3039人阅读
& 以下内容摘自笔者刚刚出版上市热销的一书。大家看一下文中的图片是否显示正常，因为我是直接从word中复制过来的，谢谢！！2.1.1 HSRP概述& & &实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包；如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了传统模式下因路由器切换而带来的数据丢失问题。1.&&& HSRP基本工作原理& & HSRP 协议提供了一种决定使用活动路由器还是备份路由器的机制，并指定一个虚拟的 IP 地址作为网络系统的默认网关地址。如果活动动路由器出现故障，备份路由器（Standby Router）就会自动接管活动路由器（Active Router）的所有任务，并且不会导致主机连通中断现象。当在网络或者网段中配置了HSRP时，会提供一个由HSRP路由器组中各路由器共享的虚拟MAC地址和虚拟的IP地址。但是HSRP路由器组中的各路由器转发协议数据包的源地址使用的仍是物理路由器接口上的实际&IP&地址，而并非虚拟IP地址。正因如此，HSRP 组中的路由器间能相互识别。& & HSRP 组中各路由器的识别是通过VRRP Hello广播包来维系的。HSRP运行在 UDP 上，发送HSRP通告包时所采用的端口号为UDP 1985。为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器向备份路由器定时发送HSRP报文，而备份路由器不会向活动路由器发送HSRP报文。如果当前活动路由器失效，备份路由器将接管成为新的活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。& & HSRP设计用来在支持多路访问、组播、广播的以太局域网中工作，不是用来替换现存的动态路由协议的。2. HSRP版本& & 目前一些Cisco IOS交换机支持两种HSRP版本：HSRPv1和HSRPv2。默认都是v1版本。在HSRPv1版本中，备份组的组号取值范围为0~255，虚拟MAC地址为.AC??（“??”为HSRPv1组号）。HSRPv1使用组播IP地址224.0.0.2来发送hello包，这样就会与使用相同组播IP地址的CGMP（Cisco Group Management Protocol，思科组管理协议）相冲突，所以你不能同时启用HSRPv1和CGMP。& & HSRPv2备份组的组号可以与子接口的VLAN ID号进行匹配，取值范围为0~4095，虚拟MAC地址的取值范围为F.F000 ~ F.FFFF。HSRPv2使用组播IP地址224.0.0.102来发送Hello包，这样就不再与CGMP有冲突了，可以同时启用这两个协议。& & 另外，HSRPv2与HSRPv1的包格式也不一样。运行HSRPv1的交换机不能识别发送hello包的物理路由器，因为包中的源MAC地址是虚拟MAC地址。而HSRPv2包使用TLV（type-length-value）格式，并有一个6字节，带有发送hello包的物理路由器MAC地址的标识（identifier）字段。如果运行HSRPv1的接口接收到一个HSRPv2的包，则type（类型）字段将被忽略。& & 在实际的一个特定的局域网中，可能有多个热备份组并存或重叠，这就是我们下面将要介绍的MHSRP（多HSRP）。每个热备份组模拟成一个虚拟路由器工作，都有一个Well－known（公认）的MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热备份组，可以实现负载分担。& & 【注意】在HSRP备份组中的路由器可以是支持HSRP的任一路由器接口，包括可路由端口和VLAN的SVI接口。但对于交换机来说，这台交换机不能运行LAN Base特性集。2.1.2 HSRP工作原理& & 多数IP主机有一个以单一路由器作为默认网关的IP地址。当使用HSRP时，IP主机的默认网关将以HSRP组的虚拟IP地址替代具体物理路由器接口的IP地址。HSRP通过为网络中的主机提供冗余的IP通信路由来实现网络的高可用性。1.&&&& HSRP组中路由器的两种角色& & 在HSRP路由器组中的路由器分成两种两种角色：活动路由器（Active Router）和备份路由器（Standby Router），共同构成一台虚拟路由器。活动路由器承担路由包转发工作，而备份路由器只是在当前活动路由器出现故障时，或者满足某种条件时才接管活动路由器的工作。HSRP对于那些不支持路由发现协议（如ICMP路由发现协议（IRDP）），不能在它们所选择的路由器重载，或者关闭时切换到新的路由器的主机网络中非常有用。因为在启用HSRP后，现存的TCP会话可以继续，避免中断，为主机动态选择下一跳恢复IP路由通信。& & 运行HSRP的路由器发送和接收基于UDP的组播Hello消息来检测路由器的失效，指定活动路由器和备份路由器。