华三交换机配置vrrp_华三交换机 VRRP V7版本

一、VRRP简介 通常，同一网段内所有主机都设置一条相同的以太网关为吓一跳的默认路由。主机发往其他网段的报文将通过默认路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为默认路由的主机将无法与外部网络通信。 通过VRRP(Virtual Router Redundancy Protocol，虚拟路由器冗余协议)可以避免由于局域网网关单点故障而导致的网络中断。 VRRP允许将多个路由器加入到一个备份组中，形成一台虚拟路由器。 在VRRP主备备份方式中，仅由Master路由器承担网关功能。当Master路由器出现故障时，其他Backup路由器会通过VRRP选举一个路由器接替Master的工作。只要备份组中仍有一台路由器正常工作，虚拟路由器就仍然正常工作，这样可以避免由于网关单点故障而导致的网络中断。 主备备份方式仅需要一个备份组，不同的路由器在该备份组中拥有不同的优先级，优先级最高的路由器将成为Master路由器。 VRRP负载分担方式是指多台路由器同时承担业务，因此负载分担方式需要两个或者两个以上的备份组，每个备份组都包括一个Master路由器和若干个Backup路由器。各备份组的Master路由器各不相同。同一台路由器同时加入多个VRRP备份组，在不同备份组中有不同的优先级。 为了实现业务流量在路由器之间的负载分担，需要将局域网内的主机默认网关设置为不同的虚拟路由器。在配置优先级时，需要确保备份组中各路由器的VRRP优先级形成交叉对应。 二、VRRP工作原理 RFC 3768替代REC 2338定义的VRRPv2(Virtual Router Redundancy Protocol version 2，虚拟路由器冗余协议版本2)讲可以承担网关功能的一组路由器加入到备份组中，形成一台虚拟路由器，由VRRP的选举机制决定哪台路由器承担转发任务，局域网内的主机只需要将虚拟路由器配置为默认网关即可 VRRP是一种容错协议，在提高可靠性的同时，简化了主机的配置。VRRP报文使用固定的组播地址224.0.0.18进行发送。具有多播域广播能力的局域网(如以太网)，借助VRRP能在某台路由器出现故障时仍然提供高可靠性的默认链路，有效避免单一链路发生故障后网络中断问题，而无须修改动态路由协议、路由发现协议。 VRRP涉及的主要名词术语 VRRP备份组：将局域网内的一组运行VRRP路由器划分在一起，称为一个备份组，功能上相当于一台虚拟路由器。备份组分为单备份组和多备份组。虚拟路由器号(VRID)：范围为1-255，由用户配置，以区分不同的备份组。有相同VRID的一组路由器构成一个VRRP备份组。 Master和Backup路由器：Master路由器是由备份组内的所有路由器根据优先级高低选举出的路由器，承担网关功能。其他路由器作为Backup路由器。 IP地址拥有者(IP Address Owner)：接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。虚拟MAC地址(Virtual MAC Address)：一个虚拟路由器拥有一个虚拟MAC地址，根据RFC 2338的规定，虚拟MAC地址的格式为00-00-5E-00-01-(VRID)。当虚拟路由器回应ARP请求时，回应的是虚拟MAC地址，而不是接口的真实MAC地址。优先级(Priority)：VRRP中根据优先级来确定参与备份组的每台路由器的地位，备份组中优先级最高的路由器将成为Master路由器，当路由器优先级相同时，将会比较接口的主IP地址，主IP地址越大，优先级越高。优先级的取值范围为0-255，数值越大表明优先级越高，优先级默认值为100，但是可配置范围为1-254。0为系统保留的作为特殊用途使用的优先级值，255则保留给IP地址拥有者。抢占方式：如果备份组中的路由器工作在抢占方式下，它一旦发现自己的优先级比当前的Master路由器优先级高，就会对外发送VRRP通告报文，导致备份组内路由器重新选举Master路由器，并最终取代原有的Master路由器。相应的，原来的Master路由器将变成Backup路由器。非抢占方式：如果备份组中的路由器工作在非抢占方式下，则只要Master路由器没有出现故障，Backup路由器即使随后被配置更高的优先级也不会成为Master路由器。认证类型(Authentication Type)：VRRP定义了3种认证方式：无认证(No Authentication )、简单字符认证(Simple Clear Text Passwords)和MD5认证。路由器开启VRRP功能后，会根据优先级确定自己在备份组中的角色。优先级高的路由器成为Master路由器，优先级低的成为Backup路由器。Master路由器定期发送VRRP通告报文，通知备份组内的其他路由器自己工作正常；Backup路由器则启动定时器等通告报文的到来。 