赞
踩
技术优点
VRRP具有如下优点: 简化管理:在具有多播或广播能力的局域网中,借助VRRP 能在某台设备出现故障时仍然提供高可靠的缺省链路,有效避免单一链路发生故障后网络中断的问题,无需修改主机的默认网关配置。 适应性强:VRRP 报文封装在 IP 报文中,支持各种上层协议。 网络开销小:VRRP 只定义了一种报文–VRRP 通告报文,并且只有处于Master 状态的路由器可以发送 VRRP 报文。
Virtual Router Redundancy Protocol,虚拟路由冗余协议,一个虚拟路由设备由一个Master主设备和若干个Backup备份设备组成,主设备实现真正的转发功能,可实现主备链路切换或负载分担。
关键词说明:
**虚拟路由器:**由一个 Master 路由器和多个 Backup 路由器组成。
VRID: 虚拟路由器的标识,对同一广播域内不同的虚拟路由器进行区分,取值范围为1-255,有相同 VRID 的一组路由器构成一个虚拟路由器不同van-if接口下可以配相同的VRID。
**Master 路由器:**虚拟路由器中承担报文转发任务的路由器。
**Backup 路由器:**Master路由器出现故障时,能够代替 Master 路由器工作的路由器。
虚拟 IP 地址:虚拟路由器的 IP 地址
虚拟 MAC 地址: 一个虚拟路由器拥有一个虚拟 MAC 地址。虚拟 MAC 地址的格式为 00-00-5E-00-01-VRID。
优先级: 用来确定虚拟路由器中每台路由器的地位。长8个bit位,默认为100,取值范围为0-255,可配范围为1-254。
非抢占方式:如果 Backup 路由器工作在非抢占方式下,则只要 Master 路由器没有出现故障, Backup 路由器即使随后被配置了更高的优先级也不会成为Master 路由器。
**抢占方式:**如果 Backup 路由器工作在抢占方式下,当它收到 VRRP 报文后,会将自己的优先级与通告报文中的优先级进行比较。如果自己的优先级比当前的 Master 路由器的优先级高,就会主动抢占成为 Master 路由器;否则,将保持 Backup 状态。
**监视接口:**监视接口down后减去一定的优先级;监视接口UP,增加上减去的优先级。
VRRP工作过程:
1、虚拟路由器中的路由器根据优先级选举出Master。Master 路由器通过发送免费ARP 报文,将自己的虚拟 MAC 地址通知给与它连接的设备或者主机,从而承担报文转发任务。(Master设备会每隔10s发送一次免费ARP报文)
2、 Master路由器周期性发送VRRP 报文,以公布其配置信息和工作状况。
如果Master 路由器出现故障,虚拟路由器中的 Backup 路由器将根据优先级重新选举新的Master,保证Master路由器和Backup路由器能够协调工作。
3、虚拟路由器状态切换时,Master 路由器由一台设备切换为另外一台设备,新的 Master 路由器将会发送免费 ARP 报文,这样就可以更新与它连接的主机或设备中的ARP 相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。
Master路由器的选举
优先级: 优先级高的成为Master路由器。
IP地址:如果优先级相同的情况下,IP地址大的会成为Master设备。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给路由器放弃Master位置时候使用,255则是系统保留给IP地址拥有者使用(即虚拟机IP和设备IP配置一致)。
Master路由器状态的通告
1 Master路由器周期性以组播形式地发送VRRP报文,默认时间为1s。
2.VRRP报文封装于IP层;
3.协议号112
4.目的IP为224.0.0.18
5.源IP为接口主IP地址,源MAC地址为虚MAC地址00-00-5e-00-01-VRID。
VRRP—状态通告
–Master路由器主动放弃Master地位时,会发送优先级为0的VRRP报文,致使Backup路由器快速切换变成Master路由器。
–Master路由器发生网络故障而不能发送VRRP报文时, Backup路由器并不能立即知道其工作状况。 Backup路由器等待3个VRRP通告间隔后,如果还没有接收到VRRP报文,那么会认为Master路由器无法正常工作,而把自己升级为Master路由器
VRRP 状态切换
VRRP技术原理—状态通告
VRRPv2 与 VRRPv3 的主要区别是
–支持的网络类型不同:VRRPv2 只支持 IPv4, VRRPv3 支持 IPv4 和 IPv6。
