در قسمت اول از مقاله ی Virtual Router Redundancy Protocol یا VRRP به معرفی این پروتکل و همچنین نحوه عملکرد آن پرداخته شد. در این قسمت به بررسی VRRP Object Tracking و همچنین نحوه تاثیر آن بر روترهای VRRP می پردازیم.
VRRP Object Tracking چیست؟
Object Tracking فرآیندی مستقل می باشد که ایجاد، مانیتورینگ و حذف Objectهای ردیابیشده نظیر وضعیت Line Protocol یک Interface را مدیریت مینماید. پروتکلهایی مانند GLBP) Gateway Load Balancing Protocol ،(HSRP) Hot Standby Router Protocol) و VRRP شرایط Object ردیابیشدهی خاصی را ثبت نموده و هنگامیکه وضعیت یک Object تغییر یافت، وارد عمل میگردند.
هر یک از Objectهای ردیابیشده با یک شمارهی یکتا که روی CLI ردیابی مشخص میشود؛ شناسایی خواهد شد. فرآیندهای Clientی، نظیر VRRP از این شماره، جهت ردیابی یک Object خاص استفاده میکنند.
فرآیند Tracking، بهصورت دورهای Objectهای ردیابیشده را سرشماری نموده و تکتک تغییرات مقادیر را ثبت میکند. تغییرات Object ردیابیشده بلافاصله و یا بعد از یک تاخیر مشخص، به فرآیندهای Client مورد نظر ارسال میگردد. لازم به ذکر است مقادیر Object ها در صورت هرگونه کاهش و یا افزایش گزارش میشوند.
VRRP object tracking از طریق فرآیند Tracking، امکان دسترسی به تمام Objectهای موجود را برای این پروتکل فراهم مینماید. این فرآیندِ Tracking، امکان ردیابی تکتک Objectها، نظیر وضعیت Line Protocol یک Interface، وضعیت IP Route یا دسترسپذیری یک Route را مقدور میسازد.
این پروتکل یک واسط کاربری برای فرآیند ردیابی فراهم میکند. هر گروه VRRP میتواند چند Object را که احتمال می رود بر اولویت روتر VRRP تاثیر بگذارد، ردیابی نماید. در ابتدا تعدادی Object جهت ردیابی مشخص کرده و سپس پروتکل مذکور در مورد هر تغییر در Objectها، مطلع می گردد و به کمک نتایج به دست آمده، اولویت روتر مجازی را بر اساس وضعیت Object ردیابیشده افزایش یا کاهش میدهد.
نحوهی تاثیر Object Tracking بر اولویت یک روتر VRRP
در صورتی که یک Device برای Object Tracking پیکربندی شده باشد و Object ردیابیشده دچار مشکل گردد، اولویت آن ممکن است بهشکلی پویا تغییر یابد. فرآیند ردیابی بهصورت دورهای Objectهای ردیابیشده را سرشماری نموده و تکتک تغییرات مقادیر را ثبت مینماید. تغییرات Object ردیابیشده بلافاصله و یا بعد از یک تاخیر مشخص به فرآیندهای Clientهای مورد نظر ارسال میشود. در ضمن مقادیر Objectها در صورت افزایش یا کاهش، گزارش میشوند. نمونههای Objectها که قابل ردیابی می باشند عبارتند از وضعیت Line Protocol یک Interface یا دسترسپذیری یک IP Route. اگر Object مشخصشده از کار بیفتد، اولویت VRRP کاهش مییابد. توجه نمایید که روتر VRRP با اولویت بالاتر در صورتی میتواند به روتر مجازی اصلی (Master) تبدیل شود که دستور vrrp preempt برای آن پیکربندی شده باشد.
VRRP Authentication
VRRP پیغامهای احراز هویت نشده را نادیده میگیرد. نوع پیشفرض Authentication، احراز هویت متنی (Text Authentication) است که میتوان احراز هویت متنی VRRP را با استفاده از الگوریتم MD5 key string یا MD5 key chain پیکربندی و بهینه سازی نمود. (Message Digest 5 =MD5)
MD5 Authentication امنیت بیشتری نسبت به مدل جایگزین Plain Text Authentication فراهم مینماید. MD5 Authentication به هریک از اعضای گروههای VRRP اجازه میدهد از یک کلید مخفی برای تولید keyed MD5 Hash مربوط به Packetیی که بخشی از Packet خروجی است، استفاده نماید. keyed Hash مربوط به یک Packet ورودی تولید میشود و اگر Hash تولیدشده با Hash داخل Packet ورودی تطابق نداشته باشد، این Packet نادیده گرفته میشود. کلید مربوط به MD5 Hash را میتوان مستقیماً در پیکربندی با استفاده از یک سلسله کلید یا غیرمستقیم از طریق یک زنجیرهی کلید وارد نمود.
