冗餘協議

冗餘協議是一般是指網絡設備防止出現故障的協議，現在有IETF的VRRP協議和思科的HSRP以及JUNIPER的NSRP三種冗餘協議。

換句話説，當源主機不能動態知道第一跳路由器的 IP 地址時，HSRP 協議能夠保護第一跳路由器不出故障。該協議中含有多種路由器，對應一個虛擬路由器。HSRP 協議只支持一個路由器代表虛擬路由器實現數據包轉發過程。終端主機將它們各自的數據包轉發到該虛擬路由器上。

隨着Internet的日益普及，人們對網絡的依賴性也越來越強。這同時對網絡的穩定性提出了更高的要求，人們自然想到了基於設備的備份結構，就像在服務器中為提高數據的安全性而採用雙硬盤結構一樣。路由器是整個網絡的核心和心臟，如果路由器發生致命性的故障，將導致本地網絡的癱瘓，如果是骨幹路由器，影響的範圍將更大，所造成的損失也是難以估計的。因此，對路由器採用熱備份是提高網絡可靠性的必然選擇。在一個路由器完全不能工作的情況下，它的全部功能便被系統中的另一個備份路由器完全接管，直至出現問題的路由器恢復正常，這就是熱備份路由協議（HotStandbyRouterProtocal），HSR?PRFC2281技術要解決的問題。

實現HSRP的條件是系統中有多台路由器，它們組成一個“熱備份組”，這個組形成一個虛擬路由器。在任一時刻，一個組內只有一個路由器是活動的，並由它來轉發數據包，如果活動路由器發生了故障，將選擇一個備份路由器來替代活動路由器，但是在本網絡內的主機看來，虛擬路由器沒有改變。所以主機仍然保持連接，沒有受到故障的影響，這樣就較好地解決了路由器切換的問題。

為了減少網絡的數據流量，在設置完活動路由器和備份路由器之後，只有活動路由器和備份路由器定時發送HSRP報文。如果活動路由器失效，備份路由器將接管成為活動路由器。如果備份路由器失效或者變成了活躍路由器，將由另外的路由器被選為備份路由器。

在實際的一個特定的局域網中，可能有多個熱備份組並存或重疊。每個熱備份組模仿一個虛擬路由器工作，它有一個Well－known－MAC地址和一個IP地址。該IP地址、組內路由器的接口地址、主機在同一個子網內，但是不能一樣。當在一個局域網上有多個熱備份組存在時，把主機分佈到不同的熱備份組，可以使負載得到分擔。

NSRP工作原理

NSRP（NetScreen Redundant Protocol）是Juniper公司基於VRRP協議規範自行開發的設備冗餘協議。防火牆作為企業核心網絡中的關鍵設備，需要為所有進出網絡的信息流提供安全保護，為滿足客户不間斷業務訪問需求，要求防火牆設備必須具備高可靠性，能夠在設備、鏈路及互連設備出現故障的情況下，提供網絡訪問路徑無縫切換。NSRP冗餘協議提供複雜網絡環境下的冗餘路徑保護機制。NSRP主要功能有：1、在高可用羣組成員之間同步配置信息；2、提供活動會話同步功能，以保證發生路徑切換情況下不會中斷網絡連接；3、採用高效的故障切換算法，能夠在短短几秒內迅速完成故障檢測和狀態切換。

NSRP集羣兩種工作模式：

1、Active/Passive模式：通過對一個冗餘集羣中的兩台安全設備進行電纜連接和配置，使其中一台設備作為主用設備，另一台作為備用設備。主用設備負責處理所有網絡信息流，備用設備處於在線備份狀態。主設備將其網絡和配置命令及當前會話信息傳播到備用設備，備用設備始終保持與主用設備配置信息和會話連接信息的同步，並跟蹤主用設備狀態，一旦主設備出現故障，備份設備將在極短時間內晉升為主設備並接管信息流處理。

2、Active/Active模式：在NSRP中創建兩個虛擬安全設備 (VSD) 組，每個組都具有自己的虛擬安全接口(VSI)，通過VSI接口與網絡進行通信。設備A充當VSD組1的主設備和VSD 組2的備份設備。設備B充當VSD組2的主設備和VSD組1的備份設備。Active/Active模式中兩台防火牆同時進行信息流的處理並彼此互為備份。在雙主動模式中不存在任何單一故障點。通過調整防火牆上下行路由/交換設備到網絡的路由指向，HostA通過左側路徑訪問ServerA，HostB通過右側路徑訪問ServerB，網絡中任一設備或鏈路出現故障時，NSRP集羣均能夠做出正確的路徑切換。