–认证功能不同:VRRPv2 支持认证但 VRRPv3 不支持认证。
–通告间隔时间单位不同。 VRRPv2 中单位为秒,VRRPv3 中单位是厘秒( 1 秒=100厘秒)。
配置字段说明
VRRP 版本: VRRP 包含 VRRPv2 和 VRRPv3 两个版本, IPv4 VRRP 支持 VRRPv2 和 VRRPv3 版本, IPv6 VRRP 只支持 VRRPv3 版本。
优先级:默认为 100,配置范围为 1~254。
通告学习:默认不启用,当主设备和备设备的通告时间配置不相同时备设备先学习主设备的通告时间,以此时间作为判断主设备工作状态的判断条件
通告间隔:默认为 100,配置范围为 5~4095,单位为ms
抢占模式及抢占延迟:抢占模式默认为抢占,抢占延迟默认为 0,抢占延迟的范围为 0~360000厘秒。
认证模式及认证密码:只有 VRRPv2 才能配置认证。默认为无认证。认证密码的长度为 1-8个字符。
监视接口:监视接口可以选择任意接口,降低优先级默认为 10,配置范围为 1~255。
监视IP:通过探测下一跳或者目的IP是否可达来判断链路的状况
监视 BFD 配置:监视BFD: 在Backup设备上使用BFD技术监视Master的状态,使得Master设备发生故障时,Backup设备能够立即切换为新的Master设备
注意:vrrp TTL必须为255,VRRP组播报文是用来在备份组中路由器之间维护Master/Backup关系的,只在本网段进行传播,不能被路由器转发。根据这些条件,VRRP组播报文的TTL设成1就可以了。但是,RFC2338规定VRRP组播报文的TTL必须是255,TTL不等于255的报文将被丢弃。这种设计主要是从安全方面考虑的。VRRP可以通过明文或MD5认证来保证安全,但是无论哪种认证方式都会消耗一些资源。在本网段的安全可以得到保证的情况下,攻击主要来自其它的网段,将TTL设定为255而不必使用认证就可以轻松应对这样的攻击。因为来自其它网段的报文要经过路由器转发,TTL必然小于255。
实验配置:
拓扑组网:
AR1 配置:
interface GigabitEthernet0/0/1
ip address 172.16.1.1 255.255.255.0
vrrp vrid 20 virtual-ip 172.16.1.10
vrrp vrid 20 priority 120
vrrp vrid 20 preempt-mode timer delay 10
vrrp vrid 20 track interface GigabitEthernet0/0/2 reduced 30
interface GigabitEthernet0/0/2
ip address 10.1.1.1 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.10
vrrp vrid 10 priority 120
vrrp vrid 10 preempt-mode timer delay 10
vrrp vrid 10 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 10 authentication-mode md5 %
%
&ehd6~!yKIMcEVYwm’H,4SmY%
%
10 Master GE0/0/2 Normal 10.1.1.10
20 Master GE0/0/1 Normal 172.16.1.10
AR3配置:
interface GigabitEthernet0/0/1
ip address 10.1.1.2 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.10
vrrp vrid 10 preempt-mode timer delay 10
vrrp vrid 10 authentication-mode md5 %
%
z3s:TK&'s*1J"+No~C7Z4ST}%
%
interface GigabitEthernet0/0/2
ip address 172.16.1.2 255.255.255.0
vrrp vrid 20 virtual-ip 172.16.1.10
查看VRRP状态
10 Backup GE0/0/1 Normal 10.1.1.10
20 Backup GE0/0/2 Normal 172.16.1.10
VRRP通告报文
无md5认证方式
md5认证方式:
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。