1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個(gè)主要優(yōu)勢:它允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制.并且,不像HSRP那樣要求虛擬路由器不能是其中一個(gè)路由器的ip地址,但是VRRP允許這種情況發(fā)生(如果”擁有”虛擬路由器地址的路由器被建立并且正在運(yùn)行,那么應(yīng)該總是由這個(gè)虛擬路由器管理—等價(jià)于HSRP中的活動(dòng)路由器),但是為了確保萬一失效發(fā)生的時(shí)候終端主機(jī)不必重新學(xué)習(xí)MAC地址,它指定使用的MAC地址00-00-5e-00-01-VRID,這里的VRID是虛擬路由器的ID(等價(jià)于一個(gè)HSRP的組標(biāo)識符).

2.另外一個(gè)不同是VRRP不使用HSRP中的政變或者一個(gè)等價(jià)消息,VRRP的狀態(tài)機(jī)比HSRP的要簡單,HSRP有6個(gè)狀態(tài)(初始(Initial)狀態(tài)，學(xué)習(xí)(Learn)狀態(tài)，監(jiān)聽(Listen)狀態(tài)，對話(Speak)狀態(tài)，備份(Standby)狀態(tài)，活動(dòng)(Active)狀態(tài))和8個(gè)事件, VRRP只有3個(gè)狀態(tài)(初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup))和5個(gè)事件.

3. HSRP有三種報(bào)文，而且有三種狀態(tài)可以發(fā)送報(bào)文：呼叫(Hello)報(bào)文、告辭(Resign)報(bào)文、突變(Coup)報(bào)文. 

VRRP有一種報(bào)文 

VRRP廣播報(bào)文：由主路由器定時(shí)發(fā)出來通告它的存在，使用這些報(bào)文可以檢測虛擬路由器各種參數(shù)，還可以用于主路由器的選舉.

4. HSRP將報(bào)文承載在UDP報(bào)文上，而VRRP承載在TCP報(bào)文上(HSRP 使用UDP 1985端口，向組播地址224.0.0.2 發(fā)送hello消息.)

5.VRRP的安全:VRRP協(xié)議包括三種主要的認(rèn)證方式:無認(rèn)證,簡單的明文密碼和使用 MD5 HMAC ip認(rèn)證的強(qiáng)認(rèn)證.

強(qiáng)認(rèn)證方法使用IP認(rèn)證頭(AH)協(xié)議.AH是與用在IPSEC中相同的協(xié)議,AH為認(rèn)證VRRP分組中的內(nèi)容和分組頭提供了一個(gè)方法. MD5 HMAC 的使用表明使用一個(gè)共享的密鑰用于產(chǎn)生hash值.路由器發(fā)送一個(gè)VRRP分組產(chǎn)生MD5 hash值,并將它置于要發(fā)送的通告中,在接收時(shí),接受方使用相同的密鑰和MD5值,重新計(jì)算分組內(nèi)容和分組頭的hash值,如果結(jié)果相同,這個(gè)消息就是真正來自于一個(gè)可信賴的主機(jī),如果不相同,它必須丟棄,這可以防止攻擊者通過訪問LAN而發(fā)出能影響選擇過程的通告消息或者其他一些方法中斷網(wǎng)絡(luò).

另外,VRRP包括一個(gè)保護(hù)VRRP分組不會被另外一個(gè)遠(yuǎn)程網(wǎng)絡(luò)添加內(nèi)容的機(jī)制(設(shè)置TTL值=255,并在接受時(shí)檢查),這限制了可以進(jìn)行本地攻擊的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.

6.VRRP的崩潰間隔時(shí)間:3*通告間隔+時(shí)滯時(shí)間(skew-time) .

【編輯推薦】

1. 思科認(rèn)證專區(qū)
2. CCNP課堂—PBR+SLA配置實(shí)例
3. CCNP的實(shí)驗(yàn)設(shè)備注意事項(xiàng)