VRRP
前言:
虛擬路由冗余協議VRRP(Virtual Router Redundancy Protocol)是一種容錯協議。通過配置VRRP,可以實現當網關設備發生故障時,及時將業務切換到備份設備,從而保證通信的連續性和可靠性。
概述:
VRRP路由器(VRRP Router):運行VRRP協議的設備,它可能屬於一個或多個虛擬路由器,如RouterA和RouterB。
虛擬路由器(Virtual Router):又稱VRRP備份組,由一個Master設備和多個Backup設備組成,被當作一個共享局域網內主機的缺省網關。如RouterA和RouterB共同組成了一個虛擬路由器。
Master路由器(Virtual Router Master):承擔轉發報文任務的VRRP設備,如RouterA。
Backup路由器(Virtual Router Backup):一組沒有承擔轉發任務的VRRP設備,當Master設備出現故障時,它們將通過競選成為新的Master設備,如RouterB。
VRID:虛擬路由器的標識。如RouterA和RouterB組成的虛擬路由器的VRID為1。
虛擬IP地址(Virtual IP Address):虛擬路由器的IP地址,一個虛擬路由器可以有一個或多個IP地址,由用戶配置。如RouterA和RouterB組成的虛擬路由器的虛擬IP地址為10.1.1.10/24。
IP地址擁有者(IP Address Owner):如果一個VRRP設備將虛擬路由器IP地址作為真實的接口地址,則該設備被稱為IP地址擁有者。如果IP地址擁有者是可用的,通常它將成為Master。如RouterA,其接口的IP地址與虛擬路由器的IP地址相同,均為10.1.1.10/24,因此它是這個VRRP備份組的IP地址擁有者。
虛擬MAC地址(Virtual MAC Address):虛擬路由器根據虛擬路由器ID生成的MAC地址。一個虛擬路由器擁有一個虛擬MAC地址,格式為:00-00-5E-00-01-{VRID}(VRRP for IPv4);00-00-5E-00-02-{VRID}(VRRP for IPv6)。當虛擬路由器回應ARP請求時,使用虛擬MAC地址,而不是接口的真實MAC地址。如RouterA和RouterB組成的虛擬路由器的VRID為1,因此這個VRRP備份組的MAC地址為00-00-5E-00-01-01。
VRRP協議報文:
VRRP協議報文用來將Master設備的優先級和狀態通告給同一備份組的所有Backup設備。
VRRP協議報文封裝在IP報文中,發送到分配給VRRP的IP組播地址。在IP報文頭中,源地址為發送報文接口的主IP地址(不是虛擬IP地址),目的地址是224.0.0.18,TTL是255,協議號是112。
主IP地址(Primary IP Address):從接口的真實IP地址中選出來的一個主用IP地址,通常選擇配置的第一個IP地址。
目前,VRRP協議包括兩個版本:VRRPv2和VRRPv3。VRRPv2僅適用於IPv4網絡,VRRPv3適用於IPv4和IPv6兩種網絡。
基於不同的網絡類型,VRRP可以分為VRRP for IPv4和VRRP for IPv6(簡稱VRRP6)。VRRP for IPv4支持VRRPv2和VRRPv3,而VRRP for IPv6僅支持VRRPv3。
VRRPv2和VRRPv3的主要區別為:
支持的網絡類型不同。VRRPv3適用於IPv4和IPv6兩種網絡,而VRRPv2僅適用於IPv4網絡。
認證功能不同。VRRPv3不支持認證功能,而VRRPv2支持認證功能。
發送通告報文的時間間隔的單位不同。VRRPv3支持的是厘秒級,而VRRPv2支持的是秒級
VRRP認證:
VRRPv2支持在通告報文中設定不同的認證方式和認證字。
無認證方式:設備對要發送的VRRP通告報文不進行任何認證處理,收到通告報文的設備也不進行任何認證,認為收到的都是真實的、合法的VRRP報文。
簡單字符(Simple)認證方式:發送VRRP通告報文的設備將認證方式和認證字填充到通告報文中,而收到通告報文的設備則會將報文中的認證方式和認證字與本端配置的認證方式和認證字進行匹配。如果相同,則認為接收到的報文是合法的VRRP通告報文;否則認為接收到的報文是一個非法報文,並丟棄這個報文。
MD5認證方式:發送VRRP通告報文的設備利用MD5算法對認證字進行加密,加密后保存在Authentication Data字段中。收到通告報文的設備會對報文中的認證方式和解密后的認證字進行匹配,檢查該報文的合法性。