当活动路由器在所配置的期间内没有发送一个Hello包，具有最高优先级的备份路由器将成为新的活动路由器，网络中所有主机的数据通信将同时切换到新的活动路由器上。2.&&&& HSRP组虚拟MAC地址和虚拟IP地址& & 在一个网段配置了HSRP后，它将提供一个供运行HSRP的路由器组中的各成员路由器共享的虚拟MAC地址（Virtual MAC address）和虚拟IP地址（virtual IP address），各路由器的HSRP备份组IP地址必须都设置成这个虚拟IP地址。在这些路由器中将选择一台路由器作为活动路由器，活动路由器接收、路由包到路由器组的虚拟MAC地址。当活动路由器失效时，HSRP会检测到，同时会选举一个备份路由器来控制路由器组的虚拟MAC地址和虚拟IP地址。通过共享一个虚拟MAC地址和虚拟IP地址，两台或者多台路由器可以作为一台虚拟路由器。虚拟路由器并不是实际存在的，但它是作为为HSRP组中相互备份的路由器的公共默认网关。你无需在网络中用活动路由器的物理接口IP地址为主机配置默认网关，而要用虚拟路由器的虚拟IP地址作为主机的默认网关。如果活动路由器在所配置的延时时间内没有发送Hello包，则备份路由器会认为活动路由器已失效，备份路由器之间会选举一台新的路由器作为新新的活动路由器，控制虚拟IP地址的使用。3.&&&& HSRP优先级& & HSRP还使用优先级机制来决定哪台HSRP路由器成为默认的活动路由器。要配置一台路由器作为活动路由器，你需要分配一个比组中其它路由器更高的优先级。默认的优先级是100，所以如果你仅配置一台路由器的优先级大于100（值越大，优先级越高），则这台路由器就会成为默认路由器了。4.&&&& MHSRP& & 你可以在多台交换机或交换机堆叠间配置多个路由器备份组，并为每个备份组指定一个组号。这就是MHSRP（多HSRP）。例如，你可以在switch 1上配置一个接口作为活动路由器，在switch 2上配置一个接口作为备份路由器，同时你也可以在switch 2上配置另一个接口作为活动路由器，而在switch 1上配置另一个接口作为备份路由器。& & 有关MHSRP的具体工作原理将在下节介绍。5.&&&& HSRP示例& & 图2-1显示了一个网段的HSRP配置。其中的备份组中有两台路由器，Rouer A是活动路由器，Rouer B是备份路由器。它们两个一起形成一个虚拟路由器。每台路由器都用虚拟路由器的MAC地址和IP地址进行配置。图2-1& 典型HSRP拓扑示例& & 在这样一个示例中，网络中的主机默认网关配置就要指向这个虚拟路由器IP地址，而不是指向Router A或者Router B。当Host C发送一个数据包到Host B时，它会先以虚拟路由器的MAC地址作为源MAC地址把数据包发送到虚拟路由器。正常情况下，肯定是通过Router A来对Host C的请示进行响应的，因为它是备份组的活动路由器。如因某种原因，Router A停止了工作，则Router B会以虚拟路由器的MAC地址和IP地址ARP映射表项进行响应，同时成为活动路由器。然后，Host C使用Router B的ARP响应包中的虚拟路由器IP地址发送数据包给Host B。当Rouer B接收到数据包后，再转发给Host B。直到Router A恢复正常工作之前，HSRP一直允许Router B为Host C网段中到达Host B所在网段的用户提供不间断的服务，当然同时它仍然负责正常的Host A和Host B网段这间的用户通信。2.3.2 主要VRRP特性概述& & 在VRRP中最主要的特性包括以下几个：（1）VRRP路由器优先级和抢占，（2）VRRP通告，（3）VRRP认证，（4）VRRP对象跟踪。1.&&& VRRP路由器优先级和抢占& & VRRP冗余方案的一个重要特征就是VRRP路由器优先级。优先级决定了每个VRPP路由器在虚拟路由器主失效时可以扮演的角色。如果一个VRRP路由器的物理接口IP地址与虚拟路由器的IP地址相同，则认为它是虚拟路由器IP地址拥有者，会自动成为虚拟路由器主的。& & VRRP路由器的优先级也决定了在虚拟路由器主失效时备份路由器可能成为新的虚拟路由器主的排序。你可以使用vrrp priority命令为每个备份路由器配置1~254的优先级，因为255是最高优先级，是虚拟路由器IP地址拥有者的优先级，不可改变的。& & &例如。如果当前的虚拟路由器主Router A失效了，这时就会在Router B和Router C这两台备份路由器间进行新的虚拟路由器主选举。如果Router B和Router C这两台路由器的优先级分别配置为101、100，这时Router B将被选举为新的虚拟路由器主，因为它的优先级更高。如果Router B和Router C这两台路由器的优先级都配置为100，这时就要考虑这两台路由器的IP地址配置了，IP地址大的将成为新的虚拟路由器主。& & 默认情况下，具有更高优先级的备份路由器可以接管当前的虚拟路由器主，而成为新的虚拟路由器主。你可以使用no vrrp preempt命令禁止VRPP路由器的抢占功能。