VRRP技术详解

黑白老虎

第1章可靠性概述1.1可靠性概述在数据通信过程中，各种软件或硬件错误都可能导致网络连接异常中断，造成数据传输失败。为了避免网络设备或线路出现故障时引起数据通信中断，VRP系统提供VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）和热备份技术确保在通信线路或设备故障时提供备用方案，从而保障数据通信的畅通，有效增强了网络的强壮性和可靠性。<br />VRRP提高网络与外界连接的可靠性，适用于支持组播或广播的局域网（如以太网等）。通过将多台路由器组成一个备份组（也可认为是虚拟路由器）作为本地网络统一的出口网关，而备份组内的路由器对本地网络透明。在备份组内有一台路由器处于活动状态，承担报文转发任务，一台路由器处于备份状态并随时接替任务，其余路由器处于监听状态。当处于活动状态的路由器出现故障时，将会由处于备份状态的路由器接替其工作，而其余处于监听状态的路由器将再决定出另一台路由器担任备份工作。这样本地主机就可以不作任何修改地继续工作，极大地提高了通信的可靠性。<br />VRP为高端设备提供热备份机制，对于高端设备，一般都配备两块主控板，一块主用，另一块备用。当主用板发生故障时，系统自动进行主备倒换，由备用板接替主用板的工作，热备份还可以实现不中断业务的软件升级，保证业务的正常运行。<br /><br />第2章VRRP配置2.1VRRP简介VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往安全网关QuidwayA，从而实现了主机与外部网络的通信。当安全网关QuidwayA坏掉时，本网段内所有以QuidwayA为缺省路由下一跳的主机将断掉与外部的通信。<br /><br />图2-1 局域网组网方案<br />VRRP就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器（包括一个Master即活动路由器和若干个Backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。<br /><br />图2-2 VRRP组网示意图<br />这个虚拟的路由器拥有自己的IP地址10.100.10.1（这个IP地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的IP地址（如Master的IP地址为10.100.10.2，Backup的IP地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1，而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉，Backup路由器将会通过选举策略选出一个新的Master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。<br />关于VRRP协议的详细信息，可以参考RFC 2338。<br />2.2VRRP配置VRRP的基本配置包括：<br />l    添加或删除虚拟IP地址<br />l    设置备份组的优先级<br />l    设置备份组的抢占方式和延迟时间<br />VRRP的高级配置包括：<br />l    设置备份组的认证方式和认证字<br />l    设置备份组的定时器<br />l    设置监视指定接口<br />2.2.1设定虚拟IP地址是否可以使用ping命令ping通本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟IP地址。根据VRRP的标准协议，备份组的虚拟IP地址是无法使用ping命令来ping通的。这时安全网关连接的用户无法通过ping命令来判断一个IP地址是否被备份组使用。如果用户将自己的主机IP配置与备份组的虚拟IP地址相同的IP地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。<br />Quidway安全网关提供给用户如下功能：在进行了相应的配置后，用户将可以使用ping命令ping通备份组的虚拟IP地址。<br />可以使用下面的命令进行配置。<br />请在系统视图下进行下列配置。<br />表2-1 设定虚拟IP地址是否可以使用ping命令ping通<br />操作<br />命令<br />设定虚拟IP地址可以使用ping命令ping通<br />vrrp ping-enable<br />设定虚拟IP地址不可以使用ping命令ping通<br />undo vrrp ping-enable<br /><br />缺省情况下，用户不能使用ping命令ping通备份组的虚拟IP地址。<br />需要注意的是，本配置需要在备份组建立之前就进行设定。如果安全网关上已经建立了备份组，系统将不允许在进行本配置来设定虚拟IP地址是否可以使用ping命令ping通。<br />2.2.2添加或删除虚拟IP地址将一个本网段的IP地址指定给到一个虚拟路由器（也称为一个备份组），或将一个指定到一个备份组虚拟IP地址从虚拟地址列表中删除。如果不指定删除某一虚拟IP地址，则删除此虚拟路由器上的所有虚拟IP地址。<br />请在接口视图下进行下列配置。<br />表2-2 添加/删除虚拟IP地址<br />操作<br />命令<br />添加虚拟IP地址<br />vrrp vrid virtual-router-ID virtual-ip virtual-address<br />删除虚拟IP地址<br />undo vrrp vrid virtual-router-ID virtual-ip [ virtual-address ]<br /><br />备份组号virtual-router-ID范围从1到255，虚拟地址可以是备份组所在网段中未被分配的IP地址，也可以是属于备份组某接口的IP地址。对于后者，称拥有这个接口IP地址的路由器为一个地址拥有者（IP Address Owner）。当指定第一个IP地址到一个备份组时，系统会创建这个备份组，以后再指定虚拟IP地址到这个备份组时，系统仅仅将这个地址添加到这个备份组的虚拟IP地址列表中。安全网关的一个接口可以同时加入到14个备份组中。而一个备份组最多可以配置16个虚拟IP地址。在对一个备份组进行其它配置之前，必须先通过指定一个虚拟IP地址的命令将这个备份组创建起来。<br />备份组中最后一个虚拟IP地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。