在非抢占方式下，只要Master路由器没有出现故障，备份组中的路由器始终保持Master或Backup状态，Backup路由器即使随后被配置了更高的优先级也不会成为Master路由去。在抢占方式下，Backup路由器收到VRRP通告报文后，会将自己的优先级与通告报文中的优先级进行比较。如果大于通告报文中的优先级，则成为Master路由器；否则将保持Backup状态。 如果Backup路由器的定时器超时后仍未收到Master路由器发送来的VRRP通告报文，则认为Master路由器已经无法正常工作，此时Backup路由器会认为自己是Master路由器，并对外发送VRRP通告报文。备份组内的路由器根据优先级选举出Master路由器，承担报文的转发功能。 VRRP监视接口功能 VRRP备份组无法感知上行链路的故障。当路由器连接的上行链路的接口出现故障时，如果该路由器此时处于Master状态，将会导致局域网内的主机无法访问外部网络，或通过非最优路径访问外部网络 如果路由器配置了监视指定接口的功能，当连接上行链路的接口处于DOWN Removed状态时，该路由器将主动降低自己的优先级，使得备份组内其他路由器的优先级高于这个路由器，以便优先级最高的路由器成为Master承担转发任务。 三、VRRP状态机 VRRP有3种状态机，分别是Initialize(初始化)、Master(主)、Backup(备份)。 路由器启动后进入Initialize状态。当收到接口的Startup(启动)消息时，路由器将转入Backup或Master状态(优先级为255时)。当路由器处于Initialize状态的，不会对VRRP报文做任何处理。 当路由器处于Master状态时，将定期发送VRRP广播报文。响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的ip报文。如果它是这个虚拟IP地址的拥有者，则接收目的的IP地址就为这个虚拟IP地址的ip报文，否则丢弃这个IP报文。在Master状态中，路由器只有接收到比自己的优先级大的VRRP报文或者VRRP报文携带的优先级等于本地优先级，且报文携带接口ip大于本地接口ip时，才会转为Backup。当路由器接收到接口的Shutdown事件时，将转为Initialize状态。 当路由器处于Backup状态时，将接收Master发送的VRRP广播报文，对虚拟IP地址的ARP请求不做响应，丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文，只有当Backup接收到Master_Down这个定时器到时的事件时，才会转为Master。当路由器接收到比自己的优先级小的VRRP报文时，丢弃这个报文，不对定时器做重置处理，在若干次这样的处理之后，Mastere_Down这个定时器到时，路由器转为Master状态，当路由器接收到接口的Shutdown事件时，转为Initialize状态。 四、实验 实验目的：测试以上理论，路由器做网关设备双组、链路监控、三层交换做网关设备(不知道是不是这个模拟器的问题，始终做不出，三层交换的效果，略过) 实验模拟器版本：HCL 7.1.59 实验PC使用的IP地址范围：192.168.0.0/24 实验使用的设备：一个交换机、五个路由器(其中两个作为PC机使用) 实验拓扑 基本配置 配置PC机的IP地址 PC1(因为时路由器代替PC所以需要写一条静态路由) PC2(注意：PC2的静态路由吓一跳必须是配置的虚拟路由的ip，不然不能实现网关备份) 路由器配置 R1(注意：这里的两条静态路由，因为我没有使用路由协议所以，这里需要配置明细路由) R2(注意：这里配置的虚拟IP地址必须与接口IP地址在同一网段) R3 交换机SW1不用配置，当做二层交换机即可 查看R2，R3的vrrp状态 R2 R3 测试看是否能够实现网关备份 在主机PC2上不停的ping PC1 将R2的G0/1 shutdown查看主机之间可有中断，再查看vrrp的状态 R2 R3 查看PC之间丢包的情况 这个图是我再一次shutdown接口看到的 将R2的接口恢复过来的情况 R3的情况你会发现有两个主，R3的状态没有切换过来，但并不影响主机之间的通信，需配置抢占延时(这里我纠结了很久到后面才发现的) R2 R3 这样就可了，不用等太长的时间，这里我就不截图验证了 配置端口监视，因为如果是上行链路断开，而vrrp不知道这一情况，所以需要配置端口监视 可以先试验一下将R1端口G0/1 shutdown查看主机之间与R2 R3的状态 R1 PC2 R2 R3 配置端口监视 R2(注意：端口监视，就是当track监视的端口down时将会把该备份组的优先级降低50) R3 查看vrrp的状态增加了什么 R2 R3 测试并查看主机之间的通信，vrrp的状态 还是一样使PC2不停的ping PC1 将R1的G0/1接口shutdown 查看 PC2 R2 R3