可靠性的核心设备（通常有两个主控板，另一个板卡备份，网络可以在几秒钟内恢复工作）是一个很好的可靠性解决方案，但从资本投资的角度来看，大多数学校没有这样的经济容忍度。从保护现有投资的角度来看，我们可以采用廉价冗余的理念，在可靠性和经济性方面找到平衡。

三、VRRP协议综述。

VRRP协议是什么？

虚拟路由冗余协议(VirtuairouterrndancyProtocol，简称VRRP协议。本协议中，一对路由设备协同备份终端IP设备的默认网关(Defauitgateway)。当路由设备停机时，备份路由设备应及时接管转发，并向用户提供透明切换，以提高网络可靠性。

VRRP协议的重要概念。

在VRP协议中，有两个重要的概念：VRP路由器和虚拟路由器；主控制路由器和备份路由器。VRP路由器是物理实体，虚拟路由器是由VRP协议创建的，是逻辑概念。一组VRP路由器组成一个具有唯一固定LP地址和MAC地址的虚拟路由器。VRP组中的路由器有两个相互排斥的角色：主控制路由器和备份路由器。VRP组中只有一个主控角色的路由器，可以有一个或多个备份角色的路由器。使用选择策略从路由器组中选择一个作为主控制器，负责相应的ARP操作和转发IP数据包，组中的其他路由器作为备份角色处于待命状态。当主控制路由器出现故障时，备份路由器可以在几秒钟内将其升级为主路由器。此切换速度非常快，无需更改IP地址。该组中的其他路由器作为备份角色处于待命状态。当主控制路由器出现故障时，备份路由器可以在几秒钟内升级为主路由器。

VRRP协议的工作原理。

VRRP路由器采用VRID标识，价值为0-255，表现为唯一的虚拟MAC地址，格式为00-00-5E-00-01-[VRID]。主控路由器负责响应ARP请求，使用MAC地址。VRRP控制报告是VRP通知。使用IP多播数据包进行包装，使用组播地址。发布范围仅限于同一局域网。主控路由器定期发送VRP通知报告，备份路由器在连续三个通知间隔内无法收到VRP通知或收到0优先通知后启动新一轮VRP选举。选举参数为优先级和IP地址。VRRP协议中的优先级范围为0-255，高价值优先级。优先级配置原则可根据链路的速度和成本、路由器的性能和可靠性以及其他管理策略设置。

如何确保VRRP协议的安全？可采用两种安全认证措施：明文认证和IP头认证。在添加VRP路由器组时，必须同时提供相同的VRID和明文密码。适用于避免局域网配置错误，但网络监控窃取密码防范较低；IP头认证提供了更高的安全性，可以防止报纸重放和修改。