补充资料大型网络虚拟路由器冗余协议VRRPV10
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
虚拟路由器冗余协议
(VRRP )
5.1 VRRP 协议原理
VRRP 协议(Virtual Router Redundancy Protocol
,虚拟路由器冗余协议)与 HSRP 类似,能
够提高网络的稳定性和可靠性,其由 IETF 标准RFC2338定义。
由于VRRP 与HSRP 原理类似,只是术 语和功能上有细微的差别,所以本节简要介绍
VRRP 的原理。
1、VRRP 的工作原理
如图5.1所示,VRR 协议将LAN 网段上的两台或者多台路由器可以作为一台“虚拟”路由器使用, 通过同一个虚拟IP 地址和虚拟MA (地址而对外提供服务。
如果其中一台出现故障,另一台就能接替它, 继续完成路由功能。
图5.1 VRRP 创建了一个有自己 MAC 地址和IP 地址的虚拟路由器
VRR 协议组中包括一台主路由器、备份路由器和一台虚拟路由器组成。
VRR 协议中活跃路由器
称为主路由器,其转发发送到虚拟路由器的数据包。
而其他 VRR 组中非主路由器的路由器都处于备
份状态。
虚拟路由器是向最终用户代表一台可以连续工作的路由器。
VRR 与HSR 相同根据优先级大小选择主路由器,同一个
VRR 组中优先级最大的路由器成为主路
由器,状态为Master 。
组中其他路由器都处于备份状态,并检测主路由器的状态。
主路由器每隔一 段时间会发送一个 VRRP1告,通告其工作正常。
如果 VRR 组中的备份路由器长时间没有收到主路由 器的通告,就将自己改为 Master 状态。
VRR 组内可能有多台备份路由器同时认为自己是主路由器, 这时每台主路由器都会比较收到的
VRRP !告中的优先级与本地的优先级的大小。
如果本地优先级小
于VRR 通告的优先级,则自身路由器状态为备份状态,否则为 Master 状态不变。
最终一个 VRR 组中
优先级最大的路由器成为新的主路由器。
2、 虚拟MA 地址
VRRPS 中虚拟路由器的 MA (地址格式为0000.5e00.01xx ,其中xx 为VRR 组号。
例如:VRR 组47,则虚拟路由器的 MA 地址是0000.5e00.012f 。
3、 V RR 通告
VRR 协议中只定义了一种报文即 VRRP!告,其使用IP 协议协议号为112,目的地址为组播地址 224.0.0.18 。
4、VRR 啲状态 态)。
主机 1.1.1.10 缺省刚
关¥ 1.1.1.1 24
7 路由器A
Ml — man
路由
VKRP 虚拟路由器
SMIP.I.124
虑拟IIAC: 0000.0e00.0101
Iniernet
初始状态:所有路由器都从初始状态开始,即进程启动后进入此状态。
备份状态:接收主路由器发送的VRR组播通告,由此判断主路由器的状态;丢弃发送到虚
拟路由器的MA地址和IP地址的数据包;不响应对虚拟IP地址的ARP青求。
主状态:定期发送VRR组播通告;响应对虚拟IP地址的ARP青求,并且发送免费ARP艮文使
网络内主机知道虚拟IP地址和虚拟MA(地址的对应关系;转发目的地址是虚拟MA地址的IP 数据包。
VRR三种状态间的转换关系,如图 5.2所示。
收到的 '卫貯通告优先级大于本地优;先级
图5.2 VRRP三种状态之间的转换关系
在初始状态如果接收到startup消息,并且优先级为255 (优先级范围0〜255)时,则路由器状态转为主状态;如果优先级小于255时,则路由器状态转为备份状态。
在备份状态如果接口收到shutdown消息,则路由器状态转为初始状态;如果Master_Down_l nterval时间超时,则路由器转为主状态。
在主状态如果接口收到shutdown消息,则路由器状态转为初始状态;如果接收到的VRR组播通告中的优先级大于本地优先级,则路由器状态转为备份状态。
5、VRR计时器
VRRP通告的发送时间默认为1s,而Master_Down_lnterval时间是3倍的主路由器VRR通告发送时间再加上一个偏移时间,具体的计算公式详见RFC2338
6、VRR认证
VRR协议提供了三种认证方式(无认证、简单字认证和MD认证)可以根据不同的网络环境使用
不同的认证方式。
在一个安全的网络中可以使用无认证,在一个十分不安全的网络中可以使用MD5认证。
5.2 VRRP协议的相关配置
前面简单的讲解了VRRF协议的原理,本节介绍VRRP协议的相关配置。
5.2.1 VRRP的配置命令
1、将路由器配置为VRR组成员
将路由器或三层交换机配置为VRR组的成员,并指定虚拟IP地址:
Switch(c on fig-if)#vrrp group-nu mber ip virtual-ip-address
