網(wǎng)絡(luò)基礎(chǔ)：VRRP培訓(xùn)V2.0

VRRP1.0學(xué)習(xí)目標(biāo)掌握理論熟悉配置基本排障學(xué)習(xí)完本課程，您應(yīng)該能夠：VRRP

第一章VRRP基礎(chǔ)第二章VRRP工作原理第三章VRRP基本配置第四章VRRP常見問題及應(yīng)用VRRP要解決的問題Internet192.1.1.10通常，在主機(jī)設(shè)置一條缺省路由，下一跳指向一個路由器，從而實現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。顯而易見的問題：當(dāng)路由器Router1壞掉時，本網(wǎng)段內(nèi)所有以Router1為缺省路由下一跳的主機(jī)將斷掉與外部的通信VRRP要解決的問題幾種解決的辦法:系統(tǒng)上運(yùn)行路由選擇協(xié)議ICMPRouterDiscoveryProtocol(IRDP)VRRP&HSRP前兩種方法的問題是：主機(jī)必須能夠支持那些不同的協(xié)議，并且對這種支持的安裝和配置可能是一個管理上的負(fù)擔(dān)。而在路由器上使用VRRP&HSRP，使終端主機(jī)不必承受發(fā)現(xiàn)作為替代網(wǎng)關(guān)的負(fù)擔(dān)；相反，這變成了網(wǎng)絡(luò)上網(wǎng)關(guān)的責(zé)任。IP主機(jī)不必支持另外的協(xié)議。VRRP基礎(chǔ)VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）(RFC2338)提供了局域網(wǎng)上的設(shè)備備份機(jī)制。簡單來說，VRRP是一種容錯協(xié)議，它保證當(dāng)主機(jī)的下一跳路由器壞掉時，可以及時由另一臺路由器來代替，從而保持通訊的連續(xù)性和可靠性。用VRRP實現(xiàn)虛擬路由器實際IP地址：192.1.1.3/24Internet實際IP地址：192.1.1.2/24虛擬IP地址：192.1.1.10/24為了使VRRP工作，首先要創(chuàng)建一個虛擬IP地址(即所配的備份組地址)和MAC地址(00-00-5E-00-01-{VRID})，這樣在這個網(wǎng)絡(luò)中就加入了一個虛擬路由器。這個網(wǎng)絡(luò)上的主機(jī)與虛擬路由器通信，無需了解這個網(wǎng)絡(luò)上物理路由器的任何信息 VRRP基礎(chǔ)VRRP基礎(chǔ)一個虛擬路由器由一個主路由器(Master)和若干個備份路由器(Backup)組成，主路由器實現(xiàn)真正的轉(zhuǎn)發(fā)功能。當(dāng)主路由器出現(xiàn)故障時，備份路由器成為新的主路由器，接替它的工作，實現(xiàn)轉(zhuǎn)發(fā)功能。RFC2338(協(xié)議)：VirtualRouterRedundancyProtocol一種報文： VRRP廣播報文：由主路由器定時發(fā)出來通告它的存在，使用這些報文可以檢測虛擬路由器各種參數(shù)，還可以用于主路由器的選舉。三種狀態(tài)機(jī)： 初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup)VRRP基礎(chǔ)根據(jù)優(yōu)先級的大小挑選主路由器，優(yōu)先級最大的為主路由器，若優(yōu)先級相同，則比較接口的主IP地址，主IP地址大的就成為主路由器，由它提供實際的路由服務(wù)。(下圖中RTA為Master，RTB為Backup)用VRRP實現(xiàn)虛擬路由器實際IP地址：RTB:192.1.1.3/24Internet實際IP地址：RTA:192.1.1.2/24虛擬IP地址：192.1.1.10/24RTA：interfaceEthernet0ipaddress192.1.1.2255.255.255.0vrrpip10192.1.1.10

vrrppriority10150

RTB：interfaceEthernet0ipaddress192.1.1.3255.255.255.0vrrpip10192.1.1.10vrrppriority10120

