CCNA [Network III - 03 - lý thuyết]: Tìm Hiểu Và Cấu Hình Giao Thức Dự Phòng Gateway (VRRP)

T

T0ri28

Intern
Trong môi trường mạng doanh nghiệp, tính sẵn sàng và ổn định của hệ thống là yếu tố quan trọng để đảm bảo hoạt động liên tục. Một trong những thành phần cốt lõi của hạ tầng mạng là gateway mặc định, giúp các thiết bị trong mạng nội bộ kết nối ra bên ngoài. Tuy nhiên, nếu gateway gặp sự cố, toàn bộ kết nối có thể bị gián đoạn. Để khắc phục vấn đề này, giao thức VRRP (Virtual Router Redundancy Protocol) ra đời, cung cấp cơ chế dự phòng cho gateway bằng cách sử dụng nhiều router hoạt động như một thiết bị duy nhất. Bài viết này sẽ phân tích chi tiết về VRRP, cách thức hoạt động, cấu hình, các biện pháp bảo mật và đánh giá ưu nhược điểm của giao thức này.​

Mục lục​

I. VRRP​

VRRP (Virtual Router Redundancy Protocol) là một giao thức giúp đảm bảo tính sẵn sàng cao của default gateway trong LAN. Nó cho phép nhiều thiết bị mạng hoạt động như một Router duy nhất, giúp tránh gián đoạn dịch vụ khi có sự cố với thiết bị chính.
1743586911972.png

Trong hạ tầng mạng, gateway mặc định là một điểm quan trọng vì nó giúp các thiết bị trong mạng nội bộ kết nối ra bên ngoài. Nếu gateway bị lỗi, tất cả lưu lượng mạng sẽ bị gián đoạn.
Nên nếu có VRRP giúp, hạ tầng mạng sẽ:​
  • Tăng độ tin cậy: Một thiết bị khác có thể nhanh chóng thay thế gateway bị lỗi mà không ảnh hưởng đến kết nối.​
  • Cải thiện thời gian hoạt động (Uptime): Giảm nguy cơ mất kết nối do lỗi phần cứng hoặc phần mềm của thiết bị.​
  • Giảm thiểu cấu hình thủ công: Các thiết bị đầu cuối không cần thay đổi cài đặt khi gateway chính gặp sự cố.​

