Tìm hiểu VRRP (Virtual Router Redundancy Protocol)

VRRP VRRP (Virtual Router Redundancy Protocol) là một giao thức dư thừa Router ảo, nó không thuộc quyền sở hữu của tác giả nào và được công bố trong RFC 2787, thiết kế ra để làm tăng tính năng sẵn sàng và độ tin cậy của mạng với việc kết hợp các Router làm thành Router ảo với IP làm Default Gateway cho các Host bên trong mạng LAN. Hai hoặc nhiều Router được cấu hình làm Router ảo nhưng chỉ một Router làm chức năng định tuyến thực sự tại một thời điểm. Nếu Router hiện tại đang làm nhiệm vụ định tuyến mà bị lỗi thì Router khác tự động thay thế Router đó ngay. Router làm nhiệm vụ định tuyến được gọi là Master Router, còn các Router khác gọi là Backup Router. VRRP có thể được sử dụng trong mạng Ethernet, MPLS và Token Ring, trong mạng IPv6 cũng đã được phát triển nhưng không tốt lắm. Chức năng của giao thức VRRP cũng giống như HSRP nhưng không được thực thi rộng rãi. Các nhà cung cấp như Nortel Networks, Cisco Systems, Inc, Juniper Networks, Huawei, Foundry Networks và 3Com Corporation, tất cả đều có thể sử dụng giao thức VRRP. VRRP cũng có thể thực thi trong Linux và BSD. HẠN CHẾ CỦA VRRP Cũng giống như giao thức HSRP, mặc dù VRRP được thiết kế để sử dụng cho Multiaccess, Multicast, hoặc Broadcast trên mạng Ethernet LANs nhưng nó không thể thay thế cho những giao thức định tuyến động hiện tại được. ƯU ĐIỂM Ưu điểm của việc sử dụng VRRP là có thể đạt được tính sẵn sàng cao vì thiết lập đường dẫn mặc định mà không yêu cầu cấu hình định tuyến động hoặc các giao thức tìm ra Router trên mỗi Host cuối cùng. CÁC THUẬT NGỮ SỬ DỤNG VRRP Router : Là Router mà sử dụng giao thức VRRP mà tham gia trong một hoặc nhiều Router ảo. Virtual Router: Là một Router trừu tượng hoạt động như một Router mặc định cho các Host trên một LAN chia sẻ. Nó bao gồm một định danh Router ảo (VRID) và một bộ các địa chỉ IP kết hợp. Router VRRP có thể dự phòng cho một hoặc nhiều Router ảo. IP Address Owner: Router VRRP mà có các địa chỉ IP của Router ảo như là các địa chỉ trên Interface thực. Đó là Router mà khi Up lên nó đáp ứng các gói tin đã địa chỉ hoá đến một hoặc nhiều địa chỉ IP. Primary IP Address: Là một địa chỉ IP được chọn từ các địa chỉ Interface thực (luôn luôn chọn địa chỉ đầu tiên). Các thông điệp quảng bá VRRP khi gởi luôn sử dụng Primary IP address làm địa chỉ nguồn của gói tin IP. Virtual Router Master: Là Router VRRP mà có nhiệm vụ chuyển các gói tin tới địa chỉ IP kết hợp với Router ảo và đáp ứng các request ARP cho các địa chỉ này. Chú ý rằng nếu Router có IP address owner thì ngay lập tức nó sẽ trở thành Master. Virtual Router Backup: Là một nhóm các Router VRRP mà có nhiệm vụ đảm nhận vai trò Master nếu Master hiện hành bị lỗi. Virtual Router MAC Address: Là địa chỉ MAC 00-00-5E-00-01-XX với XX là ID của Router ảo (VRID). Mỗi Router ảo là khác nhau trên mạng. Địa chỉ này được sử dụng chỉ bởi một Router vật lý tại một thời điểm, và đó cũng là cách để các Router vật lý khác xác định Master Router bên trong Router ảo. VRRP cung cấp các tính năng: Dư thừa: VRRP cho phép cấu hình đa Router như Default Gateway Router, nó sẽ làm giảm khả năng của một Router đơn chịu lỗi trên mạng. Chia sẻ tải: Tải được chia sẻ cho nhiều Router. Đa Router ảo: VRRP có thể hỗ trộ lên đến 255 Router ảo trên một giao diện