شما اینجا هستید
پروتکل VRRP
Virtual Router Redundancy Protocol یا بهاختصار VRRP، یک پروتکلی است که بهصورت Dynamic، مسئولیت یک یا چند روتر مجازی را به روترهای VRRP روی شبکه LAN میدهد؛ تا امکان وجود چند روتر، روی لینک Multiaccess، جهت بهرهبرداری از همان IP مجازی را فراهم سازد. روتر VRRP بهگونهای پیکربندی میشود که روی پروتکل VRRP، در ترکیب با یک یا چند روتر متصل به شبکهی LAN اجرا گردد. در پیکربندی VRRP، یک روتر بهعنوان روتر مجازیِ اصلی یا Virtual Router Master انتخاب میشود و سایر روترها بهعنوان Backup عمل مینمایند و در صورت خرابیِ روتر Master، بر اساس اولویتهای تعیینشده روترهای Backup بهعنوان روتر Master انتخاب میشوند.
محدودیتهای استفاده از پروتکل VRRP
- VRRP جهت استفاده در شبکههای Ethernet LAN که دارای قابلیت Multiaccess، Multicast و یا Broadcast هستند، طراحیشده است. توجه نمایید که هدف از استفادهی پروتکلVRRP، جایگزینی پروتکلهای داینامیک موجود نمیباشد.
- VRRP در Interfaceهای Ethernet ،Fast Ethernet) ،Bridge Group Virtual Interface (BVI و Gigabit Ethernet و همچنین روی شبکههای VPN،MPLS وVRF_aware MPLS و VLAN قابل پشتیبانی میباشد.
- به دلیل تأخیر در Forwardingهای مربوط به راهاندازی Interfaceهای BVI، باید تایمر اعلان VRRP را روی مقداری بزرگتر یا مساوی Forwarding Delay روی Interface مربوط به BVI قرار داد. این تنظیمات از اینکه روتر Interface، VRRP تازه آغاز به کارکردهی BVI، بدون قید و شرط نقش Master به خود بگیرد، جلوگیری مینماید. جهت تنظیم Forwarding Delayدر Interface مربوط به BVI میتوان از دستور bridgeforward-time و جهت تنظیم تایمر اعلان VRRP از دستور vrrp timers advertise استفاده نمود.
Enhanced Object Tracking( EOT)، قابلیت SSO ندارد و نمیتوان از آن برای VRRP در SSO Modeاستفاده نمود.
چندین روش متفاوت، جهت تعیین نمودنِ اولین Hop در یک Remote Destination خاص، برای یک کاربر در شبکه LAN وجود دارد. جهت انجام این امر،Client میتواند از یک فرآیند Dynamic و یا پیکربندی Static استفاده نماید که در زیر به ارائه مثالهایی جهت پیدا نمودن روترها بهصورت Dynamic میپردازیم:
Proxy ARP :کاربر از پروتکل Address Resolution Protocol) ARP) جهت به دست آوردن مقصد موردنظر استفاده میکند و یک روتر با MAC آدرس خود، به درخواستِ ARP پاسخ میدهد.
Routing Protocol یا پروتکل مسیریابی: کاربر با استفاده از پروتکلهایی مانند Routing Information Protocol یا RIP به بهروزرسانیهای پروتکل مسیریابی پویا گوش میدهد و جدول مسیریابی خود را شکل میدهد.
کلاینت ICMP Router Discovery Protocol(IRDP): کاربر مربوطه، به اجرای یک کلاینت کشف روتر (Internet Control Message Protocol (ICMP میپردازد.
مشکل پروتکلهای کشف پویا یا Dynamic Discovery Protocol آن است که موجب پردازش و پیکربندی سربار، روی Clientهای شبکه میشوند. علاوه بر آن هنگام خرابی روتر، احتمال کندی فرآیند تعویض، به یک روتر دیگر وجود دارد.