如果禁止了抢占功能，则选举成为新的虚拟路由器主的备份路由器将一直保持虚拟路由器主角色，直到原来的虚拟路由器主恢复，重新成为虚拟路由器主。2.&&& VRRP通告& & 启用了VRRP后，虚拟路由器主发送VRRP通告到其他VRRP路由器，向其他路由器传递虚拟路由器主的优先级和状态。VRRP通告封装在IP包中，并用分配给VRRP组的多播IP地址进行发送。VRRP通告会发按配置的发送时间间隔向VRRP组中的每个备份路由器。& & 尽管VRRP按照RFC 3786是不支持毫秒级计时器，但在Cisco路由器中仍允许你配置毫秒级计时器。你需要手动在虚拟路由器主和备份路由器上配置毫秒级计时器。要注意的是，在备份路由器上使用show vrrp命令显示的虚拟路由器主通告计时器值总是为1秒，因为备份路由器不接受毫秒时间值。3.&&& VRRP对象跟踪& & 对象跟踪是一个独立管理创建、监控和删除被跟踪对象（如接口线路协议状态）的进程。HSRP、GLBP（Gateway Load Balancing Protocol，网关负载平衡协议）和VRRP客户端注册被跟踪对象，在这些对象的状态发生改变时采取相应的行动。每个被跟踪的对象由一个唯一的号码标识的，VRRP、HSRP、GLBP等使用这个号码对对象进行跟踪，这与比较新的IOS版本中的HSRP对象跟踪方法是一样的。跟踪进程会周期性地轮换跟踪被跟踪的对象，并注意它们的任何参数值的改变。一旦被跟踪的对象发生任何改变，则会通知VRRP、HSRP或GLBP。VRRP也可仅跟踪特定的对象，如接口状态、线路协议、IP路由状态和路由的可达性。每个VRRP组可以跟踪多个可能影响VRRP路由器优先级的对象，你只需要指出其要跟踪的对象号，VRRP就会在被跟踪对象发生任何改变时得到通知，然后VRPP会根据相应的状态改变减小或者增加虚拟路由器的优先级。4.&&& VRRP认证& & VRRP会忽略没有认证的VRPP消息,默认的认证类型为文本认证，但你也可以配置使用密钥字符串的简单MD5认证，或者MD5认证密钥链。MD5认证提供了比纯文本认证更高的安全性。MD5认证允许每个VRRP路由器组成员使用一个加密密钥产生一个加密的MD5哈希值，并作为出站包的一部分。从其他VRRP路由器流入的入站包也会产生一个加密MD5哈希值，如果入站包中的哈希值与本VRRP路由器的出站包中的哈希值与不一致，则这个入站包将被忽略。MD5哈希值可以直接在配置中使用密钥字符串给出，也可以通过密钥链间接提供。VRRP路由器将忽略来自不是相同认证配置的VRRP路由器发来的VRRP包。2.3.3 VRRP基本工作原理& & &图2-4显示了一个配置了VRRP的局域网拓扑结构。在这个示例中，Router A、Router B和Router C是组成VRPP虚拟路由器的VRRP路由器成员。虚拟路由器IP地址与Router A的IP地址一样——10.0.0.1（HSRP中的虚拟IP地址不能与物理路由器的IP地址一样）。图2-4 基本的VRRP拓扑& & 因为虚拟路由器使用Router A上的物理接口IP地址，Router A就自动成为虚拟路由器主角色，并成为虚拟IP地址拥有者。作为虚拟路由器主，Router A控制着虚拟路由器的IP地址，并且对转发到这个虚拟IP地址的数据包进行响应。在本示例中，Client 1~3配置Router A的IP地址10.0.0.1作为默认网关。& & 此时，Router B和Router C作为虚拟路由器的备份。如果虚拟路由器主（Router A）失效，Router B和Router C中优先级更高的将成为新的虚拟路由器主，为局域网中的主机提供不间断的服务。当Router A恢复后，它又将成为虚拟路由器主。& & 图2-5显示了一个配置了两个VRRP组的LAN拓扑，Router A和Router B共享到达，或者来自Client 1~4的负载，Router A和Router B为相互备份的关系，因为此时这两个路由器已创建了两个VRPP组，而且两个路由器分别为两VRRP组中的虚拟路由器主。在这个示例中，就有两个VRPP虚拟路由器了。对于VRRP组1，Router A是IP地址虚拟IP地址10.0.0.1的拥有者，自动成为虚拟路由器主，Router B作为备份路由器。Client 1和Clients 2以虚拟IP地址作为默认网关。而在VRRP组2中，Router B是IP地址虚拟IP地址10.0.0.2的拥有者，自动成为虚拟路由器主，Router A作为备份路由器。Client 3和Clients 4以虚拟IP地址作为默认网关。图2-5 双VRRP组负载共享的拓扑示例
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
视频课程内部会员火热认购中，将免费获得本人现在和以后所有公开发行的视频课程，总课时在1100以上，总时长在3万分钟以上
访问：772758次
积分：11208
积分：11208
排名：第376名
原创：303篇
转载：72篇
评论：597条HSRP - 名称
