一、基礎知識
虛擬路由器冗餘協議VRRP(交換機沒有這個功能) 與HSRP相同,VRRP也是一種默認網關冗餘方法,它讓一組路由器構成一臺虛擬路由器。HSRP是cisco私有的,只適用於cisco設備。VRRP是符合internet標準。
在VRRP協議中,有兩組重要的概念:
VRRP路由器和虛擬路由器,主控路由器和備份路由器。
VRRP路由器是指運行VRRP的路由器,是物理實體,虛擬 路由器是指VRRP協議創建的,是邏輯概念。一組VRRP路由器協同工作,共同構成一臺虛擬路由器。該虛擬路由器對外表現爲一個具有唯一固定IP地址和 MAC地址的邏輯路由器。處於同一個VRRP組中的路由器具有兩種互斥的角色:主控路由器和備份路由器,一個VRRP組中有且只有一臺處於主控角色的路由 器,可以有一個或者多個處於備份角色的路由器。VRRP協議使用選擇策略從路由器組中選出一臺作爲主控,負責ARP響應和轉發IP數據包,組中的其它路由 器作爲備份的角色處於待命狀態。當由於某種原因主控路由器發生故障時,備份路由器能在幾秒鐘的時延後升級爲主路由器。由於此切換非常迅速而且不用改變IP 地址和MAC地址,故對終端使用者系統是透明的。
由於虛擬路由器使用路由器A的物理以太網接口的IP地址,因此路由器A擔當了主虛擬路由器的角色,被稱爲IP地址擁有者(owner)。作爲主虛擬路由 器,路由器A控制虛擬路由器的IP地址,並負責對發送到該IP地址的數據包進行轉發。路由器B和路由器C爲備用虛擬路由器。如果主虛擬路由器A發生故障, 路由器B和路由器C作爲備用虛擬路由器優先級高的將替代爲主虛擬路由器。當路由器A恢復正常後,將再次成爲主虛擬路由器。
二、工作原理
一 個VRRP路由器有唯一的標識:VRID,範圍爲0-255。該路由器對外表現爲唯一的虛擬MAC地址,地址的格式爲00-00-5E- 00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少 了切換對終端設備的影響。VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP多播數據包進行封裝,組地址爲 224.0.0.18,發佈範圍只限於同一局域網內。這保證了VRID在不同網絡中可以重複使用。爲了減少網絡帶寬消耗只有主控路由器纔可以週期性的發送 VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先級爲0的通告後啓動新的一輪VRRP選舉。
在 VRRP路由器組中,按優先級選舉主控路由器,VRRP協議 中優先級範圍是0-255。默認爲100。若VRRP路由器的IP地址和虛擬路由器的接口 IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先級:255。優先級0一般 IP地址所有者主動放棄主控者角色時使用。可配置的優先級範圍爲1-254。優先級的配置原則可以依據鏈路的速度和成本路由器性能和可靠性以及其它管理策 略設定。主控路由器的選舉中,高優先級的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作爲主控路由的角色出現。對於相同優先級的 候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先級搶佔策略,如果配置了該策略,高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成 爲新的主控路由器。
VRRP有兩個時間:通告間隔和主路由器失效 (master-down)間隔。通告間隔是通告之間的間隔時間(秒),默認爲1秒。主路由器失效 間隔指的是多長時間沒有收到通告後,備用路由器將認爲主路由器已失效,單位爲秒。主路由器失效間隔是不能配置的,其值至少是爲通告間隔的3倍。
三、VRRP狀態
組成虛擬路由器的路由器會有三種狀態 分別是Initialize Master和Backup
1)Initialize
系統啓動後進入此狀態,當收到接口startup的消息,將轉入Backup (優先級不爲255時)或Master狀態(優先級爲255時)。在此狀態時,路由器不會對VRRP報文做任何處理。
2)Master
當路由器處於Master狀態時 它將會做下列工作
*定期發送VRRP組播報文
*發送免費(gratuitous)ARP報文,以使網絡內各主機知道虛擬IP地址所對應的虛擬MAC地址
*響應對虛擬IP地址的ARP請求,並且響應的是虛擬MAC地址,而不是接口的真實MAC地址
