熱備份加nat轉換（華爲

 

熱備份加nat轉換（華爲）

 

 

 

 

VRRP（Virtual Router Redundancy Protocol，虛擬路由冗餘協議）是一種容錯協議。通常，一個網絡內的所有主機都設置一條缺省路由，這樣，主機發出的目的地址不在本網段的報文將被通過缺省路由發往路由器RouterA，從而實現了主機與外部網絡的通信。當路由器RouterA 壞掉時，本網段內所有以RouterA 爲缺省路由下一跳的主機將斷掉與外部的通信產生單點故障。VRRP 就是爲解決上述問題而提出的，它爲具有多播組播或廣播能力的局域網（如：以太網）設計。VRRP 將局域網的一組路由器（包括一個Master 即活動路由器和若干個Backup 即備份路由器）組織成一個虛擬路由器，稱之爲一個備份組。這個虛擬的路由器擁有自己的IP 地址10.100.10.1（這個IP 地址可以和備份組內的某個路由器的接口地址相同，相同的則稱爲ip擁有者），備份組內的路由器也有自己的IP 地址（如Master的IP 地址爲10.100.10.2，Backup 的IP 地址爲10.100.10.3）。局域網內的主機僅僅知道這個虛擬路由器的IP 地址10.100.10.1，而並不知道具體的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3，它們將自己的缺省路由下一跳地址設置爲該虛擬路由器的IP 地址10.100.10.1。於是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的Master 路由器壞掉，Backup 路由器將會通過選舉策略選出一個新的Master 路由器，繼續向網絡內的主機提供路由服務。從而實現網絡內的主機不間斷地與外部網絡進行通信。關於VRRP 協議的詳細信息，可以參考RFC 3768。

^{互相區別：}　　VRRP協議的工作機理與CISCO公司的HSRP（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在CISCO的HSRP中，需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

 

　　使用VRRP協議，不用改造目前的網絡結構，最大限度保護了當前投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的應用價值。

工作原理：　　vrrp只定義了一種報文——vrrp報文，這是一種組播報文，由主三層交換機定時發出來通告他的存在。使用這些報文可以檢測虛擬三層交換機各種參數，還可以用於主三層交換機的選舉。

 

　　VRRP中定義了三種狀態模型，初始狀態Initialize，主狀態Master和從狀態Slave，其中只有活動狀態的交換機可以爲到虛擬IP地址的的轉發請求提供服務。

 

　　vrrp報文是封裝在IP報文上的，支持各種上層協議，同時VRRP還支持將真實接口IP地址設置爲虛擬IP地址。

 

　　那麼如何從備份組的多臺交換機中選舉Master？這項工作由我們在備份組內每臺交換機上配置的相同IP地址的虛擬交換機完成。

 

　　虛擬交換機根據配置的優先級的大小選擇主交換機，優先級最大的作爲主交換機，狀態爲Master，若優先級相同（如果交換機沒有配置優先級，就採用默認值100），則比較接口的主IP地址，主IP地址大的就成爲主交換機，由它提供實際的路由服務。其他交換機作爲備份交換機，隨時監測主交換機的狀態。當主交換機正常工作時，它會每隔一段時間發送一個VRRP組播報文，以通知組內的備份交換機，主交換機處於正常工作狀態。如果組內的備份交換機長時間沒有接收到來自主交換機的VRRP組播報文，則將自己狀態轉換爲Master。當組內有多臺備份交換機，將有可能產生多個主交換機。這時每一個主交換機就會比較VRRP報文中的優先級和自己本地的優先級，如果本地的優先級小於VRRP中的優先級，則將自己的狀態轉換爲Backup，否則保持自己的狀態不變。通過這樣一個過程，就會將優先級最大的交換機選成新的主交換機，完成VRRP的備份功能。

