虚拟路由冗余协议
大纲 虚拟路由的应用 虚拟路由冗余协议概述 虚拟路由冗余协议配置 单点故障问题 VRRP的特点 VRRP术语介绍 协议概述 协议报文结构 协议状态及其转换 虚拟路由冗余协议配置
单点故障问题 通常,在主机设置一条缺省路由,下一跳指向一个路由器,从而实现了主机与外部网络的通信。而当路由器Router坏掉时,本网段内所有以Router为缺省路由下一跳的主机将断掉与外部的通信。 10.1.1.1 internet PC1 PC2 PC3 PC4 网关一般会视为网络通信的单一通道,如果网关出现故障,会影响整个内网用户的上网。如果可以有两个网关同时提供上网服务就好了。
VRRP的特点 IP地址的Backup 首选路径确定 使不必要的中断最小化 安全性可扩展 所有协议消息用IP多播数据报发送
VRRP的基本概念 Internet 用VRRP实现虚拟路由器 VRRP(Virtual router redundancy protocol, 虚拟路由器冗余协议)(RFC2338)提供了局域网上的设备备份机制。 简单来说,VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时由另一台路由器来代替,从而保持通讯的连续性和可靠性。 用VRRP实现虚拟路由器 实际IP地址:192.1.1.3/24 Internet 实际IP地址:192.1.1.2/24 虚拟IP地址192.1.1.10/24
VRRP的基本概念 为了使VRRP工作,首先要创建一个虚拟IP地址(即所配的备份组地址)和MAC地址( 00-00-5E-00-01-{VRID} ),这样在这个网络中就加入了一个虚拟路由器。 192.168.1.1 网关192.168.1.10 192.168.1.2 00e0.fc04.9e38 0000.5e00.010a 192.168.1.10 192.168.1.3 00e0.fc02.3bc5 这个网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息
VRRP的基本概念 一个虚拟路由器由一个主路由器(Master)和若干个备份路由器(Backup)组成,主路由器实现真正的转发功能。 若真实路由器接口IP=虚拟IP,则该路由器又称为“IP地址所有者”。但无论是主路由器还是备份路由器都被称为VRRP路由器。 当主路由器出现故障时,备份路由器成为新的主路由器,接替它的工作,实现转发功能。 虚拟路由器注意事项: 有唯一的标识:VRID 对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID] Master路由器负责对ARP请求用该MAC地址做应答 无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址 192.168.1.1 网关192.168.1.10 192.168.1.2 00e0.fc04.9e38 0000.5e00.010a 192.168.1.10 192.168.1.3 00e0.fc02.3bc5
VRRP的基本概念 Priority 优先权 “IP地址所有者”自动具有最高优先级:255 优先级抢占策略 高优先级的Backup路由器会剥夺当前低优先级的Master路由器而成为新的Master路由器 Authentication 明文认证和IP头认证 同一个VRID中的实际路由器通信时使用组播地址: 224.0.0.18 这里需要注意两点:主路由器的优先级最高是:255。VRRP协议使用组播地址224.0.0.18传递VRRP协议数据。
VRRP协议概述 VRRP控制报文只有一种 通告范围只限于同一局域网内 VRID在不同网络中可以重复使用 VRRP通告(advertisement) 组地址为224.0.0.18 通告范围只限于同一局域网内 VRID在不同网络中可以重复使用 只有Master路由器才可以周期性的发送VRRP通告报文 Backup路由器在连续三个advertisement_interval内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举
协议报文结构 VRRP数据包被封装成IP数据包 IP数据包中的源地址字段表示此数据被发送出去时使用的出口主IP地址 优先级,0~255(其中0,255不可以配置) 255:如果配置的虚拟地址与接口地址相同,优先级为255 0:Master停止参与VRRP 100:缺省值 Virtual Rtr ID (VRID): 配置的VRRP备份组号,1~255 配置的备份组虚拟地址个数 2 验证类型,协议中指定了3种类型 0 - No Authentication 1 - Simple Text Password 2 - IP Authentication Header(MD5) 发送报文的时间间隔,缺省为1秒
