Eltex Knowledge Base
Дерево страниц
Перейти к концу метаданных
Переход к началу метаданных

Описание:

При использовании алгоритма хэширования md5 в конфигурации vrrp на интерфейсе, а также включенном на данном интерфейсе Firewall, необходимо в зону self разшение протокола AH.

Решение:

При использовании алгоритма хэширования md5 в конфигурации vrrp, ethernet кадр имеет следующую структуру заголовков:

Virtual Router Redundancy Protocol инкапсулируется в Authentication Header.

Рассмотрим конфигурацию:

  • Маршрутизатор Vrrp Backup
security zone untrusted
exit

interface gigabitethernet 1/0/1.10
  security-zone untrusted
  ip address 192.0.2.2/24
  vrrp id 1
  vrrp ip 192.0.2.1/24
  vrrp priority 50
  vrrp authentication key ascii-text <password>
  vrrp authentication algorithm md5
  vrrp
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol ah
    enable
  exit
exit

Vrrp Backup# sh vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        50         Enabled      Backup
  •  Маршрутизатор Vrrp Master                
security zone untrusted
exit

interface gigabitethernet 1/0/1.10
  security-zone untrusted
  ip address 192.0.2.3/24
  vrrp id 1
  vrrp ip 192.0.2.1/24
  vrrp authentication key ascii-text <password>
  vrrp authentication algorithm md5
  vrrp
exit

security zone-pair untrusted self
  rule 1
    action permit
    match protocol ah
    enable
  exit
exit

Vrrp Master# sh vrrp 
Virtual router   Virtual IP                          Priority   Preemption   State    
--------------   ---------------------------------   --------   ----------   ------   
1                192.0.2.1/24                        100        Enabled      Master

Предположим если отключить  rule 1(разрешение протокола AH) в security zone-pair untrusted self на Vrrp Backup, то процесс vrrp на маршрутизаторе Vrrp Backup перейдет в статус Master по причине блокировки кадров от  маршрутизатора Vrrp Master с полем  prio 100:

14:22:28.738334 00:00:5e:00:01:01 > 01:00:5e:00:00:12, ethertype IPv4 (0x0800), length 78: (tos 0xc0, ttl 255, id 1242, offset 0, flags [none], proto AH (51), length 64)

    192.0.2.3 > 224.0.0.18: AH(spi=0xc0000203,sumlen=16,seq=0x26e2): vrrp 192.0.2.3 > 224.0.0.18: VRRPv2, Advertisement, vrid 1, prio 100, authtype ah, intvl 1s, length 20, addrs: 192.0.2.1

Вывод syslog сообщений на маршрутизаторе Vrrp Master :

2024-06-10T04:23:23+00:00 %VRRP-I-INSTANCE: VRRP1 Received lower prio advert 50, forcing new election
2024-06-10T04:23:23+00:00 %VRRP-I-INSTANCE: 9 messages suppressed
2024-06-10T04:23:23+00:00 %VRRP-I-IPSEC: VRRP1 IPSEC-AH : Syncing seq_num - Increment seq
  • Нет меток