Навигация по данной странице:

CHƯƠNG V.GIAO THỨC VRRP

V.1.Các thuật ngữ liên quan.

Bạn đang xem: Vrrp là gì

VRRP Router : Là Router mà sử dụng giao thức VRRP tham gia trong một hoặc nhiều nhóm Router ảo.Virtual Router: Là một Router trừu tượng hoạt động như một Router mặc định cho các Host trong LAN chia sẻ. Nó bao gồm một định danh Router ảo (VRID) và một bộ các địa chỉ IP kết hợp. Router VRRP có thể dự phòng cho một hoặc nhiều Router ảo. IP Address Owner: Router VRRP mà có các địa chỉ IP của Router ảo như là các địa chỉ trên Interface thực. Đó là Router mà khi Up lên nó đáp ứng các gói tin đã địa chỉ hoá đến một hoặc nhiều địa chỉ IP. Và địa chỉ IP Interface thực đó là IP Address Owner. Primary IP Address: Là một địa chỉ IP được chọn từ các địa chỉ Interface thực (luôn luôn chọn địa chỉ đầu tiên). Các thông điệp quảng bá VRRP khi gởi luôn sử dụng Primary IP Address làm địa chỉ nguồn của gói tin IP.Virtual Router Master: Là Router VRRP mà có nhiệm vụ chuyển các gói tin tới địa chỉ IP kết hợp với Router ảo và đáp ứng các Request ARP cho các địa chỉ này. Chú ý rằng nếu Router có IP Address Owner thì ngay lập tức nó sẽ trở thành Master.Virtual Router Backup: Là một nhóm các Router VRRP mà có nhiệm vụ đảm nhận vai trò Master nếu Master Router hiện hành bị lỗi.Virtual Router MAC Address: Là địa chỉ MAC của Router ảo 00-00-5E-00-01-XX với XX là ID của Router ảo (VRID). Mỗi Router ảo là khác nhau trên mạng nhưng địa chỉ MAC ảo được sử dụng chỉ bởi một Router tại một thời điểm, và đó cũng là cách để các Router vật lý khác xác định Master Router trong nhóm các Router ảo.

V.2.Định dạng gói tin VRRP.

V.2.1Miêu tả. Bộ giao thức:

TCP/IP.
Loại giao thức: Transport layer election protocol.
Multicast Addresses: 224.0.0.18.
IP Protocol: 112.

V.2.2Định dạng.

MAC header IP header VRRP message
00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
Version Type Virtual Rtr ID Priority Count IP Addrs
Auth Type Adver Int Checksum
IP Address (1)
IP Address (n)
Authentication Data (1)
Authentication Data (2)

Version: 4 bits.

Trường Version xác định phiên bản đang sử dụng của giao thức VRRP.

Type: 4 bits.

Trường Type xác định loại của gói tin VRRP. Chỉ có một loại gói được xác định trong phiên bản này là Value 1: ADVERTISEMENT. Một gói mà không xác định được loại phải bị bỏ đi.

Virtual Rtr ID (VRID): 8 bits.

Trường định danh Router ảo (Virtual Router Identifier – VRID). Có thể cấu hình các số trong dãy 1255. Không có giá trị mặc định.

Priority : 8 bits.

Trường Priority xác định Priority Number của Router gởi cho Router ảo.

Giá trị Priority của VRRP Router đang hoạt động mà có địa chỉ IP của chính nó kết hợp với Router ảo phải là một số thập phân 255.

Các Router dự phòng trong các Router ảo phải có giá trị Priority 1254.

Giá trị Priority mặc định cho các Router dự phòng với Router ảo là 100.

Giá trị Priority bằng 0 có nghĩa là Master Router hiện hành đã ngừng tham gia trong nhóm VRRP. Việc này tạo điều kiện để cho các Router dự phòng nhanh chóng chuyển thành Master Router không cần chờ cho đến khi Master Router hiện hành bị Timeout.

Count IP Addrs: 8 bits.

Số địa chỉ IP chứa trong gói tin quảng bá VRRP.

Authentication Type: 8 bits.

Trường Authentication Type xác định phương thức chứng thực được sử dụng. Authentication Type là duy nhất trên Router ảo. Trường Authentication Type là một số nguyên không dấu 8 bits. Một gói tin không xác định được loại Authentication hoặc không đúng với phương pháp chứng thực đã cấu hình cục bộ thì phải bị bỏ đi.

Các phương pháp chứng thực được xác định:

Authentication Type Miêu tả
0 No Authentication
1 Simple Text Password
2 IP Authentication Header

Authentication Type 0 – No Authentication.

Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP đã không được chứng thực. Nội dung của trường Authentication Data sẽ được thiết đặt là 0 khi truyền và bỏ qua khi nhận.

Authentication Type 1 – Simple Text Password.

Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một chuỗi Text đơn giản làm Password để chứng thực.

Authentication Type 2 – IP Authentication Header.

Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header , sử dụng HMAC-MD5-96 với ESP (English for Specific Purposes – Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công.

Advertisement Interval (Adver Int): 8 bits.

Khoảng thời gian giữa việc gởi các gói tin quảng bá, được tính bằng giây. Mặc định là 1 giây. Chúng được sử dụng để xác định Master Router có bị lỗi hay không.

Checksum: 16 bits.

Trường Checksum được sử dụng để dò tìm dữ liệu bị lỗi trong thông điệp VRRP. Khởi tạo trường Checksum được thiết lập bằng zero.

IP Address: 32 bits.

Địa chỉ IP cho Router ảo, là một hoặc nhiều địa chỉ IP kết hợp với Router ảo. Số địa chỉ IP ảo được đặt trong một trường đặc biệt là “Count IP Addrs”.

Authentication Data: 32 bit.

Chuỗi dữ liệu chứng thực. Tùy theo loại chứng thực sử dụng mà trường này có giá trị khác nhau. Nếu giá trị trong trường Auth Type bằng 0 thì trường Authentication Data được thiết lập bằng 0 khi truyền và bỏ qua khi nhận.

V.3.Hoạt động của VRRP.

Có nhiều cách để một Client trong mạng LAN có thể xác định Router nào là bước truyền đầu tiên của nó khi dữ liệu nó gởi đi không nằm trong cùng mạng với nó. Client này có thể được cấu hình định tuyến tĩnh hoặc động.

Ví dụ như các giao thức:

Proxy ARP: Client sử dụng giao thức phân giải địa chỉ để định ra địa chỉ đích mà nó muốn đến, và một Router sẽ đáp ứng ARP Request với địa chỉ MAC của nó.Routing Protocol: Client sử dụng giao thức định tuyến động (ví dụ như giao thức RIP (Routing Information Protocol )) và cập nhật vào bảng định tuyến của chính nó.IRDP (ICMP Router Discovery Protocol) Client: Client dùng bộ định tuyến thông điệp quản lý Inteđể tìm ra Router định tuyến đường biên cho nó. Xác định địa chỉ của Interface của Router đó làm Default Gateway cho các Host. Mặt hạn chế của giao thức tìm động là chúng phải tuân theo một cấu hình chặt chẽ và xử lí chống tràn trong mạng LAN. Khi Router bị lỗi thì quá trình chọn lựa lại một Router khác có thể làm chậm tiến trình xử lý.

Một sự thay thế giao thức tìm kiếm động là cấu hình định tuyến tĩnh cho các Router trên mạng. Điều này tiến gần đến việc cấu hình và xử lí một cách đơn giản hơn nhưng nó lại tạo ra một sự đơn điệu về khả năng chịu lỗi của hệ thống.

VRRP có thể giải quyết vấn đề của cấu hình định tuyến tĩnh này.

Các Router VRRP được xem là một nhóm Router dự phòng, chia sẻ nhiệm vụ chuyển tiếp các gói tin nếu chúng có địa chỉ Default Gateway là địa chỉ IP ảo của Router dự phòng. Tại một thời điểm, chỉ có một Router VRRP hoạt động với vai trò là Master Router, còn các Router khác hoạt động với vai trò Backup Router.

Chỉ có Master Router ảo mới gởi các thông điệp quảng bá VRRP định kỳ. Router ảo dự phòng không giành quyền Master cho dù Priority của nó cao hơn nhưng có một ngoại lệ đó là Router VRRP sẽ có thể trở thành Master Router nếu nó có địa chỉ IP kết hợp với Router ảo. Nếu Master Router bị lỗi thì Router ảo dự phòng nào có Priority cao nhất sẽ chuyển sang trạng thái Master trong một thời gian ngắn nhất, điều này giúp tối thiểu gián đoạn mạng.

VRRP được hỗ trợ trên các mạng Ethernet, Fast Ethernet, BVI, giao diện Gigabit Ethernet, MPLS, VPNs và VLANs.

*

Hình V 14: Mô hình VRRP căn bản

Router A, B, C là các Router VRRP mà bao gồm một Router ảo. Địa chỉ của Router ảo giống như địa chỉ của Router A (10.0.0.1).

Vì Router ảo được cấu hình là địa chỉ IP của giao diện Ethevật lý của Router A (10.0.0.1) nên Router A được gọi là Master Router ảo (Virtual Router Master) và địa chỉ IP của nó được gọi là IP Address owner. Vì Router A là Master Router ảo nên nó giám sát địa chỉ IP của Router ảo và có nhiệm vụ chuyển tiếp các gói tin gởi đến địa chỉ IP này. Các Client từ Client 1 đến Client 3 được cấu hình với địa chỉ Default Gateway là 10.0.0.1.

Router B và C lúc này có chứa năng là các Router ảo dự phòng (Virtual Router Backup). Nếu Master Router ảo bị lỗi thì Router ảo dự phòng nào có độ ưu tiên cao hơn sẽ trở thành Master Router ảo.