：热备份路由器协议（HSRP：Hot Standby Router Protocol）
HSRP - 介绍
所谓的（HSRP）主要是向我们提供了这样一种机制，它的设计目的主要在于支持IP传败情况下的不中断服务。具体说，就是本协议用于在源主机无法动态地学习到首跳路由器IP地址的情况下防止首跳路由的失败。它主要用于多接入，多播和广播局域网（例如以太网）。& 　　 　　当然HSRP并不是有意要取代现有的动态路由发现机制，而这些现有的路由协议仍可以继续使用只不过不是在任何可能的情况下。以前的大部分主机都不支持动态，他们是通过配置来进行工作的。而HSRP却为它们提供了一种失务机制在HSRP中所涉及到的所有路由器都被假设为已经配好了合适的IP路由协议，并且也已经存在了若干条路由。& 　　 　　热备份路由协议（HSRP）的目的在于使主机看上去只使用了一个路由器，并且即使在它当前所使用的首跳路由器失败的情况下仍能够保持路由的连通性。此协议中所涉及到的多路由器都映射为一个虚拟的路由器。本协议保证同时有且只有一个路由器在代表进行包的发送。而终端则是把数据包发向该虚拟路由器。这个转发包的路由器被成为活路由器。如果这个活路由器在某个时候由于某种原因而无法工作的话，则那个备份的路由器将被选择来代替原来的活路由器。本协议为活路由器和备份路由器的定义提供了一种机制。在协议所设计到的路由器上使用IP地址，如果这个活路由器失效的话则那个备份路由器马上代替活路由器工作而不会在对主机的连通性上产生大的中断。& 　　 　　在使用HSRP时，一组路由器的工作将一致的表现为局域网上通往主机的一个虚拟路由器的工作。这组路由器就称为一个&HSRP组，或备份组。这个组中将选出一个路由器来负责转发由主机发给虚拟路由器的数据包。这个路由器就是所谓的活路由器。另一台路由器将被选为备份路由器。在活路由器失效的情况下，备份路由器将承担活路由器的包的转发功能。即使你可以任意制定运行HSRP的路由器的数量，但只有活路由器才能转发发送给虚拟路由器的数据包。& 　　 　　为了把降到最底限度，网络中只有活路由器和备份路由器可以在完成选择过程后发送一次HSRP消息包。如果活路由器失效，则备份路由器将取代它作为新的活路由器工作。而当备份路由器失效或者它变成了活路由器时，另外一个路由器将被选为备份路由器。在某个局域网里，多个热备组可以共存和重叠。每个备份组都仿效一个虚拟路由器。对于每个备份组来说都有一个为别人所知的MAC地址，以及一个IP地址。而这个IP地址应该是这个局域网中第一个子网中的地址，但必须不同于设置在所有路由器端口上的地址和局域网中主机的地址，甚至包括为其他HSRP组设的地址。& 　　 　　如果在一个局域网中设置了多个HSRP组，那么分配主机给不同的备份组就会使网络产生负载爆炸。&
HSRP - HSRP的工作原理
　　HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。& 　　 　　通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时，优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。 　　 　　配置了HSRP协议的路由器交换以下三种多点广播消息： 　　 　　Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息； 　　 　　———当一个备用路由器变为一个主动路由器时发送一个coup消息；& 　　 　　Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。在任一时刻，配置了HSRP协议的路由器都将处于以下六种状态之一： 　　 　　Initial———HSRP启动时的状态，HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态。& 　　 　　learn———路由器已经得到了虚拟IP地址，但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。& 　　 　　Listen———路由器正在监听hello消息。 　　 　　Speak———在该状态下，路由器定期发送HELLO报文，并且积极参加活动路由器或等待路由器的竞选。 　　 　　Standby———当主动路由器失效时路由器准备接管包传输功能。 　　 　　Active———路由器执行包传输功能。 　　
HSRP - 本方案的特点：