vật lý của Router và hỗ trợ đa địa chỉ MAC. Việc hỗ trợ đa Router ảo cho phép thực thi dư thừa và chia sẻ tải trong mô hình mạng LAN. Đa địa chỉ IP: Router ảo có thể quản lí đa địa chỉ IP, bao gồm cả địa chỉ IP thứ cấp. Vì thế, nếu có nhiều Subnet cấu hình trên một giao diện Ethernet thì có thể cấu hình VRRP trên mỗi Subnet. Độ ưu tiên: Nếu Master Router ảo bị lỗi thì Router ảo dự phòng nào có độ ưu tiên cao hơn sẽ trở thành Master Router ảo mới thay thế cho Master Router ảo bị lỗi. Chứng thực: Dùng chứng thực sử dụng thuật toán MD5 để chống lại các phần mềm giả mạo VRRP nhằm nâng cao tính tin cậy và bảo mật cho hệ thống. Giao thức quảng bá: VRRP sử dụng địa chỉ Multicast 224.0.0.18 cho các thông điệp quảng bá nhằm làm giảm số Router phục vụ cho các địa chỉ Multicast và cho phép kiểm tra chính xác mã của các gói tin VRRP. Tổ chức IANA đã gán cho VRRP số giao thức IP là 112. VRRP Object Tracking VRRP object tracking là cách để Router VRRP trở thành Master Router ảo cho một nhóm bởi việc thay đổi Priority của đối tượng Track. VRRP Router Priority và Preemption Một khía cạnh quan trọng của hệ thống dư thùa VRRP là độ ưu tiên của Router VRRP. Độ ưu tiên xác định quy tắc cho mỗi Router VRRP hoạt động nếu Master Router bị lỗi. Nếu một Router VRRP có địa chỉ IP của Router ảo và địa chỉ IP của Interface vật lý thì Router này sẽ có chức năng là một Master Router ảo. Độ ưu tiên cũng xác định nếu một Router ảo dự phòng có Priority cao hơn sẽ trở thành Master Router ảo mới thay thế Master Router ảo bị lỗi. Có thể cấu hình độ ưu tiên của Router ảo dự phòng với giá trị từ 1 đến 254 dùng lệnh vrrp priority. Ví dụ, nếu Router A là Master Router ảo trong mạng LAN. Khi Router này bị lỗi thì có sự chọn lựa một trong các Router ảo dự phòng sẽ làm Master Router ảo. Nếu Router B được cấu hình với độ ưu tiên 101 và C là 100 thì Router B có độ ưu tiên cao hơn nên sẽ được chọn làm Master Router ảo. Nếu cả Router B và C đều được cấu hình với cùng độ ưu tiên là 100 thì Router ảo dự phòng nào có địa chỉ IP cao hơn sẽ trở thành Master Router ảo. Mặc định, khi enable cơ chế Preempt thì cho phép Router ảo dự phòng nào có độ ưu tiên cao hơn nên sẽ được chọn làm Master Router ảo. Còn khi disable cơ chế Preempt sử dụng lệnh no vrrp preempt thì Router ảo dự phòng được chọn làm Master Router ảo vẫn duy trì trạng thái Master cho đến khi Master Router ảo gốc khôi phục được và trở về trạng thái Master lần nữa. Thông điệp quảng bá VRRP Master Router ảo gởi những thông điệp quảng bá VRRP tới các Router VRRP khác trong cùng 1 nhóm. Những thông điệp quảng bá này truyền đạt độ ưu tiên và tình trạng của Master Router ảo. Các thông điệp quảng bá VRRP sẽ được đóng gói trong IP packet và gởi tới địa chỉ Multicast IPv4 được gán đến nhóm VRRP. Các thông điệp quảng bá này gởi mặc định mỗi giây. Khoảng thời gian này có thể cấu hình. VRRP Object Tracking VRRP Object Tracking cho phép Router VRRP theo dõi đối tượng chỉ định bên trong Router mà có thể làm thay đổi Priority của một Router ảo cho một nhóm VRRP. Nó là cách để Router VRRP trở thành Master Router ảo cho một nhóm bởi việc thay đổi Priority VRRP của đối tượng Track. VRRP Object Tracking là một tiến trình độc lập để tạo, theo dõi và huỷ bỏ các đối tượng Track của một Interface. Router VRRP đăng ký Track và hoạt động khi trạng