其中:
group-number :表示该端口所属的VRR组。
可配置范围是1〜255。
virtual-ip-address :表示虚拟VRR路由器的IP地址,即网段的网关地址。
如果虚拟IP地址和接口的物理IP地址相同,则此VRR组中本地路由器的优先级为255。
2、配置VRR优先级
用户可以指定端口在组内的优先级。
这样,在发生出现故障时,用户可以灵活地指定端口顺序。
优先级数值高的将成为主路由器,指定优先级可使用下面的命令:
Switch(c on fig-if)#vrrp group-nu mber priority priority-value
其中,priority-value 范围是0〜255,可配置范围是1〜254,默认值是100。
需要注意如果路由器是IP地址拥有者则优先级为255,无法配置优先级。
3、配置占先权
占先权的含义与HSR相同,但是VRR协议中占先权默认是开启的。
关闭VRR占先权的命令为:
Switch(c on fig-if)# no vrrp group-nu mber preempt
可以使用vrrp group-number preempt命令开启VRR占先权。
4、配置VRR定时器
配置VRR路由器的VRR通告发送时间的命令为:
Switch(c on fig-if)#vrrp 1 timers advertise [ msec ] in terval
其中,使用mse(参数配置的时间间隔为毫秒,范围50〜999;不使用msec参数参数配置的时间间隔为秒,范围是1〜255。
命令vrrp group-number timers learn 为从主路由器那里获悉VRR通告时间间隔,由此计算Master_Down_l nterval 的时间。
5、配置VRR认证
VRRPE置明文认证的命令为:
Switch(c on fig-if)#vrrp 1 authe nticati on word
VRRf配置MD认证的命令为:
Switch(co nfig-if)#vrrp 1 authe ntication md5 key- stri ng word
6、配置VRR端口跟踪
VRR配置端口跟踪的方式与HSRP肖有不同。
VRR配置端口跟踪时,首先,需要定义跟踪的端口命令如下:
Switch(c on fig-if)#track nu mber in terface type mod/m un lin e-protocol
其中,numbe为编号,范围1〜500; line-protocol 表示接口链路层状态。
然后,在接口模式下配置VRR端口跟踪,命令为:
Switch(c on fig-if)#vrrp group-nu mber track nu mber decreme nt in terface-priority
其中:
group-number :采用跟踪功能的端口的VRR组号;
numbe:跟踪由track number 所定义的端口;
in terface-priority :当端口失效时路由器的热备份优先级将降低的数值;当端口变为可
用时,路由器的优先级将加上该数值。
要关闭端口跟踪功能时,可以使用no standby group-number track命令。
需要注意如果路由器是IP地址拥有者则优先级为255,不能配置端口跟踪。
7、查看VRR路由器状态
要显示VRR路由器的状态,在特权模式下输入如下命令:
Switch#show vrrp [in terface type mod/m un] [group group-nu mber] [brief]
其中:
in terface type mod/mu n:要显示的端口类型和序号;
group group-number:要显示的具体VRR组;
brief :显示摘要信息,每个备份组总结显示一行输出;
如果没有指定这些任选端口参数,那么,show vrrp 命令可以显示所有端口的VRRP!息。
此输出表明,VLAN端口参与了VRRP 2组,优先级为150,启用了占先权,不是IP地址拥有者, 这个路由器处于Master状态,组中主路由器的IP地址192.168.2.1 ,VRRP1的虚拟IP地址是192.168.2.254。
使用show vrrp可以查看VRR的详细信息,如下所示:
SW1#show vrrp
Vla n2 - Group 2 //VRRP
State is Master //
Virtual IP address is 192.168.2.254 //VRRP
Virtual MAC address is 0000.5e00.0102 //VRRP Advertiseme nt in terval is 1.000 sec //VRRP
