提个VRRP问题:请问为什么它的TTL要设为255,有看到说是为了防止本地攻击,但是什么原理呢?

作者&投稿:邲到 (若有异议请与网页底部的电邮联系)
vrrp什么作用?讲简单一点~

虚拟路由器冗余协议:简称VRRP

这个数值说明你的机子安装的是LINUX系统。数值本身无所谓好坏。
TTL:生存时间
指定数据报被路由器丢弃之前允许通过的网段数量。
TTL 是由发送主机设置的,以防止数据包不断在 IP 互联网络上永不终止地循环。转发 IP 数据包时,要求路由器至少将 TTL 减小 1。

TTL 字段值可以帮助我们识别操作系统类型(不完全准确,因为 TTL 是可以修改的)。
LINUX 64
WIN2K/NT/xp 128
WINDOWS 98/me 32
UNIX 系列 255
具体ping命令的知识如下:
ping是一个很常用的小工具,它主要用于确定网络的连通性问题。使用ping命令后,常见的出错信息通常分为3种:
1、Unknown host:不知名主机这种出错信息的意思是,该远程主机的名字不能被域名服务器(DNS)转换成IP地址。
故障原因可能是域名服务器有故障,或者其名字不正确,或者网络管理员的系统与远程主机之间的通信线路有故障。 飞
2、Noanswer:无响应这种故障说明本地系统有一条通向中心主机的路由,但却接收不到它发给该中心主机的任何信·
息。故障原因可能是下列之一:中心主机没有工作;本地或中心主机网络配置不正确:本地或中心的路由器没有;1::作:
通信线路有故障;中心主机存在路由选择问题。 1
3、Request timbd out:超时工作站与中心主机的连接超时,数据包全部丢失of原因:可能是到路由器的连接出现
问题,或路由器不能通过,也可能是中心主机已经关机或死机。

如何用ping命令查找无法上网的原因?
1.Ping命令的语法格式:
有必要先给不了解Ping命令的人介绍一卜Ping命令的具体语法格式:ping目的地址[参数1J[参数2]……
其中目的地址是指被测试计算机的IP地址或域名。主要参数有:
a:解析主机地址。
n:数据:发出的测试包的个数,缺省值为4。
l:数值:所发送缓冲区的大小。
t:继续执行Ping命令,直到用户按Ctrl/C终上。
有关hng的其他参数,可通过在MS-DOS提示符—卜运行Ping或Ping—?命令来查看。
2.hng命令的应用技巧:
用Ping::[:具检查网络服务器和任意一台客户端上TCP/IP协议的:]二作情况时,只要在网络中其他任何一台计算机上Ping
该计算机的IP地址即可。例如要检查网络文件服务器192.192.225.225HPQW上的TCP/IP协议二[:作是否正常,只要在
开始菜单下的“运行”子项中键入Ping 192.192.225.225就可以了。如果HPQW的TCP/IP协议:[:作正常,即会以DOS
屏幕方式显示如下所示的信息:
Pinging 192.192.225.225 with 32 byteS of dara:
Reply from 192.192.225,225:bytes=32 time=lms TTL二128
Reply from 192.192,225.225:bytes=32 time<1mS TTL=128
Reply from 192.192.225.225:byteS’32 timeReply from 192.192.225.225:byteS‘32 timePing StatiStiCe for 192.192.225.225:
PacketS:Sent二4,ReceiVed二4,LOSt二0(0%lOSS)
Approximate round trip timeS in milli-secondS:
Minimum=Oms,Maximum=1mS,Average=OmS
以上返回了4个测试数据包,其中bytes=32表示测试中发送的数据包大小是32个字节,“me<10ms表示与对方主机
往返一次所用的时间小于10毫秒,TTL=128表示当前测试使用的TTL(Time to Live)值为128(系统默认值)。
如果网络有问题,则返回如下所示的响应失败信息:
Pinging 192.192,225.225 with 32 bytes of data
RequeSt timed out.
RequeSt timed out.
RequeSt timed OUt.
RequeSt timed out.
Ping StatiStiCe for 192.192.225,225:
PacketS:Sent=4,ReceiVed二0,LOSt\二4(100%lOSS)
Minimum‘0ms,Maximum=OmS,Average’0mS
网络故障:出现第二种情况时,建议从以上几个方面来着手排查:一是看被测试计算机是否已安装了TCP/IP协议:
二是检查一下被测试计算机的网卡安装是否正确且是否已经连通:三是看被测试计算机的TCP/IP协议是否与网F
有效的绑定(具体方法是通过选择“开始一设置一控制面板一网络”来查看):如果通过以上几个步骤的检查还没有
发现问题的症结,建议重新安装并设置一,‘厂TCP/”协议,如果是TCP/IP协议的问题,这时绝对可以彻底解决。
按照上述方法,我们还可以用Ping命令来检查任意一台客户湍计算机上TCP/IP的工作情况。例如我们要检查网络任
一客户端“机房0厂上的TCP/IP协议的配置和工作情况,可直接在该台机器上Ping本机的IP地址,若返回成功的信
息,说明IP地虹LB己置无误,若失败则应检查IP地址的配置。可通过以下步骤进行:首先先检查一·卜整个网络,重点
看一下该IP地址是否正在被其他用户使用,然后再看一下该工作站是否已正确连入网络(很多情况下用户没有登陆网
络也会出现此种情况,这可是低级错误啊)。最后检查网—E的I/0地址lIRQ值和DMA值,这些值是否与其他设备发生
了冲突。其中最后一项的检查非常重要,也常被许多用户所忽视,即使是Ping成功后也要进行此项的检查。因为当Ping
本机的IP地址成功后,仅表明本机的IP地址配置没有问题,但并不能说明网卡的配置完全正确。这时虽然在本机的
“网上邻居”中能够看到本机的计算机名,可就是无法与其他的用户连通,不知问题出在何处,其实问题往往就出在
网卡上。
简单来说,TTL全程Time to Live,意思就是生存周期。
首先要说明ping命令是使用的网络层协议ICMP,所以TTL指的是一个网络层的网络数据包(package)的生存周期,这句话不懂的先回去复习OSI7层协议去。