thái của đối tượng thay đổi. Mỗi Track được xác định bởi một số duy nhất được chỉ định trên giao diện dòng lệnh Track ( Command-line Interface (CLI)). Router VRRP sử dụng số này để Track một đối tượng đã chỉ định. Tiến trình Track định kỳ thăm dò đối tượng Track và quan tâm đến mọi thay đổi giá trị của nó. Giá trị của đối tượng lúc này có thể Up hoặc Down. VRRP object Tracking giúp VRRP truy cập tất cả các đối tượng đã đăng ký thông qua tiến trình Track. VRRP cung cấp một Interface cho tiến trình Track. Mỗi nhóm VRRP có thể Track nhiều đối tượng mà qua đó làm tăng (hoặc giảm) Priority của Router VRRP. Có thể chỉ định object number được Track và VRRP sẽ được thông báo bởi bất cứ sự thay đổi nào của đối tượng. Để cấu hình chức năng tracking, sử dụng dòng lệnh: track object-number interface type number {line-protocol | ip routing} Ví dụ: Router(config)# track 2 interface serial 6 line-protocol Cấu hình một Interface để Track thì khi có thay đổi nào trong trạng thái của Interface sẽ làm thay đổi Priority của nhóm VRRP. • Lệnh này cấu hình Interface và số đối tượng thích hợp để sử dụng lệnh vrrp track. • Từ khoá line-protocol Track nếu Interface Up. Từ khoá ip routing cũng kiểm tra định tuyến IP enabled và Active trên Interface. • Cũng có thể sử dụng lệnh track ip route để theo dõi khả năng đến được của một định tuyến IP. Lệnh VRRP để cấu hình Track: vrrp group track object-number [decrement priority]. Ví dụ: Router(config-if)# vrrp 1 track 2 decrement 15 Hạn chế Nếu một nhóm VRRP là IP address owner, Priority của nó được cố định là 255 và không thể bị giảm thông qua đối tượng Tracking. CÁC ĐẶC TÍNH YÊU CẦU 2.1. Dư thừa địa chỉ IP Dư thừa địa chỉ IP là một chức năng chính của VRRP nhằm cung cấp việc chọn lựa Master Router ảo và đạt được một số điều sau: - Giảm thời gian bị lỗi của Router. - Băng thông luôn ổn định. - Các kỹ thuật đa truy cập có khả năng hỗ trợ dư thừa IP. - Cân bằng tải. - Hỗ trợ đa Subnet IP logic trên một phân đoạn LAN đơn. 2.2. Chỉ định đường dẫn ưu tiên hơn (Preferred Path Indication) Khi một Router dự phòng có độ ưu tiên bằng với các Router dự phòng khác mà được chọn làm Master Router thì có thể được xem xét trên các phương diện trực giác như giá, tốc độ, khả năng thực thi, độ tin cậy và các chính sách bảo mật. 2.3. Giảm đến mức thấp nhất các dịch vụ không cần thiết Khi một Master Router thực thi thì hạn chế đến mức thấp nhất sự chuyển trạng thái giữa Master và Backup. Tức là khi Master Router đang hoạt động tốt thì không có Router dự phòng nào có độ ưu tiên bằng hoặc nhỏ hơn thay thế Master Router hiện hành. 2.4 Nâng cao tính bảo mật Chứng thực trong VRRP yêu cầu cấu hình đơn giản và cung cấp được nhiều chính sách bảo mật rất mạnh. Hơn nữa, nó cho phép tích hợp các cơ chế bảo mật mới. HOẠT ĐỘNG VRRP ra đời để giải quyết các khó khăn khi Client sử dụng giao thức tìm kiếm động và cấu hình tĩnh. Các Router VRRP được xem là một nhóm dự phòng, chia sẻ nhiệm vụ chuyển tiếp các gói tin nếu chúng có địa chỉ Default Gateway cấu hình là địa chỉ IP dự phòng. Tại một thời điểm, chỉ có một Router VRRP hoạt động với vai trò là Master Router, còn các Router khác hoạt động với vai trò dự phòng. Và chỉ có Master Router ảo mới gởi các thông điệp quảng bá VRRP định kỳ. Router ảo dự phòng không giành quyền Master cho dù Priority của