VRRP基礎(chǔ)VRRP

第一章VRRP基礎(chǔ)第二章VRRP工作原理第三章VRRP基本配置第四章VRRP常見問題及應(yīng)用VRRP報文報文的發(fā)送：當(dāng)Master正常工作時，它會每隔一段時間(缺省為1秒)發(fā)送一個VRRP廣播報文，以通知組內(nèi)的備份路由器，主路由器處于正常工作狀態(tài)。(注意：只有Master發(fā)送VRRP報文)VRRP廣播報文被封裝在IP報文里，通過組播地址發(fā)送。相應(yīng)的IP頭域：SourceAddress:發(fā)送報文的主接口地址(非虛擬地址，非輔助地址)DestinationAddress:224.0.0.18TTL:255Protocol:112(decimal);0x70VRRP協(xié)議報文格式：(見下頁)VRRP報文VRRP協(xié)議報文格式：VRRP報文VRRP協(xié)議報文格式：Version:2Type:1ADVERTISEMENTVirtualRtrID(VRID):配置的VRRP備份組號，1~255 例：VRRPip10172.10.2.1,VRID＝10Priority:優(yōu)先級，0～255(其中0，255不可以配置)255：如果配置的虛擬地址與接口地址相同，優(yōu)先級為2550：Master停止參與VRRP100：缺省值CountIPAddrs:配置的備份組虛擬地址個數(shù)(1個備份組可對應(yīng)多個虛擬地址)VRRP報文VRRP協(xié)議報文格式：AuthenticationType:驗證類型，協(xié)議中指定了3種類型0-NoAuthentication1-SimpleTextPassword2-IPAuthenticationHeaderAdvertisementInterval(AdverInt):發(fā)送報文的時間間隔，缺省為1秒Checksum:校驗和VRRP報文VRRP協(xié)議報文格式：IPAddress(es):配置的備份組虛擬地址的列表(一個備份組可支持多個地址)AuthenticationData:驗證字。VRRP報文接收到VRRP廣播報文后：收到報文后進(jìn)行檢驗：IPTTL＝255VRRPversion＝2收到的報文的程度>=VRRPheaderVRRPchecksum驗證類型檢驗(包括類型和驗證字)驗證備份組號是否有效備份組配置的地址列表是否相同(MAY)報文的發(fā)送時間間隔是否一致如果驗證不通過，則丟棄報文。VRRP廣播報文被封裝在IP報文里，通過組播地址發(fā)送。VRRP狀態(tài)機(jī)三種狀態(tài)模型：初始狀態(tài)(Initialize)、主狀態(tài)(Master)、備份狀態(tài)(Backup)VRRP狀態(tài)機(jī)初始狀態(tài)(Initialize)：一開始的狀態(tài)，等待著觸發(fā)

收到觸發(fā)時：如果優(yōu)先級為255(配置的虛擬地址與接口地址相同)-->將狀態(tài)設(shè)置為Master，發(fā)送報文否則-->將狀態(tài)設(shè)置為Backup在此狀態(tài)時，不會對VRRP報文做任何處理。如果配置的虛擬地址與接口地址相同，我們稱該路由器為IP地址擁有者。VRRP狀態(tài)機(jī)備份狀態(tài)(Backup)：

功能： 接收Master發(fā)送的VRRP廣播報文，從中了解Master 對虛擬IP地址的ARP請求，不做響應(yīng) 丟棄目的MAC地址為虛擬MAC地址的IP報文。 丟棄目的IP地址為虛擬IP地址的IP報文。接收到VRRP廣播報文后：如果收到報文的優(yōu)先級為0-->將狀態(tài)設(shè)置為Master，開始發(fā)送報文如果收到報文優(yōu)先級小于本地優(yōu)先級而且本地設(shè)置了搶占方式-->則丟棄報文(一段時間后由于沒有接收到報文自己變?yōu)镸aster)否則正常接收，對定時器進(jìn)行重置收到shutdown事件后，轉(zhuǎn)為初始狀態(tài)。VRRP狀態(tài)機(jī)主狀態(tài)(Master)：功能：定期發(fā)送VRRP廣播報文 響應(yīng)對虛擬IP地址的ARP請求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報文。如果它是這個虛擬IP地址的擁有者（IPAddressOwner），則接收目的IP地址為這個虛擬IP地址的IP報文。否則，丟棄這個IP報文。接收到VRRP廣播報文后：如果收到報文的優(yōu)先級大于本地優(yōu)先級或者：兩者優(yōu)先級相等但接收報文的主IP地址大于本地主IP地址-->將狀態(tài)設(shè)置為Backup否則丟棄報文收到shutdown事件后，轉(zhuǎn)為初始狀態(tài)。VRRP狀態(tài)機(jī)VRRP

第一章VRRP基礎(chǔ)第二章VRRP工作原理第三章VRRP基本配置第四章VRRP常見問題及應(yīng)用VRRP配置VRRP主要配置命令如下：添加備份組接口的虛擬IP地址設(shè)置備份組的優(yōu)先級（可選）設(shè)置備份組的搶占方式和延遲時間（可選設(shè)置備份組的認(rèn)證方式和認(rèn)證字（可選）設(shè)置備份組的定時器（可選）設(shè)置監(jiān)視指定接口（可選）VRRP配置上面的命令除了配置驗證字是接口配置外，其他命令都是針對于備份組的VRRP配置實例用VRRP實現(xiàn)虛擬路由器實際IP地址：RTB:192.1.1.3/24Internet實際IP地址：RTA:192.1.1.2/24虛擬IP地址：192.1.1.10/24RTA接口Ethernet0模式下：ipaddress192.1.1.2255.255.255.0vrrpip10192.1.1.10vrrppriority10150vrrppreempt10delay3vrrpauthenticationsimplevrp3testvrrptimer102vrrptrack10s0reduced50RTB接口Ethernet0模式下：ipaddress192.1.1.3255.255.255.0vrrpip10192.1.1.10vrrppriority10120vrrppreempt10delay3vrrpauthenticationsimplevrp3testvrrptimer102VRRP