第一个问题,为什么要有生存周期这个概念。

很显然,一个package从一台机器到另一台机器中间需要经过很长的路径,显然这个路径不是单一的,是很复杂的,并且很可能存在环路。如果一个数据包在传输过程中进入了环路,如果不终止它的话,它会一直循环下去,如果很多个数据包都这样循环的话,那对于网络来说这就是灾难了。所以需要在包中设置这样一个值,包在每经过一个节点,将这个值减1,反复这样操作,最终可能造成2个结果:包在这个值还为正数的时候到达了目的地,或者是在经过一定数量的节点后,这个值减为了0。前者代表完成了一次正常的传输,后者代表包可能选择了一条非常长的路径甚至是进入了环路,这显然不是我们期望的,所以在这个值为0的时候,网络设备将不会再传递这个包而是直接将他抛弃,并发送一个通知给包的源地址,说这个包已死。
其实TTL值这个东西本身并代表不了什么,对于使用者来说,关心的问题应该是包是否到达了目的地而不是经过了几个节点后到达。但是TTL值还是可以得到有意思的信息的。

每个操作系统对TTL值得定义都不同,这个值甚至可以通过修改某些系统的网络参数来修改,例如Win2000默认为128,通过注册表也可以修改。而Linux大多定义为64。不过一般来说,很少有人会去修改自己机器的这个值的,这就给了我们机会可以通过ping的回显TTL来大体判断一台机器是什么操作系统。

以我公司2台机器为例
看如下命令
D:Documents and Settingshx>ping 61.152.93.131

Pinging 61.152.93.131 with 32 bytes of data:

Reply from 61.152.93.131: bytes=32 time=21ms TTL=118
Reply from 61.152.93.131: bytes=32 time=19ms TTL=118
Reply from 61.152.93.131: bytes=32 time=18ms TTL=118
Reply from 61.152.93.131: bytes=32 time=22ms TTL=118

Ping statistics for 61.152.93.131:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss
Approximate round trip times in milli-seconds:
Minimum = 18ms, Maximum = 22ms, Average = 20ms

D:Documents and Settingshx>ping 61.152.104.40

Pinging 61.152.104.40 with 32 bytes of data:

Reply from 61.152.104.40: bytes=32 time=28ms TTL=54
Reply from 61.152.104.40: bytes=32 time=18ms TTL=54
Reply from 61.152.104.40: bytes=32 time=18ms TTL=54
Reply from 61.152.104.40: bytes=32 time=13ms TTL=54

Ping statistics for 61.152.104.40:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss
Approximate round trip times in milli-seconds:
Minimum = 13ms, Maximum = 28ms, Average = 19ms
第一台TTL为118,则基本可以判断这是一台Windows机器,从我的机器到这台机器经过了10个节点,因为128-118=10。而第二台应该是台Linux,理由一样64-54=10。
了解了上面的东西,可能有人会有一些疑问,例如以下:

1,不是说包可能走很多路径吗,为什么我看到的4个包TTL都是一样的,没有出现不同?

