HSRP介绍及校园网的应用

会计考友

随着Internet的日益普及，人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络健壮性(robust)的必然选择。在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是Cisco公司的热等待路由协议(Hot Standby Router Protocal，HSRP)要解决的问题。
) V; t0 q5 |' H一、 HSRP协议概述
实现HSRP的条件是系统中有多台路由器，它们组成一个“热等待组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个等待路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。
为了减少网络的数据流量，在设置完活动路由器和等待路由器之后，只有活动路由器和等待路由器定时发送HSRP报文。如果活动路由器失效，等待路由器将接管成为活动路由器。如果等待路由器失效或者变成了活动路由器，将由另外的路由器被选为等待路由器。
在实际的一个特定的局域网中，可能有多个热等待组并存或重叠。每个热等待组模仿一个虚拟路由器工作，它有一个Well-known-MAC地址和一个IP 地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热等待组存在时，把主机分布到不同的热等待组，可以使负载得到分担。
' ?" B: W' j  f0 n& b二、HSRP协议数据包格式
+ v% B) v6 v4 K在热等待组内，路由器定时以不同类型的数据报文广播状态信息。该协议运行在UDP之上，端口号为1985，目的地址为多播地址224.0.0.2，TTL 标记为1。数据包的源地址为发送方路由器的实际IP地址，而不是虚拟地址，这样可以用来标记不同的路由器。UDP的格式如图1所示。
  g/ ]. m* {4 B8 V' R三、 HSRP中路由器的状态及状态转换

$ a% S, s( p. w. R在热等待组中，每个路由器运行着一个简单的状态机，通过当前的状态和事件的触发，而转换成不同的状态。其中包括以下状态。

会计考友

</p>1．初始状态 HSRP启动时的状态，HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态。
  H5 N0 b- A& e+ A# j2．学习状态 在该状态下，路由器还没有决定虚拟IP地址，也没有看到认证的、来自活动路由器的HELLO报文。路由器仍在等待活动路由器发来的HELLO报文。
% ]9 |, w& D$ F3．监听状态 路由器已经得到了虚拟IP地址，但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
4．说话状态 在该状态下，路由器定期发送HELLO报文，并且积极参加活动路由器或等待路由器的竞选。
5．等待状态 处于该状态的路由器是下一个候选的活动路由器，它定时发送HELLO报文。
6 T" m1 e1 M7 V/ M6．活动状态 处于活动状态的路由器承担转发数据包的任务，这些数据包是发给该组的虚拟MAC地址的。它定时发出HELLO报文。
' L9 }! I, d0 ]# Q' [另外，每一个路由器都有3个计时器，即活动计时器、等待计时器和呼叫计时器。
# A. n; j2 b+ K  Y1 W3 K% F状态的变化都是由事件引起的，不同的事件作用于不同的状态在就会产生不同的动作，如启动计时器、发报文等。
: U" Z4 f( S; Q1 w1 D四、HSRP在校园网中实现
; d4 D( h5 U/ ^7 @4 z4 u$ U  y华东师范大学校园网规模比较大，上网的主机相对比较多，共分配有16个C类地址。为了保证数据安全和广播风暴，提高网络性能，将校园网划分成60个子网。在网络中心采用Cisco系统公司的Catalyst 5509作为中心交换机，并且带有RSM作为VLAN间的路由器，另外使用一个Cisco 7000系列的路由器和RSM。它们都支持VLAN以及VLAN上的HSRP。如图2所示。
$ x6 Y5 l" J0 F# X  m在每一个虚拟局域网内都有一个HSRP组，从逻辑上讲，Cisco 7010和Cisco 5509的RSM在每个虚拟局域网上都有局域网接口，并且都配置有IP地址，同时配置一个虚拟地址，该地址作为在该虚拟局域网内所有主机的网关。下面以 VLAN 9为例，RSM中VLAN 9的配置如下:
: _( s# O! `! F* X; v% ]* pinterface Vlan9
( q, k; r$ f6 K; D: _  vdescription surportcenter
& g9 t$ W. k5 k9 E' l, T5 D9 n: Mip address 202.120.95.66 255.255.255.224 该路由器在该VLAN9上的接口的IP地址以及掩码

no ip redirects

会计考友

</p>no ip directed-broadcast
0 b  Y  F: p( u1 J2 Bno ip route-cache cef
# [- g! E; C9 s' r! f9 rstandby 9 timers 3 250
+ M' h! `& o2 T6 y& U- N定义热等待组号为9，每3秒交换一次hello信息，250没有收到hello信息就开切换
- q8 |# B3 F+ t, Istandby?150?priority?110
定义路由器的权值，值越大，成为活动路由器的希望越大
  u; k# u* E1 C. ~  p% w6 @) ^( wstandby 9 preempt
Enable该组的HSRP抢占功能，谁的权值大就可以立即成为活动路由器
standby 9 ip 202.120.95.65
) ~' q/ R) U: C2 X4 i7 J5 K该组的虚拟IP地址，作为该VLAN中主机的网关地址
Cisco 7010路由器中接口的配置如下:
' Q( g% i8 M* v9 _, O* Y' q* Cinterface FastEthernet0/0.9
description surportcenter
5 ?- T- S+ F" j' W- Pip address 202.120.95.67 255.255.255.224
2 R0 D1 I' T  x) Q( Z9 tcisco7010在VLAN9上的接口的IP地址以及掩码，该地址和RSM中的地址必须属于同一个子网，并且不同
no ip redirects
encapsulation is l 9
/ P( K& G2 \5 M* H. C4 |: W: k; l9 i所使用的虚拟局域网协议
standby 9 timers 3 250
6 T" z* o; j& w! y$ f8 y和在RSM中的含义一样，并且必须相同
) X1 f. o; X9 S: {+ Cstandby 9 priority 100
比在RSM中的值小，所以RSM在该VLAN中为活动的
standby 9 preempt
" Y2 l/ J, E$ i  O/ K* \
和在RSM中含义一样

