VRRP(虚拟路由器冗余协议)
局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络,如果此时默认网关设备发生故障,将中断所有用户终端的网络访问,这很可能会给用户带来不可预计的损失,所以可以通过部署多个网关的方式来解决单点故障问题,那么如何让多个网关能够协同工作但又不会互相冲突就成了最迫切需要解决的问题。于是VRRP应运而生,它既可以实现网关的备份,又能解决多个网关之间互相冲突的问题。
VRRP的基本概述
VRRP能够在不改变组网的情况下,将多台路由器虚拟成一个虚拟路由器,通过配置虚拟路由器的IP地址为默认网关,实现网关的备份。
vrrp会虚拟出一个ip和mac。
协议版本:VRRPv2(常用)和VRRPv3:
VRRPv2仅适用于IPv4网络,VRRPv3适用于IPv4和IPv6两种网络。
VRRP协议报文:Advertisement报文;其目的IP地址是224.0.0.18,目的MAC地址是01-00-5e-00-00-12,协议号是112。
VRRP协议状态机
Initialize(初始状态)、Master(活动状态)、Backup(备状态)。
三种状态之间的转换条件如下:
Initialize->Master:Startup priority=255;
Initialize->Backup:Startup priority!=255;
Master->Initialize:设备关闭;
Master->Backup:收到比自己优先级更高的数据包;
Backup->Initialize:设备关闭;
Backup->Master:在超时时间内没有收到VRRP通告报文或者收到通告报文原Master优先级为0,或者收到的通告报文中的原Master优先级比自己的优先级低。
工作过程
选举出Master。
状态维持,Master设备周期性地发送VRRP通告报文给组内其他设备,以通知自己处于正常工作状态。
如果Master发生故障,Backup在Master_Down_Interval时间内未收到Master发送的状态通告报文,则立即成为Master。
如果原Master故障恢复,则主备回切。
具体配置
vrrp vrid 1 virtual-ip 10.0.0.10 //配置vrid1中的虚拟IP地址。
vrrp vrid 1 priority 120 //配置在vrid1中的优先级为120,其他设备优先级未手动指定,缺省为100,则本设备为Master。
vrrp vrid 1 preempt-mode timer delay 20 //配置Master设备的抢占时延为20秒。
vrrp vrid 1 track interface GigabitEthernet0/0/0 reduce 30 //跟踪上行接口G0/0/0的状态,如果端口出现故障,则Master设备VRRP优先级降低30。
Backup设备配置:
vrrp vrid 1 virtual-ip 10.0.0.10 //配置vrid1中的虚拟IP地址。
BFD协议
随着网络应用的广泛部署,网络发生中断可能影响业务正常运行并造成重大损失。为了减小链路、设备故障对业务的影响,提高网络的可靠性,网络设备需要尽快检测到与相邻设备间的通信故障,以便及时采取措施,保证业务正常进行。
双向转发检测BFD(Bidirectional Forwarding Detection)提供了一个通用的标准化的介质无关和协议无关的快速故障检测机制,用于快速检测、监控网络中链路或者IP路由的转发连通状况。
BFD会话建立后会周期性地快速发送BFD报文,如果在检测时间内没有收到对端BFD报文则认为该双向转发路径发生了故障,通知被服务的相关层应用进行相应的处理。
本身并没有邻居发现机制,而是靠被服务的上层应用通知其邻居信息以建立会话。
不管是物理接口状态、二层链路状态、网络层地址可达性、还是传输层连接状态、应用层协议运行状态,都可以被BFD感知到。
会话建立过程
BFD单臂回声功能
是指通过BFD报文的环回操作检测转发链路的连通性。
两台直接相连的设备中RTA和RTB,其中一台设备RTA支持BFD功能,另一台设备RTB不支持BFD功能,只支持基本的网络层转发。为了能够快速的检测这两台设备之间的故障,可以在支持BFD功能的设备RTA上创建单臂回声功能的BFD会话。RTA主动发起回声请求功能,不支持BFD功能的设备RTB接收到该报文后直接将其环回,从而实现转发链路的连通性检测功能。
实现的技术原理就是支持BFD功能的路由器RTA在出接口发送目的地址和源地址都是自己的BFD探测报文,不支持BFD功能的路由器RTB收到探测报文就直接回发给路由器RTA。
具体配置
BFD与OSPF联动配置实现
BFD与VRRP联动配置实现
BFD与静态路由联动配置实现
BFD与BGP联动配置实现
实验
要求
本实验模拟某公司网关冗余结构,按以下要求完成配置:
1.如图所示,配置R1/2/3的设备名称及IP地址。
2.内外网通信。
2.1在R1/2上配置默认路由,保证R1/2可以ping通R3的3.3.3.3。
2.2在R1/2上配置NAT,使得PC1/2可以访问3.3.3.3,需求如下:
1)acl编号为2000,使用序号5的规则,仅允许192.168.1.0/24网段。
2)使用eazy-ip的方式进行地址转换,即直接在公网出接口配置nat。
2.3完成以上步骤后,暂时将PC1的网关设置为R1,PC2的网关设置为R2。
2.4分别在PC1和PC2上ping3.3.3.3,确保内外网可通信。
3.网关冗余协议VRRP。
3.1在R1/2的内网接口上配置vrrp,虚拟IP地址为192.168.1.254
3.2R1的优先级为150,R2优先级为默认优先级。
3.3使用display vrrp brief,确保R1被选为Master,R2为Backup。
3.4将PC1/2的网关设置为192.168.1.254,并测试是否能与3.3.3.3通信。
(VRRP倒换测试:
3.5将R1内网接口G0/0/0关闭,使用display vrrp brief命令,查看主备切换情况。
3.6测试PC1/2是否能与3.3.3.3通信。
3.7完成后重新打开R1的G0/0/0接口,并确认R1重新成为Master。
