如何確保VRRP協(xié)議的安全?

來源:投稿網(wǎng) 時(shí)間:2023-07-14 10:00:07

一，引言

隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，基于局域網(wǎng)的大學(xué)、中學(xué)和小學(xué)的校園辦公和基于互聯(lián)網(wǎng)的應(yīng)用也逐漸增加，對(duì)校園網(wǎng)絡(luò)的可靠性提出了越來越高的要求。網(wǎng)絡(luò)中的核心設(shè)備對(duì)于確保校園網(wǎng)絡(luò)的正常運(yùn)行非常重要。如果核心網(wǎng)絡(luò)設(shè)備的可靠性得到保證，校園網(wǎng)絡(luò)的可靠性基本得到保證。

二是校園網(wǎng)絡(luò)可靠性現(xiàn)狀。

網(wǎng)絡(luò)可靠性，又稱網(wǎng)絡(luò)可用性，采用平均故障間隔MTBF和無故障工作時(shí)間兩個(gè)參數(shù)來衡量。平均故障間隔越小，無故障工作時(shí)間越長，網(wǎng)絡(luò)設(shè)備的可靠性越高。不同行業(yè)對(duì)可靠性有不同的要求。一般網(wǎng)絡(luò)暫時(shí)中斷不影響使用。對(duì)于網(wǎng)絡(luò)依賴性高的電子商務(wù)和金融行業(yè)，網(wǎng)絡(luò)中斷意味著經(jīng)濟(jì)利益受到損害。網(wǎng)絡(luò)可靠性的研究和討論具有重要意義。

網(wǎng)絡(luò)設(shè)備的投資在網(wǎng)絡(luò)建設(shè)中占有相當(dāng)大的比例高檔、高可靠性的網(wǎng)絡(luò)設(shè)備往往價(jià)格昂貴。由于資金因素，一般規(guī)模的校園網(wǎng)絡(luò)建設(shè)不可能配備高檔設(shè)備。網(wǎng)絡(luò)的可靠性需要設(shè)備本身的可靠性來保證。通常，使用與工作設(shè)備配置相同的網(wǎng)絡(luò)設(shè)備作為冷設(shè)備。當(dāng)工作設(shè)備出現(xiàn)問題時(shí)，冷設(shè)備進(jìn)入網(wǎng)絡(luò)，恢復(fù)通信，該方案，網(wǎng)絡(luò)中斷時(shí)間一般在十分鐘左右，不能滿足校園網(wǎng)絡(luò)可靠性的要求，現(xiàn)在學(xué)校工作通過網(wǎng)絡(luò)、學(xué)生狀況管理、學(xué)術(shù)管理、教師登錄、學(xué)校辦公、網(wǎng)絡(luò)招生等，十分鐘以上的網(wǎng)絡(luò)中斷也會(huì)使正常的日常工作混亂，特別是網(wǎng)絡(luò)招生工作，網(wǎng)絡(luò)中斷是嚴(yán)重的后果。如果更新所有網(wǎng)絡(luò)設(shè)備，購買高可靠性的核心設(shè)備（通常有兩個(gè)主控板，另一個(gè)板卡備份，網(wǎng)絡(luò)可以在幾秒鐘內(nèi)恢復(fù)工作）是一個(gè)很好的可靠性解決方案，但從資本投資的角度來看，大多數(shù)學(xué)校沒有這樣的經(jīng)濟(jì)容忍度。從保護(hù)現(xiàn)有投資的角度來看，我們可以采用廉價(jià)冗余的理念，在可靠性和經(jīng)濟(jì)性方面找到平衡。

三、VRRP協(xié)議綜述。

VRRP協(xié)議是什么？

虛擬路由冗余協(xié)議(VirtuairouterrndancyProtocol，簡稱VRRP協(xié)議。本協(xié)議中，一對(duì)路由設(shè)備協(xié)同備份終端IP設(shè)備的默認(rèn)網(wǎng)關(guān)(Defauitgateway)。當(dāng)路由設(shè)備停機(jī)時(shí)，備份路由設(shè)備應(yīng)及時(shí)接管轉(zhuǎn)發(fā)，并向用戶提供透明切換，以提高網(wǎng)絡(luò)可靠性。

VRRP協(xié)議的重要概念。

在VRP協(xié)議中，有兩個(gè)重要的概念：VRP路由器和虛擬路由器；主控制路由器和備份路由器。VRP路由器是物理實(shí)體，虛擬路由器是由VRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRP路由器組成一個(gè)具有唯一固定LP地址和MAC地址的虛擬路由器。VRP組中的路由器有兩個(gè)相互排斥的角色：主控制路由器和備份路由器。VRP組中只有一個(gè)主控角色的路由器，可以有一個(gè)或多個(gè)備份角色的路由器。使用選擇策略從路由器組中選擇一個(gè)作為主控制器，負(fù)責(zé)相應(yīng)的ARP操作和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其他路由器作為備份角色處于待命狀態(tài)。當(dāng)主控制路由器出現(xiàn)故障時(shí)，備份路由器可以在幾秒鐘內(nèi)將其升級(jí)為主路由器。此切換速度非常快，無需更改IP地址。該組中的其他路由器作為備份角色處于待命狀態(tài)。當(dāng)主控制路由器出現(xiàn)故障時(shí)，備份路由器可以在幾秒鐘內(nèi)升級(jí)為主路由器。

VRRP協(xié)議的工作原理。

VRRP路由器采用VRID標(biāo)識(shí)，價(jià)值為0-255，表現(xiàn)為唯一的虛擬MAC地址，格式為00-00-5E-00-01-[VRID]。主控路由器負(fù)責(zé)響應(yīng)ARP請(qǐng)求，使用MAC地址。VRRP控制報(bào)告是VRP通知。使用IP多播數(shù)據(jù)包進(jìn)行包裝，使用組播地址。發(fā)布范圍僅限于同一局域網(wǎng)。主控路由器定期發(fā)送VRP通知報(bào)告，備份路由器在連續(xù)三個(gè)通知間隔內(nèi)無法收到VRP通知或收到0優(yōu)先通知后啟動(dòng)新一輪VRP選舉。選舉參數(shù)為優(yōu)先級(jí)和IP地址。VRRP協(xié)議中的優(yōu)先級(jí)范圍為0-255，高價(jià)值優(yōu)先級(jí)。優(yōu)先級(jí)配置原則可根據(jù)鏈路的速度和成本、路由器的性能和可靠性以及其他管理策略設(shè)置。

如何確保VRRP協(xié)議的安全？可采用兩種安全認(rèn)證措施：明文認(rèn)證和IP頭認(rèn)證。在添加VRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼。適用于避免局域網(wǎng)配置錯(cuò)誤，但網(wǎng)絡(luò)監(jiān)控竊取密碼防范較低；IP頭認(rèn)證提供了更高的安全性，可以防止報(bào)紙重放和修改。