*轉發目的MAC地址爲虛擬MAC地址的IP報文
*如果它是這個虛擬IP地址的擁有者,則接收目的IP地址爲這個虛擬IP地址的IP報文,否則,丟棄這個IP報文。需要注意的是,由於有這一點要求,所以除非主路由器是IP地址擁有者,否則主機ping虛擬IP地址不能ping通。
在Master狀態中只有接收到比自己的優先級大的VRRP報文時,纔會轉爲Backup。只有當接收到接口的Shutdown事件時纔會轉爲Initialize
3)Backup
當路由器處於Backup狀態時 它將會做下列工作:
*接收Master發送的VRRP組播報文 從中瞭解Master的狀態
l*對虛擬IP地址的ARP請求 不做響應
*丟棄目的MAC地址爲虛擬MAC地址的IP報文
*丟棄目的IP地址爲虛擬IP地址的IP報文
只 有當Backup接收到MASTER_DOWN這個定時器到時的事件時,纔會轉爲Master 而當接收到比自己的優先級小的VRRP報文時,它只是做丟棄這個報文的處理,從而就不對定時器做重置處理。 這樣定時器就會在若干次這樣的處理之後到時,於是就轉爲Master。只有當接收到接口的Shutdown事件時纔會轉爲Initialize
四、HSRP和VRRP的區別
五、多虛擬路由器的VRRP
如 下圖,有兩臺虛擬路由器。對於虛擬路由器1而言,路由器A爲其ip地址的擁有者,它是主虛擬路由器,而路由器 b是備用虛擬路由器。在主機1和2上,默認網關爲10.0.0.1。虛擬路由器2的IP地址是路由器B的IP地址,路由器B是主虛擬路由器,主機3和主機 4上,默認網關IP地址被配置爲10.0.0.2。
六、通過VRRP 監視Track 項功能,可以實現:
對 上行鏈路的監控。當上行鏈路出現故障,局域網內的主機無法通過交換機訪問外部網絡時,被監視Track 項的狀態會變爲negative,並將交換機的優先級降低指定的數額。從而,使得備份組內其它交換機的優先級高於這個交換機的優先級,成爲Master 交換機,保證局域網內主機與外部網絡的通信不會中斷。
在Backup 交換機上監視Master 交換機的狀態。當Master 交換機出現故障時,工作在切換模式的Backup 交換機能夠迅速成爲Master 交換機,以保證通信不會中斷。
六、配置過程:
1) 進入全局模式 configure terminal
2) 進入接口模式 interface 接口
3) 配置vrrp組和虛擬路由器的IP地址(可選)
vrrp 組號 ip ip地址
4) 配置優先級
vrrp 組號 priority 優先級別
5) 配置搶佔
vrrp 組號 preempt
6) 配置vrrp通告時間
vrrp 組號 timer advertise [msec] 秒數
默認爲1秒
7) 配置認證
(1)MD5認證:
vrrp 組號 authentication md5 key-string [0|7] 密碼 timeout 秒數
0:表示不以加密方式顯示密碼
7:表示以加密的方式顯示密碼(service password-encryption命令配置)
(2)MD5鑰匙串認證:
vrrp 組號 authentication md5 key-chain key串名稱
必須事先定義了key串
(3) 明文認證:
vrrp 組號 authentication text 密碼
8) 跟蹤端口
(1) 定義跟蹤,全局模式: track 編號 interface 接口 [line-protocol | ip-routing]
(2) vrrp 組號 track 編號 decrement 優先級
decrement 優先級:減少的優先級
9) 驗證結果
show vrrp [brief]
show vrrp interface 接口
show track
七、案例:
【配置要求】
R4與R5是出口的網關,R6是局域網中的設備,當R5或R4任意一條鏈路失效時,能夠自動切換到另外1條鏈路
【實驗配置】
R1:
interface Serial 0/0
encapsulation frame-relay
no frame-relay inverse-arp
ip address 155.1.0.1 255.255.255.0
frame-relay map ip 155.1.0.5 105 broadcast
frame-relay map ip 155.1.0.4 104 broadcast
ip ospf network broadcast
no shutdown
!
