VRRP介紹
VRRP(Vitual Router Redundancy Protocal,虛擬路由冗餘)是一個容錯協議,將幾臺路由設備聯合起來組成一臺虛擬路由器,在一定保護機制下,主設備發生故障能夠切換到備設備上,從而保證通信正常。
物理視圖:
邏輯視圖:
VRRP的術語以及概念
- VRRP路由器(VRRP Router):運行VRRP的設備,可加入到一個或多個虛擬路由備份組;
- 虛擬路由器(Virtual Router):又稱爲VRRP備份組,由一個Master設備和多個Backup設備組成;
- Master路由器:VRRP備份組中當前承擔業務轉發任務的VRRP設備;
- Backup路由器:VRRP備份組中當前沒有承擔業務轉發的VRRP設備;
- VRID(虛擬路由ID):用於唯一標識不同的VRRP備份組,範圍是1-255;
- 虛擬IP地址(VIP):分配給虛擬路由器的IP地址。一個VRRP備份組可以有一個或多個虛擬IP地址,但同時只能有一個被使用,其餘均爲備份;
- IP地址擁有者:如果一個VRRP設備將虛擬IP地址作爲自己真實的接口地址,則該設備是IP地址擁有者。不用參加VRRP的選舉,直接發送優先級爲255的報文併成爲Master;
- 虛擬MAC地址:虛擬路由器根據虛擬路由ID(VRID)生成的MAC地址,格式爲:00-00-5E-00-01-{VRID}.虛擬路由器迴應ARP請求時,使用的是虛擬MAC而非真實MAC;
- 優先級:標識虛擬路由器中成員設備的優先級,用於成員設備選舉出Master設備,越大越優,默認爲100(優先級爲255表示IP地址擁有者),如果成員設備的優先級相同,比較設備的真實IP地址,最大的成爲Master;
- 搶佔模式:搶佔模式下,主設備發生故障,有一個備設備會成爲主設備,在未做其他修改的情況下,發生故障的主設備恢復正常後,會再次成爲主設備;
- 非搶佔模式:在非搶佔模式下,主設備發生故障恢復後,不會再成爲主設備,除非當前主設備發生故障。
VRRP報文格式
VRRP報文是將Master設備的優先級和轉檯通告給同一VRRP備份組的所有Backup設備,僅由Master設備發送;
VRRP報文通過組播發送,源IP地址爲主設備的真實IP地址,目的IP地址爲組播(224.0.0.18),TTL爲255,協議號爲112(VRRP報文封裝在IP報文裏,故VRRP報文爲傳輸層協議);VRRP協議包括VRRPv2和VRRPv3,VRRPv2適用於IPv4網絡,VRRPv3適用於IPv4和IPv6網絡;
| 報文字段 | VRRPv2 | VRRPv3 |
|---|---|---|
| Version | VRRP報文的版本 ,取值爲2 | VRRP報文的版本 ,取值爲3 |
| Type | VRRP的報文類型,取值爲1,表示通告(Advertisement)類型 | 與之相同 |
| Virtual Rtr ID | 虛擬路由ID(VRID) ,取值爲1-255 | 與之相同 |
| Priority | 表示Master在VRRP備份組的優先級(從設備也有,但只有主設備纔會發送VRRP報文),取值範圍爲0-255;0表示設備不參與選舉(快速完成Master設備選舉)或Master設備放棄Master狀態;255表示保留給IP地址擁有者使用,不用經過選舉直接成爲Master設備 | 與之相同 |
| Count IP Addr/Count IPvX Addr | VRRP備份組IPv4地址數量 | VRRP備份組IPv4或IPv6的地址數量 |
| Auth Type | VRRP報文認證的類型: 0:NoneAuthentication,表示無認證方式; 1:Simple Text Authentication,表示採用明文密碼認證方式; 2:IP Authentication Header,表示MD5認證 |
無此字段 (安全認證方式採用IPSec) |
| Adver Init/Max Adver Init | VRRP報文通告時間間隔,單位秒,默認爲1s | VRRP通告時間間隔,單位釐秒,缺省爲100釐秒 |
| Checksum | 16位校驗和,將誒VRRP報文的破損情況或數據是否被修改 | 與之相同 |
| IP Address/IPvX Address | 虛擬IPv4地址,對應字段Count IP address | 虛擬IPv4或IPv6地址,對應字段Count IPvX Addr |
| Authentication Data | 認證數據,只有明文認證和MD5認證纔有此字段 | 無此字段 |
| (rsvd) | 無此字段 | 保留字段 |
VRRP狀態機
VRRP的狀態分爲Initialize(初始狀態)、Backup(備份狀態)和Master(活動狀態),只有處於Master狀態才能轉發發送到虛擬路由器IP地址的數據報文;
VRRP狀態機的遷移過程:
| 狀態機 | 說明 |
|---|---|
| Initialize | 初始狀態,VRRP不可用狀態,是所有VRRP設備組中成員設備的最開始的狀態,設備不會對VRRP報文做任何處理; 收到startup消息後,如果設備的優先級爲255(IP地址擁有者),就直接在進入Master狀態,小於255進入Backup狀態; |
