VRRP原理与配置_vrrp的配置命令

1.VRRP技术概述

（1）单网关面临的问题

（2）VRRP概述

⦁    VRRP的运行结果是在局域网上提供一个虚拟路由器。
⦁    本例中：
⦁    局域网中有两个路由器R1和R2，R1端口IP地址为192.168.1.251/24，R2端口IP地址为192.168.1.252/24。
⦁    配置R1和R2关联到同一个虚拟路由器，该虚拟路由器使用192.168.1.254做为端口IP地址。
⦁    所有的PC使用192.168.1.254做为默认网关。

（3）VRRP的基本概念（1）

（4）VRRP的基本概念（2）

某某设备发送免费ARP 0000-5E00-0101，暗示VRID只能使用1!

（5）VRRP的基本概念（3）

[AR1]undo vrrp virtual-ip ping enable
     禁用物理路由器使用虚拟IP回复终端PING请求！

1. 避免冲突：虚拟IP是用于标识虚拟路由器的IP地址，它的作用是提供高可用性和故障转移。如果物理路由器使用虚拟IP回复终端ping请求，可能会导致冲突，造成网络不稳定或服务中断。

2. 防止误判：VRRP通过监测虚拟路由器的状态来确定是否进行故障转移。如果物理路由器使用虚拟IP回复ping请求，可能会导致虚拟路由器误判为正常工作，从而影响故障转移的正确性和可靠性。

3. 确保一致性：VRRP是通过协议实现的，路由器之间需要进行状态同步和通信。如果物理路由器使用虚拟IP回复ping请求，可能会导致状态不一致，影响VRRP协议的正常运行。

因此，为了确保VRRP的正常工作和高可用性，禁止物理路由器使用虚拟IP回复终端ping请求是必要的。这样可以保证VRRP的故障转移机制能够正确地工作，并提供可靠的网络服务。

（6）VRRP报文格式

⦁    VRRP报文字段含义如下：
⦁    Ver：VRRP目前有两个版本，其中VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。
⦁    Virtual Rtr ID：该报文所关联的虚拟路由器的标识。
⦁    Priority：发送该报文的VRRP路由器的优先级。
⦁    Count IP Addrs：该VRRP报文中所包含的虚拟IP地址的数量。
⦁    Auth Type：VRRP支持三种认证类型：不认证、纯文本密码认证、MD5方式认证，对应值分别为0、1、2。
⦁    Adver Int：发送VRRP通告消息的间隔。默认为1秒
⦁    IP Address：所关联的虚拟路由器的虚拟IP地址，可以为多个。
⦁    Authentication Data：验证所需要的密码信息。

（7）VRRP定时器

2.VRRP技术原理

（1）VRRP状态机

一个Startup事件可以由系统在VRRP配置完成后自动触发，也可以是在已经配置VRRP的端口上，底层链路由不可用变为可用而触发。

（2）VRRP协议状态

开启抢占模式的VRRP备份组，当主备进行切换时，总共时长为：3xAdver_Interval+Skew_time+Delay_time
在抢占模式下，当Master的设备状态不稳定或者网络质量差时，会导致VRRP备份组频繁切换，从而引发终端ARP表项频繁刷新，为缓解此问题，通常设置抢占延时定时器，
通过MASTER_INTERVAL定时器超时时间加上延时时间，确定状态稳定后，再进行主备回切。

配置：
[AR1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.254
查看vrrp邻居：[AR1-GigabitEthernet0/0/1]dis vrrp 1 b
修改vrrp的优先级：[AR2-GigabitEthernet0/0/1]vrrp vrid 1 priority 101
关闭抢占模式：[AR1-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode disable

为什么需要配置抢占延迟    [AR1-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 60
因为当Master发生故障的时候，Backup设备会立马将Master身份抢去，如果这个时候原来的Master设备恢复正常了，也会立马抢占Master身份，此时如果上层链路的OSPF等协议
未收敛完成，则会导致流量的丢失。

抢占延迟一般配置在主设备上，不会配置在备份设备上。

（3）VRRP主备选举（1）

⦁    初始创建VRRP的设备工作在Initialize状态，收到接口Up的消息后，若此设备的优先级小于255，则会先切换至Backup状态，等待MASTER_DOWN定时器超时后再切换至Master状态。
⦁    如果优先级高的设备先启动，优先级低的设备后启动，则优先级高的设备先进入Master状态，优先级低的设备收到高优先级的VRRP通告报文，自己仍处于Backup状态。
⦁    如果优先级低的先启动，优先级高的后启动，则优先级低的先由Backup状态切换为Master状态，优先级高的设备收到优先级低的VRRP通告报文，重新进行选举，将优先级高的设备切换为Master状态。

（4）VRRP主备选举（2）

⦁    初始创建VRRP的设备工作在Initialize状态，收到接口Up的消息后，若此设备的优先级小于255，则会先切换至Backup状态，等待MASTER_DOWN定时器超时后再切换至Master状态。
⦁    如果优先级高的设备先启动，优先级低的设备后启动，则优先级高的设备先进入Master状态，优先级低的设备收到高优先级的VRRP通告报文，自己仍处于Backup状态。
⦁    如果优先级低的先启动，优先级高的后启动，则优先级低的先由Backup状态切换为Master状态，优先级高的设备收到优先级低的VRRP通告报文，重新进行选举，将优先级高的设备切换为Master状态。

