دریافت مقالات

زیرساخت

بررسی پروتکل Virtual Router Redundancy Protocol یا VRRP – قسمت دوم (پایانی)

151  مشاهده ۲۱ بهمن, ۱۳۹۴ 0

در قسمت اول از مقاله ی Virtual Router Redundancy Protocol یا VRRP به معرفی این پروتکل و همچنین نحوه عملکرد آن پرداخته شد. در این قسمت به بررسی VRRP Object Tracking و همچنین نحوه تاثیر آن بر روترهای VRRP می پردازیم.

VRRP Object Tracking چیست؟

Object Tracking فرآیندی مستقل می باشد که ایجاد، مانیتورینگ و حذف Objectهای ردیابی‌شده نظیر وضعیت Line Protocol یک Interface را مدیریت می‌نماید.  پروتکل‌هایی مانند GLBP) Gateway Load Balancing Protocol ،(HSRP) Hot Standby Router Protocol) و VRRP شرایط Object ردیابی‌شده‌ی خاصی را ثبت نموده و هنگامیکه وضعیت یک Object تغییر یافت، وارد عمل می‌گردند.

هر یک از Objectهای ردیابی‌شده با یک شماره‌ی یکتا که روی CLI ردیابی مشخص می‌شود؛ شناسایی خواهد شد. فرآیندهای Clientی، نظیر VRRP از این شماره، جهت ردیابی یک Object خاص استفاده می‌کنند.

فرآیند Tracking، به‌صورت دوره‌ای Objectهای ردیابی‌شده‌ را سرشماری نموده و تک‌تک تغییرات مقادیر را ثبت می‌کند. تغییرات Object ردیابی‌شده بلافاصله و یا بعد از یک تاخیر مشخص، به فرآیندهای Client  مورد نظر ارسال می‌گردد. لازم به ذکر است مقادیر Object ها در صورت هرگونه کاهش و یا افزایش گزارش می‌شوند.

VRRP object tracking از طریق فرآیند Tracking، امکان دسترسی به تمام Objectهای موجود را برای این پروتکل فراهم می‌نماید. این فرآیندِ Tracking، امکان ردیابی تک‌تک Objectها، نظیر وضعیت Line Protocol یک Interface، وضعیت IP Route یا دسترس‌پذیری یک Route را مقدور می‌سازد.

این پروتکل یک واسط کاربری برای فرآیند ردیابی فراهم می‌کند. هر گروه VRRP می‌تواند چند Object را که احتمال می رود بر اولویت روتر VRRP تاثیر بگذارد، ردیابی نماید. در ابتدا تعدادی Object جهت ردیابی مشخص کرده و سپس پروتکل مذکور در مورد هر تغییر در Objectها، مطلع می گردد و به کمک نتایج به دست آمده، اولویت روتر مجازی را بر اساس وضعیت Object ردیابی‌شده افزایش یا کاهش می‌دهد.

نحوه‌ی تاثیر Object Tracking بر اولویت یک روتر VRRP

در صورتی که یک Device برای Object Tracking پیکربندی شده باشد و Object ردیابی‌شده دچار مشکل گردد، اولویت آن ممکن است به‌شکلی پویا تغییر یابد. فرآیند ردیابی به‌صورت دوره‌ای Objectهای ردیابی‌شده‌ را سرشماری نموده و تک‌تک تغییرات مقادیر را ثبت می‌نماید. تغییرات Object ردیابی‌شده بلافاصله و یا بعد از یک تاخیر مشخص به فرآیندهای Clientهای مورد نظر ارسال می‌شود. در ضمن مقادیر Objectها در صورت افزایش یا کاهش، گزارش می‌شوند. نمونه‌های Objectها که قابل ردیابی می باشند عبارتند از وضعیت Line Protocol یک Interface یا دسترس‌پذیری یک IP Route. اگر Object مشخص‌شده از کار بیفتد، اولویت VRRP کاهش می‌یابد. توجه نمایید که روتر VRRP با اولویت بالاتر در صورتی می‌تواند به روتر مجازی اصلی (Master) تبدیل شود که دستور vrrp preempt برای آن پیکربندی شده باشد.