这是由于包经过的路径是经过了一些最优选择算法来定下来的,在网络拓扑稳定一段时间后,包的路由路径也会相对稳定在一个最短路径上。具体怎么算出来的要去研究路由算法了,不在讨论之列。

2,对于上面例子第二台机器,为什么不认为它是经过了74个节点的Windows机器?因为128-74=54。

对于这个问题,我们要引入另外一个很好的ICMP协议工具。不过首先要声明的是,一个包经过74个节点这个有些恐怖,这样的路径还是不用为好。

要介绍的这个工具是tracert(*nix下为traceroute),让我们来看对上面的第二台机器用这个命令的结果
D:Documents and Settingshx>tracert 61.152.104.40

Tracing route to 61.152.104.40 over a maximum of 30 hops

1 13 ms 16 ms 9 ms 10.120.32.1
2 9 ms 9 ms 11 ms 219.233.244.105
3 12 ms 10 ms 10 ms 219.233.238.173
4 15 ms 15 ms 17 ms 219.233.238.13
5 14 ms 19 ms 19 ms 202.96.222.73
6 14 ms 17 ms 13 ms 202.96.222.121
7 14 ms 15 ms 14 ms 61.152.81.86
8 15 ms 14 ms 13 ms 61.152.87.162
9 16 ms 16 ms 28 ms 61.152.99.26
10 12 ms 13 ms 18 ms 61.152.99.94
11 14 ms 18 ms 16 ms 61.152.104.40

Trace complete.

从这个命令的结果能够看到从我的机器到服务器所走的路由,确实是11个节点(上面说10个好像是我犯了忘了算0的错误了,应该是64-54+1,嘿嘿),而不是128的TTL经过了70多个节点。
既然已经说到这里了,不妨顺便说说关于这两个ICMP命令的高级一点的东西。
首先是ping命令,其实ping有这样一个参数,可以无视操作系统默认TTL值而使用自己定义的值来发送ICMP Request包。
例如还是用那台Linux机器,用以下命令:
D:Documents and Settingshx>ping 61.152.104.40 -i 11

Pinging 61.152.104.40 with 32 bytes of data:

Reply from 61.152.104.40: bytes=32 time=10ms TTL=54
Reply from 61.152.104.40: bytes=32 time=13ms TTL=54
Reply from 61.152.104.40: bytes=32 time=10ms TTL=54
Reply from 61.152.104.40: bytes=32 time=13ms TTL=54

Ping statistics for 61.152.104.40:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 10ms, Maximum = 13ms, Average = 11ms

D:Documents and Settingshx>
这个命令我们定义了发包的TTL为11,而前面我们知道,我到这台服务器是要经过11个节点的,所以这个输出和以前没什么不同。现在再用这个试试看:
D:Documents and Settingshx>ping 61.152.104.40 -i 10

Pinging 61.152.104.40 with 32 bytes of data:

Reply from 61.152.99.94: TTL expired in transit.
Reply from 61.152.99.94: TTL expired in transit.
Reply from 61.152.99.94: TTL expired in transit.
Reply from 61.152.99.94: TTL expired in transit.

Ping statistics for 61.152.104.40:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms

D:Documents and Settingshx>

可以看到,结果不一样了,我定义了TTL为10来发包,结果是TTL expired in transit.就是说在到达服务器之前这个包的生命周期就结束了。注意看这句话前面的ip,这个ip恰好是我们前面tracert结果到服务器之前的最后1个ip,包的TTL就是在这里减少到0了,根据我们前面的讨论,当TTL减为0时设备会丢弃包并发送一个TTL过期的ICMP反馈给源地址,这里的结果就是最好的证明。
通过这里再次又证明了从我机器到服务器是经过了11个节点而不是70多个,呵呵。
最后再巩固一下知识,有人可能觉得tracer这个命令很神奇,可以发现一个包所经过的路由路径。其实这个命令的原理就在我们上面的讨论中。

想象一下,如果我给目的服务器发送一个TTL为1的包,结果会怎样?
根据前面的讨论,在包港出发的第一个节点,TTL就会减少为0,这时这个节点就会回应TTL失效的反馈,这个回应包含了设备本身的ip地址,这样我们就得到了路由路径的第一个节点的地址。
因此,我们继续发送TTL=2的包,也就受到第二个节点的TTL失效回应