nó cao hơn. Chỉ có một ngoại lệ là Router VRRP sẽ trở thành Master nếu có địa chỉ IP kết hợp Router ảo. Nếu Master Router bị lỗi thì Router ảo dự phòng nào có Priority cao nhất sẽ chuyển sang Master trong một thời gian ngắn giúp gián đoạn dịch vụ một cách nhỏ nhất. VRRP được hỗ trợ trên Ethernet, Fast Ethernet, BVI, giao diện Gigabit Ethernet , MPLS, VPNs và VLANs. Các mô hình hoạt động Cấu hình đa Router VRRP như là một Router Default Gateway để làm giảm khả năng một Router đơn chịu lỗi trên mạng. Trong mô hình này, Router ảo được cấu hình là địa chỉ IP của giao diện Ethernet vật lý của Router A (10.0.0.1) nên Router A được gọi là Master Router ảo (virtual Router master) và địa chỉ IP của nó được gọi là IP address owner.Vì là Master Router ảo nên Router A giám sát địa chỉ IP của Router ảo và có nhiệm vụ chuyển tiếp các gói tin gởi đến địa chỉ IP này. Các Client từ 1 đến 3 được cấu hình với địa chỉ Default Gateway là 10.0.0.1. Router B và C lúc này có chứa năng là các Router ảo dự phòng (Virtual Router Backup). Nếu Master Router ảo bị lỗi thì Router ảo dự phòng nào có độ ưu tiên cao hơn sẽ trở thành Master Router ảo. Mô hình chia sẻ tải Ở đây VRRP được cấu hình để Router A và B chia sẻ lưu lượng thông tin đến và đi từ Client 1 tới 4. Router A và B hoạt động như những Router ảo dự phòng cho nhau nếu Router kia bị lỗi. Đối với Router ảo 1, Router A là chủ của địa chỉ IP 10.0.0.1 và Master Router ảo. Còn Router B sẽ là Router ảo dự phòng cho Router A. Các Client 1 và 2 được cấu hình với địa chỉ IP deflaut gateway là 10.0.0.1. Đối với Router ảo 2, Router B là chủ của địa chỉ IP 10.0.0.2 và Master Router ảo. Còn Router A sẽ là Router ảo dự phòng cho Router B. Các Client 3 và 4 được cấu hình với địa chỉ IP deflaut gateway là 10.0.0.2. ? XÉT HOẠT ĐỘNG CỦA CÁC ROUTER VRRP TRÊN MẠNG WAN Mô tả hoạt động của các Router như sau: - Router rA là Master của Router ảo VRID1, và là Backup cho VRID3. Nó sẽ định tuyến các gói tin được địa chỉ hoá đến địa chỉ IP của VRID1, và sẵn sàng đảm nhận vai trò định tuyến cho VRID3. - Router rB là Master là của Router ảo VRID3, và Backup cho VRID1. Lúc này, nó định tuyến các gói tin được địa chỉ hoá đến địa chỉ IP của VRID3, và sẵn sàng đảm nhận vai trò định tuyến cho VRID1. - Router rC không có chức năng VRRP, nhưng sử dụng địa chỉ IP của VRID3 to reach the Client LAN subnet. - Router rD là Master của VRID2. Router rF là Master của VRID5. Router rE là Backup cho cả hai VRID này. Nếu rD hoặc rF lỗi, rE sẽ trở thành Master cho VRID đó. Thực tế, cả rD và rF có thể bị lỗi cùng lúc, thực tế là một Router VRRP là Master cho một VRID thì có thể Master cho cho VRID khác. - Router rG là cổng WAN cho mạng trục chính của LAN. Tất cả các Router gắn vào mạng này có thể chia sẻ thông tin định tuyến với các Router trên WAN sử dụng giao thức định tuyến động như OSPF. Nhưng VRRP không hoạt động giống như vậy, mặc dù Router rC sẽ quảng bá mà đường dẫn đến Subnet của Client LAN theo đường của VRID3. - Router rH là Master của VRID10, và Backup cho VRID11. Tương tự, Router rJ là Master cho VRID11 và Backup cho VRID10. Đó là VRRP cấu hình chia sẻ tải truyền, và minh hoạ cho đa VRID có thể tồn tại trên một Interface Router đơn. VRRP có thể sử dụng như một phần của mạng mà cung cấp hầu hết định tuyến dư thừa cho tất cả hệ thống trên