یک راهکار جهت جایگزین نمودنِ استفاده از پروتکلهای کشف پویا (Dynamic Discovery)، پیکربندی Static یک روتر پیشفرض روی Client میباشد. ضمن اینکه این جایگزینی، پیکربندی و پردازش کاربر را تسهیل مینماید، اما باعث ایجاد یک Single Point of Failure میگردد. اگر Default Gateway از کار بیفتد، کاربر شبکه به ارتباط روی بخش IP Local شبکه محدودشده و از بقیهی شبکه جدا میگردد.
VRRP میتواند مشکل پیکربندی Static را حل نموده و به یک گروه از روترها، توانایی ایجاد یکVirtual Router را ببخشد. با این کار کاربران شبکه میتوانند باوجود روتر مجازی بهعنوان Default Gateway پیکربندی شوند. روتر مجازی که نمایندهی یک گروه از روترها میباشد بهعنوان یک گروه VRRP نیز شناخته میشود.
Object Tracking فرآیندی مستقل میباشد که ایجاد، مانیتورینگ و حذف Objectهای ردیابی شده نظیر وضعیت Line Protocol یک Interface را مدیریت مینماید. پروتکلهایی مانند GLBP[1] ، HSRP[2] و VRRP شرایط Object ردیابی شدهی خاصی را ثبت نموده و هنگامیکه وضعیت یک Object تغییر یافت، وارد عمل میگردند.
هر یک ازObjectهای ردیابی شده با یک شمارهی یکتا که روی CLI ردیابی مشخص میشود، شناسایی خواهد شد. فرآیندهای Clientی، نظیر VRRP از این شماره، جهت ردیابی یک Object خاص استفاده میکنند.
فرآیند Tracking، بهصورت دورهای Objectهای ردیابی شده را سرشماری نموده و تکتک تغییرات مقادیر را ثبت میکند. تغییرات Object ردیابی شده بلافاصله و یا بعد از یک تأخیر مشخص، به فرآیندهای Client موردنظر ارسال میگردد. لازم به ذکر است مقادیر Object ها در صورت هرگونه کاهش و یا افزایش گزارش میشوند.
VRRP object trackingاز طریق فرآیند Tracking، امکان دسترسی به تمام Objectهای موجود را برای این پروتکل فراهم مینماید. این فرآیندِ Tracking، امکان ردیابی تکتک Objectها، نظیر وضعیت Line Protocol یک Interface، وضعیت IP Route یا دسترسپذیری یک Route را مقدور میسازد.
این پروتکل یک واسط کاربری برای فرآیند ردیابی فراهم میکند. هر گروه VRRP میتواند چند Object را که احتمال میرود بر اولویت روتر VRRP تأثیر بگذارد، ردیابی نماید. در ابتدا تعدادی Object جهت ردیابی مشخص کرده و سپس پروتکل مذکور در مورد هر تغییر درObjectها، مطلع میگردد و به کمک نتایج بهدستآمده، اولویت روتر مجازی را بر اساس وضعیت Object ردیابی شده افزایش یا کاهش میدهد.
نحوهی تأثیر Object Tracking بر اولویت یک روتر VRRP
درصورتیکه یک Device برای Object Tracking پیکربندیشده باشد و Object ردیابی شده دچار مشکل گردد، اولویت آن ممکن است به شکلی پویا تغییر یابد. فرآیند ردیابی بهصورت دورهای Objectهای ردیابی شده را سرشماری نموده و تکتک تغییرات مقادیر را ثبت مینماید. تغییرات Object ردیابی شده بلافاصله و یا بعد از یک تأخیر مشخص به فرآیندهای Clientهای موردنظر ارسال میشود. در ضمن مقادیر Objectها در صورت افزایش یا کاهش، گزارش میشوند. نمونههای Objectها که قابلردیابی میباشند عبارتند از وضعیت Line Protocol یک اینترفیس یا دسترسپذیری یک IP Route .اگر Object مشخصشده از کار بیفتد، اولویت VRRP کاهش مییابد. توجه نمایید که روتر VRRP با اولویت بالاتر در صورتی میتواند به روتر مجازی اصلی (Master) تبدیل شود که دستور vrrp preempt برای آن پیکربندیشده باشد.