*

Hình V 15: Mô hình chia sẻ tải truyền của VRRP.

Ở đây VRRP được cấu hình để Router A và B chia sẻ lưu lượng gói tin đến và đi cho các Client 1 tới Client 4. Router A và B cũng hoạt động như những Router ảo dự phòng hỗ trợ cho nhau nếu một trong hai Router bị lỗi.

Đối với nhóm 1, Router A sở hữu địa chỉ IP 10.0.0.1 và là Master Router ảo nhóm 1. Còn Router B sẽ là Router ảo dự phòng cho Router A. Các Client 1 và Client 2 được cấu hình với địa chỉ Default Gateway là 10.0.0.1.

Đối với nhóm 2, Router B sở hữu địa chỉ IP 10.0.0.2 và là Master Router ảo nhóm 2. Còn Router A sẽ là Router ảo dự phòng cho Router B. Các Client 3 và Client 4 được cấu hình với địa chỉ Default Gateway là 10.0.0.2.

V.4.Máy trạng thái giao thức VRRP.

V.4.1Các tham số. Các tham số trên Interface. Authentication_Type: Loại chứng thực đang được sử dụng, tham số này đã được miêu tả trong định dạng gói tin VRRP.Authentication_Data: Dữ liệu chứng thực, đồng thời cũng xác định được loại chứng thực đang được sử dụng. Các tham số trên Router ảo. VRID: Virtual Router Identification – Định danh Router ảo, được cấu hình trong khoảng từ 1-255 (hệ 10). Và không có giá định mặc định.Priority: Giá trị ưu tiên được sử dụng để lựa chọn ra Master Router VRRP hoặc Backup Router cho những nhóm Router ảo.

Giá trị 255 (hệ 10) được dành cho Router mà có địa chỉ IP kết hợp với Router ảo.

Giá trị 0 được dành cho Master Router hiện hành, chỉ ra rằng nó đã ngừng tham gia trong VRRP. Priority được sử dụng để cho phép Router dự phòng nhanh chóng chuyển sang trạng thái Master mà không cần đợi Master Router hiện hành Timeout hoàn toàn.

Khoảng giá trị là từ 1-254 (hệ 10), nó có sẵn để dành cho các Router VRRP dự phòng cho Router ảo. Giá trị mặc định là 100 (hệ 10).

IP_Addresses: Là một trong nhiều địa chỉ IP kết hợp với địa chỉ IP của Router ảo. Tham số này phải được cấu hình bởi vì nó sẽ không có giá trị mặc định.Advertisement_Interval: Là khoảng thời gian giữa các lần gởi thông điệp quảng bá, thông số này được tính bằng giây và giá trị mặc định là 1 giây.Skew_Time: Thời gian để làm lệch khoảng thời gian bị Down của Master Router. Công thức để tính toán thông số này là: ( (256 – Priority) / 256 ).

VRRP sử dụng thông số Skew_Time để hạn chế cho các Router dự phòng không chuyển sang trạng thái Master trong cùng một thời điểm. Skew_Time cũng đảm bảo rằng các Router dự phòng nào có Priority cao hơn thì có nhiều khả năng trở thành Master Router hơn các Router dự phòng có Priority nhỏ hơn.

Xem thêm: Graphql Là Gì – Fibo ứng Dụng Graphql Database

Giá trị Skew_Time được dùng để tính toán Master_ down_ interval. Khi Skew_Time giảm thì Priority Number sẽ tăng. Cũng có nghĩa là các Router có Priority thấp hơn thì sẽ có Master_down_interval dài hơn và cũng lâu nhận các thông điệp quảng bá hơn. Do đó, Router dự phòng có Skew_Time nhỏ hơn thì có khả năng chuyển sang trạng thái Master cao hơn.Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down.

Công thức tính: (3 * Advertisement_Interval) + Skew_time.

Preempt_Mode: Điều khiển để Router dự phòng có độ ưu tiên cao hơn sẽ giành quyền trở thành Master Router so với các Router có độ ưu tiên thấp hơn. Có các giá trị:True: Cho phép. False: Cấm giành quyền.

Giá trị mặc định của Preempt_Mode là True.

V.4.2VRRP Timer. Có hai khoảng thời gian quan trọng trong VRRP là: Master_Down_Timer và Adver_Timer. Master_Down_Timer: Là khoảng thời gian mà Master Router sẽ Down, nó phù hợp với giá trị mà Router dự phòng xác định Master Router bị Down (Master_Down_Interval). Adver_Timer: Thời gian để khởi tạo việc gởi các thông điệp quảng bá dựa trên giá trị Advertisement_Interval. Trong đó: Advertisement_interval: Là khoảng thời gian giữa các thông điệp quảng bá và Master_Down_Interval: Là khoảng thời gian để Router dự phòng xác định Master Router bị Down.V.4.3Sơ đồ chuyển tiếp trạng thái.