neil318

1.1.1设置备份组的优先级VRRP中根据优先级来确定参与备份组的每台路由器的地位，备份组中优先级最高的路由器将成为Master。<br />优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是254。优先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。<br />请在接口视图下进行下列配置。<br />表1-1 设置备份组的优先级<br />操作<br />命令<br />设置备份组的优先级<br />vrrp vrid virtual-router-ID priority priority-value<br />恢复为缺省值<br />undo vrrp vrid virtual-router-ID priority<br /><br />缺省情况下，优先级的取值范围为100。<br />&amp;说明：<br />对于IP地址拥有者，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrp vrid配置的优先级；运行优先级是不可配置的，始终为255。<br /><br />1.1.2设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台路由器成为Master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为Master。如果安全网关设置为抢占方式，它一旦发现自己的优先级比当前的Master的优先级高，就会成为Master，相应地，原来的Master将会变成Backup。<br />在设置抢占的同时，还可以设置延迟时间。这样可以使得Backup延迟一段时间成为Master。其目的是这样的，在性能不够稳定的网络中，Backup可能因为网络堵塞而无法正常收到Master的报文，使用vrrp vrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。<br />延迟的时间以秒计，范围为0～255。<br />请在接口视图下进行下列配置。<br />表1-2 设置和取消备份组的抢占方式和延迟时间<br />操作<br />命令<br />设置备份组的抢占方式和延迟时间<br />vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ]<br />取消备份组的抢占方式<br />undo vrrp vrid virtual-router-ID preempt-mode<br /><br />缺省方式是抢占方式，延迟时间为0。<br />&amp;说明：<br />取消抢占方式，则延迟时间就会自动变为0秒。<br /><br />1.1.3设置认证方式及认证字VRRP提供了两种认证方式，分别是：<br />l    SIMPLE：简单字符认证<br />l    MD5：MD5认证<br />在一个安全的网络中，可以采用缺省值，则路由器对要发送的VRRP报文不进行任何认证处理，而收到VRRP报文的路由器也不进行任何认证就认为是一个真实的，合法的VRRP报文，这种情况下，不需要设置认证字。<br />在一个有可能受到安全威胁的网络中，可以将认证方式设置为SIMPLE，则发送VRRP报文的路由器就会将认证字填入到VRRP报文中，而收到的VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的VRRP报文，否则认为是一个非法的报文，将会丢弃。这种情况下，应当设置长度为不超过8字节的认证字。<br />在一个非常不安全的网络中，可以将认证方式设置为MD5，则路由器就会利用Authentication Header提供的认证方式和MD5算法来对VRRP报文进行认证。这种情况下，应当设置长度不超过8字节的认证字。<br />对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。<br />请在接口视图下进行下列配置。<br />表1-3 设置认证方式和认证字<br />操作<br />命令<br />设置认证方式和认证字<br />vrrp authentication-mode { md5 key | simple key }<br />恢复为缺省值<br />undo vrrp authentication-mode<br /><br />缺省认证方式为不进行认证。