VRRP協議
- 一種網關備份協議
- 實現網關的備份
- 解決多個網關之間互相沖突的問題
單網關的缺陷
- 當網關路由器出現故障時,本網段以該設備為網關的主機都不能與Internet進行通信
多網關存在的問題
- 網關間IP地址沖突
- 主機會頻繁切換網絡出口
VRRP基本概述
- VRRP可以在不改變組網的情況下,將多台路由器虛擬成一個虛擬路由器,通過配置虛擬路由器的IP地址為默認網關,實現網關的備份
- 協議版本
- VRRPv2(常用),僅適用於IPv4網絡
- VRRPv3適用於IPv4和IPv6兩種網絡
- VRRP協議報文
- 只有一種報文(Advertisement報文)
- 目的IP地址224.0.0.18,目的MAC地址01-00-5e-00-00-12,協議號112
VRRP基本結構
- 虛擬路由器中有Master和Backup,當Master發生故障之后,啟用Backup設備
- 虛擬路由器的虛擬MAC為:0000-5e00-01+VRID
VRRP主備備份工作過程
- 路由器交互報文,選舉優先級大的設備作為Master,小的為Backup
- 100為VRRP的默認優先級
- Master周期性(1s一次)的發送通告報文給組內其他設備,通知自己處於正常工作狀態
- VRRP主備選完之后,主設備會向外發送免費ARP,可以檢測IP地址沖突。在VRRP中,中間設備或PC會把免費ARP的源IP、源Mac寫入ARP表
Master發生故障
- 發生以下故障Backup會搶占Master
- Backup收不到Master發送的狀態報文
- 通告報文中的優先級比Backup小
- 解決方法:
- 利用VRRP的聯動功能監視上行接口或鏈路故障,主動進行主備切換
實驗
如下拓撲,配置VRRP
- 配置接口IP地址
[AR1]int g0/0/1
[AR1-GigabitEthernet0/0/1]ip ad 13.1.1.1 24
[AR1-GigabitEthernet0/0/1]int g0/0/0
[AR1-GigabitEthernet0/0/0]ip ad 192.168.1.3 24
[AR2]int g0/0/1
[AR2-GigabitEthernet0/0/1]ip ad 23.1.1.2 24
[AR2-GigabitEthernet0/0/1]int g0/0/0
[AR2-GigabitEthernet0/0/0]ip ad 192.168.1.4 24
[AR3]int g0/0/0
[AR3-GigabitEthernet0/0/0]ip ad 13.1.1.3 24
[AR3-GigabitEthernet0/0/0]int g0/0/1
[AR3-GigabitEthernet0/0/1]ip ad 23.1.1.3 24
[AR3-GigabitEthernet0/0/1]int lo 0
[AR3-LoopBack0]ip ad 3.3.3.3 32
- 配置OSPF互聯
[AR1]ospf
[AR1-ospf-1]area 0
[AR1-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255
[AR1-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[AR2]ospf
[AR2-ospf-1]area 0
[AR2-ospf-1-area-0.0.0.0]net 23.1.1.0 0.0.0.255
[AR2-ospf-1-area-0.0.0.0]net 192.168.1.0 0.0.0.255
[AR3]ospf
[AR3-ospf-1]area 0
[AR3-ospf-1-area-0.0.0.0]net 3.3.3.3 0.0.0.0
[AR3-ospf-1-area-0.0.0.0]net 13.1.1.0 0.0.0.255
[AR3-ospf-1-area-0.0.0.0]net 23.1.1.0 0.0.0.255
- 配置VRRP
# R1配置,使AR1成為VRID 1中的Master
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254 //配置VRID 1,配置虛擬網關
[AR1-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.253 //配置VRID 2
[AR1-GigabitEthernet0/0/0]vrrp vrid 2 priority 120 //更改VRID 2中AR1的優先級
[AR1]dis vrrp
GigabitEthernet0/0/0 | Virtual Router 1
State : Backup
Virtual IP : 192.168.1.254
Master IP : 192.168.1.4
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-05-07 10:16:59 UTC-08:00
Last change time : 2020-05-07 11:14:17 UTC-08:00
GigabitEthernet0/0/0 | Virtual Router 2
State : Master
Virtual IP : 192.168.1.253
Master IP : 192.168.1.3
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-05-07 10:46:46 UTC-08:00