Preempti on en abled //
Priority is 150 //
Track object 1 state Up decreme nt 100 //
Master Router is 192.168.2.1 (local), priority is 150 //
Master Advertiseme nt in terval is 1.000 sec //
Master Dow n in terval is 3.414 sec //
Vla n3 - Group 3
State is Backup
Virtual IP address is 192.168.3.254
Virtual MAC address is 0000.5e00.0103
Advertiseme nt in terval is 1.000 sec
Preempti on en abled
Priority is 100
Master Router is 192.168.3.2, priority is 150
Master Advertiseme nt in terval is 1.000 sec
Master Down in terval is 3.609 sec (expires in 3.217 sec) Lear ning //学习到的主路由器Down interval时间
组号
状态为Master
组的虚拟IP地址
组的虚拟MA(地址
通告发送时间间隔
占先权为启动状态
优先级为150
端口跟踪,降低优先级100
主路由器的信息
主路由器的VRR通告时间间隔主路由器的Down interval时间
522 VRRP的配置实例
与HSRP相同,要实现网络流量的负载均衡,需要通过配置
VRRF和生成树来实现。
F面通过一个配置实例来说明如何配置VRRP的负载均衡。
BENE公司组建网络如图5.30所示,要求使用SW和SW使用VRRP口强网络稳定,为了充分利用网络资源还要求实现VLAN的负载均衡。
VRR参数规划如表5.1所示。
表
注:
对于VLAN2 SW为主路由器、SW为备份路由器; 对于VLAN3 SW为备份路由器、SW为主路由器;
其它网络规划如下:
在SW交换机VLAN虚接口物理IP地址:
VLAN 2:192.168.2.1/24
VLAN 3:192.168.3.1/24
在SW交换机VLAN虚接口物理IP地址:
VLAN 2:192.168.2.2/24
VLAN 3:192.168.3.2/24
PC1的IP地址:192.168.2.10/24 ,虚拟网关为192.168.2.254/24 ;PC2的IP 地
址:
192.168.3.10/24 ,虚拟网关为192.168.3.254/24
SW和R1的互联地址为192.168.0.0/30 ;SW和R1的互联地址为192.168.1.0/30
配置R1路由器的Loopback接口地址192.168.100.1/24 模拟外网地址;
交换机之间链路均为中继链路,并使用静态路由实现网络互通;
FO 1 FO
1
F0 15 F0-I5
FO 14 FO
14
图5.3 VRRP案例网络拓扑图
根据网络规划配置网络。
1、配置设备基本信息(接口IP、VLAN TRUNK路由等配置),配置省略;
配置时需要注意三层交换机启用路由功能、VLAN虚端口需要开启、三层交换机端口启用三层功能等配置,以及接口配置的物理IP地址。
2、配置VRRP
分别在SW和SW上配置VRRP如下所示:
SW配置
SW1(co nfig)#track 1 in terface FastEthernetO/1 lin e-protocol // 定义跟踪的端口
SW1(co nfig)#i nterface Vla n2
SW1(config-if)#ip address 192.168.2.1 255.255.255.0
SW1(config-if)#vrrp 2 ip 192.168.2.254 // 配置虚拟IP地址SW1(config-if)#vrrp 2 timers learn
SW1(co nfig-if)#vrrp 2 priority 150 // 配置优先级150 SW1(co nfig-if)#vrrp 2 track 1 decreme nt 100 // 配置端口跟踪SW1(co nfig-if)#exit
SW1(config)#interface Vlan3 // 优先级使用默认配置为100,并且不需要跟踪端口
SW1(config-if)#ip address 192.168.3.1 255.255.255.0
SW1(config-if)#vrrp 3 ip 192.168.3.254