第一章VRRP基礎(chǔ)第二章VRRP工作原理第三章VRRP基本配置第四章VRRP常見問題及應(yīng)用VRRP常見問題ICMPRedirects ICMP重定向會導(dǎo)致將路由器的真實接口IP地址通過重定向報文通知給網(wǎng)絡(luò)內(nèi)的主機(jī)如果重定向報文中的目的地址的下一跳是一個備份組的MASTER，就將這個備份組的虛擬IP地址填充到ICMP重定向報文中的下一跳。如果重定向報文中的目的地址地下一跳是一個備份組的BACKUP，就不發(fā)送ICMP重定向報文中。如果重定向報文中的目的地址地下一跳是一個沒有運(yùn)行VRRP的路由器，就將這個路由器的真實接口IP地址填充到ICMP重定向報文中的下一跳。HostARPRequests 當(dāng)主機(jī)發(fā)出對虛擬路由器IP地址的請求時，以虛擬MAC地址回應(yīng)。 ProxyARP如果在VRRP路由器中應(yīng)用了ProxyARP，那么以虛擬MAC地址填充ProxyARP消息。VRRP的虛擬地址是否可以訪問？比如ping通，或使用網(wǎng)管訪問？

對于這個問題一直有爭議，因為在RFC2338的6.4.3中有一句話：“MUSTNOTacceptpacketsaddressedtotheIPaddress(es)associatedwiththevirtualrouterifitisnottheIPaddressowner.”由此認(rèn)為訪問虛擬IP地址的報文比如ping報文，除非Master是IPaddressowner，否則都不應(yīng)該處理。

但是，這一限制會造成一些困惑，很多用戶有ping網(wǎng)關(guān)的習(xí)慣，并且并不懂VRRP，如果ping不通網(wǎng)關(guān)他們會認(rèn)為網(wǎng)絡(luò)有問題并可能引發(fā)糾紛，造成不必要的誤會。目前基本上所有廠家的設(shè)備事實上都支持對虛擬地址的ping。我司的路由器一直支持，三層交換機(jī)有一段時間不支持，后來在用戶的壓力下也支持了，有些設(shè)備版本還搞了一個命令vrrpping-enable。VRRP常見問題怎么有些啟用了VRRP的設(shè)備，Master回的MAC地址不是00-00-5e-00-01-groupnumber?

VRRP常見問題這是有些交換機(jī)的特殊實現(xiàn)造成的。有些交換機(jī)由于芯片限制，如果采用00-00-5e-00-01-groupnumber形式的MAC，在一個三層接口上只能支持一個或少量備份組，不能實現(xiàn)負(fù)載均衡功能，不能滿足一些應(yīng)用場合的要求。為了解決這個問題，采用了實MAC方式，即虛擬IP地址的MAC為Master的三層接口的實際MAC。

這會帶來以下問題：Master改變的情況下，虛擬IP地址對應(yīng)的MAC隨即改變。雖然新的Master被選舉出來后會發(fā)一個免費(fèi)ARP（gratuitousARP），但是有些主機(jī)或網(wǎng)絡(luò)設(shè)備不會根據(jù)免費(fèi)ARP更新ARP表項，這導(dǎo)致在這些主機(jī)或網(wǎng)絡(luò)設(shè)備的ARP表項老化之前，不能通過新Master訪問外部網(wǎng)絡(luò)。VRRP組網(wǎng)應(yīng)用應(yīng)用一：VRRP在網(wǎng)上的典型應(yīng)用：正常工作時，兩臺路由器互為熱備份，實現(xiàn)流量均分；一旦發(fā)生故障，備份路由器被成為Master，所有流量都被路由到該路由器的端口。用VRRP實現(xiàn)虛擬路由器實際IP地址：RTB:192.1.1.3/24Internet實際IP地址：RTA:192.1.1.2/24虛擬IP地址：192.1.1.10/24Master1Backup2Master2Backup1192.1.1.11/24備份組1：備份組2：VRRP組網(wǎng)應(yīng)用正常工作時，兩臺路由器互為熱備份，實現(xiàn)流量均分RTA接口Ethernet0模式下：ipaddress192.1.1.2255.255.255.0vrrpip1192.1.1.10vrrpip2192.1.1.11vrrppriority1150vrrppriority2120vrrptrack1s0reduced50RTB接口Ethernet0模式下：ipaddress192.1.1