协议报文结构 VRRP协议数据的IP数据包中的TTL值必定被设置为255 如果一台VRRP路由器接收到一个TTL值不为255的VRRP数据报文 –丢弃 包含VRRP协议数据的IP数据包中协议字段值被设置为112
VRRP报文的传送 计算出VRRP的校验值 设置源MAC地址字段为虚拟路由器的虚拟MAC地址 设置源IP地址字段为接口的主IP地址 设置IP报文协议字段为VRRP协议 以VRRP对应的IP组播包形式发送VRRP数据包
VRRP报文的接收与处理 验证 advertisement_interval字段值与本地配置必须一致 IP TTL值为255 校验值是否正确 以验证类型字段指明的验证方式执行验证 advertisement_interval字段值与本地配置必须一致
协议状态及其转换 VRRP简化了HSRP 三种状态 初始状态(Initialize) 活动状态(Master) Backup状态(Backup)
协议状态及其转换 这里按照图示从初始状态向Master转化开始讲起,有两个状态出口,分别是受到一个优先级为255的startup消息和小于255的startup消息,则分别转到主路由器和备份路由器状态。而在主状态也有两个出口,分别是一个shutdown消息,一个是受到一个比自己优先级大的保文,此时一个是恢复到初始状态一个是转化为备份状态。在备份状态也有两个出口,分别是shutdown消息和Master宕机计时器到时,则根据情况不同分别转化为初始状态和主状态。
配置实例 无论拔掉哪一台三层交换的线路,PC1和PC2不需要做网络设置的改变都可以与对方通信。则证明VRRP正常工作。 IP:10.0.0.3/24 网关:10.0.0.10 IP:20.0.0.3/24 网关:20.0.0.10 交换机 VLAN 端口成员 IP DCRS-5650-A 100 1 10.0.0.1/24 200 24 20.0.0.1/24 DCRS-5650-B 10.0.0.2/24 20.0.0.2/24 无论拔掉哪一台三层交换的线路,PC1和PC2不需要做网络设置的改变都可以与对方通信。则证明VRRP正常工作。
交换机DCRS-5650-A配置 DCRS-5650-A(config)#router vrrp 1 DCRS-5650-A(config-router)# virtual-ip 10.0.0.10 DCRS-5650-A(config-router)# priority 150 DCRS-5650-A(config-router)# interface vlan 100 DCRS-5650-A(config-router)# enable DCRS-5650-A(config-router)# exit DCRS-5650-A(config)#router vrrp 2 DCRS-5650-A(config-router)# virtual-ip 20.0.0.10 DCRS-5650-A(config-router)# priority 50 DCRS-5650-A(config-router)# interface vlan 200 DCRS-5650-A(config-router)#preempt-mode false VRRP缺省为抢占模式,在VRRP2号组中关闭优先级低的5650-A的抢占模式以保证高优先级的5650-B在故障恢复后,能主动抢占成为活动路由器。
交换机DCRS-5650-B配置 DCRS-5650-B(config)#router vrrp 1 DCRS-5650-B(config-router)# virtual-ip 10.0.0.10 DCRS-5650-B(config-router)# priority 50 DCRS-5650-B(config-router)#preempt-mode false DCRS-5650-B(config-router)# interface vlan 100 DCRS-5650-B(config-router)# enable DCRS-5650-B(config-router)# exit DCRS-5650-B(config)#router vrrp 2 DCRS-5650-B(config-router)# virtual-ip 20.0.0.10 DCRS-5650-B(config-router)# priority 150 DCRS-5650-B(config-router)# interface vlan 200 VRRP缺省为抢占模式,在VRRP1号组中关闭优先级低的5650-B的抢占模式以保证高优先级的5650-A在故障恢复后,能主动抢占成为活动路由器。
Q&A