*

Hình V 16: Sơ đồ chuyển tiếp trạng thái.V.4.4Các trạng thái VRRP. Mỗi Router VRRP thực thi trong một trường hợp của máy trạng thái cho mỗi sự lựa chọn Router ảo mà nó tham gia. Trạng thái Initialize. Mục đích của trạng thái này là đợi sự kiện Startup xảy ra. Nếu sự kiện Startup đã xảy ra thì:

Nếu Priority = 255 (địa chỉ IP của Router đó kết hợp với Router ảo).

Gởi một thông điệp quảng bá.Broadcast một Request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo.Thiết lập Adver_Timer thành Advertisement_Interval.Chuyển sang trạng thái Master. Ngược lại Thiết lập Master_Down_Timer thành Master_Down_Interval.Chuyển tiếp đến trạng thái Backup. Trạng thái Backup. Mục đích của trạng thái Backup để điều khiển tính sẵn sàng và trạng thái của Master Router.

Trong trạng thái này, VRRP Router phải thực hiện:

– Không đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo.

– Phải loại bỏ những gói tin mà có địa chỉ MAC đến bằng với địa chỉ MAC Router ảo.

– Không chấp nhận những gói tin được địa chỉ hoá với địa chỉ IP kết hợp với Router ảo.

– Nếu nhận được một Shutdown Event thì:

Hủy Master_Down_Timer.Chuyển sang trạng thái Initial. – Nếu Master_Down_Timer hết hạn thì: Gởi một thông điệp quảng bá.Broadcast một request ARP ngẫu nhiên chứa địa chỉ MAC của Router ảo tới mỗi địa chỉ IP kết hợp với Router ảo.Thiết lập Adver_Timer thành Advertisement_Interval.Chuyển sang trạng thái Master. – Nếu nhận được một thông điệp quảng bá thì:

Và nếu Priority trong thông điệp quảng bá là Zero thì:

Thiết lập Master_Down_Timer thành Skew_Time. Nếu Preempt_Mode có giá trị False, hoặc Priority Thiết lập lại Master_Down_Timer thành Master_Down_Interval.Loại bỏ thông điệp quảng bá. Trạng thái Master. Chức năng của Router trong trạng thái Master là chuyển tiếp các gói tin với địa chỉ IP kết hợp với Router ảo.

Trong trạng thái Master thì Router phải thực hiện:

– Phải đáp ứng Request ARP cho địa chỉ IP kết hợp với Router ảo.

– Phải chuyển tiếp các gói tin với địa chỉ MAC đến là địa chỉ MAC của Router ảo.

– Không chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà không phải là địa chỉ IP của chính nó.

– Chấp nhận những gói tin được địa chỉ hóa bằng địa chỉ IP kết hợp với Router ảo mà là địa chỉ IP của chính nó.

– Nếu nhận được một Shutdown Event thì: Hủy Adver_Timer.Gởi thông điệp quảng bá với Priority = 0.Chuyển sang trạng thái Initial. – Nếu Adver_Timer hết hạn thì: Gởi một thông điệp quảng bá.Thiết lập lại Adver_Timer thành Advertisement_Interval. – Nếu nhận được một thông điệp quảng bá thì:

Nếu Priority trong thông điệp quảng bá bằng Zero thì:

Gởi một thông điệp quảng bá.Thiết lập lại Adver_Timer thành Advertisement_Interval. Nếu Priority trong thông điệp quảng bá lớn hơn Local Priority hoặc Priority trong thông điệp quảng bá bằng Local Priority và địa chỉ IP nơi gởi lớn hơn địa chỉ IP cục bộ thì: Hủy Adver_Timer.Thiết lập Master_Down_Timer thành Master_Down_Interval.Chuyển sang trạng thái Backup. Ngược lại Loại bỏ thông điệp quảng bá.

*

Tổng hợp các trạng thái và sự kiện.

V.5.Truyền và nhận gói tin VRRP.

V.5.1Truyền các gói tin VRRP. Khi truyền các gói tin VRRP cần thực hiện : Điền vào các trường trong gói tin VRRP với trạng thái cấu hình Router ảo thích hợp.Tính toán Checksum.Thiết lập địa chỉ MAC nguồn thành địa chỉ MAC của Router ảo.Thiết lập địa chỉ IP nguồn thành địa chỉ IP của Interface (Primary IP Address).Thiết lập giao thức IP 112.Gởi gói tin VRRP đến địa chỉ Multicast VRRP 224.0.0.18. V.5.2Nhận các gói tin VRRP. Khi nhận các gói tin VRPP cần thực hiện: Phải kiểm tra trường IP TTL bằng 255.Phải kiểm tra trường Version trong định dạng VRRP.Phải kiểm tra chiều dài gói tin nhận được lớn hơn hay bằng VRRP Header.Phải kiểm tra Checksum.Phải thực hiện loại chứng thực đã xác định bởi trường Auth Type.Phải kiểm tra VRID là giá trị trên Interface nhận.Kiểm tra địa chỉ IP kết hợp với VRID là hợp lệ.Nếu một trong số những điều kiện trên không thỏa thì nơi nhận phải loại bỏ các gói tin này. Hơn nữa: Nếu các gói tin không được tạo bởi địa chỉ IP của chính nó (tức là Priority không bằng 255) thì nơi nhận phải loại bỏ gói này, ngược lại thì tiếp tục xử lý.

