VRRP简介

    随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案;但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。 

虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。

工作原理

  VRRP路由器有唯一的标识:VRID,范围为0255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IPMAC地址,减少了切换对终端设备的影响。 

  VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。 

  在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。 

  为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。

案例一

拓扑图

vrrp hsrp在企业网中的应用 _hsrp 

sw1配置

<s38>system-view

[s38]sysname switch-1

[switch-1]int Ethernet 0/24

[switch-1-Ethernet0/24]port link-type trunk     ##设置为trunk链路

[switch-1-Ethernet0/24]port trunk permit vlan all    ##允许所有vlan通过

[switch-1-Ethernet0/24]int e0/23          

[switch-1-Ethernet0/23]port link-type trunk      ##设置为trunk链路

[switch-1-Ethernet0/23]port trunk permit vlan all  ##允许所有vlan通过

[switch-1-Ethernet0/23]vlan 10

[switch-1-vlan10]port Ethernet 0/5 to Ethernet 0/10 ##vlan10的端口

[switch-1-vlan10] vlan 20

[switch-1-vlan20]port Ethernet 0/11 to Ethernet 0/15 ##vlan20的端口

r1配置

[r1]int e1

[r1-Ethernet1]undo shu

[r1-Ethernet1]quit

[r1]int e1.10

[r1-Ethernet1.10]vlan-type dot1q vid 10  ##封装dot1q协议

[r1-Ethernet1.10]ip add 192.168.10.1 24 ##子接口1.10的地址

[r1-Ethernet1.10]int e1.20             

[r1-Ethernet1.20]vlan-type dot1q vid 20  ##封装dot1q协议

[r1-Ethernet1.20]ip add 192.168.20.1 24  ##子接口1.20的地址

[r1-Ethernet1.20]qu         

[r1]vrrp ping-enable

[r1]int e1.10                            

[r1-Ethernet1.10]vrrp vrid 10 virtual-ip 192.168.10.254    ##配置虚拟ip

[r1-Ethernet1.10]vrrp vrid 10 prioity 120           ##优先级为120

[r1-Ethernet1.10]int e1.20                            

[r1-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254 ##配置虚拟ip

[r1-Ethernet1.20]vrrp vrid 20 prioity 100            ##优先级为100   

[r1-Ethernet1.20]qu

sw2的配置

[Quidway]sysname sw2

[sw2]vlan 10  

[sw2-vlan10]port eth1/0/5 to eth1/0/10

[sw2-vlan10]quit

[sw2]vlan 20                  

[sw2-vlan20]port eth1/0/11 to eth1/0/15

[sw2-vlan10]quit

[sw2]int eth1/0/24

[sw2-Ethernet1/0/24]port link-type  trunk

[sw2-Ethernet1/0/24]port trunk permit vlan all

[sw2]int eth1/0/23                   

[sw2-Ethernet1/0/23]port link-type trunk  

[R2-Ethernet1/0/23]port trunk permit vlan all

R2的配置

[r1]int e1

[r1-Ethernet1]undo shu

[r1-Ethernet1]quit

[r1]int e1.10

[r1-Ethernet1.10]vlan-type dot1q vid 10

[r1-Ethernet1.10]ip add 192.168.10.2 24

[r1-Ethernet1.10]int e1.20             

[r1-Ethernet1.20]vlan-type dot1q vid 20

[r1-Ethernet1.20]ip add 192.168.20.2 24

[r1-Ethernet1.20]qu         

[r1]vrrp ping-enable

[r1]int e1.10                            

[r1-Ethernet1.10]vrrp vrid 10 virtual-ip 192.168.10.254

[r1-Ethernet1.10]vrrp vrid 10 prioity 100               ##优先级为100

[r1-Ethernet1.10]int e1.20                            

[r1-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254

[r1-Ethernet1.20]vrrp vrid 20 prioity 120            ##优先级为120

[r1-Ethernet1.20]qu

测试

Vlan10  ping vlan 20 的地址

vrrp hsrp在企业网中的应用 _hsrp_02

Vlan20 ping vlan 10 的地址

vrrp hsrp在企业网中的应用 _hsrp_03 

跟踪跳跃点

vrrp hsrp在企业网中的应用 _hsrp_04

来看下回来的路径

vrrp hsrp在企业网中的应用 _hsrp_05

r1断开时

vrrp hsrp在企业网中的应用 _hsrp_06

看下跳数跟踪 

vrrp hsrp在企业网中的应用 _hsrp_07

回来的路径

vrrp hsrp在企业网中的应用 _虚拟路由_08 

案例二

待续、、、、、