VRRP與HSRP的區別

VRRP是國際通用的冗餘備份協議，HSRP是cisco私有的冗餘備份協議，兩則實現的功能差不多，但是細節上還是有一定的區別。..........[@more@]

1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP對HSRP的一個主要優勢:它允許參與VRRP組的裝置間建立認證機制.並且,不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址,但是VRRP允許這種情況發生(如果”擁有”虛擬路由器地址的路由器被建立並且正在執行,那麼應該總是由這個虛擬路由器管理—等價於HSRP中的活動路由器),但是為了確保萬一失效發生的時候終端主機不必重新學習MAC地址,它指定使

用的MAC地址00-00-5e-00-01-VRID,這裡的VRID是虛擬路由器的ID(等價於一個HSRP的組識別符號).

2.另外一個不同是VRRP不使用HSRP中的政變或者一個等價訊息,VRRP的狀態機比HSRP的要簡單,HSRP有6個狀態(初始(Initial)狀態，學習(Learn)狀態，監聽(Listen)狀態，對話(Speak)狀態，備份(Standby)狀態，活動(Active)狀態)和8個事件, VRRP只有3個狀態(初始狀態(Initialize)、主狀態(Master)、備份狀態(Backup))和5個事件.

3. HSRP有三種報文，而且有三種狀態可以傳送報文 呼叫(Hello)報文 告辭(Resign)報文 突變(Coup)報文

VRRP有一種報文
VRRP廣播報文：由主路由器定時發出來通告它的存在，使用這些報文可以檢測虛擬路由器各種引數，還可以用於主路由器的選舉。

4. HSRP將報文承載在UDP報文上，而VRRP承載在TCP報文上(HSRP 使用UDP 1985埠，向組播地址224.0.0.2 傳送hello訊息。)

5.VRRP的安全:VRRP協議包括三種主要的認證方式:無認證,簡單的明文密碼和使用 MD5 HMAC ip認證的強認證.

強認證方法使用IP認證頭(AH)協議.AH是與用在IPSEC中相同的協議,AH為認證VRRP分組中的內容和分組頭提供了一個方法. MD5 HMAC 的使用表明使用一個共享的金鑰用於產生hash值.路由器傳送一個VRRP分組產生MD5 hash值,並將它置於要傳送的通告中,在接收時,接受方使用相同的金鑰和MD5值,重新計算分組內容和分組頭的hash值,如果結果相同,這個訊息就是真正來自於一個可信賴的主機,如果不相同,它必須丟棄,這可以防止攻擊者透過訪問LAN而發出能影響選擇過程的通告訊息或者其他一些方法中斷網路.

另外,VRRP包括一個保護VRRP分組不會被另外一個遠端網路新增內容的機制(設定TTL值=255,並在接受時檢查),這限制了可以進行本地攻擊的大部分缺陷.而另一方面,HSRP在它的訊息中使用的TTL值是1.

6.VRRP的崩潰間隔時間:3*通告間隔+時滯時間(skew-time)