HSRP (Hot Standby Router Protocol) 热备份路由器协议 思科私有
HSRP消息
使用UDP 端口号 1985(IPv6时为2029) 使用多播地址 224.0.0.2(版本1) 224.0.0.112(版本2) TTL值为1 (即不允许被转发)
注意!这里使用的多播地址都在多播地址的本地链路地址范围内。
本地链路(link local)范围
根据定义,本地链路范围内的所有组地址仅在一条链路内有效;也就是说,进在一个LAN内有效。去往一个本地链路地址的数据包绝不会被路由到该LAN之外。这也意味着,黑客们在任何时候都不可能把伪造的HSRP数据包发送给一个远程LAN内的攻击目标,因为转发路径上的所有路由器都讲简单的丢弃该数据包。
HSRP 虚拟IP地址对应的MA 交换机安全学习笔记 第九~十章 HSRP VRRP C地址的最后的XXX对应的是HSRP组号。
HSRP 版本1 0000.0C07.ACXX
IPv4 版本2 0000.0C9F.FXXX
IPv6 版本2 0005.73A0.0XXX
HSRP状态
初始状态
学习状态
监听状态
发言状态
备份状态
活跃状态
HSRP计时器
Hello间隔 (默认3S)
保持时间(默认10S)
Switch(config-if)#standby group-number ip virtual-ip-address
Switch(config-if)#standby group-number priority priority-value
HSRP占先权
优先级高的路由器重新获得转发权,成为活跃路由器
Switch(config-if)#standby group-number preempt
HSRP计时器
配置 Hello 间隔和保持时间
Switch(config-if)#standby group-number times hellotime holdtime
HSRP端口跟踪
Switch(config-if)#standby group-number track type mod/mum interface-priority
HSRP状态查看
Switch#show standby group-number brief
Switch#show standby
缓解攻击的有效方法1使用强认证,采取 预配置共享密钥链的方法.详见 局域网交换机安全142页.
方法2 依靠基础网络设施限制非新人接口接入的设备发送HSRP消息. 如VLAN ACL 限制指定IP地址为源才能发送HSRP消息.具体配置示例详见局域网交换机安全144页.