II. Cách hoạt động của VRRP​

Cấu trúc cơ bản:
  • Một nhóm VRRP bao gồm một router Master và một hoặc nhiều router Backup.​
  • Các router trong nhóm VRRP chia sẻ cùng một địa chỉ IP ảo (Virtual IP), được sử dụng làm cổng mặc định (default gateway) cho các thiết bị trong mạng.​
  • Địa chỉ IP ảo này là địa chỉ mà các thiết bị đầu cuối sử dụng để gửi các gói tin đến các mạng ngoài.​
Cơ chế bầu chọn:
  • Master Router: Router có priority cao nhất trong nhóm VRRP sẽ được chọn làm Master.
    • Priority: Đây là một giá trị số, được cấu hình để xác định router nào có quyền ưu tiên hơn khi bầu chọn Master. Giá trị mặc định là 100, nhưng có thể thay đổi trong quá trình cấu hình.​
    • Master Router sẽ xử lý tất cả các gói tin đến địa chỉ IP ảo.​
  • Backup Routers: Nếu Master Router gặp sự cố, router có priority cao thứ hai trong nhóm sẽ tự động tiếp quản và trở thành Master.​
  • Preemption: Nếu một router có priority cao hơn gia nhập vào nhóm VRRP hoặc một router Master phục hồi sau sự cố, cơ chế preemption cho phép router đó giành lại quyền Master. Điều này có nghĩa là nếu Router A (priority cao nhất) bị hỏng và Router B (priority thứ hai) trở thành Master, khi Router A hoạt động trở lại, nó sẽ lấy lại quyền Master nếu preemption được bật.​
Cơ chế giao tiếp:
  • Gói tin Advertisement: Router Master gửi các gói tin Advertisement định kỳ (thường mặc định sẽ là 1 giây) để thông báo tình trạng hoạt động của mình cho các router Backup. Những gói tin này chứa thông tin về trạng thái và priority của router Master.​
  • Backup Router: Nếu một router Backup không nhận được Advertisement từ Master trong một khoảng thời gian nhất định (thường là 3 lần gửi Advertisement), nó sẽ bầu chọn lại một router mới làm Master.​
Thời gian chuyển đổi:
  • Thời gian chuyển đổi là khoảng thời gian từ lúc Master router gặp sự cố đến khi router Backup trở thành Master và tiếp tục xử lý lưu lượng mạng.
    • Mặc định, VRRP gửi Advertisement mỗi 1 giây, và nếu Master không gửi gói tin này trong 3 giây, quá trình failover sẽ được kích hoạt. Điều này có nghĩa là hệ thống sẽ mất khoảng 3 giây để phát hiện sự cố và chuyển đổi quyền Master.​
    • Thời gian gửi gói tin Advertisement có thể điều chỉnh (ví dụ: mỗi 0.5 giây thay vì 1 giây) để giảm thời gian chuyển đổi, nhưng điều này có thể gây tải cao cho phần cứng do việc gửi gói tin thường xuyên.​
VRRP hoạt động theo các bước sau:
  • Bước 1: Khởi tạo – Các router tham gia nhóm VRRP, kiểm tra priority; router có priority cao nhất trở thành Master, các router còn lại vào trạng thái Backup và lắng nghe gói tin Advertisement từ Master.​
  • Bước 2: Trao đổi – Master gửi gói tin Advertisement định kỳ đến nhóm multicast 224.0.0.18, các Backup lắng nghe để xác nhận Master còn hoạt động.​
  • Bước 3: Theo dõi trạng thái – Các Backup liên tục theo dõi gói tin Advertisement từ Master để xác định xem Master có còn hoạt động không.​
  • Bước 4: Chuyển đổi – Nếu Master không gửi Advertisement trong khoảng thời gian quy định (do mất nguồn, router hư, interface ra/vào bị down..), Backup có priority cao nhất sẽ trở thành Master mới và tiếp quản địa chỉ IP ảo.​
  • Bước 5: Phục hồi Master ban đầu (Preemption) – Nếu Master cũ hoạt động trở lại và có priority cao hơn Master hiện tại, nó sẽ giành lại quyền Master nếu tính năng preempt được bật, Master mới sẽ quay về trạng thái Backup.​
1743586994725.png

III. Biện pháp bảo mật & đảm bảo dự phòng​

Mặc dù VRRP giúp tăng cường tính sẵn sàng cho mạng, nhưng nếu không được bảo vệ, thiết lập đúng cách, nó có thể trở thành mục tiêu của các cuộc tấn công giả mạo hoặc gây ra lỗi dự phòng

Bảo mật VRRP
  • Bảo mật VRRP nhằm bảo vệ giao thức khỏi các cuộc tấn công giả mạo, đảm bảo chỉ các router hợp lệ mới có thể tham gia nhóm VRRP và duy trì tính toàn vẹn của hệ thống.​
  • Nếu không có cơ chế bảo mật, VRRP có thể bị tấn công giả mạo gói tin (spoofing), khiến router không hợp lệ giành quyền Master, gây gián đoạn mạng hoặc mất kiểm soát định tuyến.​
  • Xác thực VRRP: Router mã hóa toàn bộ thông điệp VRRP (bao gồm cả priority, virtual IP) bằng thuật toán MD5 + key bí mật​
Đảm bảo dự phòng VRRP(tracker interface)
  • Tracker Interface là cơ chế giám sát trạng thái của các kết nối quan trọng và tự động điều chỉnh priority của router trong nhóm VRRP nếu phát hiện sự cố.​
  • Nếu một router Master bị mất kết nối với mạng chính nhưng vẫn còn hoạt động, nó có thể tiếp tục giữ vai trò Master dù không thể định tuyến lưu lượng, gây mất kết nối mạng. Tracker Interface giúp phát hiện và xử lý tình huống này.
    • Nếu đường ra VRRP của Router1 down, nó sẽ hạ priority của Router1 xuống theo giá trị đã cấu hình (priority-cost) và đưa Router2 lên làm Master, cũng như thế lần lượt với các router sau.​
    • Nhưng phải đảm bảo cấu hình thông số priority-cost hợp lý, nếu không priority bị hạ trước đó vẫn cao hơn priority của router backup như thế sẽ gây lỗi VRRP, vì nó sẽ chọn router đang bị down làm master.​