應用實例　

　最典型的VRRP應用：RTA、RTB組成一個VRRP路由器組，假設RTB的處理能力高於RTA，則將RTB配置成IP地址所有者，H1、H2、H3的默認網關設定爲RTB。則RTB成爲主控路由器，負責ICMP重定向、ARP應答和IP報文的轉發；一旦RTB失敗，RTA立即啓動切換，成爲主控，從而保證了對客戶透明的安全切換。

 

　　在VRRP應用中，RTB在線時RTA只是作爲後備，不參與轉發工作，閒置了路由器RTA和鏈路L1。通過合理的網絡設計，可以達到備份和負載分擔雙重效果。讓RTA、RTB同時屬於互爲備份的兩個VRRP組：在組1中RTA爲IP地址所有者；組2中RTB爲IP地址所有者。將H1的默認網關設定爲RTA；H2、H3的默認網關設定爲RTB。這樣，既分擔了設備負載和網絡流量，又提高了網絡可靠性。

 

　　VRRP協議的工作機理與CISCO公司的HSRP（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在CISCO的HSRP中，需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

 

　　使用VRRP協議，不用改造目前的網絡結構，最大限度保護了當前投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的應用價值。

 

實驗環境：一臺防火牆，兩臺pc機，兩臺路由器，兩臺交換機

 

 

 

配置防火牆：

 

[r1]fire packet default permit

[r1]firewall zone trust

[r1-zone-trust]add inter e0/0

[r1-zone-trust]add inter e0/1

[r1-zone-trust]add inter e0/2

[r1-zone-trust]inter eth0/0

[r1-Ethernet0/0]ip address 192.168.5.1 255.255.255.0

[r1-Ethernet0/0]inter eth0/1                       

[r1-Ethernet0/1]ip address 192.168.4.1 255.255.255.0

[r1-zone-trust]inter eth0/2                       

[r1-Ethernet0/2]ip address 192.168.3.1 255.255.255.0

[r1-Ethernet0/2]loopback

配置r2：

[r2-Ethernet0]inter e1

[r2-Ethernet1]ip address 192.168.4.2 255.255.255.0

[r2-Ethernet0]inter e0.10

[r2-Ethernet0.10]vlan-type dot1q vid 10

[r2-Ethernet0.10]ip address 192.168.10.1 255.255.255.0

[r2-Ethernet0.10]inter e0.20

[r2-Ethernet0.20]vlan-type dot1q vid 20

[r2-Ethernet0.20]ip address 192.168.20.1 255.255.255.0

配置靜態路由：

[r2]ip route 0.0.0.0 0.0.0.0 192.168.4.1

R2做nat轉換：

[r2]acl 2000

[r2-acl-2000]rule permit source any

[r2]inter e1

[r2-Ethernet1]nat outbound 2000 interface

配置r3：

[r3]ip route 0.0.0.0 0.0.0.0 192.168.5.1

[r3]inter e0

[r3-Ethernet0]ip address 192.168.5.2 255.255.255.0

[r3-Ethernet0]

%01:20:09: Line protocol ip on the interface Ethernet0 is UP

[r3-Ethernet0]undo shut

[r3]inter eth1.10

[r3-Ethernet1.10]vlan-type do1q vid 10

 Incorrect command

 

[r3-Ethernet1.10]vlan-type dot1q vid 10

[r3-Ethernet1.10]ip address 192.168.10.2 255.255.255.0

[r3-Ethernet1.10]inter eth0.20

[r3-Ethernet1.20]vlan-type dot1q vid 20

[r3-Ethernet1.20]ip address 192.168.20.2 255.255.255.0

Nat轉換：

[r3]acl 2000

[r3-acl-2000]rule permit source any

 Rule has been added to normal packet-filtering rules

[r3-acl-2000]inter e0

[r3-Ethernet0]nat outbound 2000 interface

Sw1配置：

[sw1]vlan 10

[sw1-vlan10]port e0/10

[sw1-vlan10]vlan 20

[sw1-vlan20]port e0/20

[sw1]inter e0/1

[sw1-Ethernet0/1]port link-type trunk

[sw1-Ethernet0/1]port trunk permit vlan all

 Please wait........................................... Done.

