VRRP详解H3C+Quidway2009-09-2816:19:43阅读237评论0字号:大中小3.1VRRP(VirtualRouterRedundancyProtocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如下图所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。图3-1局域网组网方案VRRP就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。图3-2VRRP组网示意图这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP协议的详细信息,可以参考RFC2338。3.2VRRP配置VRRP的基本配置包括:l添加或删除虚拟IP地址l设置虚拟IP地址是否可以被ping通l设置备份组的优先级l设置备份组的抢占方式和延迟时间VRRP的高级配置包括:l设置备份组的认证方式和认证字l设置备份组的定时器l设置监视指定接口l设置检查VRRP报文的TTL域3.2.1设定虚拟IP地址是否可以使用ping命令ping通本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟IP地址。根据VRRP的标准协议,备份组的虚拟IP地址是无法使用ping命令来ping通的。这时路由器连接的用户无法通过ping命令来判断一个IP地址是否被备份组使用。如果用户将自己的主机IP配置与备份组的虚拟IP地址相同的IP地址,将会使本网段的报文都发送到用户的主机,导致本网段的数据不能被正确转发。H3C路由器提供给用户如下功能:在进行了相应的配置后,用户将可以使用ping命令ping通备份组的虚拟IP地址。请在系统视图下进行下列配置。表3-1设定虚拟IP地址是否可以使用ping命令ping通操作命令设定虚拟IP地址可以使用ping命令ping通vrrpping-enable设定虚拟IP地址不可以使用ping命令ping通undovrrpping-enable缺省情况下,用户不能使用ping命令ping通备份组的虚拟IP地址。3.2.2添加或删除虚拟IP地址将一个本网段的IP地址指定到一个虚拟路由器(也称为一个备份组),或将指定到一个备份组的虚拟IP地址从虚拟地址列表中删除。如果不指定删除某一虚拟IP地址,则删除此虚拟路由器上的所有虚拟IP地址。请在以太网接口视图或桥模板视图下进行下列配置。表3-2添加/删除虚拟IP地址操作命令添加虚拟IP地址vrrpvridvirtual-router-IDvirtual-ipvirtual-address删除虚拟IP地址undovrrpvridvirtual-router-IDvirtual-ip[virtual-address]需要注意的是:如果一个桥组中存在非以太网类型的接口,则不允许在这个桥组所对应的桥模板上配置VRRP。备份组号virtual-router-ID范围从1到255,虚拟地址可以是备份组所在网段中未被分配的IP地址,也可以是属于备份组某接口的IP地址。对于后者,称拥有这个接口IP地址的路由器为一个地址拥有者(IPAddressOwner)。当指定第一个IP地址到一个备份组时,系统会创建这个备份组,以后再指定虚拟IP地址到这个备份组时,系统仅仅将这个地址添加到这个备份组的虚拟IP地址列表中。在对一个备份组进行其它配置之前,必须先通过指定一个虚拟IP地址的命令将这个备份组创建起来。备份组中最后一个虚拟IP地址被删除后,这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组,这个备份组的所有配置都不再有效。&说明:l路由器上每个接口可以同时加入到64个备份组中,每个备份组可配置的虚拟IP地址个数为16个。当配置的虚拟备份组个数多于14个时,要在接口使能混合模式(promiscuous),否则会有直连路由不通的情况,使得VRRP备份功能和负载分担功能丢包。l当本路由器上的VRRP备份组的状态是master时,支持GRE通道的源IP是VRRP虚IP地址,IKEPeer的本地IP是VRRP虚IP地址。3.2.3设置备份组的优先级VRRP中根据优先级来确定参与备份组的每台路由器的地位,备份组中优先级最高的路由器将成为Master。优先级的取值范围为0到255(数值越大表明优先级越高),但是可配置的范围最小值是1,最大值是254。优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。请在以太网接口视图或桥模板视图下进行下列配置。表3-3设置备份组的优先级操作命令设置备份组的优先级vrrpvridvirtual-router-IDprioritypriority-value恢复为缺省值undovrrpvridvirtual-router-IDpriority需要注意的是:如果一个桥组中存在非以太网类型的接口,则不允许在这个桥组所对应的桥模板上配置VRRP。缺省情况下,优先级的取值范围为100。备份接口的优先级数值越大则优先级越大。&说明:对于IP地址拥有者,存在配置优先级和运行优先级两种优先级,配置优先级即用vrrpvrid配置的优先级;运行优先级是不可配置的,始终为255。3.2.4设置备份组的抢占方式和延迟时间在非抢占方式下,一旦备份组中的某台路由器成为Master,只要它没有出现故障,其它路由器即使随后被配置更高的优先级,也不会成为Master。