企業網核心技術-網關冗餘協議(HSRP、VRRP、GLBP)

網關冗餘協議

姊妹篇：企業網中基於樹形拓撲防環-STP生成樹協議

HSRP

VRRP

GLBP

在交換網絡中，最重要的思想就是冗餘 (備份)，通常我們會見到以下這4中冗餘。

• USP(電源)冗餘
• 線路冗餘
• 設備冗餘
• 網關冗餘

上3中屬於硬件冗餘，當然有的也需要軟件的支持，比如線路冗餘(要通過配置來形成主備鏈路)，最後一種就是網關冗餘

最原始的網關冗餘

PC的操作系統在win95系列以下，沒有配置網關地址時，若需要PC訪問非本地直連網段的目標IP，那麼將對該IP地址進行ARP請求，默認路由器存在代理ARP機制，將放回MAC地址(選擇最新記錄)，之後即可訪問目標

當默認選擇的網關設備上行鏈路故障後，ICMP重定向會保證PC尋找到最佳路徑的網關設備，來實現網關冗餘，若下行鏈路故障，或者網關設備癱瘓，那麼將等待2h，PC的ARP表刷新後重新ARP請求

1.HSRP-熱備份網關冗餘協議

1.1 簡介

HSRP爲CISCO私有，其切換速度快，可以使網關的IP和MAC地址不用變化，網關的切換對於主機是透明的，可以實施上行鏈路加速

1.2 實現

在兩臺路由器或三層交換機上虛擬一個網關ip地址，再虛擬一個網關MAC地址，虛擬網關IP地址由管理員定義(在該網段內不得和主機IP衝突)，MAC地址自動生成。

• 路由器間的 hello time 3s、hold time 10s
• 組播地址：224.0.0.2 TTL=1
• MAC地址：0000.0c(CISCO專用)07.ac(HSRP專用)01(組號)
• 兩種路由器：Forwarding路由器/standby路由器
• 優先級：默認爲100
• 真實物理接口IP地址最大

1.3 圖解HSRP-相關配置

在交換網絡中，網關的位置通常與根網橋的位置相符合

SW1(config)#interface vlan 2
SW1(config-if)#standby 1 ip 172.16.1.3 //備份路由器組號和地址必須相同，地址爲虛擬網關地址
SW1(config-if)#standby 1 priority ? //修改優先級，默認爲100
<0-255> Priority value
注：搶佔默認關閉，利用修改優先級來定義網關位置不可控，需要開啓搶佔

SW1(config-if)#standby 1 preempt

在網關冗餘技術中，ICMP重定向是失效的；故當上行鏈路DOWN時，網關將不會切換可以定義上行鏈路追蹤-該配置必須在搶佔開啓的情況下生效，且兩臺設備間的優先級差值小於下調值；若本地存在多條上行或下行鏈路，建議上行鏈路追蹤配置的下調值之和大於優先級差值-所有上行鏈路全DOWN時，才讓備份設備搶佔，下行鏈路大部分DOWN時，可以讓備份設備搶佔

SW1(config)#interface fastEthernet 0/0
SW1(config-if)#standby 1 track serial 1/0
當被追蹤的接口down時，本地優先級自動默認下調10（減10）

SW1(config-if)#standby 1 track serial 1/0 ?  可修改下降值
  <1-255>  Decrement value
  <cr>

1.4 總結

• 搶佔默認被關閉
• 僅支持兩臺設備
• Cisco私有
• 較慢

2.VRRP：虛擬路由冗餘協議

VRRP是一種公有協議，原理同HSRP一致

2.1 HSRP與VRRP的區別

• HSRP僅支持2臺設備，VRRP可以支持多臺三層設備
• VRRP僅master發送hello
• VRRP可以使用物理接口的IP地址來做爲網關地址
• VRRP默認開啓搶佔
• hold time 3s

2.2 實現

VRRP在一個組內可以存在多臺3層設備，存在一個master和多個backup，正常產生一個虛擬IP(可以爲真實接口IP)和一個虛擬MAC，默認每1S來檢測一次master是否活動
組播更新地址：224.0.0.18 TTL=1
hold time 3s

選舉master規則： 先比本地優先級，優先級越大越優，默認100，再比接口IP地址，越大越優

SW1(config)#interface fastEthernet 0/0
SW1(config-if)#vrrp 1 ip 134.1.1.254
SW1(config-if)#vrrp 1 priority 110
SW1#show vrrp brief 
Interface          Grp Pri Time  Own Pre State   Master addr     Group addr
Fa0/0              1 100 3609    Y  Backup     134.1.1.1       134.1.1.254  

注：若使用某個接口的真實IP地址作爲虛擬網關IP地址，那麼依然使用虛擬的MAC地址，且當真實IP地址所在接口爲DOWN之前，其他設備不能作爲master，否則將可能出現錯誤的ARP應答，導致選路不佳，故該地址所在的接口優先級爲255

在設置了上行鏈路追蹤的情況下： 不建議使用真實的ip地址來作爲網關地址；因爲可能上行鏈路故障後，被對端搶佔主狀態，導致PC對網關地址進行ARP時，收到兩個應答，最終選路不佳；

上行鏈路追蹤：
1、先定義追蹤列表
2、再在協議中調用

core(config)#track 1 interface fa0/1 line-protocol
            定義追蹤表1,追蹤接口爲F0/1
r1(config)#interface fastEthernet 0/0
r1(config-if)#vrrp 1 track 1 decrement 156
               組號  表號      下調的優先級

3.GLBP：網關負載均衡協議

GLBP爲CISCO私有協議，GLBP不但提供網關冗餘，也提供負載均衡.

3.1 BLGP&HSRP&VRRP比較

• HSRP和VRRP不同的是，GLBP不僅提供冗餘網關，還在各網關之間提供負載均衡
• HSRP、VRRP必須選定一個活動路由器，而備份路由器則處於閒置狀態
• GLBP可以綁定多個MAC地址到虛擬IP

3.2 實現

GLBP使用類似HSRP的機制來選舉活動網關
1.優先級（1-255默認爲100）
2.IP地址
在GLBP中活動網關叫做AVG、其他非AVG設備提供冗餘

當某個路由器成爲AVG後，會分配虛擬的MAC地址給其他GLBP組成員，所有的GLBP組中的路由器都轉發包，但是路由器只負責轉發自己的虛擬MAC地址的相關的數據包

非AVG設備我們叫做AVF，每個GLBP組中最多有4個虛擬的MAC地址，非AVG路由器由AVG按序列分配虛擬MAC地址

AVG搶佔默認關閉的
AVF搶佔默認開啓的
當AVG設備出現問題時，優先級、接口IP最大的AVF設備會成爲新的AVG，進行虛擬MAC地址的分發，及路由轉發

r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 ip 134.1.1.254

r1(config-if)#glbp 1 priority ? 修改優先級
  <1-255>  Priority value

上行鏈路追蹤：
1>先定義追蹤列表
2>再在協議中調用

 core(config)#track 1 interface fa0/0 line-protocol
            定義追蹤表1,追蹤接口爲F0/0
r1(config)#interface fastEthernet 0/0
r1(config-if)#glbp 1 weighting track 1 decrement 10 
           組號               表號        下調的優先級