评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
VRRP安全认证
目前仅VRRPv2版本支持认证,因此对于安全程度不同的网络环境,可以在报头上设定不同的认证方式和认证字。
在有可能受到安全威胁的网络中,VRRP提供了简单字符(Simple)认证方式和MD5(Message-Digest Algorithm 5)认证方式。
VRRPv2在通告报文中设定的认证方式如下:![]()
- 无认证方式:设备对要发送的VRRP通告报文不进行任何认证处理,收到通告报文的设备也不进行任何认证,认为收到的都是真实的、合法的VRRP报文。
- 简单字符(Simple)认证方式:发送VRRP通告报文的设备将认证方式和认证字填充到通告报文中,而收到通告报文的设备则会将报文中的认证方式和认证字与本端配置的认证方式和认证字进行匹配。如果相同,则认为接收到的报文是合法的VRRP通告报文;否则认为接收到的报文是一个非法报文,并丢弃这个报文。
- MD5认证方式:发送VRRP通告报文的设备利用MD5算法对认证字进行加密,加密后保存在Authentication Data字段中。收到通告报文的设备会对报文中的认证方式和解密后的认证字进行匹配,检查该报文的合法性。
同一VRRP备份组的认证方式和认证字必须相同,否则Master设备和Backup设备无法协商成功。
为了保证更好的安全性,建议您使用更安全的MD5算法作为VRRP的认证算法。
在一个安全的网络中,可以采用缺省设置。设备对要发送的VRRP报文不进行任何认证处理,收到VRRP报文的设备也不进行任何认证,认为收到的都是真实的、合法的VRRP报文。这种情况下,不需要设置认证字。