V.6.Đặc điểm của VRRP.

V.6.1Thông điệp quảng bá VRRP. VRRP gởi đến địa chỉ Multicast 224.0.0.18 cho các thông điệp quảng bá nhằm làm giảm số Router phục vụ cho các địa chỉ Multicast và cho phép kiểm tra chính xác mã của các gói tin VRRP. Tổ chức IANA đã gán cho VRRP số giao thức IP là 112.

Master Router ảo gởi những thông điệp quảng bá VRRP tới các Router VRRP khác trong cùng một nhóm. Những thông điệp quảng bá này truyền đạt các thông tin như Priority Number và tình trạng của Master Router ảo. Các thông điệp quảng bá VRRP sẽ được đóng gói trong IP Packet. Và các thông điệp quảng bá này gởi mặc định mỗi giây. Khoảng thời gian này có thể cấu hình.

V.6.2Địa chỉ MAC của Router ảo Địa chỉ MAC của Router ảo kết hợp với một Router ảo là một địa chỉ MAC IEEE 802 được định dạng trong hệ Hexa như sau: 00-00-5E-00-01-VRID.V.6.3Proxy ARP. Nếu Proxy ARP được sử dụng trên Router VRRP thì ngay sau đó Router VRRP phải quảng bá địa chỉ MAC của Router ảo trong thông điệp đáp ứng lại Proxy ARP. Nếu không làm như vậy thì các Host sẽ học địa chỉ MAC thực của Router VRRP.

Khi một Host gởi một ARP Request đến một trong số địa chỉ IP của các Router ảo. Master Router ảo phải đáp ứng ARP Request bằng địa chỉ MAC ảo và không được đáp ứng bằng địa chỉ MAC vật lý của nó. Điều này cho phép Client luôn sử dụng cùng địa chỉ MAC đến mà không cần quan tâm đến Master Router hiện hành đang Down hay Up.

Khi Router VRRP khởi động lại thì không gởi bất kỳ thông điệp ARP nào bằng địa chỉ MAC vật lý của nó cho địa chỉ IP mà nó có. Vì vậy, Router VRRP gởi thông điệp ARP chỉ bao gồm địa chỉ MAC ảo.

Khi cấu hình VRRP, các Router VRRP quảng bá ARP Request ngẫu nhiên có chứa địa chỉ MAC ảo của Router ảo cùng với địa chỉ IP trên Interface đó. Do đó mà chức năng Proxy ARP rất quan trọng trong việc giúp các Client xác định mạng có sử dụng Router dự phòng.

V.6.4Priority và Preemption của VRRP Router. Một khía cạnh quan trọng của hệ thống dư thừa Router ảo VRRP là độ ưu tiên của Router VRRP. Độ ưu tiên xác định quy tắc cho các Router VRRP hoạt động khi Master Router bị lỗi. Nếu một Router VRRP có địa chỉ IP của Router ảo và địa chỉ IP của Interface vật lý thì Router này sẽ có chức năng là một Master Router ảo. Độ ưu tiên cũng dùng để xác định một Router ảo dự phòng có Priority Number cao hơn sẽ trở thành Master Router ảo thay thế Master Router ảo bị lỗi.

Có thể cấu hình độ ưu tiên của Router ảo dự phòng với giá trị từ 1-254, dùng lệnh vrrp priority.

Ví dụ, nếu Router A là Master Router ảo trong mạng LAN. Khi Router này bị lỗi thì có sự chọn lựa lại một trong các Router ảo dự phòng sẽ lên làm Master Router ảo thay thế. Nếu Router B được cấu hình với độ ưu tiên 101 và Router C là 100 thì Router B sẽ được chọn làm Master Router ảo. Nếu cả Router B và C đều được cấu hình với cùng độ ưu tiên là 100 thì Router ảo dự phòng nào có địa chỉ IP cao hơn sẽ trở thành Master Router ảo.

Mặc định, cơ chế Preempt của VRRP được Enable, điều này cho phép Router ảo nào có độ ưu tiên cao hơn sẽ được chọn làm Master Router ảo ngay lập tức và Master Router có thể trở lại trạng thái Master một lần nữa sau khi bị Down nhưng lại lấy lại được trạng thái cũ. Còn khi Disable cơ chế Preempt (sử dụng lệnh no vrrp preempt) thì Router ảo dù có Priority cao hơn vẫn không thể trở thành Master Router được.

