但是,一旦在同一个网段中,同时出现了多个网关设备,就会导致终端用户频繁的修改自己的网关地址。为了避免该问题的存在,我们在“同网段的多个网关设备之间,运行网关冗余协议 - VRRP”:
多个网关设备,就会形成一个“虚拟路由器”,然后将该虚拟IP地址配置在终端设备上, 每次上网的时候,数据包发送给了“虚拟路由器”,但是真正用来处理数据包的其实还是“主网关”
同网段的其他设备,都被称之为“备份网关”。 只有当主网管出现故障以后,备份网关才会升级为主网关
VRRP协议 , 属于OSI模型第三层的协议,是公有标准协议
-VRRP协议的数据包,包含在IP头部后面,协议号为 112
VRRP协议报文的转发方式是“组播”,组播地址是 224.0.0.18
VRRP的网关角色分为:主网关(Master)和备份网关(Backup),还有虚拟网关
VRRP的主网关和备份网关的选举原则: 首先,比较VRRP的优先级,数值越大越好;默认值是100; 其次,比较 接口的网关IP地址,数值越大越好;
-VRRP各种角色设备的作用:
主网关,用于转发用户的数据包;
备份网关,用于时刻监控着主网关的状态;如果连续3s内收不到主网关的报文,就认为主网关挂掉,升级为主网关
虚拟网关,主要是配置在终端电脑设备的网卡上的
VRRP常见故障和解决方案:
-
故障现象
一个网段中,出现多个 Master
-
原因
- 同网段的2个网关IP地址,不通
- 两边的 vrid 不相同
- 两边的 virtual-ip 不相同
- 两边的 认证失败
- 虚拟网关IP地址和接口的IP地址,相同
-
办法
- 两边的 VRRP 基本配置命令要相同
- 主要:两边接口上的链路跟踪,是否一样,无所谓。
-
VRRP认证
-
作用
为了确保同一个网段中的主网关身份,不会被恶意的网关设备抢占身份,导致终端设备无法访问其他网络。即:为了让 VRRP 的工作过程,更加的安全。
-
认证类型和原则
认证类型-明文认证和密文认证
认证原则-两边的认证类型必须相同,认证密码也必须相同。
-
配置
-
R1/R2:
interface gi0/0/0
vrrp vrid 1 authentication-mode md5 HCIE -> 设置两边的认证类型为MD5,密码为HCIE