mạng. ĐỊNH DẠNG GÓI TIN VRRP 00 01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 Version Type Virtual Rtr ID Priority Count IP Addrs Auth Type Adver Int Checksum IP Address (1) … … … IP Address (n) Authentication Data (1) Authentication Data (2) 5.2 Mô tả các trường trong IP Header 5.2.1 Source Address Là địa chỉ nguồn của giao diện mà gói tin đã được gởi. 5.2.2 Destination Address Địa chỉ Multicast IP được IANA gán cho VRRP là: 224.0.0.18. Đó là địa chỉ Multicast có phạm vi liên kết cục bộ. 5.2.3 TTL TTL phải được thiết lập là 255. Một Router VRRP khi nhận một gói tin mà TTL không bằng 255 thì phải loại bỏ gói này. 5.2.4 Protocol IANA gán số IP Protocol cho VRRP là 112 (hệ 10). 5.3 Mô tả các trường trong gói tin VRRP 5.3.1. Version Trường version xác định phiên bản của giao thức VRRP. 5.3.2. Type Trường Type xác định loại của gói tin VRRP. Chỉ có một loại gói tin được xác định trong phiên bản này là: 1: Thông điệp quảng bá. Một gói tin mà không xác định loại phải bị bỏ đi. 5.3.3. Virtual Rtr ID (VRID). Trường Virtual Router Identifier – VRID là trường xác định ID của Router ảo. Có thể cấu hình các số trong dãy 1à255 (hệ 10). Không có giá trị mặc định. 5.3.4. Priority : 8 bits nguyên không dấu Trường Priority xác định độ ưu tiên của Router VRRP. Giá trị Priority của Router VRRP mà có địa chỉ IP kết hợp với Router ảo phải bằng 255. Các Router dự phòng trong các Router ảo phải có giá trị Priority trong khoảng 1à254. Giá trị Priority mặc định cho các Router dự phòng là 100. Giá trị Priority Zero (0) có nghĩa là Master Router hiện hành đã ngừng tham gia trong VRRP. Việc này giúp cho các Router dự phòng nhanh chóng chuyển thành Master Router mà không cần chờ cho đến khi Master Router hiện hành bị timeout. 5.3.5. Count IP Addrs Số của các địa chỉ IP chứa trong gói tin quảng bá VRRP. 5.3.6. Authentication Type Trường Authentication Type xác định phương thức chứng thực được sử dụng. Authentication Type là duy nhất trên Router ảo. Trường Authentication Type là một số nguyên không dấu 8 bits. Một gói không xác định được Authentication Type hoặc không đúng với phương pháp chứng thực đã cấu hình phải bị bỏ đi. Các phương pháp chứng thực được xác định: Authentication type Miêu tả 0 No Authentication 1 Reserved 2 Reserved 6.1. Authentication Type 0 - No Authentication Khi sử dụng loại chứng thực này nghĩa là sự trao đổi giao thức VRRP đã không được chứng thực. Nội dung của trường Authentication Data sẽ được thiết đặt là 0 trên đường truyền và bỏ qua khi nhận. 6.2. Authentication Type 1 - Reserved Loại chứng thực này được lưu giữ để duy trì việc lùi lại để có khả năng tương thích với RFC 2338. 6.3. Authentication Type 2 - Reserved Giống như Authentication Type 1. 7. Advertisement Interval (Adver Int) Khoảng thời gian quảng bá là khoảng thời gian gởi các quảng bá được tính bằng giây. Mặc định là 1 giây. Chúng được sử dụng để gỡ rối khi cấu hình các Router bị lỗi. 8. Checksum Trường Checksum được sử dụng để dò tìm dữ liệu bị lỗi trong thông diệp VRRP. Khởi tạo trường Checksum được thiết lập bằng zero. 9. IP Address(es) Một hoặc nhiều địa chỉ IP kết hợp với Router ảo. Số địa chỉ này được đặt trong một trường đặc biệt là “Count IP Addrs”. Những trường này được sử dụng để gỡ rối các Router đã cấu hình bị lỗi. 10. Authentication Data Nhận dạng