[sw1-Ethernet0/5]port link-type trunk     

[sw1-Ethernet0/5]port trunk permit vlan all

 Please wait........................................... Done.

Sw2配置：

[sw2]vlan 10

[sw2-vlan10]port e0/10

[sw2-vlan10]vlan 20

[sw2-vlan20]port e0/20

[sw2]inter e0/1

[sw2-Ethernet0/1]port link-type trunk

[sw2-Ethernet0/1]port trunk permit vlan all

 Please wait........................................... Done.

[sw2-Ethernet0/5]port link-type trunk     

[sw2-Ethernet0/5]port trunk permit vlan all

 Please wait........................................... Done.

用pc機（vlan10—192.168.10.100）測試：

C:\Users\Administrator>ping 192.168.10.1

 

正在 Ping 192.168.10.1 具有 32 字節的數據:

來自 192.168.10.1 的回覆: 字節=32 時間<1ms TTL=255

來自 192.168.10.1 的回覆: 字節=32 時間<1ms TTL=255

來自 192.168.10.1 的回覆: 字節=32 時間<1ms TTL=255

來自 192.168.10.1 的回覆: 字節=32 時間<1ms TTL=255

 

192.168.10.1 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒爲單位):

    最短 = 0ms，最長 = 0ms，平均 = 0ms

 

C:\Users\Administrator>ping 192.168.3.1

 

正在 Ping 192.168.3.1 具有 32 字節的數據:

來自 192.168.3.1 的回覆: 字節=32 時間=2ms TTL=254

來自 192.168.3.1 的回覆: 字節=32 時間=2ms TTL=254

來自 192.168.3.1 的回覆: 字節=32 時間=2ms TTL=254

來自 192.168.3.1 的回覆: 字節=32 時間=3ms TTL=254

 

192.168.3.1 的 Ping 統計信息:

    數據包: 已發送 = 4，已接收 = 4，丟失 = 0 (0% 丟失)，

往返行程的估計時間(以毫秒爲單位):

    最短 = 2ms，最長 = 3ms，平均 = 2ms

 

說明nat轉換成功

測試：

C:\Documents and Settings\>ping 192.168.3.1

 

Pinging 192.168.3.1 with 32 bytes of data:

 

Reply from 192.168.3.1: bytes=32 time=2ms TTL=254

Reply from 192.168.3.1: bytes=32 time=2ms TTL=254

Reply from 192.168.3.1: bytes=32 time=3ms TTL=254

Reply from 192.168.3.1: bytes=32 time=4ms TTL=254

 

Ping statistics for 192.168.3.1:

    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),

Approximate round trip times in milli-seconds:

    Minimum = 2ms, Maximum = 4ms, Average = 2ms

測試成功，說明nat轉換成功。

在

進入r2：

[r2]inter eth0.10

[r2-Ethernet0.10]vrrp vrid 10 virtual-ip 192.168.10.254 （做虛擬路由）

[r2-Ethernet0.10]inter eth0.20 

[r2-Ethernet0.20]vrrp vrid 20 virtual-ip 192.168.20.254 （做虛擬路由）

[r2-Ethernet0.20]inter eth0.10

[r2-Ethernet0.10]vrrp vrid 10 priority 120 (設置優先級爲120)

[r2-Ethernet0.10]vrrp vrid 10 preempt （設置搶佔）

[r2-Ethernet0.10]vrrp vrid 10 track eth0.10 reduced 30 （設置爲一旦被搶佔優先級自動減30）

[r2-Ethernet0.10]inter e0.20

[r2-Ethernet0.20]vrrp vrid 20 preempt（設置搶佔

進入r3：

[r3]inter e1.10

[r3-Ethernet1.10]vrrp vrid 10 virtual 192.168.10.254（做虛擬路由）

[r3-Ethernet1.10]inter e0

%02:29:07: Interface Ethernet1 is DOWN.20

[r3-Ethernet1.20]inter e0.20

[r3-Ethernet1.20]