NSRP集羣技術優勢主要體現於：

1、消除防火牆及前後端設備單點故障，提供網絡高可靠性。即使在骨幹網絡中兩類核心設備同時出現故障，也能夠保證業務安全可靠運行。

2、根據客户網絡環境和業務可靠性需要，提供靈活多樣的可靠組網方式。NSRP雙機集羣能夠提供1、Active-Passive模式Layer2/3多虛擬路由器多虛擬系統和口型/交叉型組網方式；2、Active-Active模式Layer2/3多虛擬路由器多虛擬系統和口型/Fullmesh交叉型組網方式。為用户提供靈活的組網選擇。

3、NSRP雙機結構便於網絡維護管理，通過將流量在雙機間的靈活切換，在防火牆軟件升級、前後端網絡結構優化改造及故障排查時，雙機結構均能夠保證業務的不間斷運行。

4、結合Netscreen虛擬系統和虛擬路由器技術，部署一對NSRP集羣防火牆，可以為企業更多的應用提供靈活可靠的安全防護，減少企業防火牆部署數量和維護成本。

VRRP：（Virtual Router Redundancy Protocol） 虛擬路由器冗餘協議是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一台。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器，它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的 IP 地址可以作為終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。 　使用 VRRP ，可以通過手動或 DHCP 設定一個虛擬 IP 地址作為默認路由器。虛擬 IP 地址在路由器間共享，其中一個指定為主路由器而其它的則為備份路由器。如果主路由器不可用，這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址（這個備份路由器就成為了主路由器）。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。

VRRP（Virtual Router Redundancy Protocol，虛擬路由冗餘協議）是一種容錯協議。通常，一個網絡內的所有主機都設置一條缺省路由，這樣，主機發出的目的地址不在本網段的報文將被通過缺省路由發往路由器RouterA，從而實現了主機與外部網絡的通信。當路由器RouterA 壞掉時，本網段內所有以RouterA 為缺省路由下一跳的主機將斷掉與外部的通信。VRRP 就是為解決上述問題而提出的，它為具有多播或廣播能力的局域網（如：以太網）設計。VRRP 將局域網的一組路由器（包括一個Master 即活動路由器和若干個Backup 即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的IP 地址10.100.10.1（這個IP 地址可以和備份組內的某個路由器的接口地址相同），備份組內的路由器也有自己的IP 地址（如Master的IP 地址為10.100.10.2，Backup 的IP 地址為10.100.10.3）。局域網內的主機僅僅知道這個虛擬路由器的IP 地址10.100.10.1，而並不知道具體的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3，它們將自己的缺省路由下一跳地址設置為該虛擬路由器的IP 地址10.100.10.1。於是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的Master 路由器壞掉，Backup 路由器將會通過選舉策略選出一個新的Master 路由器，繼續向網絡內的主機提供路由服務。從而實現網絡內的主機不間斷地與外部網絡進行通信。關於VRRP 協議的詳細信息，可以參考RFC 2338。

負責轉發數據包的路由器稱之為主動路由器（Active Router）。一旦主動路由器出現故障，HSRP 將激活備份路由器（Standby Routers）取代主動路由器。HSRP 協議提供了一種決定使用主動路由器還是備份路由器的機制，並指定一個虛擬的 IP 地址作為網絡系統的缺省網關地址。如果主動路由器出現故障，備份路由器（Standby Routers）承接主動路由器的所有任務，並且不會導致主機連通中斷現象。

HSRP 運行在 UDP 上，採用端口號1985。路由器轉發協議數據包的源地址使用的是實際 IP 地址，而並非虛擬地址，正是基於這一點，HSRP 路由器間能相互識別.

一個VRRP路由器有唯一的標識：VRID，範圍為0—255。該路由器對外表現為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣，無論如何切換，保證給終端設備的是唯一一致的IP和MAC地址，減少了切換對終端設備的影響。

VRRP控制報文只有一種：VRRP通告(advertisement)。它使用IP多播數據包進行封裝，組地址為224.0.0.18，發佈範圍只限於同一局域網內。這保證了VRID在不同網絡中可以重複使用。為了減少網絡帶寬消耗只有主控路由器才可以週期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先級為0的通告後啓動新的一輪VRRP選舉。

在VRRP路由器組中，按優先級選舉主控路由器，VRRP協議中優先級範圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動具有最高優先級：255。優先級0一般用在IP地址所有者主動放棄主控者角色時使用。可配置的優先級範圍為1—254。優先級的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中，高優先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現。對於相同優先級的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優先級搶佔策略，如果配置了該策略，高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成為新的主控路由器。

為了保證VRRP協議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證。明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼。適合於避免在局域網內的配置錯誤，但不能防止通過網絡監聽方式獲得密碼。IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。