router ospf 1
router-id 150.1.1.1
network 155.1.0.1 0.0.0.0 area 0
R4:
track 1 interface Serial0/0 line-protocol
!
interface Ethernet0/1
ip address 155.1.100.4 255.255.255.0
half-duplex
vrrp 1 ip 155.1.100.254
vrrp 1 priority 110
vrrp 1 authentication md5 key-string CISCO
vrrp 1 track 1 decrement 20
!
interface Serial 0/0
encapsulation frame-relay
no frame-relay inverse-arp
ip address 155.1.0.4 255.255.255.0
frame-relay map ip 155.1.0.5 401 broadcast
frame-relay map ip 155.1.0.1 401
ip ospf priority 0
ip ospf network broadcast
no shutdown
!
interface Loopback0
ip address 150.1.45.4 255.255.255.0
!
router ospf 1
router-id 150.1.4.4
redistribute connected subnets metric 400
network 155.1.0.4 0.0.0.0 area 0
R5:
interface Ethernet0/0
ip address 155.1.100.5 255.255.255.0
half-duplex
vrrp 1 ip 155.1.100.254
vrrp 1 authentication md5 key-string CISCO
no shutdown
!
interface Serial 0/0
encapsulation frame-relay
no frame-relay inverse-arp
ip address 155.1.0.5 255.255.255.0
frame-relay map ip 155.1.0.1 501 broadcast
frame-relay map ip 155.1.0.4 501
ip ospf network broadcast
ip ospf priority 0
no shutdown
!
interface Loopback0
ip address 150.1.45.5 255.255.255.0
!
router ospf 1
router-id 150.1.5.5
network 155.1.0.5 0.0.0.0 area 0
redistribute connected subnets metric 500
R6:
interface Gig 0/0
ip address 155.1.100.6 255.255.255.0
no shutdown
!
ip route 0.0.0.0 0.0.0.0 155.1.100.254
【校驗】
R4#show vrrp
Ethernet0/1 - Group 1
State is Master
Virtual IP address is 155.1.100.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 110
Track object 1 state Up decrement 20
Authentication MD5, key-string "CISCO"
Master Router is 155.1.100.4 (local), priority is 110
Master Advertisement interval is 1.000 sec
Master Down interval is 3.570 sec
R6#ping 155.1.0.1 repeat 1000 size 1000
Type escape sequence to abort.
Sending 1000, 1000-byte ICMP Echos to 155.1.0.1, timeout is 2 seconds:
.!!!!!!!!
R4#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R4(config)#interface serial 0/0
R4(config-if)#shut
R4(config-if)#
Rack1AS>6
[Resuming connection 6 to r6 ... ]
!!.U....................!!!!!!!!!!!!!!!!!!!!!!.
Success
R4#show vrrp
Ethernet0/1 - Group 1
State is Backup
Virtual IP address is 155.1.100.254
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 1.000 sec
Preemption enabled
Priority is 90 (cfgd 110)
Track object 1 state Down decrement 20
Authentication MD5, key-string "CISCO"
Master Router is 155.1.100.5, priority is 100
Master Advertisement interval is 1.000 sec
Master Down interval is 3.570 sec (expires in 3.422 sec)
R4#show track 1
Track 1
Interface Serial0/0 line-protocol
Line protocol is Down (hw admin-down)
3 changes, last change 00:02:03
Tracked by:
VRRP Ethernet0/1 1