　　1.高度的可靠性，两台路由器之间采用HSRP（热备份）协议，来保证两台路由器中的任意一台down掉，或路由器的广域网口down，都会迅速切换到另外一台。如果两条线路均出现问题，就采用路由策略停掉邮政子网业务，启用拨号线路。& 　　 　　2.有效的实现了负载均衡，在STAR－S1924F＋上划分出各自的VLAN，储蓄子网VLAN在左侧路由器上的HSRP的优先级较高，默认使用网通的FR线路；邮政系统（办公、报刊、EMS、VOIP等等）子网VLAN在右侧路由器上的HSRP的优先级较高，默认使用联通的FR线路。充分利用了带宽资源，而且实现了负载均衡。& 　　 　　3.充分利用了多以太口路由器在划分多业务网段上的功能，也只有多以太口路由器在HSRP应用中才能实现两个路由器间的负载分担，这是具有四个以太口路由器的极大的优点。 　　 　　4.在右侧路由器上启用QoS策略，需要较低的延时，所以将VoIP业务设置成较高的优先级。 　　 　　5.通过在交换机上设置VLAN，有效的控制了两个子网间的安全。 　　 　　6.不存在单点故障问题。&
HSRP - 使用前提
　　Cisco系统公司已在美国为HSRP申请了专利号5，473，599[2].如果任何应用中需要使用专利5，473，599中的任，需要cisco公司对标准的使用者一视同仁的依据给予许可证。另外这个许可证付费后只能使用一次。
HSRP - 定义
　　活路由器&&-&&当前代表虚拟路由器转发数据包的路由器 　　备份路由器&&-&&第一备份路由器 　　备份组&&-&&参与到HSRP中，用已仿效虚拟路由器的一组路由器 　　Hellotime&&&-&&一个给定路由器成功地发&出两个HSRP&hello消息包之间的间隔 　　Hold&Time&&-&&假定发送路由器失败的情况下，收到两个hello消息包之间的间隔
HSRP - 范围
　　本文档描述的是关于包、信息、状态以及事件在本协议中的使用。本文档不讨论关于网络管理或者互联网的应用问题 &&&&&&& 术语本文档将会使用到RFC2119[3]中的相关协议语言。&
HSRP - 定义
　　活路由器&&-&&当前代表虚拟路由器转发数据包的路由器 　　备份路由器&&-&&第一备份路由器 　　备份组&&-&&参与到HSRP中，用已仿效虚拟路由器的一组路由器 　　Hellotime&&&-&&一个给定路由器成功地发&出两个HSRP&hello消息包之间的间隔 　　Hold&Time&&-&&假定发送路由器失败的情况下，收到两个hello消息包之间的间隔&
HSRP - 协议
　　在备份组里，路由器通过发送各种不同的消息周期性的广播状态信息
包格式　　备份协议运行在UDP层上，使用1985端口号。包发送个多播地址224.0.0.2，TTL为1 　　在包的格式里，路由器使用他们的真IP地址做为源地址，而不使用虚拟地址。这对于使HSRP路由器们能够准确定义彼此是非常重要的。 　　下面是UDP帧格式的数据部分的格式
帧格式 & &&&&& & &&&&&& &版本号：1个字节 　　HSRP信息的版本号，本文所描述的版本号为0 　　操作码：1个字节 　　操作码说明的是包含在这个包里的信息的类型，可能的值有： 　　0&-&Hello&1&-&Coup&2&-&Resign 　　Hello类型消息是用来表明路由器正在工作，并且有能力成为活路由器或者备份路由器。 　　Coup类型消息是在当一个路由器希望变成活路由器是才被发送的信息。 　　Resign类型消息则是当一个路由器不希望再做活路由器是才被发送的信息。 　　状态：1个字节 　　在备份组中的每个路由器都在运行着一个状态机制。这个状态域描述的是发送消息的路由器的当前状态。每种状态的具体描述将在后面说明。可能的状态值有： 　　0&-&Initial 　　1&-&Learn 　　2&-&Listen 　　4&-&Speak 　　8&-&Standby 　　16&–&Active 　　Hellotime：1个字节 　　这个域在Hello消息中是非常有意义的。它包含了路由器发送Hello消息的大约的间隔时间。这个时间是用秒来表示的。 　　如果路由器上没有配置&Hellotime，那么它将会向活路由器发送的Hello消息学习。 　　而如果Hellotime没有被设置而且Hello消息已经被授权，则只能通过学习来获取Hellotime.发送Hello消息的路由器必须引入在Hello&消息中的Hellotime域中使用的Hellotime值。如果没有从活路由器发过来的Hello消息中学习到Hellotime并且也没有手工配置Hellotime，那么将把它的值缺省的定为3秒钟。 　　Holdtime：&&1个字节 　　这个域只在Hello消息中有效。它标明了当前的Hello消息的有效期。这个时间也是用秒来表示的。 　　如果一个路由器发送Hello消息，那么接受者会认为在一个Holdtime时间内这个Hello消息是有效的。Holdtime的值必须要比Hellotime的值大而且至少是Hellotime值的3倍。如果一个路由器上没有配置Holdtime值，则它会向由活路由器发来的Hello消息学习到一个Holdtime值。如果Hello消息是被认证授权过的，则Holdtime值就只能通过学习来得到了。 　　同Hellotime一样，一个路由器必须引入那个在Hello消息中的Holdtime域所定义的Holdtime值。 　　一个状态为活的路由器不能向其他路由器学习Hellotime和Holdtime值，尽管它也许会继续使用从前一任活路由器那学到的Hellotime和Holdtime值。