V.6.5VRRP Object Tracking. VRRP Object Tracking cho phép Router VRRP theo dõi đối tượng chỉ định bên trong Router, ví dụ như theo dõi trạng thái Up-Down của các Interface nối với Router. Object Tracking có thể làm thay đổi Priority Number của một Router ảo với một nhóm VRRP chỉ định. Đây là cách để tạo điều kiện cho Router VRRP nào có Priority Number cao hơn trở thành Master Router ảo cho một nhóm.

VRRP Object Tracking là một tiến trình độc lập để tạo, theo dõi và hủy bỏ các đối tượng Track của một Interface. Router VRRP đăng ký Track Object và Track này hoạt động khi trạng thái của Object thay đổi.

Mỗi Track được xác định bởi một con số duy nhất được chỉ định trên giao diện dòng lệnh Command-line Interface. Router VRRP sử dụng số này để theo dõi một đối tượng đã chỉ định.

Tiến trình Track định kỳ thăm dò đối tượng Track và quan tâm đến mọi thay đổi trạng thái của nó. Trạng thái của đối tượng có thể là Up hoặc Down.

VRRP cung cấp một Interface cho tiến trình Track. Mỗi nhóm VRRP có thể có nhiều đối tượng Track được theo dõi mà qua đó làm giảm (hoặc tăng) Priority Number của Router VRRP.

Để cấu hình Object Tracking, sử dụng dòng lệnh: track object-number interface type number {line-protocol | ip routing}.

Từ khoá line-protocol theo dõi trạng thái Up-Down của Interface chỉ định.Từ khoá ip routing cũng kiểm tra định tuyến IP có Enable và Active trên Interface không. Để áp Object Tracking vào cấu hình VRRP, dùng lệnh: vrrp group track object-number ecrement priority>.Lưu ý:

Nếu một nhóm VRRP cấu hình địa chỉ IP ảo là IP Address owner thì Priority của nó đã được cố định là 255 và không thể bị giảm nữa khi có cấu hình Tracking. Đây cũng là một hạn chế của VRRP.

V.6.6ICMP Redirect. Cũng giống như giao thức HSRP thì VRRP cũng được hỗ trợ ICMP Redirect. ICMP là một giao thức Intetầng mạng để cung cấp những gói tin thông điệp tường thuật lỗi xảy ra trên đường truyền. Mục đích là tránh mất mát dữ liệu trên đường truyền và chọn đường dẫn tối ưu nhất.

ICMP Redirect được sử dụng một cách bình thường khi VRRP đang chạy trên một nhóm các Router. Điều này cho phép VRRP được sử dụng trong các mô hình mạng không cân đối.

Địa chỉ IP nguồn của ICMP Redirect là địa chỉ của Host cuối cùng được sử dụng khi thực hiện định tuyến ở bước tiếp theo. Nếu Router VRRP đang hoạt động là trạng thái Master cho các Router ảo chứa địa chỉ không phải của nó thì sau đó nó phải xác định gói tin của Router ảo nào đã được gởi khi chọn địa chỉ Source gởi lại.

Một phương pháp để suy ra Router ảo nào được sử dụng là kiểm tra địa chỉ MAC sẽ đến trong gói tin gởi lại lần nữa.

Chức năng ICMP Redirect rất hữu dụng để Disable Redirect với những trường hợp đặc biệt khi mà VRRP được sử dụng để chia sẻ tải truyền giữa một số các Router trong mô hình mạng đối xứng.V.6.7Bảo mật trong VRRP. VRRP được thiết kế cho các môi trường liên mạng, do đó có thể thực hiện các chính sách bảo mật khác nhau. Giao thức này bao gồm một số phương pháp chứng thực và phương pháp không chứng thực.

Bất kỳ loại chứng thực VRRP nào cũng bao gồm một cơ chế: thiết lập TTL=255 và kiểm tra lúc nhận. Mục đích là nhằm chống lại các gói tin VRRP giả mạo xen vào từ các mạng khác và hạn chế được hầu hết các cuộc tấn công vào mạng nội bộ.

Không chứng thực (No Authentication). Nghĩa là sự trao đổi của các Router VRRP không cần chứng thực. Loại chứng thực này chỉ nên sử dụng trong môi trường ít có xảy ra rủi ro về bảo mật và cấu hình (ví dụ như mạng chỉ có 2 Router). Mật khẩu văn bản đơn giản (Simple Text Password). Sử dụng loại chứng thực này có nghĩa là khi trao đổi các giao thức VRRP được chứng thực bởi một chuỗi Text đơn giản làm Password.

Loại chứng thực này rất hữu dụng để chống lại việc cấu hình bị lỗi của Router trên mạng LAN. Nó nhằm để chống lại việc các Router sử dụng phần mềm VRRP giả mạo không mong muốn làm Router dự phòng. Với Router VRRP mới, đầu tiên nên cấu hình Password Text khi chạy VRRP với Router khác.