<br />&amp;说明：<br />一个接口上的备份组要设置相同的认证方式和认证字。<br /><br />1.1.4设置VRRP的定时器VRRP备份组中的Master路由器通过定时（adver-interval）发送VRRP报文来向组内的路由器通知自己工作正常。如果Backup超过一定时间（master-down-interval）没有收到Master发送来的VRRP报文，则认为它已经无法正常工作。同时就会将自己的状态转变为Master。<br />用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间（adver-interval）。而Backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的路由器上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。<br />请在接口视图下进行下列配置。<br />表1-4 设置VRRP定时器<br />操作<br />命令<br />设置VRRP定时器<br />vrrp vrid virtual-router-ID timer advertise adver-interval<br />恢复为缺省值<br />undo vrrp vrid virtual-router-ID timer advertise<br /><br />缺省情况下，adver-interval的值是1秒，取值范围从1到255。<br />1.1.5设置监视指定接口VRRP监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功能，而且在安全网关的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口DOWN时，这个接口的安全网关的优先级会自动降低一个数额（priority-reduced），于是就会导致备份组内其它路由器的优先级高于这个路由器的优先级，从而使得其它优先级高的路由器转变为Master，达到对这个接口监视的目的。<br />请在接口视图下进行下列配置。<br />表1-5 设置和取消监视接口<br />操作<br />命令<br />设置监视指定接口<br />vrrp vrid virtual-router-ID track interface-type interface-number [ reducedpriority-reduced ]<br />取消监视指定接口<br />undo vrrp vrid virtual-router-ID track [ interface-type interface-number ] <br /><br />缺省情况下，priority-reduced的值为10。<br />&amp;说明：<br />当安全网关为IP地址拥有者时，不允许对其进行监视接口的配置。<br /><br />1.2VRRP显示和调试在完成上述配置后，在所有视图下执行display命令可以显示VRRP配置后的运行情况，通过查看显示信息验证配置的效果。<br />在用户视图下，执行debugging命令可以对VRRP进行调试。<br />表1-6 VRRP显示和调试<br />操作<br />命令<br />显示VRRP的状态信息<br />display vrrp [ interface type number [ virtual-router-ID ] ]<br />使能对VRRP报文的调试<br />debugging vrrp packet<br />禁止对VRRP报文的调试<br />undo debugging vrrp packet<br />使能对VRRP状态的调试<br />debugging vrrp state<br />禁止对VRRP状态的调试<br />undo debugging vrrp state<br /><br />用户可以通过打开VRRP调试开关的命令来查看VRRP的运行情况。共有两个调试开关，一个是VRRP的报文调试开关（packet），一个是VRRP的状态调试开关（state），缺省情况下是将调试开关关闭。

