虚拟路由器冗余协议

软件负载均衡一般通过两种方式来实现：基于操作系统的软负载实现和基于第三方应用的软负载实现。LVS就是基于Linux操作系统实现的一种软负载，HAProxy就是开源的并且基于第三应用实现的软负载。 HAProxy相比LVS的使用要简单很多，功能方面也很丰富。当 前，HAProxy支持两种主要的代理模式:"tcp"也即4层（大多用于邮件服务器、内部协议通信服务器等），和7层（HTTP）。在4层模式 下，HAProxy仅在客户端和服务器之间转发双向流量。7层模式下，HAProxy会分析协议，并且能通过允许、拒绝、交换、增加、修改或者删除请求 (request)或者回应(response)里指定内容来控制协议，这种操作要基于特定规则。 我现在用HAProxy主要在于它有以下优点，这里我总结下： 一、 免费开源，稳定性也是非常好，这个可通过我做的一些小项目可以看出来，单Haproxy也跑得不错，稳定性可以与LVS相媲美； 二、 根据官方文档，HAProxy可以跑满10Gbps-New benchmark of HAProxy at 10 Gbps using Myricom's 10GbE NICs (Myri-10G PCI-Express)，这个作为软件级负载均衡，也是比较惊人的； 三、 HAProxy可以作为MySQL、邮件或其它的非web的负载均衡，我们常用于它作为MySQL(读

1.1 TCP SYN拒绝服务攻击　　一般情况下，一个TCP连接的建立需要经过三次握手的过程，即：　　1、 建立发起者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个SYN报文后，在内存中创建TCP连接控制块（TCB），然后向发起者回送一个TCP ACK报文，等待发起者的回应；　　3、 发起者收到TCP ACK报文后，再回应一个ACK报文，这样TCP连接就建立起来了。　　利用这个过程，一些恶意的攻击者可以进行所谓的TCP SYN拒绝服务攻击：　　1、 攻击者向目标计算机发送一个TCP SYN报文；　　2、 目标计算机收到这个报文后，建立TCP连接控制结构TCB），并回应一个ACK，等待发起者的回应；　　3、 而发起者则不向目标计算机回应ACK报文，这样导致目标计算机一致处于等待状态。　　可以看出，目标计算机如果接收到大量的TCP SYN报文，而没有收到发起者的第三次ACK回应，会一直等待，处于这样尴尬状态的半连接如果很多，则会把目标计算机的资源（TCB控制结构，TCB，一般情况下是有限的）耗尽，而不能响应正常的TCP连接请求。　　1.2 ICMP洪水　　正常情况下，为了对网络进行诊断，一些诊断程序，比如PING等，会发出ICMP响应请求报文（ICMP ECHO），接收计算机接收到ICMP ECHO后，会回应一ICMP ECHO Reply报文

-------------------LVS专题------------------------ LVS原理详解及部署之一：ARP原理准备 LVS原理详解及部署之二：LVS原理详解（3种工作方式8种调度算法） LVS原理详解及部署之三：手动部署LVS LVS原理详解及部署之四：keepalived介绍 LVS原理详解及部署之五：LVS+keepalived实现负载均衡&高可用 ------------------------------------------------- 之前已经讲解LVS原理，并且介绍了如果手动部署LVS。但由于我们需要进行RS节点服务器的健康检查，还有要做LVS的HA。此文就主要介绍keepalived的原理，并且介绍如何部署keepalived做作为web服务器的HA。本文的目录如下： 一、keepalived原理介绍 二、部署keepalived作为web服务器的HA 三、脚本实现监控httpd服务 一、keepalived原理介绍 1）keepalived简介 Keepalived的功能有点像是两个人互相看着一个工作，如果一个人离开岗位另外一个人就会接替，这个keepalived就是他们之间保持这样“替换机制”的工具。keepalived是一个类似于layer3, 4 & 5交换机制的软件，也就是我们平时说的第3层、第4层和第5层交换