Last change time : 2020-05-07 11:13:55 UTC-08:00
[AR1]
# R2配置VRID 2,是AR2成為VRID 2中的Master
[AR2]int g0/0/0
[AR2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[AR2-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.253
[AR2-GigabitEthernet0/0/0]vrrp vrid 1 priority 120 //更改VRID 1中AR2的優先級
[AR2]dis vrrp
GigabitEthernet0/0/0 | Virtual Router 1
State : Master
Virtual IP : 192.168.1.254
Master IP : 192.168.1.4
PriorityRun : 120
PriorityConfig : 120
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0101
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-05-07 10:17:54 UTC-08:00
Last change time : 2020-05-07 11:14:17 UTC-08:00
GigabitEthernet0/0/0 | Virtual Router 2
State : Backup
Virtual IP : 192.168.1.253
Master IP : 192.168.1.3
PriorityRun : 100
PriorityConfig : 100
MasterPriority : 120
Preempt : YES Delay Time : 0 s
TimerRun : 1 s
TimerConfig : 1 s
Auth type : NONE
Virtual MAC : 0000-5e00-0102
Check TTL : YES
Config type : normal-vrrp
Backup-forward : disabled
Create time : 2020-05-07 10:45:50 UTC-08:00
Last change time : 2020-05-07 11:13:55 UTC-08:00
[AR2]
- PC1網關為:192.168.1.254
- PC2網關為:192.168.1.253
- 抓包查看
- PC端ping3.3.3.3測試
- 可以看到PC1在ping3.3.3.3時,是通過R2,但是只有Request請求,沒有Reply回應,但還是通了,因為回應報文是從R1走的
- PC2在ping3.3.3.3時,是通過R1轉發的
下行接口、AR1出現故障
-
VRID 2中,當AR1G0/0/0接口down或AR1出現故障,會發生主備切換
-
使用PC2 ping 3.3.3.3,然后關閉AR1的G0/0/0接口,查看PC端丟包情況
# PC端
PC>ping 3.3.3.3 -t //一直ping 3.3.3.3
# AR1把G0/0/0口down掉
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]shutdown
# 再把G0/0/0接口UP
[AR1-GigabitEthernet0/0/0]undo shutdown
- 在PC端可以看到,當接口down掉之后,然后丟失了兩個包,隨即連通性恢復。在接口up之后,雖然發生了丟包,但之后依舊恢復了連通性
上行接口down
# 配置接口為靜默接口
[AR1]ospf
[AR1-ospf-1]silent-interface GigabitEthernet 0/0/0 //將G0/0/0設置為靜默接口
[AR2]ospf
[AR2-ospf-1]silent-interface GigabitEthernet 0/0/0
-
AR1的上行接口down,PC端ping 3.3.3.3,無法ping通,但是在AR1 的G0/0/0口抓包還是可以接收到Request報文
-
配置上行端口檢測
[AR1]int g0/0/0
[AR1-GigabitEthernet0/0/0]vrrp vrid 2 track interface GigabitEthernet0/0/1 reduced 30 //上行端口down后,VRID 2的優先級降30
使AR1上行端口down后,查看VRRP的狀態,就可以看到AR1上VRID 2的優先級降到了90,成為Backup,當上行接up后,重新變回120,成為Master
- 配置VRRP認證
[AR1-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 huawei
[AR2-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 huawei
當只有單邊做VRRP認證或認證失敗時,會出現雙主的情況,需要在另一邊也做認證
以上內容均屬原創,如有不詳或錯誤,敬請指出。
本文鏈接: https://blog.csdn.net/qq_45668124/article/details/105970303
版權聲明: 本博客所有文章除特別聲明外,均采用
CC BY-NC-SA 4.0 許可協議。轉載請注明出處!