Tuy nhiên, loại chứng thực này không chống lại các cuộc tấn công mà mật khẩu có thể được học bởi một Host dò hỏi gói tin VRRP trong mạng LAN. Chứng thực văn bản đơn giản kết hợp với việc kiểm tra TTL làm cho các gói tin VRRP được gởi từ mạng khác khó thâm nhập được hệ thống hoạt động của VRRP.

Để đạt hiệu quả cao nhất người sử dụng cần phải thường xuyên thay đổi Password.

Cấu hình VRRP theo chứng thực MD5 sử dụng Key String. vrrp group authentication md5 key-string 0 / 7> key-string timeout seconds>

Ví dụ:

Chiều dài Key_String có thể lên đến 64 ký tự và ít nhất là 16 ký tự.Key với chỉ định 0 nghĩa là Key không bị mã hoá, chỉ định là 7 nghĩa là Key sẽ bị mã hoá. Khoá chứng thực key-string sẽ mã hoá một cách tự động nếu có cấu hình password-encryption.

Giá trị timeout là thời gian định trước mà Key String cũ chấp nhận cấu hình cho tất cả Router trong một nhóm với Key String mới.

Chú ý: Tất cả Router bên trong nhóm VRRP phải được cấu hình với cùng chuỗi chứng thực. Nếu không cấu hình cùng chuỗi chứng thực thì Router trong nhóm VRRP sẽ không giao tiếp được với nhau và bất cứ Router nào cấu hình bị lỗi sẽ làm thay đổi trạng thái Master của nó. IP Authentication Header. Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP sử dụng một kỹ thuật xác định bởi IP Authentication Header , sử dụng HMAC-MD5-96 với ESP ( English for Specific Purposes – Anh ngữ chuyên ngành). Chúng cung cấp cơ chế bảo vệ khá mạnh nhằm chống lại việc cấu hình bị lỗi, các cuộc tấn công lặp đi lặp lại hay thay đổi các gói tin tấn công.V.6.8VRRP hoạt động trên mạng Ethernet. Để hiểu rõ hoạt động của VRRP trên mạng Etheta xét mô hình sau:

*

Hình V 17: VRRP hoạt động trên mạng Ethernet

Mô hình đang xét có hai Router vật lý là R1 và R2.

R1 có địa chỉ IP: 192.32.15.1 và địa chỉ MAC: 00:00:A2:0B:00:01. R2 là Router dự phòng cho R1.

R2 có địa chỉ IP: 192.32.15.2 và địa chỉ MAC 00:00:A2:BE:D0:03. R1 là Router dự phòng cho R2.

Vì thế sẽ có hai Router ảo là V1 và V2.

Router ảo V1 có địa chỉ IP là IP(V1)=192.32.15.1, VRID là 37, và có địa chỉ MAC VRRP là MAC(V1)=00:00:5E:00:01:25 (VRID 37, Hex 25).

Router ảo V2 có địa chỉ IP là IP(V2)=192.32.15.2, VRID là 73, và có địa chỉ MAC VRRP là MAC(V2)= 00:00:5E:00:01:49 (VRID 73, Hex 49).

Vì thế, Router R1 và R2 sẽ lắng nghe địa chỉ MAC của V1 và V2, và địa chỉ MAC của nó.

Host H1 được cấu hình để sử dụng định tuyến mặc định của IP(V1).

Host H2 được cấu hình để sử dụng định tuyến mặc định của IP(V2).

Lúc này, R1 sẽ là Master của Router ảo V1 vì nó có địa chỉ IP là IP Address owner. R1 sẽ định kỳ gởi thông điệp quảng bá VRRP với địa chỉ Source MAC là địa chỉ VRRP của nó và Destination là địa chỉ MAC Multicast Ethe01:00:5E:00:00:12. R2 dự phòng cho Router ảo V1, nó sẽ lắng nghe một cách bị động bởi việc đăng ký cho địa chỉ MAC Multicast và thực thi máy trạng thái của nó như đã tìm hiểu. Nếu R1 bị lỗi, R2 sẽ đảm nhận nhiệm vụ Master cho V1.

Khi khởi động, Host H1 gởi ARP Request đến địa chỉ IP của R1 (Master cho V1) là 192.32.15.1. R1 sẽ đáp ứng bằng địa chỉ MAC của V1. Sau đó, Host H1 sẽ cập nhật ARP Cache của nó với MAC(V1) này.

Khi Host H1 truyền thông với Host H3 trên một Sukhác thì Host H1 sẽ gởi gói tin với: Địa chỉ Source MAC là MAC(H1). Địa chỉ Destination MAC là MAC(V1). Địa chỉ Source IP là IP(H1). Địa chỉ Destination IP là IP(H3). Router R1 (là Master hiện hành cho V1) sẽ nhận gói tin này và chuyển nó sang các Interface rồi đến đích cuối cùng là Host H3. Nếu R1 bị lỗi thì Router dự phòng của nó là R2 sẽ chuyển sang trạng thái Master thay cho R1 bị lỗi. Trong khi đó, Host H1 vẫn không có bất cứ sự thay đổi nào và gói tin của nó sẽ được chuyển đến Host H3 thông qua R2.