%02:29:12: Interface Ethernet1 is UP  

[r3-Ethernet1.20]vrrp vrid 20 priority 120 (設置優先級爲120)     

[r3-Ethernet1.20]vrrp vrid 20 virtual 192.168.20.254（做虛擬路由）

[r3-Ethernet1.20]vrrp vrid 20 preempt（設置搶佔）

[r3-Ethernet1.20]vrrp vrid 20 track e1.20 reduced 30（設置爲一旦被搶佔優先級自動減30）

[r3-Ethernet1.20]inter e1.10

[r3-Ethernet1.10]vrrp vrid 10 preempt（設置搶佔

R3上顯示vrrp：

[r3]dis vrrp

   Ethernet1.20 | Virtual Router 20

       state : Master

 Virtual IP : 192.168.20.254

    Priority : 120

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO

    Track IF : Ethernet1.20   Priority reduced : 30

 

   Ethernet1.10 | Virtual Router 10

       state : Backup

 Virtual IP : 192.168.10.254

    Priority : 100

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO

R2上顯示vrrp：

[r2]dis vrrp

   Ethernet0.10 | Virtual Router 10

       state : Master

 Virtual IP : 192.168.10.254

    Priority : 120

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO

    Track IF : Ethernet0.10   Priority reduced : 10

 

   Ethernet0.20 | Virtual Router 20

       state : Backup

 Virtual IP : 192.168.20.254

    Priority : 100

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO

Vlan10（192.168.10.100）訪問192.168.20.100

C:\Users\Administrator>tracert 192.168.20.100

 

通過最多 30 個躍點跟蹤

到 [192.168.20.100] 的路由:

 

 1     1 ms     1 ms    <1 毫秒 192.168.10.1

 2    <1 毫秒   <1 毫秒   <1 毫秒  [192.168.20.100]

 

跟蹤完成。

 

關閉r2上e1接口繼續測試：

10.100ping20.100：

C:\Users\Administrator>tracert 192.168.20.100

 

通過最多 30 個躍點跟蹤

到 [192.168.20.100] 的路由:

 

 1    <1 毫秒   <1 毫秒   <1 毫秒 192.168.10.2

 2    <1 毫秒   <1 毫秒   <1 毫秒  [192.168.20.100]

 

跟蹤完成。

用vlan20 192.168.20.100ping192.168.10.100

 

C:\Documents and Settings\>tracert 192.168.10.100

 

Tracing route to 192.168.10.100 over a maximum of 30 hops

 

 1     2 ms    <1 ms    <1 ms 192.168.20.2

 2     1 ms    <1 ms     1 ms 192.168.10.100

 

Trace complete.

把r3的e1口關閉：

用vlan20 192.168.20.100ping192.168.10.100

 

C:\Documents and Settings\>tracert 192.168.10.100

 

Tracing route to 192.168.10.100 over a maximum of 30 hops

 

 1    <1 ms    <1 ms    <1 ms 192.168.20.1

 2    <1 ms    <1 ms    <1 ms 192.168.10.100

 

Trace complete.

在測試r3vrrp：

[r3-Ethernet1]dis vrrp

   Ethernet1.20 | Virtual Router 20

       state : Initialize （因爲是關閉e1所以這樣顯示）

 Virtual IP : 192.168.20.254

    Priority : 90 （優先級減少30）

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO

    Track IF : Ethernet1.20   Priority reduced : 30

 

   Ethernet1.10 | Virtual Router 10

       state : Initialize

 Virtual IP : 192.168.10.254

    Priority : 100

     Preempt : YES   Delay Time : 0

       Timer : 1

   Auth Type : NO