另外，它也许会使用手工配置的值。而活路由器也不能使用一个配置的时间或一个学习来的时间值。如果它没有学习到，而且也没有配置Holdtime，则它会使用10秒作为缺省值。 　　优先级：&&1个字节 　　这个域用来选择活路由器和备份路由器。当把两个路由器的优先级进行比较时，优先级数值高的将获胜。如果两个路由器的优先级相同的话，则IP地址高的将获胜。 　　组：&&&1&个字节 　　这个域定义了备份组。在中，它的值为0到2，而在其他媒质中，它的值为0到255之间的数。 　　授权数据：8字节 　　这个域包含了8个用做password的文本字符如果授权数据没有被设置，则使用推荐的缺省值：0x63&0x69&0x73&0x63&0x6F&0x00&0x00&0x00. 　　虚拟IP地址：4字节 　　虚拟IP地址将在组中使用 　　如果一台路由器本身没有配置虚拟IP地址，那么他可以从活路由器那发来的Hello消息中学到。而如果路由器没有设置而且这个虚拟IP地址，而且Hello消息已经被授权，则只能通过学习来获取这个地址。
操作参数　　在备份组里，每个路由器必须了解以下的信息。当然，讨论这些信息是如何决定的则超出了本文的范围。 　　备份组号 　　虚拟MAC地址 　　优先级 　　授权数据 　　Hellotime 　　Holdtime 　　下面的信息则是每个备份组中必须至少有一台路由器要掌握的信息，当然，也有可能这个组中的每一台路由器都知道它。 　　虚拟IP地址 　　下面的信息可以在任何一台路由器上配置优先权能力 　　如果一个路由器具有比活路由器高的优先级，而且也配置了优先权，则它就可以使用Coup消息来取代当前的活路由器。
状态　　备份组中的每一台路由器都通过执行一个简单的状态机制来参与到这个协议中来。下面我们就来描述一下这个状态机制在表面上我们所能看到的一些运行情况。运行时可能会根据状态机制对不同功能的规定而在内部产生不同的操作过程。 　　所有的路由器都从初试状态开始。这一段讨论每种状态的目的。为了详细说明每一种状态下所发生的动作，请看5，7节的状态转换表 　　1.&Initial&&初始状态 　　这是个开始的状态，它表明HSRP不在运行中。当配置改变或端口首次启动时就会进入这个状态。 　　2.&Learn&&学习 　　这是在路由器还没有确定虚拟IP地址，并且还没有收到一个从活路由器发送来的已经认证过的Hello消息时的状态。在这个状态中，路由器仍然在等待着从活路由器那里接受信息。 　　3.&Listen&&监听 　　路由器知道了虚拟IP地址，但它既不是活路由器也不是备份路由器。并且该路由器是在从活路由器或备份路由器那里监听Hello消息。 　　4.&Speak&&会话 　　路由器周期地发送Hello消息，并且积极地参与到活路由器或备份路由器的选拔中。 　　只有在它已经有了虚拟IP地址的前提下，它才能进入到这个状态。 　　5.&Standby&&&备份 　　这个状态下的路由器作为下一个活路由器的侯选者，周期性地发送Hello消息。除了极短暂的情况外，每个组中最多只能有一个处于备份状态的路由器。 　　6.&Active&&&激活 　　路由器的当前状态为把数据包转发到组的虚拟MAC地址。路由器周期地发送Hello消息。除了极短暂的情况外，每个组中最多只能有一个处于激活状态的路由器。
时钟　　每台路由器都要维护3个时钟，一个激活时钟，一个备份时钟，和一个Hello时钟。 　　激活时钟是用来监视活路由器的，在任何时候，只要路由器发现了从活路由器发过来的被认证过的Hello消息，激活时钟就开始计时，直到到达Hello消息中所设定的Hold&time值为止。 　　备份时钟用于监视备份路由器。该时钟也是在路由器发现了从活路由器发过来的被认证过的Hello消息，随时开始计时，直到到达Hello消息中所设定的Hold&time值为止。 　　Hello时钟是在每一个Hellotime时间段终止一次。如果路由器是处于会话、备份或激活状态下，它会在Hello&时钟停止时产生一个Hello消息。Hello消息必须是不稳定的。&
事件　　下面是在HSRP有限的状态机制下所能发生的事件 　　a&-&在一个使能的端口上配置HSRP 　　b&-&在一个端口上禁用HSRP，或这个端口被禁用。 　　c&-&活时钟期满。活时钟从路由器收到从活路由器发送来的最后一个Hello消息开始计时，时长为Hello消息中所设定的Holdtime值。 　　d&-&备份时钟期满。备份时钟从路由器收到从活路由器发送来的最后一个Hello消息开始计时，时长为Hello消息中所设定的Holdtime值。 　　e&-&Hello时钟期满。用于发送Hello消息的周期性时钟期满。 　　f&-&收到一个发自一台处于对话状态路由器的高优先级Hello消息。 　　g&-&收到一个发自活路由器的高优先级的Hello消息。 　　h&-&收到一个来自活路由器的低优先级的Hello消息。 　　i&-&收到一个来自活路由器的Resign消息。 　　j&-&收到一个来自一台高优先级路由器的Coup消息。 　　k&-&收到一个来自备份路由器的高优先级的Hello消息。 　　l&-&收到一个来自备份了路由器的低优先级的Hello消息。&