1.pacemaker Pacemaker 是一款开源的高可用资源管理软件，适合大集群或者小集群。 Pacemaker 由Novell支持，SLES HAE就是用Pacemaker来管理集群，并且Pacemaker 得到了 来自Redhat,Linbit等公司的支持。 Pacemaker是Heartbeat 3.0的crm，它可以使用所有的Heartbeat的资源脚本，升级无忧。 当故障发生时, Pacemaker 会自动的开始恢复，比保证你的程序在集群的其他节点上提供服务， 接管故障的机器。你的用户甚至不会知道有故障发生！ 什么是Pacemaker? Pacemaker是一个集群资源管理者。他用资源级别的监测和恢复来保证集群服务(aka. 资源)的最 大可用性。它可以用你所擅长的基础组件(Corosync或者是Heartbeat)来实现通信和关系管理。 Pacemaker包含以下的关键特性: 监测并恢复节点和服务级别的故障存储无关，并不需要共享存储资源无关，任何能用脚本控制的 资源都可以作为服务支持使用STONITH来保证数据一致性。支持大型或者小型的集群clusters 支持 quorate(法定人数) 或 resource(资源) 驱动的集群支持任何的 冗余配置自动同步各个节 点的配置文件可以设定集群范围内的ordering, colocation and anti

1.1、Keepalived简介 ​ Keepalived是Linux下一个轻量级别的高可用解决方案。高可用(High Avalilability,HA)，其实两种不同的含义： 广义来讲，是指整个系统的高可用行，狭义的来讲就是之主机的冗余和接管 。它与HeartBeat RoseHA 实现相同类似的功能，都可以实现服务或者网络的高可用，但是又有差别，HeartBeat是一个专业的、功能完善的高可用软件，它提供了HA 软件所需的基本功能，比如：心跳检测、资源接管，检测集群中的服务，在集群节点转移共享IP地址的所有者等等。HeartBeat功能强大，但是部署和使用相对比较麻烦，与HeartBeat相比，Keepalived主要是通过虚拟路由冗余来实现高可用功能，虽然它没有HeartBeat功能强大，但是Keepalived部署和使用非常的简单，所有配置只需要一个配置文件即可以完成。 1.2、Keepalived是什么 ​ Keepalived起初是为LVS设计 专门 用来 监控集群系统 中各个 服务节点的状态 ，它根据TCP/IP参考模型的第三、第四层、第五层交换机制检测每个服务节点的状态，如果某个服务器节点出现异常，或者工作出现故,Keepalived将检测到，并将出现的故障的服务器节点从集群系统中剔除，这些工作全部是自动完成的，不需要人工干涉

keepalived 保持在线状态，也就是所谓的高可用或热备，它集群管理中 保证集群高可用的一个服务软件 ，其功能类似于heartbeat，用来防止 单点故障 (单点故障是指一旦某一点出现故障就会导致整个系统架构的不可用)的发生。VRRP协议这个协议就是keepalived实现的基础 VRRP https://www.cnblogs.com/betterquan/p/11903616.html 简单了解就是 1）VRRP是用来实现路由器冗余的协议。 2）VRRP协议是为了消除在静态缺省路由环境下路由器单点故障引起的网络失效而设计的主备模式的协议，使得发生故障而进行设计设备功能切换时可以不影响内外数据通信，　　不需要再修改内部网络的网络参数。 3）VRRP协议需要具有IP备份，优先路由选择，减少不必要的路由器通信等功能。 4）VRRP协议将两台或多台路由器设备虚拟成一个设备，对外提供虚拟路由器IP（一个或多个）。然而，在路由器组内部，如果实际拥有这个对外IP的路由器如果工作正常的话，　　·就是master，或者是通过算法选举产生的，MASTER实现针对虚拟路由器IP的各种网络功能，如ARP请求，ICMP，以及数据的转发等，其他设备不具有该IP，状态是BACKUP。　　除了接收MASTER的VRRP状态通告信息外，不执行对外的网络功能，当主级失效时

通常情况下，内部网络中的所有主机都设置一条相同的缺省路由，指向出口网关（图中中的路由器RouterA），实现主机与外部网络的通信。当出口网关发生故障时，主机与外部网络的通信就会中断。 配置多个出口网关是提高系统可靠性的常见方法，但局域网内的主机设备通常不支持动态路由协议，如何在多个出口网关之间进行选路是个问题 VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议 ，来解决局域网主机访问外部网络的可靠性问题。 VRRP是一种容错协议，它通过把 几台路由设备联合 组成一台虚拟的路由设备，并通过一定的机制来保证当 主机的下一跳设备出现故障 时，可以及时将业务切换到其它设备，从而保持通讯的连续性和可靠性。 使用VRRP的优势在于：既 不需要改变组网 情况，也不需要在 主机上配置任何动态路由 或者路由发现协议，就可以获得更高可靠性的缺省路由。 VRRP的工作原理 VRRP将局域网的一组路由器构成一个备份组，相当于一台虚拟路由器。局域网内的主机 只需要知道这个虚拟路由器的IP地址 ，并不需知道具体某台设备的IP地址，将网络内主机的缺省网关设置为该虚拟路由器的IP地址，主机就可以利用该虚拟网关与外部网络进行通信。 VRRP将该虚拟路由器 动态关联到 承担传输业务的 物理路由器 上，当该物理路由器出现故障时，再次选择新路由器来接替业务传输工作