IV. Ưu và nhược điểm VRRP​

Ưu điểm của VRRP:​
  • Tăng cường tính sẵn sàng (High Availability): VRRP giúp đảm bảo mạng luôn có một gateway hoạt động, ngay cả khi router chính gặp sự cố.​
  • Tự động chuyển đổi (Failover nhanh chóng): Khi router Master gặp lỗi nói chung, VRRP tự động chuyển đổi sang router Backup trong vài giây, giúp duy trì kết nối mạng liên tục.​
  • Cấu hình đơn giản: VRRP dễ cấu hình và quản lý trên hầu hết các thiết bị mạng hỗ trợ giao thức này.​
  • Hỗ trợ nhiều nhà cung cấp: VRRP là một chuẩn mở, hoạt động trên nhiều dòng thiết bị mạng khác nhau.​
Nhược điểm của VRRP:​
  • Không cân bằng tải mặc định: Theo mặc định, chỉ có một router hoạt động tại một thời điểm, các router Backup chỉ chờ dự phòng, dẫn đến tài nguyên không được tối ưu nếu không có cấu hình bổ sung.​
  • Chậm hơn so với một số giao thức khác: VRRP mặc định có thể mất khoảng 3 giây để phát hiện lỗi và chuyển đổi (trừ khi tinh chỉnh thông số). Một số giao thức như BFD có thể phát hiện lỗi nhanh hơn.​
  • Rủi ro bảo mật: Nếu không cấu hình Authentication, VRRP có thể bị tấn công giả mạo (spoofing), dẫn đến việc chiếm quyền điều khiển gateway.​
  • Vẫn có down time: Nếu Master gặp sự cố nhưng chưa được phát hiện ngay, có thể gây mất kết nối trong thời gian ngắn.​

Kết luận​

VRRP là một giải pháp quan trọng giúp tăng cường tính sẵn sàng của hệ thống mạng bằng cách đảm bảo luôn có một gateway hoạt động, ngay cả khi thiết bị chính gặp sự cố. Với cơ chế bầu chọn linh hoạt, khả năng tự động chuyển đổi nhanh chóng và tính tương thích cao với nhiều thiết bị mạng, VRRP giúp giảm thiểu downtime và duy trì kết nối ổn định. Việc triển khai VRRP đúng cách không chỉ giúp hệ thống mạng vận hành liên tục mà còn góp phần nâng cao độ tin cậy và khả năng mở rộng trong tương lai.​
 
Sửa lần cuối:
Bài viết liên quan
[Lab III-04] - (LAB) Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi thanhan1310,
[Lab III-04] - (Lý Thuyết) Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi thanhan1310,
[Lab III-03] - (LAB) Tìm Hiểu Và Cấu Hình Giao Thức Dự Phòng Gateway (VRRP) bởi thanhan1310,
[Lab III-03] - (Lý Thuyết) Tìm Hiểu Và Cấu Hình Giao Thức Dự Phòng Gateway (VRRP) bởi thanhan1310,
[Lab - 1] Tìm Hiểu Layer 2 Address Và Hoạt Động Của Switch, VLAN, Access, Trunking bởi Nam Việt,
[Lab - 7] Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi Nam Việt,
Bài viết mới
[Lab III-04] - (LAB) Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi thanhan1310,
[Lab III-04] - (Lý Thuyết) Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi thanhan1310,
[Lab III-03] - (LAB) Tìm Hiểu Và Cấu Hình Giao Thức Dự Phòng Gateway (VRRP) bởi thanhan1310,
[Lab III-03] - (Lý Thuyết) Tìm Hiểu Và Cấu Hình Giao Thức Dự Phòng Gateway (VRRP) bởi thanhan1310,
[Lab - 1] Tìm Hiểu Layer 2 Address Và Hoạt Động Của Switch, VLAN, Access, Trunking bởi Nam Việt,
[Lab - 7] Tìm Hiểu Giao Thức Định Tuyến Động OSPF bởi Nam Việt,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top