操作　　本节说明了这种状态机制中所要采取的一系列操作 　　A、&启动活时钟 　　如果这个动作是作为从活路由器接受到认证过的Hello消息的结果来发生的话，那么活时钟要在Hello&消息中的Hold&time域中设定。否则，活时钟将使用路由器当前的Hold&time值启动。 　　B、&启动备份时钟 　　如果这个动作是由于从备份路由器接受到认证过的Hello消息而导致发生的话，那么备份时钟要在Hello&消息中的Hold&time域中设定。否则，备份时钟将使用路由器当前的Hold&time值启动。 　　C、&终止活时钟 　　活时钟被终止。 　　D、&终止备份时钟 　　备份时钟被终止。 　　E、&学习参数 　　这个动作在接收到一个来自活路由器的一个已认证的消息时发生。如果这个组没有手工配置虚IP地址，它就会从消息中学到一个虚IP地址。路由器也可能从消息中学习Hello&time&和Hold&time&值。 　　F、&发送Hello消息 　　路由器以它当前的状态、Hellotime&和Holdtime值来发送Hello消息。 　　G、&发送Coup消息路由器发送Coup消息包给活路由器，通知它发现了一个更高优先级的路由器。 　　H、&发送Resign&消息 　　路由器发送Resign消息来允许其他路由器成为活路由器。 I、&发送无偿ARP消息 　　路由器通过广播ARP应答包来把组的虚IP地址和虚MAC地址广播出去。如同ARP包一样，这个包使用虚拟MAC地址作为链路层包头中的源MAC地址。
状态过渡　　下面的表格说明了这种状态机制的各状态间的转换过程。对于每个时间以及路由器所处的每个状态来说，路由器必须执行前面已说明的一系列操作并转换为即定的状态。如果没有操作被事先声明，也就不会有任何操作发生，如果没有声明任何状态改变，也不会有任何的状态的改变。 　　下面表中所使用的符号是在5，6节的操作列表中所列出的一系列操作所对应的字母。状态则是用在5，3节中的状态列表中个状态所对应的数字来表示。斜线（‘/’）是操作和状态的分隔符。状态的转变可以是二选一的，这主要取决于外部状态。二选一的状态用‘|’来分隔。 　　详细情况请见附加说明
说明 　　 & & & & & 说明 　　+&&如果配置了虚IP地址，应设为状态3（监听），如果没有设置虚IP地址，应设为状态2（学习）。这两种情况都使用操作A和B 　　*&&如果路由器被配置为优先占取，则采用操作B，G，F，和I，而且设为状态6（激活）。 　　如果路由器没有被设为优先占取，则采用操作A，并且没有状态变化。
HSRP - 对MAC地址的考虑
概述　　每个HSRP组都有一个众所周知的联合的虚拟MAC地址。在令牌环网络上，这些地址实际上属于功能地址。下面这三个地址：0xC0&0x00&0x00&0x01&0x00&0x00，&0xC0&0x00&0x00&0x02&0x00&0x00，&以及&0xC0&0x00&0x00&0x04&0x00&0x00分别与组0，1，2相联系。 　　在其他媒质上，虚MAC地址为0x00&0x00&0x0C&0x07&0xAC&XX，其中&XX代表HSRP的组号。凡执行HSRP都要尽可能地使用这种公认的HSRP&MAC地址作为该组的虚MAC地址。 　　活路由器必须接收和发送用于定义组的虚MAC地址的数据包。它在离开激活状态后则必须停止发送或接受这种包。 　　当且仅当路由器处于激活状态下时，路由器必须使用组虚拟MAC地址作为它的Hello消息包的源MAC地址。这对于处于学习状态的网桥来说是非常必要的，这样可以使网桥能够断定这个虚MAC地址是处于哪个网段的。 　　对于每个组来说，都要有一个虚拟IP地址和一个虚拟MAC地址。这是个非常理想的情况，因为这样使得ARP表处于一种最终状态，而不需要象HSRP活路由器那样随着活路由器人选的改变而随时改变表中的数据。 　　另外，对于HSRP在网桥环境下工作时，网桥必须能够在虚MAC地址改变时很快地进行自我刷新。虽然处于学习状态的网桥理论上能够作到这一点，但有些还是在这方面存在着问题的。因此推荐只有真正处于学习状态的网桥才能使用HSRP.虚MAC地址的改变可能会对那些与MAC地址捆绑的附加状态的环境产生负面的影响。 　　例如令牌环网络。如果正在使用的话，RIF将以虚MAC地址存在主机的RIF缓存里。RIF指出了用于到达MAC地址的路径和最后的环。在路由器转为活路由器时，它们将不会影响在带桥的环上的主机的RIF缓存。这也许会导致数据包被转发到上一级活路由器的环上。 　　在这种环境下，一台路由器也许会使用它标准的MAC地址作为虚MAC地址。这种做法是非常不被提倡的。在这种模式下，虚IP地址将会超时路由到不同的MAC地址，而最终会在路由的终点产生问题，因为ARP表是假设了一个在MAC地址和IP地址见相对静态的关系。而在这种情况下，只要当路由终点接受到一个进入激活状态的路由器所产生的毫无根据的ARP应答时，则ARP表就会进行更新。&