（5）VRRP主备选举（3）

⦁    通常情况下，VRRP路由器的接口IP地址不会与虚拟路由器的IP地址重叠，也就是说我们会为虚拟路由器单独规划一个IP地址，而不会使用某台路由器的接口IP地址。当然也存在一个特殊的情况，例如在某些网络中IP地址资源比较紧缺，那么也有可能会将某台路由器的接口IP地址用于虚拟路由器，此时该路由器将无条件成为Master。
⦁    无法手动将VRRP接口优先级配置为255，当接口IP地址为IP地址拥有者时，优先级自动成为255。

（6）VRRP主备切换

⦁    当Master设备主动放弃Master地位（如Master设备退出备份组）时，会发送优先级为0的通告报文，用来使Backup设备快速切换成Master设备，而不用等到MASTER_DOWN定时器超时。这个切换的时间称为Skew_time。
⦁    当Master设备发生网络故障而不能发送通告报文的时候，Backup设备并不能立即知道其工作状况。等到MASTER_DOWN定时器超时后，才会认为Master设备无法正常工作，从而将状态切换为Master。

（7）VRRP主备回切（1）

（8）VRRP主备回切（2）

⦁    开启抢占模式的VRRP备份组，当主备进行切换时，总共时长为：3xAdver_Interval+Skew_time+Delay_time
⦁    在抢占模式下，当Master的设备状态不稳定或者网络质量差时，会导致VRRP备份组频繁切换，从而引发终端ARP表项频繁刷新，为缓解此问题，通常设置抢占延时定时器，通过MASTER_INTERVAL定时器超时时间加上延时时间，确定状态稳定后，再进行主备回切。

3.VRRP典型应用

（1）VRRP负载分担

（2）VRRP监视上行端口

⦁    如果用户未配置VRRP监视上行端口，则当VRRP备份组中的Master设备R1的上行接口或者链路出现故障时，VRRP备份组无法感知，Master无法向外转发流量。但是由于主备不会发生切换，导致出现流量黑洞。

（3）VRRP与BFD联动

⦁    当VRRP备份组之间的链路出现故障时，由于此时VRRP报文无法正常交互，Backup设备需要等待Master_Down_Timer计时器超时后才会切换为Master设备，在等待切换期间内，业务流量仍会发往Master设备，此时会造成业务流量丢失。
⦁    通过在Master设备和Backup设备之间建立BFD会话并与VRRP备份组进行绑定，由BFD机制快速检测VRRP备份组之间的通信故障，并在出现故障时及时通知VRRP备份组进行主备切换，从而大大减少应用中断时间。
⦁    在普通BFD联动中，VRRP备份组会根据BFD会话的状态进行优先级调整，并根据调整后的优先级判断是否进行主备切换。在实际应用中，通常Master设备配置延时抢占，而Backup设备配置立即抢占，当Backup设备检测到BFD会话状态出现DOWN后，通过增加自身优先级大于Master优先级实现快速切换，当故障排除，BFD会话状态出现UP时，新的Master通过减小自己的优先级，发送vrrp通告报文，经过延迟时间后再次切换为Backup。

（4）VRRP与MSTP结合应用

⦁    MSTP是将一个或多个VLAN映射到一个生成树的实例，若干个VLAN共用一个生成树，MSTP可以实现负载均衡。
⦁    VRRP配置网关可以灵活根据网络拓扑变化而自动切换，提高网络可靠性。
⦁    VRRP+MSTP可以在实现负载分担的同时保证网络冗余备份。

4.VRRP基本配置

（1）VRRP常用配置命令（1）

（2）VRRP常用配置命令（2）

（3）案例1

AR1为master，AR2上设置抢占延迟时间为10秒，采用非抢占模式。

配置：

czyAR1]inter g0/0/1
[czyAR1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.254

[czyAR1-GigabitEthernet0/0/1]vrrp vrid 1 priority 254

[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.254
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 priority 100
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 10  
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode disable

查看vrrp brief

接下来来分别抓包，可以看见只有e0/0/1端口响应了ping，说明ping网关的流量是往这个方向的

接下来长ping关闭AR1，可以看见此时网关短暂的ping不通后迅速的又可以通了

（4）案例2

AR1作为1.254的master，AR2作为1.250的master

配置如下

[czyAR1-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.254
[czyAR1-GigabitEthernet0/0/1]vrrp vrid 1 priority 254
[czyAR1-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.250 
[czyAR1-GigabitEthernet0/0/1]vrrp vrid 2 preempt-mode disable
[czyAR1-GigabitEthernet0/0/1]vrrp vrid 2 preempt-mode timer delay 10

[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 192.168.1.254  
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode disable
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 1 preempt-mode timer delay 10
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 192.168.1.250
[czyAR2-GigabitEthernet0/0/1]vrrp vrid 2 priority 250

查看

将AR2关闭后可以看见ping包短暂超时后又恢复正常了

查看vrrp

备注：一般情况下是在Master上配置抢占延时，不会配置在备份设备上，上面的实验做的时候相反了请见谅，应该是在Master上配置抢占延时的。