flyke_cu

1.1VRRP典型配置举例1.1.1VRRP单备份组举例1. 组网需求主机A把安全网关A和安全网关B组成的VRRP备份组作为自己的缺省网关，访问Internet上的主机B。<br />VRRP备份组构成：备份组号为1，虚拟IP地址为202.38.160.111，安全网关A做Master，安全网关B做备份安全网关，允许抢占。<br />2. 组网图<br />图1-1 VRRP配置组网图<br />3. 配置步骤配置安全网关A：<br />[QuidwayA-Ethernet1/0/0] ip address 202.38.160.1 24<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 priority 120<br />配置安全网关B：<br />[QuidwayB-Ethernet1/0/0] ip address 202.38.160.2 24<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br />备份组配置后不久就可以使用。主机A可将缺省网关设为202.38.160.111。<br />正常情况下，安全网关A执行网关工作，当安全网关A关机或出现故障，安全网关B将接替执行网关工作。<br />设置抢占方式，目的是当安全网关A恢复工作后，能够继续成为Master执行网关工作。<br />1.1.2VRRP监视接口举例1. 组网需求即使安全网关A仍然工作，但当其连接Internet的接口不可用时，可能希望由安全网关B来执行网关工作。可通过配置监视接口来实现上述需求。<br />为了便于说明，设备份组号为1，并增加授权字和计时器的配置（在该应用中不是必须的）。<br />2. 组网图如图2-3。<br />3. 配置步骤配置安全网关A：<br /># 创建一个备份组。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br /># 设置备份组的优先级。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 priority 120<br /># 设置备份组的认证字。<br />[QuidwayA-Ethernet1/0/0] vrrp authentication-mode md5 QUIDWAY<br /># 设置Master发送VRRP报文的间隔时间为5秒。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 timer advertise 5<br /># 设置监视接口。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 track Ethernet2/0/0 reduced 30<br />配置安全网关B：<br /># 创建一个备份组。<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br /># 设置备份组的认证字。<br />[QuidwayB-Ethernet1/0/0] vrrp authentication-mode md5 QUIDWAY<br /># 设置Master发送VRRP报文的间隔时间为5秒。<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 1 timer advertise 5<br />正常情况下，安全网关A执行网关工作，当安全网关A的接口Ethernet2/0/0不可用时，安全网关A的优先级降低30，低于安全网关B优先级，安全网关B将抢占成为Master执行网关工作。<br />当安全网关A的接口Ethernet2/0/0恢复工作后，安全网关A能够继续成为Master执行网关工作。<br />1.1.3多备份组举例1. 组网需求在VRP中，允许一台安全网关为多个备份组作备份。<br />通过多备份组设置可以实现负荷分担。如安全网关A作为备份组1的Master，同时又兼职备份组2的备份安全网关，而安全网关B正相反，作为备份组2的Master，并兼职备份组1的备份安全网关。一部分主机使用备份组1作网关，另一部分主机使用备份组2作为网关。这样，以达到分担数据流，而又相互备份的目的。<br />2. 组网图如图2-3。<br />3. 配置步骤配置安全网关A：<br /># 创建一个备份组1。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br /># 设置备份组的优先级。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 1 priority 120<br /># 创建一个备份组2。<br />[QuidwayA-Ethernet1/0/0] vrrp vrid 2 virtual-ip 202.38.160.112<br />配置安全网关B：<br /># 创建一个备份组1。<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111<br /># 创建一个备份组2。<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 2 virtual-ip 202.38.160.112<br /># 设置备份组的优先级。<br />[QuidwayB-Ethernet1/0/0] vrrp vrid 2 priority 120<br />1.2VRRP故障诊断与排错VRRP配置不是很复杂，如果功能不正常，基本可以通过查看配置以及调试信息来定位。以下，就如何排除常见的故障加以说明。<br />故障之一：控制台上频频给出配置错误的提示<br />这表明收到一个错误的VRRP报文，一种可能是备份组内的另一台路由器由于配置不一致造成的，另一种可能是有的机器试图发送非法的VRRP报文。对于第一种可能，可以通过修改配置来解决。对于第二种可能，则是有些机器有不良企图，应当通过非技术手段来解决。<br />故障之二：同一个备份组内出现多个Master路由器<br />这分为两种情况，一种是多个Master并存时间较短，这种情况是正常的。无需进行人工干预。另一种是多个Master长时间共存，这很有可能是由于Master之间收不到VRRP报文，或者收到的报文不合法造成的。<br />解决的方法是，先互相在多个Master之间互相ping，如果ping不通，则是其它问题。如果能ping通，则一定是配置不同造成的，对于同一个VRRP备份组的配置，必须要保证虚拟IP地址个数、每个虚拟IP地址、定时器间隔时间和认证方式完全一样。<br />故障之三：VRRP的状态频繁转换<br />这种情况一般是由于备份组的定时器间隔时间（adver-interval）设置太短造成的，加大这个时间间隔或者设置抢占延迟都可以解决这种故障。

lucifer023_cu

<img src="http://bbs.chinaitlab.com/images/smilies/default/handshake.gif" smilieid="17" border="0" alt="" /> 楼主好辛苦，顶一下！

jushitong

感谢SHARE

china_redvip

学习了.....

pqzxx

dddddddddddddddddddddddddddd

dreamday_cu

ddddddddddddd

seke_liang

感谢楼主的分享

linvicch

支持楼主发贴！！！学习中