6.2 地址过滤器
正如前面所提到的,路由器正在以它们的组的MAC地址和IP地址仿效着一个虚路由器。MAC地址理论上是由路由器的端口控制器的一个地址过滤器或MAC地址列表来提供的。
这对于路由器来说,在维护它们的主MAC地址时增加一个或多个虚MAC地址到它们的控制器的MAC地址过滤器中是非常理想的。不幸的是,有些端口控制器只支持一个unicastMAC地址的地址过滤器。或者说,在令牌环网络中,那些应由HSRP所使用的功能性地址已经被其他协议所占用了。这种情况下,这些路由器仍旧能够执行HSRP,但当路由器假设或放弃作为活路由器进行控制时,HSRP必定改变端口的主MAC地址。
这就存在着一些潜在的问题,因为有些传输可能会希望使用路由器的主MAC地址。但问题也许会因为路由器发送那些无端的ARP包来回答它没有运行HSRP的IP地址来减轻。
尽管如此,其他网络实体也应该在使用IP时通过刷新ARP表来反映路由器当前正使用的是组的虚MAC地址,而不是它的主MAC地址。
有些协议也许因为端口主MAC地址的改变而不能与备份协议同时运行。举例说,DECnet IV和HSRP就不会同时运行在同一台设备上。
6.3 ICMP重定向
当运行HSRP时,防止主机发现备份组中路由器的主MAC地址是非常重要的。因此应该禁用任何可能把路由器的主MAC地址通知给主机的协议。所以,凡HSRP所涉及到的路由器,即使它只有一个端口运行了HSRP,都不能在运行HSRP的端口发送ICMP重定向包。
6.4 ARP 代理
一般地说,主机在通过它们缺省路由的配置来学习HSRP的虚IP地址。这些主机把包发送给虚IP地址用以达到它在局域网之外的目的地。在某些情况下,主机可能使用由ARP代理来路由到局域网之外。这时,主机使用由ARP代理应答提供的MAC地址。如果ARP代理应答说明了HSRP虚MAC地址,则HSRP功能将被保留。
如果一台HSRP路由器被配置为支持ARP代理的HSRP,那么这台路由器必须在它所产生的任何ARP代理应答中说明HSRP虚MAC地址。ARP代理应答一定不要受HSRP状态机制的约束。状态机制的约束可能会导致ARP代理应答的匮乏,因为这些ARP代理应答可能会受到其他一些因素的限制,如水平分割原则。
7.安全上的考虑
这种协议没有提供安全方面的保证。消息中的认证域对于防止错误配置是非常有用的。该协议很容易被局域网中的入侵者攻击,这可能会导致一个黑洞的产生和拒绝服务。
但从局域网外面是很难对该协议进行攻击的,因为大多数路由器不会转发到多播地址(224.0.0.2)的数据包。
***************
译者:程静(chengjing jingch@135-139.com) 译文发布时间:2001-5-24 版权:本中文翻译文档版权归中国互动出版网所有。可以用于非商业用途自由转载,但必 须保留本文档的翻译及版权信息。 Network Working Group T. Li Request for Comments: 2281 Juniper Networks Category: Informational B. Cole Juniper Networks P. Morton Cisco Systems D. Li Cisco Systems March 1998观看地址: http://www.qqread.com/route/2007/07/p320713.html
更多内容请看Cisco IOS技术手册、路由安全配置专题、路由协议专题专题,或进入讨论组讨论。
相关专题
- Cisco IOS技术手册 (3007篇文章)
- 路由安全配置专题 (11856篇文章)
- 路由协议专题 (150篇文章)
- OSPF路由协议专题 (486篇文章)
- MPLS路由协议专题 (545篇文章)
- Cisco路由器配置手册 (4759篇文章)
- Cisco交换机专题 (4265篇文章)
- 思科交换机配置 (4265篇文章)
- 系统备份专题 (17615篇文章)
- Cisco防火墙专题 (4624篇文章)
- 三款一键还原软件操作和安全性横向评测 (0次浏览)
