一(yī)、VRRP簡介
通(tōng)常,同一(yī)網段内所有主機(jī)都設置一(yī)條相(xiàng)同的以太網關為(wèi)吓一(yī)跳的默認路(lù)由。主機(jī)發往其他網段的報(bào)文将通(tōng)過默認路(lù)由發往網關,再由網關進行轉發,從(cóng)而實現主機(jī)與外部網絡的通(tōng)信。當網關發生(shēng)故障時,本網段内所有以網關為(wèi)默認路(lù)由的主機(jī)将無法與外部網絡通(tōng)信。
通(tōng)過VRRP(Virtual Router Redundancy Protocol,虛拟路(lù)由器(qì)冗餘協議)可以避免由于局域網網關單點故障而導緻的網絡中斷。
VRRP允許将多(duō)個(gè)路(lù)由器(qì)加入到(dào)一(yī)個(gè)備份組中,形成一(yī)台虛拟路(lù)由器(qì)。
在VRRP主備備份方式中,僅由Master路(lù)由器(qì)承擔網關功能(néng)。當Master路(lù)由器(qì)出現故障時,其他Backup路(lù)由器(qì)會(huì)通(tōng)過VRRP選舉一(yī)個(gè)路(lù)由器(qì)接替Master的工(gōng)作。隻要備份組中仍有一(yī)台路(lù)由器(qì)正常工(gōng)作,虛拟路(lù)由器(qì)就(jiù)仍然正常工(gōng)作,這樣可以避免由于網關單點故障而導緻的網絡中斷。
主備備份方式僅需要一(yī)個(gè)備份組,不同的路(lù)由器(qì)在該備份組中擁有不同的優先級,優先級最高(gāo)的路(lù)由器(qì)将成為(wèi)Master路(lù)由器(qì)。
VRRP負載分擔方式是指多(duō)台路(lù)由器(qì)同時承擔業(yè)務,因此負載分擔方式需要兩個(gè)或者兩個(gè)以上(shàng)的備份組,每個(gè)備份組都包括一(yī)個(gè)Master路(lù)由器(qì)和若幹個(gè)Backup路(lù)由器(qì)。各備份組的Master路(lù)由器(qì)各不相(xiàng)同。同一(yī)台路(lù)由器(qì)同時加入多(duō)個(gè)VRRP備份組,在不同備份組中有不同的優先級。
為(wèi)了實現業(yè)務流量在路(lù)由器(qì)之間的負載分擔,需要将局域網内的主機(jī)默認網關設置為(wèi)不同的虛拟路(lù)由器(qì)。在配置優先級時,需要确保備份組中各路(lù)由器(qì)的VRRP優先級形成交叉對應。
二、VRRP工(gōng)作原理
RFC 3768替代REC 2338定義的VRRPv2(Virtual Router Redundancy Protocol version 2,虛拟路(lù)由器(qì)冗餘協議版本2)講可以承擔網關功能(néng)的一(yī)組路(lù)由器(qì)加入到(dào)備份組中,形成一(yī)台虛拟路(lù)由器(qì),由VRRP的選舉機(jī)制決定哪台路(lù)由器(qì)承擔轉發任務,局域網内的主機(jī)隻需要将虛拟路(lù)由器(qì)配置為(wèi)默認網關即可
VRRP是一(yī)種容錯(cuò)協議,在提高(gāo)可靠性的同時,簡化了主機(jī)的配置。VRRP報(bào)文使用固定的組播地址224.0.0.18進行發送。具有多(duō)播域廣播能(néng)力的局域網(如以太網),借助VRRP能(néng)在某台路(lù)由器(qì)出現故障時仍然提供高(gāo)可靠性的默認鏈路(lù),有效避免單一(yī)鏈路(lù)發生(shēng)故障後網絡中斷問題,而無須修改動态路(lù)由協議、路(lù)由發現協議。
VRRP涉及的主要名詞術(shù)語
