vrrp

Report
VRRP 초급
RFC 2338
목차
1.
2.
3.
4.
5.
6.
7.
8.
9.
소개
특징
개요
VRRP 패킷
VRRP 패킷 전송
프로토콜 상태 기계
구동시 이슈사항
보안 고려사항
FDDI와 토큰링 상의 구동
시작하기 전
• VRRP는 랜상에서 하나이상의 백업 라우터
를 제공하는 인터넷 프로토콜
• 기본 라우터가 문제가 발생할 경우 백업
라우터가 기본 라우터를 동작
– host에서의 추가적인 설정없이도 기본
라우팅 가능
-첫 라우터를 결정하는 방법
소개
RIP 또는 OSPF
등의
동적 라우팅
정적으로 설정
라우터
Internet
라우터
Internet
소개
- VRRP 기본 구성
A 로 정적으로
설정
가상 라우터 : A
Internet
VRRP 개요
• 가상 라우터 기능을 제공하기 위한 프로토
콜
가상 라우터
IP : 마스터 라우터 IP
MAC : AA
실제 라우터들
라우터
IP : B
MAC : BB
라우터
IP : C
MAC : CC
라우터
IP : D
MAC : DD
Internet
라우터
IP : E
MAC : EE
VRRP 개요
• 멀티캐스트 데이터그램 사용
• 마스터의 주기적인 VRRP 메시지 전송
udp
master
vrrp
backup
backup
멀티 캐스트 그룹
backup
backup
VRRP 개요
• 가상 라우터는 VRID, IP, 그리고 우선순위
로 구성
가상 라우터
VRID : 라우터 식별자
IP : 대표 아이피
우선순위
실제 라우터들
라우터
IP : B
우선순위 : 255
라우터
IP : C
우선순위: 2
Internet
라우터
IP : D
우선순위 : 3
라우터
IP : E
우선순위 : 4
VRRP 개요
• 보안을 위한 3가지의 인증 타입 정의
• 최소한의 서비스 중단으로 백업에서 마스
터로의 변화를 제공하고 유지
요구기능
• 기본 라우터 IP의 백업기능
기본 게이트웨이 IP : A
master
IP : A
backup 시
IP : B -> A
Internet
요구기능
• 선호되는 경로 표시
– 우선순위 지정 가능
master
IP : A
backup
우선순위 : 2
Internet
backup
우선순위 : 3
요구 기능
• 불필요한 서비스 중단의 최소화
master
backup
우선순위 : 10 우선순위 : 5
backup
우선순위 : 6->13
마스터로 변경되지 않음
Internet
요구 기능
• 확장된 보안
• 광대역에서의 효과적 운용
IP : A
가상 MAC : C
master
mac : A
backup
mac : B
Internet
ARP 캐쉬
IP
MAC
A
C
VRRP 패킷
• IP 헤더
– Source Address : 패킷이 보내지는 인터페이
스 대표 IP
– Destination Address : 224.0.0.18
– TTL : 255
– Protocol : 112
VRRP 패킷
• VRRP 필드
0
0
1
2
3
4
Version
Auth Type
1
5
6
Type
7
8
9
0
1
2
3
4
2
5
6
7
8
Virtual Rtr ID
9
0
1
2
3
4
Priority
Adver Int
IP Address (2)
•
•
•
IP Address (N)
Authentication Data (1)
Authentication Data (2)
5
6
7
8
9
Count IP Addrs
Checksum
IP Address (1)
3
0
1
VRRP 패킷
– Version : VRRP 프로토콜 버전
– Type : ADVERTISEMENT
– Virtual Rrt ID(VRID) : 현재 패킷을 보내는 가상 라우
터의 VRID
– Priority : 우선순위
– Count IP Addrs : 현재 패킷에 포함된 IP 주소 수
– 인증타입 : VRRP 패킷의 인증 방법
– Advertisement Interval : 패킷 전송 간격
– Checksum : 체크섬
– IP Address : 가상 라우터와 연결된 VRRP 라우터들의
주소
– Authentication Data : 인증데이터
VRRP 패킷 전송
• VRRP 패킷 수신
인증 타입에 따라 인증
ADVERTISEMENT 수신
인증 결과 올
바른 패킷인가?