| Master | 活動狀態,表示該設備爲主設備,處於Master狀態的設備,工作如下: A. 定時發送VRRP通告報文; B. 以虛擬MAC地址響應對虛擬IP地址的ARP請求; C. 轉發目的爲虛擬MAC地址的IP報文; D. 接收目的IP地址是虛擬IP的報文; E. 如果收到優先級比自己大,或優先級相同且IP地址比自己大的VRRP報文,就立即進入Backup狀態(僅搶佔模式); F. 收到Shutdown消息後,立即進入Initialize狀態; |
| Backup | 備份狀態,表示該設備爲從設備,處於Backup狀態的設備,工作如下: A. 接收來自Master設備的VRRP通告報文,判斷Master設備是否正常; B. 對虛擬路由器IP地址的ARP請求不響應; C. 丟棄目的地址爲虛擬路由器的IP地址或MAC地址的報文; D. 如果收到優先級比自己大,或優先級相同但IP地址比自己大的VRRP通告報文,就重置Master_Down_interval定時器; 注:Master_Down_Interval定時器用來確定Master設備是否正常工作; 當該定時器超時,Backup設備就會立即切換爲Master設備; 計算公式爲:Master_Down_Interval=(3*Advertisement)+Skew_time; Skew_time=(256-Prority)/256; E. 如果收到優先級比自己小,且優先級爲0(表示放棄Master角色),就將定時器重置爲Skew_time(偏移時間;重新開始選舉,優先級高的優先切換到Master狀態); F. 如果收到優先級比自己小,且優先級不爲0,那麼Backup設備立即切換到Master狀態,成爲Master設備(僅搶佔模式); G. 收到Shutdown消息,立即切換爲Initialize狀態; |
VRRP選舉過程
- a) 初始時VRRP備份組中的所有成員設備都處於Initialize狀態,當設備收到Startup消息後,如果設備的優先級等於255(IP地址擁有者),就會直接切換成爲Master,不會參加下述的選舉過程(優先級爲0,不參與選舉,處於Initialize狀態);
- b) 如果設備的優先級小於255,所有成員設備首先會切換到Backup狀態,由於此時VRRP備份組中沒有Master設備,因此成員設備現在都在等待Master_Down_Interval超時(此時Master_Down_Interval等於Skew_time);
- c) 首先切換到Master狀態的設備就會發送VRRP通告報文,通告自己的優先級等信息,與其他設備交互優先級信息,維持Master狀態;
- d) 如果此時有多個設備由於優先級相同或網絡延遲等原因同時切換到Master報文,那麼這些Master設備都會發送VRRP通告報文,然後比較優先級的大小;優先級大的維持Master狀態,優先級小的切換爲Backup狀態;如果優先級相同,就比較IP地址的大小,較大的爲Master,較小的爲Backup。
VRRP狀態通告
- A) Master設備會週期性的發送VRRP通告報文,維持自己Master狀態;當Master設備放棄Master狀態時,會發送優先級爲0的VRRP通告報文,Backup設備收到該報文後,就會等待Skew_time超時,計算方式爲(256-本設備的優先級)/256,單位爲秒,(有多臺Backup設備時,選舉過程與上述相同);
- B) 當Master設備出現故障或網絡延遲原因無法發送VRRP通告報文時,Backup設備不會立即知道Master設備出現狀況,會一直等待,直到Master_Down_Interval超時,單位爲秒,就會立即切換爲Master狀態成爲Master設備發送VRRP通告報文(有多臺Backup設備時,選舉過程與上述相同),其中Master_Down_Interval的計算方式爲:(3*通告時間間隔) + (256-本設備的優先級)/256;
VRRP工作模式
- VRRP主備模式:同一時間段只有一臺設備進行數據的轉發,其他設備不進行業務轉發;只有當Master設備發生故障時,Backup設備纔會轉發業務流量;
- 負載均衡模式:同一時間多臺設備進行業務流量的轉發。該方法分爲兩種模式:雙網關負載均衡(配置多個VRRP備份組,其每個VRRP備份組的網關都不相同[Master設備的位置都不相同],然後按照VLAN將設備劃入不同備份組裏)和單網關負載均衡(配置多個VRRP備份組[不配置虛擬IP地址],將設備劃分到不同VRRP備份組中,然後將多個備份組添加進入VRRP負載分擔管理組,指定VRRP負載分擔管理組IP地址爲所有用戶的網關);
VRRP的優點
- 簡化網絡管理:VRRP能在當前網關設備出現故障時仍然提供可靠的缺省鏈路,無需修改動態路由協議、路由發現協議等配置信息;
- 適應性強:VRRP報文封裝在IP報文裏,支持各種上層協議;
- 網絡開銷小:只用一種VRRP通告報文,有效減輕了網絡設備的額外負擔;