VRRP : 虚拟路由器网关冗余协议
-应用场景
终端设备访问不同网段设备的时候,必须经过网关。如果只有1个网关,那么网络就存在
单点故障,所以为了避免单点故障导致网络的通信中断,
所以,我们建议在一个网段中,可以同时添加多个网关,从而增加网关的冗余性和网络的可靠性;
但是,多网关的部署会带来其他的问题:
1.网关IP地址冲突
2.终端用户需要频繁的切换网关IP地址
针对上述两个问题
在同网段的多个网关之间运行VRRP,形成1个虚拟网关,终端用户都配置和使用虚拟网关
就可以了。
-作用:
在同一个网段的多个真实网关之间配置和运用,形成层一个虚拟路由器,
从而实现网关的冗余和负载均衡;
-概述
VRRP 协议是公有标准协议,适用于 IPv4 网络的是 VRRP 版本2
VRRP 属于网络层协议,
VRRP 的报文是封装在IP头部后面的,协议号为:112
VRRP 的发送报文的方式是组播,组播地址是:224.0.0.18 (表示所有的VRRP路由器)
-设备角色:
主网关, 通过比较VRRP优先级,优先级大的是主网关;
周期性的发送VRRP报文,维护主网关和备份网关的身份;周期时间默认是1s;
备份网关,通过比较 VRRP 优先级,优先级小的是备份网关;
通过不断的接收 主网关发送的 VRRP 报文来判断主网关的状态;
如果在一定的时间内,收不到 VRRP 报文,则认为主网关出现故障,自己升级为主网关;
这个“一定的时间”,默认是“主网关发送VRRP的周期”的3倍,所以默认是 3s 。
虚拟网关,通过VRRP虚拟出来的网关IP地址,这个网关IP地址,是配置在终端设备上的;
终端设备访问其他网段时,直接将数据发送给虚拟网关IP地址,
此时只有主网关会回应针对虚拟网关IP地址的ARP请求,所以最终终端设备发送的数据
发送到了“主网关”设备上;
-
网关的VRRP状态:
@初始化 ,表示 VRRP 刚刚运行;
@主(master),表示该网关接口处于主网关状态,可以转发用来发来的数据,还可以周期性的发送VRRP报文
@备(backup),表示该网关接口处于备份网关,不转发用户数据,仅仅用来接收主网关的VRRP报文 -
VRRP 的网关选举原则:
1.首先比较VRRP优先级,数值越大越好,默认是 100 ;
2.其次比较VRRP的接口IP地址,数值越大越好;
-VRRP 的配置
SW1:(主网关)
interface vlanif 2
ip address 192.168.1.1 24
vrrp vrid 2 virtual-ip 192.168.1.254 //设置虚拟路由器的名字为2,且虚拟网关为 192.168.1.254
vrrp vrid 2 priority 200 // 设置虚拟路由器2的优先级为 200,默认是100;越大越好;
quit
SW2: (备份网关)
interface vlanif 2
ip address 192.168.1.2 24
vrrp vrid 2 virtual-ip 192.168.1.254
vrrp vrid 2 priority 150
quit
验证命令:
display vrrp brief -> 查看 VRRP 的简要信息
查看 VRRP 的详细参数:
display vrrp
Vlanif2 | Virtual Router 2
State : Master // VRRP 的状态;
Virtual IP : 192.168.1.254 // 虚拟网关的IP地址
Master IP : 192.168.1.1 // 主网关的接口IP地址
PriorityRun : 200 // 正在运行的 VRRP 优先级
PriorityConfig : 200 // 当初配置的VRRP 优先级
MasterPriority : 200 // VRRP 主网关的优先级
Preempt : YES Delay Time : 0 s // VRRP 抢占功能默认是开启的,并且没有任何延迟
TimerRun : 1 s // VRRP 主网关当前发送VRRP报文的周期时间;
TimerConfig : 1 s // 该设备配置的 VRRP 发送 报文的周期
Auth type : NONE // VRRP 的认证类型,默认是没有认证;
Virtual MAC : 0000-5e00-0102 // VRRP 虚拟网关对应的虚 拟 MAC地址
Check TTL : YES
Config type : normal-vrrp
Track IF : GigabitEthernet0/0/1 Priority reduced 110 // VRRP 链路跟踪技术
IF state : UP // VRRP 跟踪的接口的状态,当前是UP
Create time : 2020-02-21 14:45:36 UTC-08:00
Last change time : 2020-02-21 16:30:00 UTC-08:00
VRRP 链路跟踪:
-应用场景
通常情况下,如果 VRRP 主网关的内网链路出现故障,导致 VRRP 报 文无法发送,
那么在三倍的发送周期后,备份网关就可以感知到故障,从而升级为 主网关,不影响数据转发;
但是, 如果VRRP 主网关连接外网的链路出现故障,无法将数据转到其他网段,但是此时该设备依然是主网关的角色,那么终端设备发送的数据依然被该设备接收,但是数据就直接被丢弃了,因为 没有去往其他网段的路由,从而导致数据转发中断;
为了避免这种问题的发生,我们引入了“VRRP链路跟踪技术”,即当 VRRP协议跟踪的链路 down 掉 以后,那么 VRRP 主网关发送的报文的优先级,就会自动的降低,并且低于 备份网关的优先级,从而让之前的备份网关成为主网关,继续转发用户数据; 但是被跟踪的链路恢复 UP 以后,优先级再次恢复原来的数值,从而又再次成为主网关,转发用户数据。
-配置:
仅仅在VRRP 主网关的接口上配置,被跟踪的链路是 gi0/0/1接口,
如果该端口 down 掉,则vrrp主网关发送的优先级从200,降低为
90,从而成为备份网关。
配置如下:
SW1:
interface vlanif 10