VRRP備份組:将局域網内的一(yī)組運行VRRP路(lù)由器(qì)劃分在一(yī)起,稱為(wèi)一(yī)個(gè)備份組,功能(néng)上(shàng)相(xiàng)當于一(yī)台虛拟路(lù)由器(qì)。備份組分為(wèi)單備份組和多(duō)備份組。
虛拟路(lù)由器(qì)号(VRID):範圍為(wèi)1-255,由用戶配置,以區分不同的備份組。有相(xiàng)同VRID的一(yī)組路(lù)由器(qì)構成一(yī)個(gè)VRRP備份組。
Master和Backup路(lù)由器(qì):Master路(lù)由器(qì)是由備份組内的所有路(lù)由器(qì)根據優先級高(gāo)低(dī)選舉出的路(lù)由器(qì),承擔網關功能(néng)。其他路(lù)由器(qì)作為(wèi)Backup路(lù)由器(qì)。
IP地址擁有者(IP Address Owner):接口IP地址與虛拟IP地址相(xiàng)同的路(lù)由器(qì)被稱為(wèi)IP地址擁有者。
虛拟MAC地址(Virtual MAC Address):一(yī)個(gè)虛拟路(lù)由器(qì)擁有一(yī)個(gè)虛拟MAC地址,根據RFC 2338的規定,虛拟MAC地址的格式為(wèi)00-00-5E-00-01-(VRID)。當虛拟路(lù)由器(qì)回應ARP請求時,回應的是虛拟MAC地址,而不是接口的真實MAC地址。
優先級(Priority):VRRP中根據優先級來确定參與備份組的每台路(lù)由器(qì)的地位,備份組中優先級最高(gāo)的路(lù)由器(qì)将成為(wèi)Master路(lù)由器(qì),當路(lù)由器(qì)優先級相(xiàng)同時,将會(huì)比較接口的主IP地址,主IP地址越大,優先級越高(gāo)。優先級的取值範圍為(wèi)0-255,數值越大表明優先級越高(gāo),優先級默認值為(wèi)100,但是可配置範圍為(wèi)1-254。0為(wèi)系統保留的作為(wèi)特殊用途使用的優先級值,255則保留給IP地址擁有者。
搶占方式:如果備份組中的路(lù)由器(qì)工(gōng)作在搶占方式下(xià),它一(yī)旦發現自(zì)己的優先級比當前的Master路(lù)由器(qì)優先級高(gāo),就(jiù)會(huì)對外發送VRRP通(tōng)告報(bào)文,導緻備份組内路(lù)由器(qì)重新選舉Master路(lù)由器(qì),并最終取代原有的Master路(lù)由器(qì)。相(xiàng)應的,原來的Master路(lù)由器(qì)将變成Backup路(lù)由器(qì)。
非搶占方式:如果備份組中的路(lù)由器(qì)工(gōng)作在非搶占方式下(xià),則隻要Master路(lù)由器(qì)沒有出現故障,Backup路(lù)由器(qì)即使随後被配置更高(gāo)的優先級也不會(huì)成為(wèi)Master路(lù)由器(qì)。
認證類型(Authentication Type):VRRP定義了3種認證方式:無認證(No Authentication )、簡單字符認證(Simple Clear Text Passwords)和MD5認證。
路(lù)由器(qì)開(kāi)啓VRRP功能(néng)後,會(huì)根據優先級确定自(zì)己在備份組中的角色。優先級高(gāo)的路(lù)由器(qì)成為(wèi)Master路(lù)由器(qì),優先級低(dī)的成為(wèi)Backup路(lù)由器(qì)。Master路(lù)由器(qì)定期發送VRRP通(tōng)告報(bào)文,通(tōng)知備份組内的其他路(lù)由器(qì)自(zì)己工(gōng)作正常;Backup路(lù)由器(qì)則啓動定時器(qì)等通(tōng)告報(bào)文的到(dào)來。
