当VRRP
的Master
设备的上行接口出现问题,而Master
设备一直保持Active
状态,那么就会导致网络出现中断,所有必须要使得VRRP
的运行状态和上行接口能够关联。
在配置了VRRP
冗余的网络中,为了进一步提高网络可靠性,需要在Master
设备上配置上行接口监视,监视连接了外网的出接口。即当此接口断掉时,自动减小优先级一定的数值,使减小后的优先级小于Backup
设备的优先级,这样Backup
设备就会抢占Master角色接替工作。
VRRP
支持报文的认证。默认情况下,设备对要发送和接收的VRRP
报文不进行任何认证处理,认为收到的都是真实的、合法的VRRP
报文。为了使VRRP
运行更加安全和稳定,可以配置VRRP
的认证。VRRP
支持简单字符【Simple
】认证和MD5
认证方式,用户可根据安全需要选择认证方式。
实验目的
- 理解
VRRP
监视接口的应用场景 - 掌握
VRRP
监视接口的配置方法 - 掌握
VRRP
认证的配置方法
实验拓扑
实验步骤
-
按照图示进行基础配置
R1: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip address 172.16.2.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip address 172.16.3.254 24 R2: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R2 [R2]int e0/0/1 [R2-Ethernet0/0/1]ip address 172.16.1.100 24 [R2-Ethernet0/0/1]int g0/0/0 [R2-GigabitEthernet0/0/0]ip address 172.16.2.100 24 R3: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R3 [R3]int e0/0/1 [R3-Ethernet0/0/1]ip address 172.16.1.200 24 [R3-Ethernet0/0/1]int g0/0/1 [R3-GigabitEthernet0/0/1]ip address 172.16.3.200 24
-
部署
OSPF
网络R1: [R1]ospf [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 R2: [R2]ospf [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 R3: [R3]ospf [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
-
在
R2
与R3
上进行VRRP
基本配置,并使得R2
成为Master
R2: [R2]int e0/0/1 [R2-Ethernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 [R2-Ethernet0/0/1]vrrp vrid 1 priority 120 R3: [R3]int e0/0/1 [R3-Ethernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254
-
此时若
R2
与R3
之间的链路断掉【可通过关闭接口进行模拟验证】,R2
并不能感知到,仍然会保持Master
状态,从而导致数据到达不了R1
。为了进一步提高网络的可靠性和安全性,需要在
Master
设备R2
上配置VRRP
的上行接口监视。当R2
的上行接口发生故障时,将自动降低优先级使得Backup
设备能抢占Master
角色从而接替工作,将网络中断所造成的影响最小化。 -
配置
R2
监视上行接口g0/0/0
,当此接口断掉时,裁减优先级50
,使其优先级变为120-50=70
,小于R3
的优先级100
。[R2-Ethernet0/0/1]vrrp vrid 1 track interface g0/0/0 reduced 50
关闭
R1
的g0/0/0
接口模拟故障发生,查看此时主备切换情况 -
默认情况下,设备对要发送的VRRP报文不进行任何认证处理,收到VRRP报文的设备也不进行检测,认为收到的都是真实、合法的VRRP报文,可以通过配置更改VRRP的认证模式,使VRRP对报文进行验证,从而增加安全性。
注意:同一VRRP备份组的认证方式必须相同,否则Master和Backup设备无法协商成功。
R2: [R2]int e0/0/1 [R2-Ethernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei R3: [R3]int e0/0/1 [R3-Ethernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei
本实验取自华为公司《HCNA网络技术实验指南》,此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好,强烈推荐!!!