信安学习-day16

VRRP协议原理与配置

一、前言

• 局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络，如果此时默认网关设备发生故障，将中断所有用户终端的网络访问，这很可能会给用户带来不可预计的损失，所以可以通过部署多个网关的方式来解决单点故障问题，那么如何让多个网关能够协同工作但又不会互相冲突就成了最迫切需要解决的问题。

• 于是VRRP应运而生，它既可以实现网关的备份，又能解决多个网关之间互相冲突的问题。那么VRRP的工作原理是如何实现的？在网络中又该如何配置呢？

二、VRRP的产生及概述

1.单网关的缺陷

• 当网关路由器RouterA出现故障时，本网段内以该设备为网关的主机都不能与Internet进行通信。

2.多网关存在的问题

• 通过部署多网关的方式实现网关的备份。

• 但多网关可能会出现一些问题：网关间IP地址冲突；主机会频繁切换网络出口。

3.VRRP基本概述

• VRRP能够在不改变组网的情况下，将多台路由器虚拟成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现网关的备份。

• 协议版本：VRRPv2（常用）和VRRPv3：

  • VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。

• VRRP协议报文：

  • 只有一种报文：Advertisement报文；其目的IP地址是224.0.0.18，目的MAC地址是01-00-5e-00-00-12，协议号是112。

4.VRRP基本结构

• VRRP基本概念：

  • VRRP路由器（VRRP Router）：运行VRRP协议的设备，如RouterA和RouterB。

  • 虚拟路由器（Virtual Router）：又称VRRP备份组，由一个Master设备和多个Backup设备组成，被当作一个共享局域网内主机的缺省网关。如RouterA和RouterB共同组成了一个虚拟路由器。

  • Master路由器（Virtual Router Master）：承担转发报文任务的VRRP设备，如RouterA。

  • Backup路由器（Virtual Router Backup）：一组没有承担转发任务的VRRP设备，当Master设备出现故障时，它们将通过竞选成为新的Master设备，如RouterB。

  • Priority：设备在备份组中的优先级，取值范围是0～255。0表示设备停止参与VRRP备份组，用来使备份设备尽快成为Master设备，而不必等到计时器超时；255则保留给IP地址拥有者，无法手工配置；设备缺省优先级值是100。

  • vrid：虚拟路由器的标识，如图中RouterA和RouterB组成的虚拟路由器的vrid为1，需手工指定，范围1-255。

  • 虚拟IP地址(Virtual IP Address)：虚拟路由器的IP地址，一个虚拟路由器可以有一个或多个IP地址，由用户配置。如RouterA和RouterB组成的虚拟路由器的虚拟IP地址为10.1.1.254/24。

  • IP地址拥有者（IP Address Owner）：如果一个VRRP设备将真实的接口IP地址配置为虚拟路由器IP地址，则该设备被称为IP地址拥有者。如果IP地址拥有者是可用的，则它将一直成为Master。

  • 虚拟MAC地址（Virtual MAC Address）：虚拟路由器根据vrid生成的MAC地址。一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{vrid} 。当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真