在非搶占方式下(xià),隻要Master路(lù)由器(qì)沒有出現故障,備份組中的路(lù)由器(qì)始終保持Master或Backup狀态,Backup路(lù)由器(qì)即使随後被配置了更高(gāo)的優先級也不會(huì)成為(wèi)Master路(lù)由去。在搶占方式下(xià),Backup路(lù)由器(qì)收到(dào)VRRP通(tōng)告報(bào)文後,會(huì)将自(zì)己的優先級與通(tōng)告報(bào)文中的優先級進行比較。如果大于通(tōng)告報(bào)文中的優先級,則成為(wèi)Master路(lù)由器(qì);否則将保持Backup狀态。
如果Backup路(lù)由器(qì)的定時器(qì)超時後仍未收到(dào)Master路(lù)由器(qì)發送來的VRRP通(tōng)告報(bào)文,則認為(wèi)Master路(lù)由器(qì)已經無法正常工(gōng)作,此時Backup路(lù)由器(qì)會(huì)認為(wèi)自(zì)己是Master路(lù)由器(qì),并對外發送VRRP通(tōng)告報(bào)文。備份組内的路(lù)由器(qì)根據優先級選舉出Master路(lù)由器(qì),承擔報(bào)文的轉發功能(néng)。
VRRP監視接口功能(néng)
VRRP備份組無法感知上(shàng)行鏈路(lù)的故障。當路(lù)由器(qì)連接的上(shàng)行鏈路(lù)的接口出現故障時,如果該路(lù)由器(qì)此時處于Master狀态,将會(huì)導緻局域網内的主機(jī)無法訪問外部網絡,或通(tōng)過非最優路(lù)徑訪問外部網絡
如果路(lù)由器(qì)配置了監視指定接口的功能(néng),當連接上(shàng)行鏈路(lù)的接口處于DOWN Removed狀态時,該路(lù)由器(qì)将主動降低(dī)自(zì)己的優先級,使得備份組内其他路(lù)由器(qì)的優先級高(gāo)于這個(gè)路(lù)由器(qì),以便優先級最高(gāo)的路(lù)由器(qì)成為(wèi)Master承擔轉發任務。
三、VRRP狀态機(jī)
VRRP有3種狀态機(jī),分别是Initialize(初始化)、Master(主)、Backup(備份)。
路(lù)由器(qì)啓動後進入Initialize狀态。當收到(dào)接口的Startup(啓動)消息時,路(lù)由器(qì)将轉入Backup或Master狀态(優先級為(wèi)255時)。當路(lù)由器(qì)處于Initialize狀态的,不會(huì)對VRRP報(bào)文做任何處理。
當路(lù)由器(qì)處于Master狀态時,将定期發送VRRP廣播報(bào)文。響應對虛拟IP地址的ARP請求,并且響應的是虛拟MAC地址,而不是接口的真實MAC地址。轉發目的MAC地址為(wèi)虛拟MAC地址的ip報(bào)文。如果它是這個(gè)虛拟IP地址的擁有者,則接收目的的IP地址就(jiù)為(wèi)這個(gè)虛拟IP地址的ip報(bào)文,否則丢棄這個(gè)IP報(bào)文。在Master狀态中,路(lù)由器(qì)隻有接收到(dào)比自(zì)己的優先級大的VRRP報(bào)文或者VRRP報(bào)文攜帶的優先級等于本地優先級,且報(bào)文攜帶接口ip大于本地接口ip時,才會(huì)轉為(wèi)Backup。當路(lù)由器(qì)接收到(dào)接口的Shutdown事(shì)件(jiàn)時,将轉為(wèi)Initialize狀态。
