一. VRRP简介
当一个局域网内有多台主机,都需要把网关的LAN口地址作为默认路由,才能与外网进行通信。当网关出现故障不能工作时,局域网的所有主机将不能与外网通信,这样对网关就有比较高的稳定性要求。如果需要进一步提高网络的可靠性,需要增加网关,但是如何在多个网关之间选路就成为了一个问题。
VRRP通过将一组承担网关的路由器加入到一个备份组中,形成一台虚拟的路由器,VRRP通过选举机制决定哪台路由器承担转发任务。局域网内的主机只需要把虚拟路由器配置为网关即可。
VRRP是一种冗余机制的协议,提高网络容错,简化了主机配置。避免了网络中因某台路由器出现故障导致网络不可用问题。
二. VRRP备份组介绍
VRRP将局域网内的一组路由器划分在一起,形成一个备份组。备份组由一个Master路由器和多个Backup路由器组成,在功能上组成一台虚拟路由器,如下图的Router A,Router B,Router C组成一台虚拟路由器。
1. 虚拟路由器具有IP地址,称为虚拟IP地址。局域网内的主机只需要知道虚拟路由器的地址,并将其设置为默认路由即可。
2. 网络内的主机通过这个虚拟IP与外网进行通信。
3. 备份组中的路由器根据优先级,选举出Master路由器,承担网关功能。其他作为Backup路由器,当Master路由器出现故障时,取代Master路由器履行网关职责,从而保证网络内主机不间断的与外网进行通信。
备份组中路由器的优先级
VRRP根据优先级确定备份组中路由器的角色。优先级越高,越可能称为Master路由器。
VRRP优先级的取值范围时0-255(数值越大优先级越高),配置范围是1到254。优先级0作为特殊用途,255保留给IP地址拥有者。
备份组中路由器的工作方式
备份组的路由器有两种工作方式:
1. 非抢占方式
如果备份组的路由器工作在非抢占方式,主要Master路由器没有出现故障,Backup路由器即使后面配置的优先级比Master路由器更高也不会成为Master路由器。
2. 抢占方式
如果备份组中的路由器工作在抢占方式下,当它发现自己的优先级比当前Master路由器的优先级高,就会向外发送VRRP通告报文,导致备份组内路由器重新选举出Master路由器,最终取代原有的Master路由器。
备份组中路由器的认证方式
为防止非法用户构造报文攻击备份组,VRRP通过在VRRP报文中增加认证字的方式,验证接收的VRRP报文。VRRP提供两种认证方式:
1. simple (简单字符认证)
发送VRRP报文的路由器将认证字填入到VRRP报文中,接收到VRRP报文的路由器会将收到的VRRP报文中的认证字与本地配置的认证字比较,如果一致,则认为报文真实,合法的VRRP报文,否则认为接收到的报文为非法。
2. md5 (MD5认证)
发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要计算,运算结果保存在Authentication Header(认证头)中。收到VRRP报文的路由器会利用认证字和MD5算法进行相同的运算,并将运算结果与Authentication Header(认证头)中数据比较,如果相同,则认为报文真实,合法的VRRP报文,否则认为是非法报文。
三. VRRP定时器
VRRP定时器分两种:VRRP通告报文间隔时间定时器和VRRP抢占延时时间定时器
1. VRRP通告报文间隔时间定时器
VRRP备份组中的Master路由器会定时发送VRRP通告报文,通知备份组中其他路由器自己工作正常。
用户可以通过设置VRRP定时器来调整Master路由器发送VRRP通告的间隔。如果Backup路由器在等待了3个间隔后,仍然没有收到VRRP通告报文,则认为自己是Master路由器,并对外发送VRRP通告报文,重新进行Master路由器选举。
2. VRRP抢占延迟时间定时器
为了避免备份组内的成员频繁主备切换,让Backup路由器有足够时间搜集必要信息,Backup路由器收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master,而是等待一段时间 - 抢占时间后,才对外发送VRRP通告取代原有Master路由器
四. VRRP报文格式
Master路由器以组播的方式定时发送VRRP报文通告它的存在。报文可以用来检测虚拟路由器的各种参数,也可用于Master路由器选举。
VRRPv2报文:
VRRPv3报文:
字段解释:
Version :协议版本号,VRRPv2对应版本号为2,VRRPv3对应版本号为3
Type :VRRP报文类型,VRRPv2和VRRPv3只有一种报文类型,即VRRP通告报文,该字段取值为1
Virtual Rtr ID (VRID) :虚拟路由器号(备份组号),取值为1 ~ 255
Priority :路由器在备份组中的优先级,取值为0 ~ 255,数值越大,优先级越高
Count IP Addrs/Count IPv6 Addrs :备份组虚拟IP地址的个数。一个备份组可对应多个虚拟IP
Auth Type :认证类型。0 - 无认证,1 - 简单字符认证,2 - MD5认证,VRRPv3不支持MD5认证
Adver Int :发送通告报文的时间间隔。VRRPv2中单位为秒,缺省为1秒,VRRPv3中单位为厘秒,缺省为100厘秒
Checksum :16位校验和,验证VRRP报文的完整性
IP Address/IPv6 Address :备份组的虚拟IP地址表项。所包含的地址数量在Count IP Addrs/Count IPv6 Addrs中
Authentication Data :验证字。只用于简单字符认证,其他一律填0
五. VRRP工作过程
1. 当路由器使能VRRP功能后,会根据优先级确定自己在备份组的角色,优先级高的成为Master路由器,优先级低的成为Backup路由器。Master路由器定期发送VRRP通告报文,通知备份组内其他路由器自己工作正常,Backup路由器启动定时器等待通告报文到来。
2. 在抢占方式下,当Backup路由器收到VRRP报文后,会将自己的优先级和通告报文中的优先级比较,如果大于通告报文的优先级,则成为Master路由器,否则保持Backup状态。
3. 在非抢占模式下,只要Master路由器没有出现故障,备份组中的路由器始终保持Master和Backup状态,Backup路由器即使被配置了更高的优先级也不会成为Master路由器。
4. 如果Backup路由器的定时器超时后仍未收到Master路由器发来的VRRP通告报文,则认为Master路由器已经无法工作,此时Backup路由器会认为自己是Master路由器,并对外发送VRRP报文。备份组内的路由器根据优先级选举出Master路由器,承担报文转发功能。
六. 参考:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
