¿Explicación detallada de VRRP?
1. Funcionalmente, VRRP y HSRP son muy similares, pero en términos de seguridad, VRRP tiene una gran ventaja sobre HSRP: permite el establecimiento de un mecanismo de autenticación entre dispositivos que participan en el grupo VRRP. a diferencia de HSRP, eso requiere que el enrutador virtual no pueda ser la dirección IP de uno de los enrutadores, pero VRRP permite que esto suceda (si el enrutador que "posee" la dirección del enrutador virtual está configurado y en funcionamiento, siempre debe ser administrado por ese enrutador virtual (equivalente al enrutador activo HSRP), pero para garantizar que el host final no tenga que volver a aprender la dirección MAC en caso de falla, especifica el uso de la dirección MAC 00-00-5e-00-01- VRID, donde VRID es el ID del enrutador virtual (equivalente a un identificador de grupo HSRP).
2. Otra diferencia es que VRRP no utiliza el golpe o un mensaje equivalente en la máquina de estado de HSRP. VRRP es más simple que el HSRP HSRP tiene 6 estados (estado inicial, estado de aprendizaje, estado de escucha, estado de conversación, estado de espera, estado activo) y 8 eventos, VRRP tiene solo 3 estados (estado inicial (inicialización), estado maestro ( Master), estado de copia de seguridad (Backup)) y 5 eventos.
3. HSRP tiene tres tipos de mensajes y hay tres estados en los que puede enviar llamadas de mensajes (Hola) Mensaje Renuncia (Renuncia) Mensaje Mensaje de mutación (golpe)
VRRP tiene un tipo de mensaje
mensaje de transmisión VRRP: el enrutador principal lo envía periódicamente para anunciar su existencia. Uso Estos paquetes pueden detectar varios parámetros de. el enrutador virtual y también se puede utilizar para la elección del enrutador principal.
4. HSRP transporta el mensaje en paquetes UDP, mientras que VRRP transporta el mensaje en paquetes TCP (HSRP utiliza el puerto UDP 1985 para enviar mensajes de saludo a la dirección de multidifusión 224.0.0.2.)
5. Seguridad VRRP: el protocolo VRRP incluye tres métodos de autenticación principales: sin autenticación, contraseña de texto simple y autenticación segura mediante autenticación IP MD5 HMAC.
El método de autenticación fuerte utiliza el protocolo de encabezado de autenticación IP (AH). es el mismo protocolo utilizado en IPSEC AH proporciona un método para autenticar el contenido y los encabezados de los paquetes VRRP. El uso de MD5 HMAC indica el uso de una clave compartida para generar un valor Hash. El enrutador envía un paquete VRRP para generar un MD5. valor hash y lo coloca en el anuncio que se enviará. Al recibirlo, el destinatario utiliza la misma clave y valor MD5 para volver a calcular el valor hash del contenido del paquete y el encabezado del paquete. Si los resultados son los mismos, el mensaje realmente proviene de un. host confiable. De lo contrario, debe descartarse. Esto evita que los atacantes accedan a la LAN y envíen mensajes de notificación que puedan afectar el proceso de selección o interrumpir la red de alguna otra manera.
Además, VRRP incluye un. mecanismo para proteger los paquetes VRRP de ser agregados por otra red remota (establezca el valor TTL = 255 y verifique la aceptación), lo que limita la mayoría de las fallas que pueden usarse para ataques locales. Por otro lado, el valor TTL utilizado por HSRP en. sus mensajes son 1.
6 Intervalo de falla de VRRP: 3*tiempo de retraso del intervalo de publicidad (tiempo de sesgo)