یک روتر، Packetهای ورودی VRRP از روترهایی که برای یک گروه VRRP دارای تنظیمات یکسان ِAuthentication نیستند را نادیده میگیرد. انواع Authentication در زیر اشاره شده است:
- بدون Authentication
- Plain Text Authentication
- MD5 authentication
در موارد زیر Packetهای VRRP توسط روترهای موجود در ساختار نادیده گرفته می شوند:
- تمهیدات احراز هویت روی روتر، با تمهیدات احراز هویت داخل Packet ورودی تفاوت داشته باشد.
- Digestهای MD5 روی روتر با Digestهای داخل Packet ورودی تفاوت داشته باشد.
- Text authentication string روی روتر و داخل Packet ورودی تفاوت داشته باشد.
مزایای استفاده از پروتکل VRRP
1-افزونگی (Redundancy)
این پروتکل شما را قادر به پیکربندی چند روتر بهعنوان روتر Default Gateway میسازد که احتمال وجود Single Point of Failure در یک شبکه را کاهش میدهد.
۲-تقسیم بار (Load Sharing)
این پروتکل را میتوان به گونهای پیکربندی نمود که ترافیک Clientهای LAN بین چند روتر قابل تقسیم باشد، تا بتوان بار ترافیک را بهشکلی مناسب بین روترهای موجود تقسیم کرد.
۳-چند روتر مجازی (Multiple Virtual Router)
این پروتکل قابلیت استفاده از حداکثر ۲۵۵ روتر مجازی (گروههای VRRP) تحت پلتفرمی که از چند آدرس MAC روی یک Interface فیزیکیِ روتر پشتیبانی می نماید، را دارا می باشد. بنابراین به دلیل قابلیت پشتیبانی از چند روتر مجازی، می توان افزونگی و تقسیم بار را در توپولوژی LAN پیادهسازی نمود.
۴-قابلیت استفاده از چند IP آدرس
یکی از قابلیت های روتر مجازی آن است که میتواند چند IP آدرس را مدیریت نماید که از آن جمله می توان به IP آدرسهای ثانویه اشاره نمود. بنابراین، اگر چند زیرشبکه را روی یک Ethernet Interface پیکربندی کردهاید، میتوانید VRRP را روی هر یک از زیرشبکهها پیکربندی نمایید.
۵-تقدم (Preemption)
تمهید افزونگی، این پروتکل را قادر میسازد تقدم Virtual Router Backup را که جایگزین یک روتر مجازی اصلی (Virtual Router Master) شده است به یک Virtual Router Backup با اولویت بیشتر که در دسترس قرار گرفته، اختصاص دهد.
۶-احراز هویت (Authentication)
الگوریتم Authentication MD5 از این پروتکل در برابر VRRP-spoofing حفاظت کرده و از الگوریتم استاندارد صنعتی MD5 برای افزایش امنیت آن بهره می برد.
۷-پروتکل اعلان (Advertisement Protocol)
این پروتکل از یک آدرس Multicast استاندارد IANA) Internet Assigned Numbers Authority) مختص به خود (۲۲۴,۰,۰,۱۸) جهت اعلانهای خود استفاده مینماید. این تمهید آدرسدهی، باعث کاهش تعداد روترهایی میگردد که باید به Multicastها سرویس دهی نمایند. علاوه بر مورد مذکور، به تجهیزات تست اجازه میدهد Packetهای روی یک بخش را بهصورت دقیق شناسایی نماید.
ــــــــــــــــــــــــــــــــــــــــــــــ
بررسی پروتکل Virtual Router Redundancy Protocol یا VRRP – قسمت اول
بررسی پروتکل Virtual Router Redundancy Protocol یا VRRP – قسمت دوم(پایانی)