Mọi tiến trình là hoàn toàn giống với Host H2 trong VRID 73.

V.6.9VRRP hoạt động trên FDDI. Không giống như Ethernet, hoạt động của VRRP trên FDDI phức tạp hơn. Khác với Interface trên Ethernet, Interface của FDDI sẽ loại bỏ bất cứ Frame nào mà có địa chỉ MAC là một trong số địa chỉ MAC của nó.

*

Hình V 18: VRRP hoạt động trên FDDI

Với mô hình này thì R1 là Master Router, R1 sẽ gởi các thông điệp quảng bá với VRRP MAC(V1) là địa chỉ Source MAC và VRRP Multicast MAC Address là Destination MAC Address.

Nếu R1 gặp gói này một lần nữa trên Ring, nó sẽ loại bỏ ngay Frame đó khỏi Ring. Dưới điều kiện chịu lỗi nào đó như chịu lỗi vòng, chuyển giao thức, hoặc mất kết nối thì VRRP có thể tạo ra nhiều hơn một Master Router. Trên Ethenếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) thì sẽ có một Master bị loại bỏ. Tuy nhiên, trong FDDI, nếu R1 và R2 cùng đăng ký VRRP MAC Address MAC(V1) và đã Install Virtual Router MAC Address MAC(V1) như là địa chỉ phần cứng trên Interface của nó thì bất kỳ thông điệp quảng cáo nào được gởi bởi R1 mà sử dụng MAC Address MAC(V1) như là địa chỉ nguồn thì sẽ bị R2 loại bỏ và ngược lại, có nghĩa có thể có hơn hai Router làm Master Router.

Để tránh được điều này thì Virtual Router MAC Address MAC (V1) nên thay đổi hơn là thay đổi địa chỉ MAC phần cứng của Interface. Làm được việc này bởi thêm vào một bộ lọc MAC Unicast trong thiết bị FDDI trên các Interface của R1 và R2 . Điều này cho phép Interface FDDI nhận và xử lý MAC(V1) thêm vào địa chỉ MAC FDDI của chúng.

Nếu FDDI không có hỗ trợ bộ lọc MAC trên Interface FDDI thì R1 và R2 phải sử dụng địa chỉ MAC vật lý MAC(R1) hoặc MAC(R2) như là địa chỉ nguồn để trao đổi các thông điệp quảng bá VRRP.

V.7.So sánh hai giao thức VRRP và HSRP.

HSRP là một giao thức của Cisco về dự phòng Router nóng.

VRRP là một giao thức và tiêu chuẩn công nghệ hoạt động trên nhiều Router.

Xem thêm: Từ Nhiều Nghĩa Là Gì, Từ Nhiều Nghĩa _ Tiếng Việt Lớp 5

Đặc tính và chức năng của hai giao thức này rất giống nhau, tuy nhiên cũng có một số mặt khác nhau. Nhưng so sánh sự khác nhau giữa hai giao thức này là không lớn và không thật rõ ràng. Những khoảng tính toán thời gian mặc định VRRP thì nhanh hơn HSRP. VRRP cho phép nhiều địa chỉ IP được gán cùng một lúc, xác định bởi VRID – số định danh của Router ảo, trong khi đó HSRP dùng những nhóm riêng biệt Group Number để thực hiện điều này. VRRP có thể đề nghị sự chứng thực trên nền tảng HMAC như một đặc tính an toàn cũng như sự chứng thực mức mật khẩu mà HSRP sử dụng. HSRP sử dụng sự chứng thực String Password, nếu không xác định thì giá trị mặc định là ‘cisco’. Tổng hợp.

Parameter HSRP VRRP
Protocol và Port UDP port 1985 IP protocol 112
Địa chỉ Virtual MAC 0000.0c07.ac 0000.5e00.01
Địa chỉ Virtual IP User cấu hình User cấu hình
Router gởi Hello Packet khi Active Active và Standby Routers Master Router
Router gởi Hello Packet khi Failure Tất cả Tất cả
Hellotime 3s 1s (Advertisement_Interval)
Holdtime 10s Master_Down_Timer=3*Adv+Skew_Time
Hello Src IP IP của Interface IP của Interface
Hello Src MAC BIA (Standby) Virtual MAC (Active) Virtual MAC
Hello Dst IP 224.0.0.2 (TTL 1) 224.0.0.18 (TTL 255)
Hello Dst MAC 01:00:5e:00:00:02 01:00:5e:00:00:12
Data đến Standby Group: Dst MAC Virtual MAC Virtual MAC
Data từ Standby Group: Src MAC BIA BIA
Máy trạng thái Phức tạp: 6 State, 8 Event Đơn giản: 3 State, 5 Event
Loại thông điệp Ba loại: Hello, Coup, Resign Một loại: Hello

PHẦN III. DEMO ỨNG DỤNG THỰC TẾ

Chuyên mục: Hỏi Đáp