TTL == 255 ?
Yes
Yes
VRRP Version
을 지원?
패킷의 VRID
가 유효한가?
올바른가?
Yes
Yes
Checksum이
올바른가?
Yes
패킷의
Adver_Interval
이 자신과 같
은가?
Yes
상태에 따른 추가 처리
VRRP 패킷 전송
• VRRP 패킷 송신
VRRP 필드를 적절한 값으로 채운
다
체크섬을 계산한다.
IP 프로토콜을 VRRP로 설정
출발지 MAC 주소를 가상 라우
터 MAC 주소로 설정한다.
VRRP 패킷을 멀티캐스트 그룹으
로 전송
출발지 IP 주소를 인터페이스 대
표 아이피로 설정한다.
VRRP 패킷 전송
• 가상 라우터 MAC Address
00-00-5E-00-01-{VRID}
OUI
VRRP
프로토콜 상태 머신
Initailize
Master
• Initalize : 시작을 기다린다.
• Backup : 대기, 마스터 라우터를 모니터
• Master : 라우팅 기능을 수행
Backup
프로토콜 상태 머신
• 파라미터
– Advertisement_Interval : ADVERTISEMENT 패킷
을 보내는 간격
– Master_Down_Interval : 백업이 마스터가 다운임
을 판단하는 시간
= 3 * Advertisement_Interval + (256 – 우선순위)/256)
Skew_Time
• 타이머
– Master_Down_Timer : ADVERTISEMENT를
Master_Down_Interval 동안 듣지 못하면 시동
– Adver_Timer : ADVERTISEMENT를 받으면 시동
프로토콜 상태 머신
• Initailize
시작 이벤트 수신
자신의 우선
순위가 255인
가?
no
Master_Down_Timer =
Master_Down_Interval
Yes
ADVERTISEMENT를 보낸다
가상 라우터 IP를 위해 가상라우
터 MAC이 담긴 Gratuitous ARP
요청을 broadcast
Adver_Timer =
AdverTisement_Interval
Master 상태로 변화
Backup 상태로 변화
프로토콜 상태 머신
• Backup
Master_Down_Timer 발동
ADVERTISEMENT를 보낸다
ADVERTISEMENT 수신
우선 순위가 0
인가?
yes
Master_Down_Timer
=Skew_Timer
가상 라우터 IP를 위해 가상라우
터 MAC이 담긴 Gratuitous ARP
요청을 broadcast
No
우선 순위가
나의 우선순위
보다 작나?
yes
No
Master_Down_Timer =
Master_Down_Interval
Adver_Timer =
AdverTisement_Interval
ADVERTISEMENT 무시
Master 상태로 변화
프로토콜 상태 머신
• Master
Backup 상태로 변화
ADVERTISEMENT 수신
Master_Down_Timer =
Master_Down_Interval
우선 순위가
나보다 크나?
No
ADVERTISEMENT 무시
ADVERTISEMENT를 보낸다
Yes
Adver_Timer 취소
Yes
No
우선 순위가
나의 우선순위
와 같나?
Adver_Timer 발동
Yes
IP 주소가 나
보다 Greater
한가?
No
Adver_Timer =
AdverTisement_Interval
구동시 이슈사항
• ICMP 리다이렉트
• HOST ARP 요청
• Proxy ARP
보안 고려 사항
1. 인증없음
2. 간단한 text 암호
3. IP 인증 헤더
- IP Authentication Header [AUTH]
토큰 링에서의 동작
• Source route bridge의 경우 마스터가 바
뀔때마다 캐쉬를 갱신해줘야 한다.
• 멀티캐스트를 old와 new 토큰링을 교차지
원하는 일반적 구현이 없다.
• functional address와 VRID의 맵핑
FDDI에서의 구동
• FDDI에서는 중복된 MAC 주소의 인터페이
스는 제거
– 링 실패, 라우터 고립, 프로토콜 변화등으로
마스터가 하나 이상 될 수 있음
• 하드웨어 MAC 주소를 변경
끝

similar documents