报文,并且积极参加活动路由器或等待路由器的竞选。
5.等待状态 处于该状态的路由器是下一个候选的活动路由器,它定时发送HELLO报文。
6.活动状态 处于活动状态的路由器承担转发数据包的任务,这些数据包是发给该组的虚拟MAC地址的。它定时发出HELLO报文。
另外,每一个路由器都有3个计时器,即活动计时器、等待计时器和呼叫计时器。
状态的变化都是由事件引起的,不同的事件作用于不同的状态在就会产生不同的动作,如启动计时器、发报文等。
四、HSRP的配置实例
某校园网规模比较大,上网的主机相对比较多,共分配有16个C类地址。为了保证数据安全和广播风暴,提高网络性能,将校园网划分成60个子网。在网络中心采用Cisco系统公司的Catalyst 5509作为中心交换机,并且带有RSM作为VLAN间的路由器,另外使用一个Cisco 7000系列的路由器和RSM。它们都支持VLAN以及VLAN上的HSRP。如图2所示。
在每一个虚拟局域网内都有一个HSRP组,从逻辑上讲,Cisco 7010和Cisco 5509的RSM在每个虚拟局域网上都有局域网接口,并且都配置有IP地址,同时配置一个虚拟地址,该地址作为在该虚拟局域网内所有主机的网关。下面以VLAN 9为例,RSM中VLAN 9的配置如下:
---- interface Vlan9
---- description surportcenter
---- ip address 202.120.95.66 255.255.255.224
该路由器在该VLAN9上的接口的IP地址以及掩码
no ip redirects
no ip directed-broadcast
no ip route-cache cef
standby 9 timers 3 250
定义热等待组号为9,每3秒交换一次hello信息,250没有收到hello信息就开切换
standby 150 priority 110
定义路由器的权值,值越大,成为活动路由器的希望越大
standby 9 preempt
Enable该组的HSRP抢占功能,谁的权值大就可以立即成为活动路由器
standby 9 ip 202.120.95.65
该组的虚拟IP地址,作为该VLAN中主机的网关地址
Cisco 7010路由器中接口的配置如下:
interface FastEthernet0/0.9
description surportcenter
ip address 202.120.95.67 255.255.255.224
cisco7010在VLAN9上的接口的IP地址以及掩码,该地址和RSM中的地址必须属于同一个子网,并且不同
no ip redirects
encapsulation is l 9
所使用的虚拟局域网协议
standby 9 timers 3 250
和在RSM中的含义一样,并且必须相同
standby 9 priority 100
比在RSM中的值小,所以RSM在该VLAN中为活动的
standby 9 preempt
和在RSM中含义一样
standby 9 ip 202.120.95.65
该组的虚拟IP地址,必须和RSM中一样
为了达到负载均衡的目的,应该使Cisco 5509 RSM和Cisco 7010承担大致相同的负载,我们的方法是,在RSM中,VLAN 1到VLAN 30的权值为110,VLAN 31到VLAN 60的权值为100; 相反,在Cisco 7010中,VLAN 1到VLAN 30的权值为100,VLAN 31到VLAN 60的权值为100。这样,在正常情况下,Cisco 5509的RSM负责VLAN 1到VLAN 30的路由,Cisco 7010负责VLAN 31到VLAN 60的路由。如果有一方出现了故障,将由另一个来负载全部的路由工作。
五、HSRP存在的问题
对于在HSRP协议,最大的问题是没有提供安全防护,在一个局域网内部,通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击,导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Service Attack)。一般无法从一个局域网的外部实施攻击,因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2)。
HSRP只是实现了路由器的平滑切换,使用户感觉不到这种切换,保证了网络的稳定性。但是,一个HSRP组内的路由器不能互通它们的其他网络配置信息,例如访问控制列表等。所以在管理实施管理时,为了保证一致性,必须对它们进行相同的修改,增加了管理的复杂性,这也许是为了提高性能而付出的代价吧。
|