vrrp vrid 2 track interface gi0/0/1 reduced 110
// 如果 gi0/0/1 处于 down 的状态,则该接口发送的VRRP报文
的优先级变成90
即 200-110,从而让 SW2 成为主网关;
VRRP 认证:
-作用:
为了防止同一个网段内的其他路由器攻击当前的 VRRP 主网关,确保
当前主网关的安全,
强烈建议配置 VRRP 认证工功能;
-认证类型:
1.明文(simple)
2.密码(MD5)
-认证原则:
1.认证类型必须相同
2.认证密码必须相同
总而言之:
主网关和备份网关上关于认证的配置,必须完全相同。
-配置命令:
SW1/SW2:
interface vlanif 2
vrrp vrid 2 authentication-mode md5 bic
浮动路由:
-应用场景
有的环境中,路由器等设备不容易出现故障,但是路由器之间的互联链路容易出现故障,为了表面
设备之间出现“单点链路”故障,所以我们在设备之间增加多个“互联链路”,从而实现链路备份。
如果想实现这种方案的话,
我们就必须要求在路由器中,针对主链路的路由条目,优先放入路由表;
针对备份链路的路由条目,不能放入路由表;
如果主链路出现故障,那么备份链路的路由条目才可以放入路由表;
如果主链路修复好了,那么备份链路的路由条目又不能放入路由表;
-配置命令:
R1:
ip route-static 192.168.4.0 24 192.168.2.2 // 主链路对应的路由,优先级 60 ;
ip route-static 192.168.4.0 24 192.168.3.2 preference 100 //备份链路对应的路由;
R2:
ip route-static 192.168.1.0 24 192.168.2.1 // 主链路对应的路由,优先级 60 ;
ip route-static 192.168.1.0 24 192.168.3.1 preference 100 //备份链路对应的路由;
VRRP 的基本配置
@配置终端设备
PC1:
IP 192.168.1.10
掩码 255.255.255.0
网关 192.168.1.254
@配置网络设备 - SW
SW1:
undo terminal monitor
system-view
sysname SW1
vlan 2
quit
interface gi0/0/2
port link-type trunk
port trunk allow-pass vlan 2
quit
SW2:
undo terminal monitor
system-view
sysname SW2
vlan 2
quit
interface gi0/0/2
port link-type trunk
port trunk allow-pass vlan 2
quit
SW3:
undo terminal monitor
system-view
sysname SW3
vlan 2
quit
port-group group-member gi0/0/1 gi0/0/2
port link-type trunk
port trunk allow-pass vlan 2
quit
interface eth0/0/3
port link-type access
port default vlan 2
quit
@配置网关接口
SW1:
interface vlanif 2
ip address 192.168.1.1 24
quit
SW2:
interface vlanif 2
ip address 192.168.1.2 24
quit
注意:
此时应该测试一下两个接口之间是否互通;
SW1:
ping 192.168.1.2 ,应该是通的;
@配置 VRRP
SW1:
interface vlanif 2
vrrp vrid 2 virtual-ip 192.168.1.254 //设置虚拟路由器的
名字为2,且虚拟网关为 192.168.1.254
vrrp vrid 2 priority 200 // 设置虚拟路由器 2 的优先级为
200 ;
quit
SW2:
interface vlanif 2
vrrp vrid 2 virtual-ip 192.168.1.254
vrrp vrid 2 priority 150
quit
@配置 SW1 与 R1 之间的互联
SW1:
vlan 10
interface vlanif 10
ip address 192.168.10.2 24
quit
interface gi0/0/1
port link access
port default vlan 10
quit
ip route-static 0.0.0.0 0 192.168.10.1
R1:
interface g0/0/0
ip address 1.1.1.254 24
quit
interface gi0/0/1
ip address 192.168.10.1 24
quit
ip route-static 192.168.1.0 24 192.168.10.2
@配置 SW2 与 R1 之间的互联
SW2:
vlan 20
interface vlanif 20
ip address 192.168.20.2 24
quit
interface gi0/0/1
port link access
port default vlan 20
quit
ip route-static 0.0.0.0 0 192.168.20.1
R1:
interface g0/0/0
ip address 1.1.1.254 24
quit
interface gi0/0/2
ip address 192.168.20.1 24
quit
ip route-static 192.168.1.0 24 192.168.20.2
@配置终端设备 PC2
IP 1.1.1.1
网关 255.255.255.0
掩码 1.1.1.254
778
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