如果路由器设置为抢占方式,它一旦发现自己的优先级比当前的Master的优先级高,就会成为Master,相应地,原来的Master将会变成Backup。在设置抢占的同时,还可以设置延迟时间。这样可以使得Backup延迟一段时间成为Master。其原因是这样的,在性能不够稳定的网络中,Backup可能因为网络堵塞而无法正常收到Master的报文,使用vrrpvrid命令配置了抢占延迟时间后,可以避免因网络的短暂故障而导致的备份路由器的状态频繁转换。延迟的时间以秒计,范围为0~255。请在接口视图下进行下列配置。表3-4设置和取消备份组的抢占方式和延迟时间操作命令设置备份组的抢占方式和延迟时间vrrpvridvirtual-router-IDpreempt-mode[timerdelaydelay-value]取消备份组的抢占方式undovrrpvridvirtual-router-IDpreempt-mode缺省方式是抢占方式,延迟时间为0。&说明:取消抢占方式,则延迟时间就会自动变为0秒。3.2.5设置认证方式及认证字VRRP提供了两种认证方式,分别是:lSIMPLE:简单字符认证lMD5:MD5认证在一个安全的网络中,可以采用缺省值,则路由器对要发送的VRRP报文不进行任何认证处理,而收到VRRP报文的路由器也不进行任何认证就认为是一个真实的,合法的VRRP报文,这种情况下,不需要设置认证字。在一个有可能受到安全威胁的网络中,可以将认证方式设置为SIMPLE,则发送VRRP报文的路由器就会将认证字填入到VRRP报文中,而收到的VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较,相同则认为是真实的、合法的VRRP报文,否则认为是一个非法的报文,将会丢弃。这种情况下,应当设置长度为不超过8字节的认证字。在一个非常不安全的网络中,可以将认证方式设置为MD5,则路由器就会利用AuthenticationHeader提供的认证方式和MD5算法来对VRRP报文进行认证。如果以明文形式输入,长度为1~8个字符,如:1234567;如果以密文形式输入,长度必须为24个字符,并且必须是密文形式,如:_(TT8F]Y\5SQ=^Q`MAF4。对于没有通过认证的报文将做丢弃处理,并会向网管发送陷阱报文。请在接口视图下进行下列配置。表3-5设置认证方式和认证字操作命令设置认证方式和认证字vrrpvridvirtual-router-idauthentication-mode{md5key|simplekey}恢复为缺省值undovrrpvridvirtual-router-idauthentication-mode缺省认证方式为不进行认证。&说明:一个接口上的备份组要设置相同的认证方式和认证字。3.2.6设置VRRP的定时器VRRP备份组中的Master路由器通过定时(adver-interval)发送VRRP报文来向组内的路由器通知自己工作正常。如果Backup超过一定时间(master-down-interval)没有收到Master发送来的VRRP报文,则认为它已经无法正常工作。同时就会将自己的状态转变为Master。用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间(adver-interval)。而Backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的路由器上的定时器差异等因素,会导致master-down-interval异常到时而导致状态转换。对于这种情况,可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。请在接口视图下进行下列配置。表3-6设置VRRP定时器操作命令设置VRRP定时器vrrpvridvirtual-router-IDtimeradvertiseadver-interval恢复为缺省值undovrrpvridvirtual-router-IDtimeradvertise缺省情况下,adver-interval的值是1秒,取值范围从1到255。3.2.7设置监视指定接口VRRP监视接口功能,更好地扩充了备份功能,即不仅在备份组所在的接口出现故障时提供备份功能,而且在路由器的其它接口不可用时,也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口DOWN时,这个接口的路由器的优先级会自动降低一个数额(priority-reduced),于是就会导致备份组内其它路由器的优先级高于这个路由器的优先级,从而使得其它优先级高的路由器转变为Master,达到对这个接口监视的目的。请在接口视图下进行下列配置。表3-7设置和取消监视接口操作命令设置监视指定接口vrrpvridvirtual-router-IDtrackinterfaceinterface-typeinterface-number[reducedpriority-reduced]取消监视指定接口undovrrpvridvirtual-router-IDtrack[interfaceinterface-typeinterface-number]缺省情况下,priority-reduced的值为10。VRRP不仅可以监
本文标题:VRRP协议详解
链接地址:https://www.777doc.com/doc-2855206 .html