五、HSRP存在的问题
---- 对于在HSRP协议,最大的问题是没有提供安全防护,在一个局域网内部,通过发送虚假的UDP多播数据包很容易对局域网中的路由器实施攻击,导致数据包黑洞(Packet Black Hole)和拒绝服务攻击(Denial-of-Service Attack)。一般无法从一个局域网的外部实施攻击,因为大多数路由器都不转发目的地址为所有路由器的多播地址(224.0.0.2)。
---- HSRP只是实现了路由器的平滑切换,使用户感觉不到这种切换,保证了网络的稳定性。但是,一个HSRP组内的路由器不能互通它们的其他网络配置信息,例如访问控制列表等。所以在管理实施管理时,为了保证一致性,必须对它们进行相同的修改,增加了管理的复杂性,这也许是为了提高性能而付出的代价吧。
---- 操作码: 用来描述数据包中报文的类型,可能的值为0、1和2,如表1所示。
---- 版本: 指示HSPR的版本信息。
状态: 描述发出该报文的路由器的当前状态。在一个热等待组内的所有路由器都运行着这样的状态机,有以下6种状态,见表2。
---- 呼叫时间: 只在呼叫报文中有意义,表示路由器定时发送呼叫报文的间隔时间,以秒为单位。如果该参数没有在路由器上配置,它可能要从活动路由器上学习获得。如果没有配置也没有学习,那么建议使用缺省值3。
---- 保持时间: 只在呼叫报文中有意义,被接收路由器用来判断该呼叫报文是否合法,单位为秒,其值至少是呼叫时间的3倍。如果该参数没有配置,也同样可以从活动路由器上学习。活动路由器不能从等待路由器学习呼叫时间和保持时间,它只能继续使用从先前的活动路由器学习来的该值。建议的缺省值为10。
---- 优先级: 该参数用来选择活动和等待路由器,2个具有不同优先级的路由器,优先级高的将成为活动路由器。2个具有相同优先级的路由器,IP地址高的将成为活动路由器。
---- 组: 用来标记路由器所在的热等待组。对令牌环类型的网络,合法的值是0、1和2,对于其他类型的网络,合法值是0~255。
---- 认证码: 包括8个明文的字符作为密码,如果没有配置,缺省值为0×63 0×69 0×73 0×63 0×6F 0×00 0×00 0×00。
---- 虚拟IP地址: 4个8位组,用来指定本热等待组的虚拟IP地址,它可以是从活动路由器的呼叫报文中学习来的。如果没有配置该地址,并且呼叫报文是需要认识的,那么只能通过活动路由器学习。
---- 在配置路由器或路由交换模块(Route Switch Module,RSM)时需要为上述字段赋值
上一页 [1] [2] |
