技術領域

本發明涉及數據通訊領域，具體涉及虛擬路由冗余協議VRRP(VirtualRouter?Redundancy?Protocol)的鑒權方法及仿冒判斷方法。

背景技術

在基于TCP/IP協議的網絡中，為了保證不直接物理連接的設備之間的通信，必須指定路由。目前常用的指定路由的方法有兩種：一種是通過路由協議(比如：內部路由協議RIP和OSPF)動態學習；另一種是靜態配置。在每一個終端都運行動態路由協議是不現實的，大多客戶端操作系統平臺都不支持動態路由協議，即使支持也受到管理開銷、收斂度、安全性等許多問題的限制。因此普遍采用對終端IP設備靜態路由配置，一般是給終端設備指定一個或者多個默認網關(Default?Gateway)。靜態路由的方法簡化了網絡管理的復雜度和減輕了終端設備的通信開銷，但是它仍然有一個缺點：如果作為默認網關的路由器損壞，所有使用該網關為下一跳主機的通信必然要中斷。即便配置了多個默認網關，如不重新啟動終端設備，也不能切換到新的網關。采用虛擬路由冗余協議(Virtual?Router?Redundancy?Protocol，簡稱VRRP)可以很好的避免靜態指定網關的缺陷。

在VRRP協議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運行VRRP的路由器，是物理實體，虛擬路由器是指VRRP協議創建的，是邏輯概念。一組VRRP路由器協同工作，共同構成一臺虛擬路由器。該虛擬路由器對外表現為一個具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個VRRP組中有且只有一臺處于主控角色的路由器，可以有一個或者多個處于備份角色的路由器。VRRP協議使用選擇策略從路由器組中選出一臺作為主控，負責處理ARP(Addree?Require?Protocol，地址請求協議)和轉發IP數據包，組中的其它路由器作為備份的角色處于待命狀態。當由于某種原因主控路由器發生故障時，備份路由器能在幾秒鐘的時延后升級為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對終端使用者系統是透明的。

下面對VRRP協議的基本概念與工作機制做一下簡要介紹：

基本概念：

VRRP組

VRRP組是指配置了相同VRID(Virtual?Router?ID)，并具有相同虛擬地址，工作在一個廣播域內的一組路由器，一般一個VRRP組由兩個或者兩個以上的路由器組成，并且在一個VRRP組中只有一臺設備的VRPP處于主用狀態，其他設備都是處于備用狀態。

VRRP狀態

DISABLE(關閉)狀態：某一VRRP組沒有配置主虛擬IP地址，初始配置處于該狀態；

INITIAL(初始)狀態：某一VRRP組配置了主虛擬IP地址，但其接口Down或沒有接口IP地址。

MASTER(主)狀態：主用VRRP路由器，處于該狀態的路由器具有VRRP虛擬IP地址和虛擬MAC，響應目的為虛擬IP和MAC的請求，并且定時發送VRRP協議報文給其他VRRP設備。

BACKUP(備份)狀態：備份VRRP路由器，該狀態下的路由器接收VRRP報文，如果在一定時間內沒有收到主設備的通告報文，該狀態可以變成MASTER狀態。

PRIORITY(優先級)：VRRP優先級，每一個VRRP路由器都具有自己的優先級(1-255)，并通過該優先級進行主備競選，優先級高的為主用設備。協議規定VRRP組默認優先級為100。

ADVERTISE_TIME(通告時間)：VRRP通告時間，處于主用狀態的VRRP組需要在一個通告時間周期內發送一個通告報文，VRRP協議規定通告時間默認通告時間為1秒。

MASTER_DOWN_TIME(主服務器失效時間)：處于備用狀態的VRRP組，如果在MASTER_DOWN_TIME內沒有收到優先級比自己高的報文，需要把主機切換到主用狀態。MASTER_DOWN_TIME的計算公式如下：

SKEW_TIME＝(255-PRIORITY)/255；

MASTER_DOWN_TIME＝3*ADVERTISE_TIME+SKEW_TIME；

其中SKEW_TIME為協議規定的斜率時間。

VRRP?Track策略：VRRP跟蹤鏈路狀態(接口UP/DOWN，路由，BFD等)，根據鏈路狀態采取一定的動作策略。

VRRP的版本RFC2338種定義了三種鑒權模式，如圖1所示，在AuthType(鑒權類型)字段中來體現簽權模式：