dữ liệu hiện tại chỉ được sử dụng để duy trì sự quay lui để tương thích với RFC 2338. Phải thiết lập bằng zero (0) khi truyền và bỏ qua khi nhận. 6. Máy trạng thái giao thức (Protocol State Machine) 6.1 Các tham số (Parameters) 6.1.1 Các tham số trên Interface (Parameters per Interface) Authentication_Type: Loại chứng thực đang được sử dụng đã được miêu tả trong định dạng gói tin VRRP. Authentication_Data: Dữ liệu chứng thực xác định loại chứng thực đang được sử dụng. 6.1.2 Các tham số trên Router ảo: VRID: định danh Router ảo được cấu hình trong khoảng 1-255 (hệ 10). Không có cấu hình mặc định. Priority: Giá trị ưu tiên được sử dụng để lựa chọn làm Master Router VRRP cho Router ảo. Giá trị 255 (hệ 10) được dành cho Router mà có địa chỉ IP kết hợp với Router ảo. Giá trị 0 (zero) được dành cho Master Router hiện hành chỉ ra rằng nó đã ngừng tham gia trong VRRP. Được sử dụng để Router dự phòng nhanh chóng chuyển sang trạng thái Master mà không cần đợi Master Router hiện hành timeout. Khoảng giá trị 1-254 (hệ 10) thì có sẵn để các Router VRRP dự phòng cho Router ảo. Giá trị mặc định là 100 (hệ 10). IP_Addresses: Là một trong nhiều địa chỉ IP kết hợp với địa chỉ IP của Router ảo. Mục này phải được cấu hình không có mặc định. Advertisement_Interval Time: Là khoảng thời gian giữa các thông điệp quảng bá. Được tính bằng giây và mặc định là 1 giây. Skew_Time: thời gian để làm lệch khoảng thời gian bị down của Master. Công thức để tính toán là: ( (256 - Priority) / 256 ). VRRP sử dụng Skew Time để các Router dự phòng không chuyển sang trạng thái Master trong cùng thời điểm. Skew Time cũng đảm bảo rằng các Router dự phòng có Priority cao hơn thì có nhiều khả năng trở thành Master Router hơn các Router dự phòng có Priority nhỏ hơn. Giá trị Skew Time được dùng để tính toán Master down interval. Khi Skew Time giảm thì Priority sẽ tăng. Cũng có nghĩa rằng các Router có Priority thấp hơn thì sẽ có Master down interval dài hơn, và cũng lâu nhận các thông điệp quảng bá hơn. Do đó, Router dự phòng có Skew Time nhỏ hơn thì có khả năng chuyển sang trạng thái Master cao hơn. Master_Down_Interval: là khoảng thời gian để Router dự phòng xác định Master Router bị down. Công thức tính: (3 * Advertisement_Interval) + Skew_time Preempt_Mode: điều khiển để Router dự phòng có độ ưu tiên cao hơn sẽ giành quyền Master Router có độ ưu tiên thấp hơn. Giá trị True : cho phép giành quyền. Giá trị False: cấm giành quyền. Mặc định là True. Chú ý: Ngoài lệ, Router có địa chỉ IP kết hợp với Router ảo thì luôn luôn giành quyền. 6.2 Định thời (Timers) Có hai khoảng thời gian quan trọng trong VRRP là: Master_Down_Timer và Adver_Timer. Master_Down_Timer : Là khoảng thời gian mà Master Router sẽ Down khi không nhận được gói tin quảng bá từ Master_Down_Interval. Adver_Timer : Thời gian để khởi tạo việc gởi các thông điệp quảng bá dựa trên Advertisement_Interval. Trong đó: Advertisement_interval: Là khoảng thời gian giữa các thông điệp quảng bá. Và Master_Down_Interval: là khoảng thời gian để Router dự phòng xác định Master Router bị down. 6.3 Sơ đồ chuyển tiếp trạng thái Initialize à Master à Backup 6.4 Mô tả trạng thái Tên trạng thái được nhận biết bởi state-name và các gói được nhận biết bởi các kí tự chữ hoa. Router VRRP thực thi một trường hợp của máy trạng thái cho mỗi