依次类推,我们一个一个的发现,当最终返回的结果不是TTL失效而是ICMP Response的时候,我们的tracert也就结束了,就是这么简单。


顺便补一句ping命令还有个-n的参数指定要发包的数量,指定了这个数字就会按照你的要求来发包了而不是默认的4个包。如果使用-t参数的话,命令会一直发包直到你强行中止它。

对TTL的检测机制使vrrp免受了大部分来自远程网络的攻击(如果收到的vrrp通告 ip包中的TTL值不为255时,必须丢弃该包)

两台isis路由器均配置了缺省的优先级,哪个路由器将被选为指定的中间系统...
答:通常,一个网络内的所有主机都设置一条缺省路由(如图3-1所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出...

网络链路是什么意思
答:使用 VRRP ,可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP 地址在路由器间共享,其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用,这个虚拟...>> 问题三:宽带辅助链路是什么意思 什么是带宽呢?带宽的意义又是什么?简单的说,带宽就是传输速率,是指每秒钟传输的最大字节...

Linux服务器双机热备详细过程
答:通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。下面来以keepalived结合tomcat来实现一个web服务器的双机热备过程:keepalived的工作原理是VRRP虚拟路由冗余协议。在VRRP中有两组重要...

华为 高可用性网络的特点
答:提供了用户的可靠性与业务不中断。HSB+VRRP方式AC1与2建立一个VRRP组,同时通过心跳线建立HSB的状态机,正常情况下AP1与2都与VRRP的地址建立CAPWAP隧道,而由AC1处理AP1与AP2过来的业务流量,而AC2只是作为备份存在,并且通过HSB来同步业务等信息。当AC1出现了故障后,这时候AC2成为了master,并代替AC1...

k8s高可用部署:keepalived + haproxy
答:haproxy提供高可用性,负载均衡,基于TCP和HTTP的代理,支持数以万记的并发连接。 https://github.com/haproxy/haproxy haproxy可安装在主机上,也可使用docker容器实现。文本采用第二种。创建配置文件/etc/haproxy/haproxy.cfg,重要部分以中文注释标出:在三个节点启动haproxy keepalived是以VRRP(虚...

LVS DR模式下vip和rip都用公网的IP是怎么实现的
答:怎么样才能实现呢?这时候田老师给我提了个醒,“说一个公网IP也可以做DR啊,前面加个路由器就可以了”不过他也没试过,让我自己测测就知道了,我一听有戏,马上就开始测试吧,呵呵 具体结构就想上面那个图那样,(随便画的大家凑合着看吧(*^__^*) 嘻嘻……)原理就是让 路由器把所有的80端口...

局域网的规划设计报告
答:VLAN划分的太多,还会引来IP地址分配的问题,通常我们要为每一个VLAN接口分配一个IP地址.VLAN划分得越多,就会占用更多的主机地址.为解决这个问题,我们使用Super-VLAN,VLAN per Port等技术. VRRP协议增强了局域网络的冗余性.通常是局域网络设计必须考虑使用的协议或功能. DHCP协议极大的简化了局域网络管理人员的工作量,...

什么是服务器
答:VRRP可以生成一个虚拟缺省的网关地址,当主路由器无法接通时,备用路由器就会采用这个地址,使LAN通信得以继续。总之,当主要线路的性能必需提高而单条线路的升级又不可行时,可以采用链路聚合技术。 更高层交换 大型的网络一般都是由大量专用技术设备组成的,如包括防火墙、路由器、第2层/3层交换机、负载均衡设备、缓冲...

毕业设计题目:1校园网规划与设计 2企业内部交互式网络的组建与管理...
答:由于师生上网时间相对集中,致使校园网某些时段网络流量巨大,对网络线路而言是一个很大考验,有鉴于此,DES-6500融合了VRRP、生成树、端口聚合等标准链路冗余功能,而且提供可热插拔的容错模块和用于备份的冗余电源,充分保证了校园网络的稳定运行。 作为负责数据的汇聚、收敛及分发的网络枢纽,汇聚层起到了承上启下的关键作...

mysql keepalive+ 双主多从是怎么做的
答:2)VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。Vrrp中存在着一种选举机制,用以选出提供服务的路由即主控路由,其他的则成了备份路由。当主控路由失效后,备份路由中会重新选举出一个主控路由,来继 续...