地址过滤器　　正如前面所提到的，路由器正在以它们的组的MAC地址和IP地址仿效着一个虚路由器。MAC地址理论上是由路由器的端口控制器的一个地址过滤器或MAC地址列表来提供的。这对于路由器来说，在维护它们的主MAC地址时增加一个或多个虚MAC地址到它们的控制器的MAC地址过滤器中是非常理想的。 　　不幸的是，有些端口控制器只支持一个unicastMAC地址的地址过滤器。或者说，在令牌环网络中，那些应由HSRP所使用的功能性地址已经被其他协议所占用了。这种情况下，这些路由器仍旧能够执行HSRP，但当路由器假设或放弃作为活路由器进行控制时，HSRP必定改口的主MAC地址。 　　这就存在着一些潜在的问题，因为有些传输可能会希望使用路由器的主MAC地址。但问题也许会因为路由器发送那些无端的ARP包来回答它没有运行HSRP的IP地址来减轻。 　　尽管如此，其他网络实体也应该在使用IP时通过刷新ARP表来反映路由器当前正使用的是组的虚MAC地址，而不是它的主MAC地址。 　　有些协议也许因为端口主MAC地址的改变而不能与备份协议同时运行。举例说，DECnet&IV和HSRP就不会同时运行在同一台设备上。&
ICMP重定向&&&&&&&&& 当运行HSRP时，防止主机发现备份组中路由器的主MAC地址是非常重要的。因此应该禁用任何可能把路由器的主MAC地址通知给主机的协议。所以，凡HSRP所涉及到的路由器，即使它只有一个端口运行了HSRP，都不能在运行HSRP的端口发送ICMP重定向包。
ARP 代理&&&&& 一般地说，主机在通过它们缺省路由的配置来学习HSRP的虚IP地址。这些主机把包发送给虚IP地址用以达到它在局域的目的地。在某些情况下，主机可能使用由ARP代理来路由到局域网之外。这时，主机使用由ARP代理应答提供的MAC地址。如果ARP代理应答说明了HSRP虚MAC地址，则HSRP功能将被保留。 　　如果一台HSRP路由器被配置为支持ARP代理的HSRP，那么这台路由器必须在它所产生的任何ARP代理应答中说明HSRP虚MAC地址。ARP代理应答一定不要受HSRP状态机制的约束。状态机制的约束可能会导致ARP代理应答的匮乏，因为这些ARP代理应答可能会受到其他一些因素的限制，如原则。
安全上的考虑　　这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击，这可能会导致一个黑洞的产生和拒绝服务。 　　但从局域网外面是很难对该协议进行攻击的，因为大多数路由器不会转发到多播地址（224.0.0.2）的数据包。 ***************
HSRP - 译者
译者：程静（chengjing&&&&jingch@） 译文发布时间： 版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必 须保留本文档的翻译及版权信息。 Network&Working&Group&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&T.&Li Request&for&Comments:&2281&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Juniper&Networks Category:&Informational&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&B.&Cole &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&Juniper&Networks &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&P.&Morton&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&Cisco&Systems &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& &&&&&&&D.&Li &&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&&& Cisco&Systems March&1998
为本词条添加和相关影像
互动百科的词条（含所附图片）系由网友上传，如果涉嫌侵权，请与客服联系，我们将按照法律之相关规定及时进行处理。未经许可，禁止商业网站等复制、抓取本站内容；合理使用者，请注明来源于。
登录后使用互动百科的服务，将会得到个性化的提示和帮助，还有机会和770多万专业认证智愿者沟通。
您也可以使用以下网站账号登录：
此词条还可添加&
编辑次数：
参与编辑人数：
最近更新时间： 00:38:00
贡献光荣榜
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品
扫描二维码用手机浏览词条
保存二维码可印刷到宣传品}