VRRP پیغامهای احراز هویت نشده را نادیده میگیرد. نوع پیشفرض Authentication، احراز هویت متنی است که میتوان احراز هویت متنی VRRP را با استفاده از الگوریتم MD5 key string یا MD5 key chain پیکربندی و بهینهسازی نمود.
MD5 Authentication امنیت بیشتری نسبت به مدل جایگزین Plain Text Authentication فراهم مینماید. MD5 Authentication به هریک از اعضای گروههای VRRP اجازه میدهد از یک کلید مخفی برای تولید keyed MD5 Hash مربوط به Packetی که بخشی از Packet خروجی است، استفاده نماید keyed Hash .مربوط به یک Packet ورودی تولید میشود و اگر Hash تولیدشده با Hash داخل Packet ورودی تطابق نداشته باشد، این Packet نادیده گرفته میشود. کلید مربوط به MD5 Hash را میتوان مستقیماً در پیکربندی با استفاده از یک سلسله کلید یا غیرمستقیم از طریق یک زنجیرهی کلید وارد نمود.
یک روتر، Packetهای ورودی VRRP از روترهایی که برای یک گروه VRRP دارای تنظیمات یکسان ِAuthentication نیستند را نادیده میگیرد. انواع Authentication در زیر اشارهشده است:
- بدون Authentication
- Plain Text Authentication
- MD5 Authentication
در موارد زیر Packetهای VRRP توسط روترهای موجود در ساختار نادیده گرفته میشوند:
تمهیدات احراز هویت روی روتر، با تمهیدات احراز هویت داخل Packet ورودی تفاوت داشته باشد.
Digestهای MD5 روی روتر با Digestهای داخل Packet ورودی تفاوت داشته باشد.
Text authentication string روی روتر و داخل Packet ورودی تفاوت داشته باشد.
۱- افزونگی
این پروتکل شما را قادر به پیکربندی چند روتر بهعنوان روتر Default Gateway میسازد که احتمال وجود Single Point of Failure در یک شبکه را کاهش میدهد.
۲-تقسیم بار
این پروتکل میتواند بار ترافیکی موجود را به صورتی مناسب بین روترها تقسیم کند به این معنا که ترافیک Clientهای LAN بین چند روتر تقسیمشده باشد.
۳- چند روتر مجازی
این پروتکل حداکثر ۲۵۵ روتر مجازی را با استفاده از چند آدرس MAC روی یک اینترفس فیزیکی روتر، پشتیبانی میکند.
۴- قابلیت استفاده از چند IP آدرس
یکی از قابلیتهای روتر مجازی آن است که میتواند چند IP آدرس را مدیریت نماید که از آن جمله میتوان به IP آدرسهای ثانویه اشاره نمود. بنابراین، اگرچند زیر شبکه را روی یک Ethernet Interface پیکربندی کردهاید، میتوانید VRRP را روی هر یک از زیر شبکهها پیکربندی نمایید.
۵-تقدم
تمهید افزونگی، این پروتکل را قادر میسازد تقدم Virtual Router Backup را که جایگزین یک روتر مجازی اصلی (Virtual Router Master) شده است به یک Virtual Router Backup با اولویت بیشتر که در دسترس قرارگرفته، اختصاص دهد.
۶-احراز هویت
الگوریتم Authentication MD5 از این پروتکل در برابر VRRP-Spoofing حفاظت کرده و از الگوریتم استاندارد صنعتی MD5 برای افزایش امنیت آن بهره میبرد.
۷-پروتکل اعلان
این پروتکل از یک آدرس Multicast استاندارد (IANA) Internet Assigned Numbers Authority مختص به خود (۲۲۴,۰,۰,۱۸) جهت اعلانهای خود استفاده مینماید . این تمهید آدرسدهی، باعث کاهش تعداد روترهایی میگردد که باید به Multicastها سرویسدهی نمایند. علاوه بر مورد مذکور، به تجهیزات تست اجازه میدهد Packetهای روی یک بخش را بهصورت دقیق شناسایی نماید.