SW1(co nfig-if)#vrrp 3 timers learn // 配置从主路由器获悉VRRP!告时间SW1(co nfig-if)#exit
SW配置
SW2(co nfig)#track 1 in terface FastEthernet0/1 lin e-protocol
SW2(co nfig)#i nterface Via n2
SW2(co nfig-if)#ip address 192.168.2.2 255.255.255.0
SW2(config-if)#vrrp 2 ip 192.168.2.254
SW2(co nfig-if)#vrrp 2 timers learn
SW2(co nfig-if)#exit
SW2(co nfig)#i nterface Vla n3
SW2(co nfig-if)#ip address 192.168.3.2 255.255.255.0
SW2(config-if)#vrrp 3 ip 192.168.3.254
SW2(co nfig-if)#vrrp 3 timers learn
SW2(co nfig-if)#vrrp 3 priority 150
SW2(co nfig-if)#vrrp 3 track 1 decreme nt 100
SW2(co nfig-if)#exit
3、配置STP实现VLAh负载均衡
SW的配置信息如下:
SW1(c on fig)#spa nnin g-tree via n 2 root primary
SW1(c on fig)#spa nnin g-tree via n 3 root sec on dary
SW的配置信息如下:
SW2(c on fig)#spa nnin g-tree via n 2 root sec on dary
SW2(c on fig)#spa nnin g-tree via n 3 root primary
由此可以保证VLAN的STP实例阻塞的端口是SW和SW连接端口中的一个,而VLAN的STP实例阻塞的端口是SW和SW连接端口中的一个。
由此保证了不同VLAN从SW到主路由器的链路不被阻塞。
4、验证VRRP
使用show vrrp命令查看VRR详细信息,如下所示:
SW1#show vrrp
Via n2 - Group 2
State is Master
Virtuai IP address is 192.168.2.254
Virtuai MAC address is 0000.5e00.0102
Advertiseme nt in tervai is 1.000 sec
Preempti on en abied
Priority is 150
Track object 1 state Up decreme nt 100
Master Router is 192.168.2.1 (iocai), priority is 150
Master Advertiseme nt in tervai is 1.000 sec
Master Dow n in tervai is 3.414 sec
Via n3 - Group 3
State is Backup
Virtuai IP address is 192.168.3.254
还可以使用show vrrp brief 命令查看VRRP勺简要信息,如下所示:
分别在PC1和PC2(网关为虚拟IP地址)上使用ping命令,能够正常和R1(192.168.100.1) 通信。
验证热备份,断开SW交换机和R1的链路,然后使用show vrrp brief 命令查看交换机上VRR状态,如下所示:
SW1#show vrrp brief
Master addr
Backup
Backup Group addr
192.168.2.2
192.168.3.2 192.168.2.254
192.168.3.254
In terface Vl2
Vl3
Grp Pri Time Own Pre State 2
3 100 3609
50 3414 Y
Y
SW2#show vrrp brief
In terface Grp Pri Time Own Pre State Master addr Group addr
Vl2 2 100 3609 Y Master 192.168.2.2 192.168.2.254
Vl3 3 150 3414 Y Master 192.168.3.2 192.168.3.254
主交换机优先级下降,备份交换机成为主交换机,并且PC1和PC2与路由器R1通信正常。
然后恢复SW交换机和R1的链路,然后断开SW交换机和SW的链路,验证热备份。
同样,主交换。