3.8再次测试PC1/2是否能与3.3.3.3通信。)
4.VRRP优化。
当SW2与R3之间的链路故障时,R1无法感知,会导致网关不切换。
4.1在R1/3上开启BFD功能
4.2R1建立名称为1to3的BFD会话,目标地址为13.1.1.3,源地址为13.1.1.1,自动生成标志符。
4.3R3建立名称为3to1的BFD会话,目标地址为13.1.1.1,源地址为13.1.1.3 ,自动生成标志符。
4.4在R1/3上使用display bfd session all命令查看bfd会话状态。
4.5在R1的VRRP中追踪bfd会话,当bfd检测到链路故障时降低80优先级,完成主备切换。
(倒换测试
4.6配置完成后,在PC1/2上使用命令ping 3.3.3.3 -t,然后关闭R3的g0/0/0接口,观察vrrp切换时间。
4.7切换完成后,在R1上使用display vrrp 命令,观察优先级变化情况。
4.8重新打开R3的G0/0/0接口。
*注意:由于SW2没有做配置,R3接口打开后,SW2的G0/0/2需要进行stp选举,30s后链路才能使用。
4.9等待SW2与R3的链路恢复后,查看R1的BFD会话状态,查看R1的VRRP状态。
4.10再次测试PC1/2是否能与3.3.3.3通信。)
答案
本实验模拟某公司网关冗余结构,按以下要求完成配置:
1.如图所示,配置 R1/2/3 的设备名称及 IP 地址。
略
2.内外网通信。
2.1 在 R1/2 上配置默认路由,保证 R1/2 可以 ping 通 R3 的 3.3.3.3。
R1:ip route-static 0.0.0.0 0.0.0.0 13.1.1.3
R2:ip route-static 0.0.0.0 0.0.0.0 23.1.1.3
2.2 在 R1/2 上配置 NAT,使得 PC1/2 可以访问 3.3.3.3,需求如下:
1)acl 编号为 2000,使用序号 5 的规则,仅允许 192.168.1.0/24 网段。
R1/2:
acl number 2000
rule 5 permit source 192.168.1.0 0.0.0.255
2)使用 eazy-ip 的方式进行地址转换,即直接在公网出接口配置 nat。
R1/2:
interface GigabitEthernet0/0/1
nat outbound 2000
2.3 完成以上步骤后,暂时将 PC1 的网关设置为 R1,PC2 的网关设置为 R2。
2.4 分别在 PC1 和 PC2 上 ping3.3.3.3,确保内外网可通信。
自行测试,略
3.网关冗余协议 VRRP。
3.1 在 R1/2 的内网接口上配置 vrrp,虚拟 IP 地址为 192.168.1.254
3.2 R1 的优先级为 150,R2 优先级为默认优先级。
R1:
interface GigabitEthernet0/0/0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 150
R2:
interface GigabitEthernet0/0/0
vrrp vrid 1 virtual-ip 192.168.1.254
3.3 使用 display vrrp brief,确保 R1 被选为 Master,R2 为 Backup。
3.4 将 PC1/2 的网关设置为 192.168.1.254,并测试是否能与 3.3.3.3 通信。
(VRRP 倒换测试:
3.5 将 R1 内网接口 G0/0/0 关闭,使用 display vrrp brief 命令,查看主备切换情况。
3.6 测试 PC1/2 是否能与 3.3.3.3 通信。
3.7 完成后重新打开 R1 的 G0/0/0 接口,并确认 R1 重新成为 Master。
3.8 再次测试 PC1/2 是否能与 3.3.3.3 通信。)
略
4.VRRP 优化。
当 SW2 与 R3 之间的链路故障时,R1 无法感知,会导致网关不切换。
4.1 在 R1/3 上开启 BFD 功能
R1/3: bfd
4.2R1 建立名称为 1to3 的 BFD 会话,目标地址为 13.1.1.3,源地址为 13.1.1.1,自动生成标
志符。
R1: bfd 1to3 bind peer-ip 13.1.1.3 source-ip 13.1.1.1 auto
4.3R3 建立名称为 3to1 的 BFD 会话,目标地址为 13.1.1.1,源地址为 13.1.1.3 ,自动生成标
志符。
R3: bfd 3to1 bind peer-ip 13.1.1.1 source-ip 13.1.1.3 auto
4.4 在 R1/3 上使用 display bfd session all 命令查看 bfd 会话状态。
4.5 在 R1 的 VRRP 中追踪 bfd 会话,当 bfd 检测到链路故障时降低 80 优先级,完成主备切
换。
interface GigabitEthernet0/0/0
vrrp vrid 1 track bfd-session session-name 1to3 reduced 80
(倒换测试
4.6 配置完成后,在 PC1/2 上使用命令 ping 3.3.3.3 -t,然后关闭 R3 的 g0/0/0 接口,观察
vrrp 切换时间。
4.7 切换完成后,在 R1 上使用 display vrrp 命令,观察优先级变化情况。
4.8 重新打开 R3 的 G0/0/0 接口。
*注意:由于 SW2 没有做配置,R3 接口打开后,SW2 的 G0/0/2 需要进行 stp 选举,30s 后
链路才能使用。
4.9 等待 SW2 与 R3 的链路恢复后,查看 R1 的 BFD 会话状态,查看 R1 的 VRRP 状态。
4.10 再次测试 PC1/2 是否能与 3.3.3.3 通信。
路由器永不超时命令
user-interface console 0
idle-time out 0
路由器关闭日志提示命令
undo terminal trapping
929
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