会计考友

</p>standby 9 ip 202.120.95.65
该组的虚拟IP地址，必须和RSM中一样
; c. ^* u0 T3 Z/ S1 i" U为了达到负载均衡的目的，应该使Cisco 5509 RSM和Cisco 7010承担大致相同的负载，我们的方法是，在RSM中，VLAN 1到VLAN 30的权值为110，VLAN 31到VLAN 60的权值为100; 相反，在Cisco 7010中，VLAN 1到VLAN 30的权值为100，VLAN 31到VLAN 60的权值为100。这样，在正常情况下，Cisco 5509的RSM负责VLAN 1到VLAN 30的路由，Cisco 7010负责VLAN 31到VLAN 60的路由。如果有一方出现了故障，将由另一个来负载全部的路由工作。
五、HSRP存在的问题
" [8 ?( ?6 \, m/ U7 P# g6 U% _. _对于在HSRP协议，最大的问题是没有提供安全防护，在一个局域网内部，通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击，导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Service Attack)。一般无法从一个局域网的外部实施攻击，因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2)。
HSRP只是实现了路由器的平滑切换，使用户感觉不到这种切换，保证了网络的稳定性。但是，一个HSRP组内的路由器不能互通它们的其他网络配置信息，例如访问控制列表等。所以在管理实施管理时，为了保证一致性，必须对它们进行相同的修改，增加了管理的复杂性，这也许是为了提高性能而付出的代价吧。
(作者地址: 上海中山北路3663号老图书馆一楼华东师范大学网络信息中心，200062)
: ^. A0 X0 @- P2 }版本: 指示HSPR的版本信息。
( k& O8 F. o1 H0 _* b/ D9 J  S操作码: 用来描述数据包中报文的类型，可能的值为0、1和2，如表1所示。
" C; |* s% L9 S状态: 描述发出该报文的路由器的当前状态。在一个热等待组内的所有路由器都运行着这样的状态机，有以下6种状态，见表2。
呼叫时间: 只在呼叫报文中有意义，表示路由器定时发送呼叫报文的间隔时间，以秒为单位。如果该参数没有在路由器上配置，它可能要从活动路由器上学习获得。如果没有配置也没有学习，那么建议使用缺省值3。
/ F. s  x% P+ ^) c0 V保持时间: 只在呼叫报文中有意义，被接收路由器用来判断该呼叫报文是否合法，单位为秒，其值至少是呼叫时间的3倍。如果该参数没有配置，也同样可以从活动路由器上学习。活动路由器不能从等待路由器学习呼叫时间和保持时间，它只能继续使用从先前的活动路由器学习来的该值。建议的缺省值为10。
2 X! h% y# A6 B' D. B& `2 I3 d7 ~优先级: 该参数用来选择活动和等待路由器，2个具有不同优先级的路由器，优先级高的将成为活动路由器。2个具有相同优先级的路由器，IP地址高的将成为活动路由器。
  C# p& [* m4 ^组: 用来标记路由器所在的热等待组。对令牌环类型的网络，合法的值是0、1和2，对于其他类型的网络，合法值是0～255。
认证码: 包括8个明文的字符作为密码，如果没有配置，缺省值为0×63 0×69 0×73 0×63 0×6F 0×00 0×00 0×00。
虚拟IP地址: 4个8位组，用来指定本热等待组的虚拟IP地址，它可以是从活动路由器的呼叫报文中学习来的。如果没有配置该地址，并且呼叫报文是需要认识的，那么只能通过活动路由器学习。
补充几点～
1、在cisco的路由器上面～认证是在学习虚拟IP地址的时候用的，在一台路由器上面配置standby 1 ip 192.168.1.254 另一台配置standby 1 ip ，虚拟的ip地址可以通过hello包学习过来，配置了认证之后，只有两边密码一样的情况下才会学习到，如果两边都配置standby 1 ip 192.168.1.254 的话，认证没有什么作用。
# Z# f" A8 s' v1 K2、一个接口上面多个hsrp的组需要硬件支持，2500上面不能直接支持多个hsrp的组～需要通过一些特殊的方法实现。
3、hsrp的track功能，可以查看一个端口，若追踪的端口down了～以太口会自动的降低优先级，变成standby的功能。不过需要配置和计算。