VRRP Authentication

VRRP پیغام‌های احراز هویت نشده را نادیده می‌گیرد. نوع پیش‌فرض Authentication، احراز هویت متنی (Text Authentication) است که می‌توان احراز هویت متنی VRRP را با استفاده از الگوریتم MD5 key string یا MD5 key chain پیکربندی و بهینه سازی نمود. (Message Digest 5 =MD5)

MD5 Authentication امنیت بیشتری نسبت به مدل جایگزین Plain Text Authentication فراهم می‌نماید. MD5 Authentication به هریک از اعضای گروه‌های VRRP اجازه می‌دهد از یک کلید مخفی برای تولید keyed MD5 Hash مربوط به Packetیی که بخشی از Packet خروجی است، استفاده نماید. keyed Hash مربوط به یک Packet ورودی تولید می‌شود و اگر Hash تولیدشده با Hash داخل Packet ورودی تطابق نداشته باشد، این Packet نادیده گرفته می‌شود. کلید مربوط به MD5 Hash را می‌توان مستقیماً در پیکربندی با استفاده از یک سلسله کلید یا غیرمستقیم از طریق یک زنجیره‌ی کلید وارد نمود.

یک روتر، Packetهای ورودی VRRP از روترهایی که برای یک گروه VRRP دارای تنظیمات یکسان ِAuthentication نیستند را  نادیده می‌گیرد. انواع Authentication در زیر اشاره شده است:

  • بدون Authentication
  • Plain Text Authentication
  • MD5 authentication

در موارد زیر Packetهای VRRP توسط روترهای موجود در ساختار نادیده گرفته می شوند:

  • تمهیدات احراز هویت روی روتر، با تمهیدات احراز هویت داخل Packet ورودی تفاوت داشته باشد.
  • Digestهای MD5 روی روتر با Digestهای داخل Packet ورودی تفاوت داشته باشد.
  • Text authentication string روی روتر و داخل Packet ورودی تفاوت داشته باشد.

VRRP

مزایای استفاده از پروتکل VRRP

۱-افزونگی (Redundancy)

این پروتکل شما را قادر به پیکربندی چند روتر به‌عنوان روتر Default Gateway می‌سازد که احتمال وجود Single Point of Failure  در یک شبکه را کاهش می‌دهد.

۲-تقسیم بار (Load Sharing)

این پروتکل را می‌توان به گونه‌ای پیکربندی نمود که ترافیک Client‌های LAN بین چند روتر قابل تقسیم باشد، تا بتوان بار ترافیک را به‌شکلی مناسب بین روترهای موجود تقسیم کرد.

۳-چند روتر مجازی (Multiple Virtual Router)

این پروتکل قابلیت استفاده از حداکثر ۲۵۵ روتر مجازی (گروه‌های VRRP) تحت پلت‌فرمی که از چند آدرس MAC روی یک Interface فیزیکیِ روتر پشتیبانی می نماید، را دارا می باشد. بنابراین به دلیل قابلیت پشتیبانی از چند روتر مجازی، می توان افزونگی و تقسیم بار را در توپولوژی LAN پیاده‌سازی نمود.

۴-قابلیت استفاده از چند IP آدرس

یکی از قابلیت های روتر مجازی آن است که می‌تواند چند IP آدرس را مدیریت نماید که از آن جمله می توان به IP آدرس‌های ثانویه اشاره نمود. بنابراین، اگر چند زیرشبکه را روی یک Ethernet Interface پیکربندی کرده‌اید، می‌توانید VRRP را روی هر یک از زیرشبکه‌ها پیکربندی نمایید.

۵-تقدم (Preemption)

تمهید افزونگی، این پروتکل را قادر می‌سازد تقدم Virtual Router Backup  را که جایگزین یک روتر مجازی اصلی (Virtual Router Master) شده است به یک Virtual Router Backup با اولویت بیشتر که در دسترس قرار گرفته، اختصاص دهد.

۶-احراز هویت (Authentication)

الگوریتم Authentication MD5 از این پروتکل در برابر VRRP-spoofing حفاظت کرده و از الگوریتم استاندارد صنعتی MD5 برای افزایش امنیت آن بهره می برد.

۷-پروتکل اعلان (Advertisement Protocol)

این پروتکل از یک آدرس Multicast استاندارد IANA) Internet Assigned Numbers Authority) مختص به خود (۲۲۴,۰,۰,۱۸) جهت اعلان‌های خود استفاده می‌نماید. این تمهید آدرس‌دهی، باعث کاهش تعداد روترهایی می‌گردد که باید به Multicast‌ها سرویس دهی نمایند. علاوه بر مورد مذکور، به تجهیزات تست اجازه می‌دهد Packetهای روی یک بخش را به‌صورت دقیق شناسایی نماید.

 ــــــــــــــــــــــــــــــــــــــــــــــ

بررسی پروتکل Virtual Router Redundancy Protocol یا VRRP – قسمت اول

بررسی پروتکل Virtual Router Redundancy Protocol یا VRRP – قسمت دوم(پایانی)

جهت مشاوره و کسب اطلاعات بیشتر در مورد این تکنولوژی و یا نیاز به پیاده سازی آن با کارشناسان ما تماس حاصل نمایید.

APK | امن پایه ریزان کارن

مطلب مفید بود؟


?