主要内容包含以下四点： (1)静态路由 (2)动态路由 (3)生成树 (4)VLAN 1. 什么是静态路由？ 答：静态路由是管理人员手动配置和管理的路由 2. 静态路由由那些优点？ 答：配置简单 3. 缺点： 当网络拓扑结构发生变化的时候自然不能及时做出改变 并且需要再次配置 严重影响了工作效率 所以目前静态路由主要应用于小型网络及企业架构模型中服务器之间的通信 4. 静态是手动 动态是自动 5. 动态路由定义： 动态路由是路由器自身通过相应的算法计算出的路由 所以动态路由的优点一定是可以适应网络拓扑变化并及时做出调整的路由协议 RIP( 路由信息协议) OSPF(链路状态信息) BGP(外部网关协议) RIP 协议 ( 路由信息协议) RIP 定义： 路由信息协议 依据距离矢量算法以跳数做为度量方式来计算最优路由 工作过程： 首先路由器启动后的时候 路由表中只有直连路由 当路由器运行RIP的时候,会发送request报文消息 邻居路由器会根据自己的路由表回复reponse报文 从而完成路由的添加 网络稳定后 路由器会每隔30秒发送request报文 超过120秒则认为路由失效 180秒后路由器老化定时器则清空 路由表是如何更新的？ 如果路由表中已有的路由项 当该路由项的下一跳是他的邻居 无论度量值增大或者减小都会更新该路由项;当该路由项的下一跳不是他的邻居时

һ. 双机热备的工作原理 华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡，俩台防火墙相互协同工作，犹如一个更大的防火墙 双机热备概述 随着互联网的发展，人们生活中的大多数问题可以通过网络解决，但与此同时，网络安全问题也逐渐暴露出来。 华为防火墙的双机热备包含以下俩种模式 1.热备模式：同一时间只有一台防火墙转发数据包，其他防火墙不转发数据包，但是会同步会话表及Server-map表。 2 负载均衡模式：同一时间，多台防火墙同时转发数据，但每个防火墙又作为其他防火墙的备用设备，即每个防火墙是主设备也是备份设备，防火墙之间同步会话表及Server-map表 负载均衡模式下，针对一些流量（如黑色圈流量），FW1是主用设备，Fw2是备用设备，所以该流量默认通过FW1转发，而针对另外一些流量（灰色流量），FW2是主设备，FW1是备用设备，所以改流量默认通过FW2转发，FW1又作为（灰色）流量的备用设备，当FW2损坏时，FW1依然可以转发（灰色）流量，同理，FW2也可以在FW1损坏时转发（黑色）流量 VRRP 在双机热备技术中，即使选举出了主用设备和备用设备，默认情况下流量也通过主用设备转发，而备用设备处于备份状态 1.VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）由IETF进行维护，用来解决网关单点故障的路由协议

VRRP概述 VRRP(Virtual Router Redundancy Protocol，虚拟路由冗余协议) VRRP在实际网络中已被广泛部署，它目前有两个版本：VRRPv2和VRRPv3，其中VRRPv2仅适用于IPv4网络，而VRRPv3适用于IPv4和IPv6两种网络。本篇将围绕VRRPv2进行解读。 VRRP解决的问题有： 1.单网关的缺陷 2.多网关存在的问题--网关间IP地址冲突；主机频繁切换网络出口 VRRP能够在不改变组网的情况下，将多台路由器虚拟成一台虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现网关的备份，所以虚拟路由器是一台逻辑设备。在整个VRRP的切换过程中，用户是完全无感知的，PC终端的配置也不需要做任何修改。 基本概念 1.VRRP路由器(VRRP Router)--运行VRRP协议的设备 实际上，VRRP是配置在路由器的接口上，而且也是基于接口来工作的。VRRP一旦被激活，路由器的接口便开始发送及侦听VRRP协议报文。需要协同工作的VRRP路由器(接口)必须属于同一广播域，否则VRRP报文无法正常交互。 注：不仅路由器支持VRRP，许多交换机、防火墙产品同样也支持VRRP。 2.VRRP组及vrid 一个VRRP组由多台协同工作的路由器(的接口)组成，使用相同的vrid(Virtual Router Identifier，虚拟路由器标识符