Cisco热备份路由协议（HSRP）

　　6.2   地址过滤器

　　正如前面所提到的，路由器正在以它们的组的MAC地址和IP地址仿效着一个虚路由器。MAC地址理论上是由路由器的端口控制器的一个地址过滤器或MAC地址列表来提供的。这对于路由器来说，在维护它们的主MAC地址时增加一个或多个虚MAC地址到它们的控制器的MAC地址过滤器中是非常理想的。

　　不幸的是，有些端口控制器只支持一个unicastMAC地址的地址过滤器。或者说，在令牌环网络中，那些应由HSRP所使用的功能性地址已经被其他协议所占用了。这种情况下，这些路由器仍旧能够执行HSRP，但当路由器假设或放弃作为活路由器进行控制时，HSRP必定改变端口的主MAC地址。

　　这就存在着一些潜在的问题，因为有些传输可能会希望使用路由器的主MAC地址。但问题也许会因为路由器发送那些无端的ARP包来回答它没有运行HSRP的IP地址来减轻。

　　尽管如此，其他网络实体也应该在使用IP时通过刷新ARP表来反映路由器当前正使用的是组的虚MAC地址，而不是它的主MAC地址。

　　有些协议也许因为端口主MAC地址的改变而不能与备份协议同时运行。举例说，DECnet IV和HSRP就不会同时运行在同一台设备上。

　　6.3 ICMP重定向

　　当运行HSRP时，防止主机发现备份组中路由器的主MAC地址是非常重要的。因此应该禁用任何可能把路由器的主MAC地址通知给主机的协议。所以，凡HSRP所涉及到的路由器，即使它只有一个端口运行了HSRP，都不能在运行HSRP的端口发送ICMP重定向包。

　　6.4 ARP 代理

　　一般地说，主机在通过它们缺省路由的配置来学习HSRP的虚IP地址。这些主机把包发送给虚IP地址用以达到它在局域网之外的目的地。在某些情况下，主机可能使用由ARP代理来路由到局域网之外。这时，主机使用由ARP代理应答提供的MAC地址。如果ARP代理应答说明了HSRP虚MAC地址，则HSRP功能将被保留。

　　如果一台HSRP路由器被配置为支持ARP代理的HSRP，那么这台路由器必须在它所产生的任何ARP代理应答中说明HSRP虚MAC地址。ARP代理应答一定不要受HSRP状态机制的约束。状态机制的约束可能会导致ARP代理应答的匮乏，因为这些ARP代理应答可能会受到其他一些因素的限制，如水平分割原则。

　　7.安全上的考虑

　　这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击，这可能会导致一个黑洞的产生和拒绝服务。

　　但从局域网外面是很难对该协议进行攻击的，因为大多数路由器不会转发到多播地址（224.0.0.2）的数据包。

***************

译者：程静（chengjing    jingch@135-139.com）
译文发布时间：2001-5-24
版权：本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载，但必
须保留本文档的翻译及版权信息。
Network Working Group                                              T. Li
Request for Comments: 2281                              Juniper Networks
Category: Informational                                          B. Cole
                                                        Juniper Networks
                                                               P. Morton
                                                           Cisco Systems
                                                                   D. Li
                                                           Cisco Systems
March 1998

上一页  [1] [2] [3] [4] [5] [6] 

【责编:Kittoy】