當路(lù)由器(qì)處于Backup狀态時,将接收Master發送的VRRP廣播報(bào)文,對虛拟IP地址的ARP請求不做響應,丢棄目的MAC地址為(wèi)虛拟MAC地址的IP報(bào)文。丢棄目的IP地址為(wèi)虛拟IP地址的IP報(bào)文,隻有當Backup接收到(dào)Master_Down這個(gè)定時器(qì)到(dào)時的事(shì)件(jiàn)時,才會(huì)轉為(wèi)Master。當路(lù)由器(qì)接收到(dào)比自(zì)己的優先級小(xiǎo)的VRRP報(bào)文時,丢棄這個(gè)報(bào)文,不對定時器(qì)做重置處理,在若幹次這樣的處理之後,Mastere_Down這個(gè)定時器(qì)到(dào)時,路(lù)由器(qì)轉為(wèi)Master狀态,當路(lù)由器(qì)接收到(dào)接口的Shutdown事(shì)件(jiàn)時,轉為(wèi)Initialize狀态。
四、實驗
實驗目的:測試以上(shàng)理論,路(lù)由器(qì)做網關設備雙組、鏈路(lù)監控、三層交換做網關設備(不知道是不是這個(gè)模拟器(qì)的問題,始終做不出,三層交換的效果,略過)
實驗模拟器(qì)版本:HCL 7.1.59
實驗PC使用的IP地址範圍:192.168.0.0/24
實驗使用的設備:一(yī)個(gè)交換機(jī)、五個(gè)路(lù)由器(qì)(其中兩個(gè)作為(wèi)PC機(jī)使用)
實驗拓撲
基本配置
配置PC機(jī)的IP地址
PC1(因為(wèi)時路(lù)由器(qì)代替PC所以需要寫一(yī)條靜(jìng)态路(lù)由)
PC2(注意:PC2的靜(jìng)态路(lù)由吓一(yī)跳必須是配置的虛拟路(lù)由的ip,不然不能(néng)實現網關備份)
路(lù)由器(qì)配置
R1(注意:這裡(lǐ)的兩條靜(jìng)态路(lù)由,因為(wèi)我沒有使用路(lù)由協議所以,這裡(lǐ)需要配置明細路(lù)由)
R2(注意:這裡(lǐ)配置的虛拟IP地址必須與接口IP地址在同一(yī)網段)
R3
交換機(jī)SW1不用配置,當做二層交換機(jī)即可
查看(kàn)R2,R3的vrrp狀态
R2
R3
測試看(kàn)是否能(néng)夠實現網關備份
在主機(jī)PC2上(shàng)不停的ping PC1
将R2的G0/1 shutdown查看(kàn)主機(jī)之間可有中斷,再查看(kàn)vrrp的狀态
R2
R3
查看(kàn)PC之間丢包的情況
這個(gè)圖是我再一(yī)次shutdown接口看(kàn)到(dào)的
将R2的接口恢複過來的情況
R3的情況你會(huì)發現有兩個(gè)主,R3的狀态沒有切換過來,但并不影響主機(jī)之間的通(tōng)信,需配置搶占延時(這裡(lǐ)我糾結了很久到(dào)後面才發現的)
R2
R3
這樣就(jiù)可了,不用等太長(cháng)的時間,這裡(lǐ)我就(jiù)不截圖驗證了
配置端口監視,因為(wèi)如果是上(shàng)行鏈路(lù)斷開(kāi),而vrrp不知道這一(yī)情況,所以需要配置端口監視
可以先試驗一(yī)下(xià)将R1端口G0/1 shutdown查看(kàn)主機(jī)之間與R2 R3的狀态
R1
PC2
R2
R3
配置端口監視
R2(注意:端口監視,就(jiù)是當track監視的端口down時将會(huì)把該備份組的優先級降低(dī)50)
R3
查看(kàn)vrrp的狀态增加了什麽
R2
R3
測試并查看(kàn)主機(jī)之間的通(tōng)信,vrrp的狀态
還(hái)是一(yī)樣使PC2不停的ping PC1
将R1的G0/1接口shutdown
查看(kàn)
PC2
R2
R3