-
虛擬路由器冗餘協議
虛擬路由器冗餘協議 (VRRP:Virtual Router Redundancy Protocol)
虛擬路由器冗餘協議(VRRP)是一種選擇協議,它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱爲主路由器,它負責轉發數據包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作爲終端主機的默認第一跳路由器。使用 VRRP 的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中發送。
使用 VRRP ,可以通過手動或 DHCP 設定一個虛擬 IP 地址作爲默認路由器。虛擬 IP 地址在路由器間共享,其中一個指定爲主路由器而其它的則爲備份路由器。如果主路由器不可用,這個虛擬 IP 地址就會映射到一個備份路由器的 IP 地址(這個備份路由器就成爲了主路由器)。 VRRP 也可用於負載均衡。 VRRP 是 IPv4 和 IPv6 的一部分。
VRRP(Virtual Router Redundancy Protocol,虛擬路由冗餘協議)是一種容錯協
議。通常,一個網絡內的所有主機都設置一條缺省路由(如圖3-1所示,10.100.10.1),
這樣,主機發出的目的地址不在本網段的報文將被通過缺省路由發往路由器
RouterA,從而實現了主機與外部網絡的通信。當路由器RouterA 壞掉時,本網段
內所有以RouterA 爲缺省路由下一跳的主機將斷掉與外部的通信。
VRRP 就是爲解決上述問題而提出的,它爲具有多播或廣播能力的局域網(如:以
太網)設計。我們結合下圖來看一下VRRP 的實現原理。VRRP 將局域網的一組路
由器(包括一個Master 即活動路由器和若干個Backup 即備份路由器)組織成一個
虛擬路由器,稱之爲一個備份組。
這個虛擬的路由器擁有自己的IP 地址10.100.10.1(這個IP 地址可以和備份組內的
某個路由器的接口地址相同),備份組內的路由器也有自己的IP 地址(如Master
的IP 地址爲10.100.10.2,Backup 的IP 地址爲10.100.10.3)。局域網內的主機僅
僅知道這個虛擬路由器的IP 地址10.100.10.1,而並不知道具體的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它們將自己的缺省
路由下一跳地址設置爲該虛擬路由器的IP 地址10.100.10.1。於是,網絡內的主機
就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的Master 路由器壞
掉,Backup 路由器將會通過選舉策略選出一個新的Master 路由器,繼續向網絡內
的主機提供路由服務。從而實現網絡內的主機不間斷地與外部網絡進行通信。
關於VRRP 協議的詳細信息,可以參考RFC 2338。
二、工作原理
一個VRRP路由器有唯一的標識:VRID,範圍爲0—255。該路由器對外表現爲唯一的虛擬MAC地址,地址的格式爲00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響,如下圖
![]()
VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP多播數據包進行封裝,組地址爲224.0.0.18,發佈範圍只限於同一局域網內。這保證了VRID在不同網絡中可以重複使用。爲了減少網絡帶寬消耗只有主控路由器纔可以週期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先級爲0的通告後啓動新的一輪VRRP選舉。
在VRRP路由器組中,按優先級選舉主控路由器,VRRP協議中優先級範圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先級:255。優先級0一般用在IP地址所有者主動放棄主控者角色時使用。可配置的優先級範圍爲1—254。優先級的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定。主控路由器的選舉中,高優先級的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作爲主控路由的角色出現。對於相同優先級的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先級搶佔策略,如果配置了該策略,高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成爲新的主控路由器。
爲了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證。明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼。適合於避免在局域網內的配置錯誤,但不能防止通過網絡監聽方式獲得密碼。IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等***。
三、 應用實例
最典型的VRRP應用:RTA、RTB組成一個VRRP路由器組,假設RTB的處理能力高於RTA,則將RTB配置成IP地址所有者,H1、H2、H3的默認網關設定爲RTB。則RTB成爲主控路由器,負責ICMP重定向、ARP應答和IP報文的轉發;一旦RTB失敗,RTA立即啓動切換,成爲主控,從而保證了對客戶透明的安全切換。
在VRRP應用中,RTA在線時RTB只是作爲後備,不參與轉發工作,閒置了路由器RTA和鏈路L1。通過合理的網絡設計,可以到達備份和負載分擔雙重效果。讓RTA、RTB同時屬於互爲備份的兩個VRRP組:在組1中RTA爲IP地址所有者;組2中RTB爲IP地址所有者。將H1的默認網關設定爲RTA;H2、H3的默認網關設定爲RTB。這樣,既分擔了設備負載和網絡流量,又提高了網絡可靠性。
VRRP協議的工作機理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處。但二者主要的區別是在CISCO的HSRP中,需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址,這個地址不能是組中任何一個成員的接口地址。
使用VRRP協議,不用改造目前的網絡結構,最大限度保護了當前投資,只需最少的管理費用,卻大大提升了網絡性能,具有重大的應用價值。
-
R1:
-
[r1]vrrp ping-enable
[r1-Ethernet1.10]vlan-type dot1q vid 10
[r1-Ethernet1.10]ip add 192.168.10.1 24
[r1-Ethernet1.10]vrrp vrid 10 virtual 192.168.10.254[r1-Ethernet1.10]vrrp vrid 10 priority 130[r1-Ethernet1.10]vrrp vrid 10 track s 1 reduce 40[r1-Ethernet1.10]int e1.20[r1-Ethernet1.20]vlan-type dot1q vid 20[r1-Ethernet1.20]ip add 192.168.20.1 24[r1-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254R2:[r2]vrrp ping-enable[r2-Ethernet1.10]vlan-type dot1q vid 10[r2-Ethernet1.10]ip add 192.168.10.2 24[r2-Ethernet1.10]vrrp vrid 10 virtual 192.168.10.254[r2-Ethernet1.10]int e1.20[r2-Ethernet1.20]vlan-type dot1q vid 20[r2-Ethernet1.20]ip add 192.168.20.1 24[r2-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254:[r2-Ethernet1.20]vrrp vrid 20 priority 130[r1-Ethernet1.10]vrrp vrid 20 track s 1 reduce 40
Sw1
[sw1]int e1/0/1