VRRP：虚拟路由器冗余协议（VRRP：VirtualRouterRedundancyProtocol） 虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP路由器中的一台。控制虚拟路由器IP地址的VRRP路由器称为主路由器，它负责转发数据包到这些虚拟IP地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。使用VRRP的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。VRRP包封装在IP包中发送。使用VRRP，可以通过手动或DHCP设定一个虚拟IP地址作为默认路由器。虚拟IP地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟IP地址就会映射到一个备份路由器的IP地址（这个备份路由器就成为了主路由器）。VRRP也可用于负载均衡。VRRP是IPv4和IPv6的一部分。 HSRP：热备份路由器协议（HSRP：HotStandbyRouterProtocol） 热备份路由器协议（HSRP）的设计目标是支持特定情况下IP流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的IP地址时，HSRP协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。负责转发数据包的路由器称之为主动路由器（ActiveRouter）。一旦主动路由器出现故障，HSRP将激活备份路由器（StandbyRouters）取代主动路由器。HSRP协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的IP地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（StandbyRouters）承接主动路由器的所有任务，并且不会导致主机连通中断现象。HSRP运行在UDP上，采用端口1985。路由器转发协议数据包的源 地址使用的是实际IP地址，而并非虚拟地址，正是基于这一点，HSRP路由器间能相互识别。 VRRP和HSRP之间区别 1.在功能上VRRP和HSRP非常相似，但是就安全而言，VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制。并且不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址，但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行，那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器)，但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址，它指定使用的MAC00-00-5e-00-01-VRID，这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符)。 2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息，VRRP的状态机比HSRP的要简单，HSRP有6个状态(初始(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动(Active)状态)和8个事件，VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件。 3.HSRP有三种报文，而且有三种状态可以发送报文呼叫(Hello)报文/告辞(Resign)报文/突变(Coup)报文，VRRP有一种报文，广播报文，由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。 4.HSRP将报文承载在UDP报文上，而VRRP承载在IP报文上(HSRP使用UDP1985端口，向组播地址224.0.0.2发送hello消息。VRRP协议报文使用固定的组播地址224.0.0.18进行发送) 5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证;简单的明文密码;使用MD5HMACip认证的强认证;强认证方法使用IP认证头(AH)协议。AH是与用在IPSEC中相同的协议，AH为认证VRRP分组中的内容和分组头提供了一个方法。MD5HMAC的使用表明使用一个共享的密钥用于产生hash值。路由器发送一个VRRP分组产生MD5hash值，并将它置于要发送的通告中，在接收时，接受方使用相同的密钥和MD5值，重新计算分组内容和分组头的hash值，如果结果相同，这个消息就是真正来自于一个可信赖的主机，如果不相同，它必须丢弃，这可以防止攻击者通过访问LAN而发出能影响选择过程的通告