虛擬路由器冗余協(xié)議VRRP(交換機(jī)沒有這個(gè)功能)
?????? 與HSRP相同，VRRP也是一種默認(rèn)網(wǎng)關(guān)冗余方法，它讓一組路由器構(gòu)成一臺(tái)虛擬路由器。HSRP是cisco私有的，只適用于cisco設(shè)備。VRRP是符合internet標(biāo)準(zhǔn)（RFC2338）。
?????? 在VRRP協(xié)議中，有兩組重要的概念：VRRP路由器和虛擬路由器，主控路由器和備份路由器。VRRP路由器是指運(yùn)行VRRP的路由器，是物理實(shí)體，虛擬路由器是指VRRP協(xié)議創(chuàng)建的，是邏輯概念。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺(tái)虛擬路由器。該虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定IP地址和MAC地址的邏輯路由器。處于同一個(gè)VRRP組中的路由器具有兩種互斥的角色：主控路由器和備份路由器，一個(gè)VRRP組中有且只有一臺(tái)處于主控角色的路由器，可以有一個(gè)或者多個(gè)處于備份角色的路由器。VRRP協(xié)議使用選擇策略從路由器組中選出一臺(tái)作為主控，負(fù)責(zé)ARP響應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其它路由器作為備份的角色處于待命狀態(tài)。當(dāng)由于某種原因主控路由器發(fā)生故障時(shí)，備份路由器能在幾秒鐘的時(shí)延后升級(jí)為主路由器。由于此切換非常迅速而且不用改變IP地址和MAC地址，故對(duì)終端使用者系統(tǒng)是透明的。?
?
??????? 如上圖，路由器A，路由器B，路由器C都是VRRP路由器組成了一臺(tái)虛擬路由器，這個(gè)虛擬路由器的IP地址為路由器A的IP地址為10.0.0.1，網(wǎng)絡(luò)中其它的主機(jī)的默認(rèn)網(wǎng)關(guān)都為虛擬路由器的IP地址。
?????? 由于虛擬路由器使用路由器A的物理以太網(wǎng)接口的IP地址，因此路由器A擔(dān)當(dāng)了主虛擬路由器的角色，被稱為IP地址擁有者（owner）。作為主虛擬路由器，路由器A控制虛擬路由器的IP地址，并負(fù)責(zé)對(duì)發(fā)送到該IP地址的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。路由器B和路由器C為備用虛擬路由器。如果主虛擬路由器A發(fā)生故障，路由器B和路由器C作為備用虛擬路由器優(yōu)先級(jí)高的將替代為主虛擬路由器。當(dāng)路由器A恢復(fù)正常后，將再次成為主虛擬路由器。 工作原理
?????? 一個(gè)VRRP路由器有唯一的標(biāo)識(shí)：VRID，范圍為0-255。該路由器對(duì)外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]。主控路由器負(fù)責(zé)對(duì)ARP請(qǐng)求用該MAC地址做應(yīng)答。這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對(duì)終端設(shè)備的影響。VRRP控制報(bào)文只有一種：VRRP通告（advertisement)。它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為224.0.0.18，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)。這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用。為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文。備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一輪VRRP選舉。?
在VRRP路由器組中，按優(yōu)先級(jí)選舉主控路由器，VRRP協(xié)議中優(yōu)先級(jí)范圍是0-255。默認(rèn)為100。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者；IP地址所有者自動(dòng)具有最高優(yōu)先級(jí)：255。優(yōu)先級(jí)0一般 IP地址所有者主動(dòng)放棄主控者角色時(shí)使用。可配置的優(yōu)先級(jí)范圍為1-254。優(yōu)先級(jí)的配置原則可以依據(jù)鏈路的速度和成本路由器性能和可靠性以及其它管理策略設(shè)定。主控路由器的選舉中，高優(yōu)先級(jí)的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)。對(duì)于相同優(yōu)先級(jí)的候選路由器，按照IP地址大小順序選舉。VRRP還提供了優(yōu)先級(jí)搶占策略，如果配置了該策略，高優(yōu)先級(jí)的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級(jí)的主控路由器而成為新的主控路由器。
VRRP有兩個(gè)時(shí)間：通告間隔和主路由器失效（master-down）間隔。通告間隔是通告之間的間隔時(shí)間（秒），默認(rèn)為1秒。主路由器失效間隔指的是多長時(shí)間沒有收到通告后，備用路由器將認(rèn)為主路由器已失效，單位為秒。主路由器失效間隔是不能配置的，其值至少是為通告間隔的3倍。 VRRP狀態(tài)
組成虛擬路由器的路由器會(huì)有三種狀態(tài) 分別是Initialize Master和Backup
1）Initialize
系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài)，當(dāng)收到接口startup的消息，將轉(zhuǎn)入Backup （優(yōu)先級(jí)不為255時(shí)）或Master狀態(tài)（優(yōu)先級(jí)為255時(shí)）。在此狀態(tài)時(shí)，路由器不會(huì)對(duì)VRRP報(bào)文做任何處理。
2）Master
當(dāng)路由器處于Master狀態(tài)時(shí) 它將會(huì)做下列工作?
*定期發(fā)送VRRP組播報(bào)文
*發(fā)送免費(fèi)（gratuitous）ARP報(bào)文，以使網(wǎng)絡(luò)內(nèi)各主機(jī)知道虛擬IP地址所對(duì)應(yīng)的虛擬MAC地址
*響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求，并且響應(yīng)的是虛擬MAC地址，而不是接口的真實(shí)MAC地址?
*轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報(bào)文?
*如果它是這個(gè)虛擬IP地址的擁有者，則接收目的IP地址為這個(gè)虛擬IP地址的IP報(bào)文，否則，丟棄這個(gè)IP報(bào)文。需要注意的是，由于有這一點(diǎn)要求，所以除非主路由器是IP地址擁有者，否則主機(jī)ping虛擬IP地址不能ping通。
???? 在Master狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的VRRP報(bào)文時(shí)，才會(huì)轉(zhuǎn)為Backup。只有當(dāng)接收到接口的Shutdown事件時(shí)才會(huì)轉(zhuǎn)為Initialize
3）Backup
當(dāng)路由器處于Backup狀態(tài)時(shí) 它將會(huì)做下列工作:
*接收Master發(fā)送的VRRP組播報(bào)文 從中了解Master的狀態(tài)
l*對(duì)虛擬IP地址的ARP請(qǐng)求 不做響應(yīng)
*丟棄目的MAC地址為虛擬MAC地址的IP報(bào)文?
*丟棄目的IP地址為虛擬IP地址的IP報(bào)文???
只有當(dāng)Backup接收到MASTER_DOWN這個(gè)定時(shí)器到時(shí)的事件時(shí)，才會(huì)轉(zhuǎn)為Master 而當(dāng)接收到比自己的優(yōu)先級(jí)小的VRRP報(bào)文時(shí)，它只是做丟棄這個(gè)報(bào)文的處理，從而就不對(duì)定時(shí)器做重置處理。 這樣定時(shí)器就會(huì)在若干次這樣的處理之后到時(shí)，于是就轉(zhuǎn)為Master。只有當(dāng)接收到接口的Shutdown事件時(shí)才會(huì)轉(zhuǎn)為Initialize HSRP和VRRP的區(qū)別
?????????????????????????????????? ?HSRP????????????????????????????????????????? VRRP -------------------------------------------------------------------------------------------------
通告類型： ?Hello、Coup、Resign3種???????????????????????? VRRP廣播報(bào)文通告
狀態(tài)：?Init,listen,learn,speak,standby,active6種??????????? Init，master,backup3種
虛擬IP地址：?不能為接口的實(shí)際IP地址???????????????????? 可以使用路由器的接口地址
虛擬MAC地址：?0000.0007.acxx????????????????????????????????? 0000.5e00.01xx
認(rèn)證：?明文(12.3IOS支持md5)???????????????????????????????????? 明文，無認(rèn)證，md5
報(bào)文承載：?UDP 1985 224.0.0.1???????????????????????????????????TCP
路由器特征：?一組中只能有一個(gè)活動(dòng)路由器????????? 一組中必須有一個(gè)主路由器 和一個(gè)備份路由器????????????????????????????? ，有一個(gè)或多個(gè)備份路由器 多虛擬路由器的VRRP
如下圖，有兩臺(tái)虛擬路由器。對(duì)于虛擬路由器1而言，路由器A為其ip地址的擁有者，它是主虛擬路由器，而路由器b是備用虛擬路由器。在主機(jī)1和2上，默認(rèn)網(wǎng)關(guān)為10.0.0.1。虛擬路由器2的IP地址是路由器B的IP地址，路由器B是主虛擬路由器，主機(jī)3和主機(jī)4上，默認(rèn)網(wǎng)關(guān)IP地址被配置為10.0.0.2。
? 配置過程：
1）?進(jìn)入全局模式?? configure terminal
2）?進(jìn)入接口模式?? interface 接口
3）?配置vrrp組和虛擬路由器的IP地址(可選)
?????? vrrp 組號(hào) ip ip地址
4）?配置優(yōu)先級(jí)
?????? vrrp 組號(hào) priority 優(yōu)先級(jí)別
5）?配置搶占
??????? vrrp 組號(hào) preempt
6）?配置vrrp通告時(shí)間
?????? vrrp 組號(hào) timer advertise [msec] 秒數(shù)
默認(rèn)為1秒
7） 配置認(rèn)證
?????? (1)MD5認(rèn)證: vrrp 組號(hào) authentication md5 key-string [0|7] 密碼 timeout 秒數(shù)
?????? 0：表示不以加密方式顯示密碼
?????? 7：表示以加密的方式顯示密碼（service password-encryption命令配置）
????? (2)MD5鑰匙串認(rèn)證： vrrp 組號(hào) authentication md5 key-chain key串名稱
?????? 必須事先定義了key串
?????? (3) 明文認(rèn)證： vrrp 組號(hào) authentication text 密碼
8） 跟蹤端口
????? (1) 定義跟蹤,全局模式：? track 編號(hào) interface 接口 [line-protocol | ip-routing]
????? (2) vrrp 組號(hào) track 編號(hào) decrement 優(yōu)先級(jí)
??????????? decrement 優(yōu)先級(jí)：減少的優(yōu)先級(jí)
9） 驗(yàn)證結(jié)果
????? show vrrp [brief]
????? show vrrp interface 接口
????? show track 案例：
routerA#config termi
routerA(config)#track 1 interface s0/0
routerA(config)#interface e0
routerA(config-if)#ip addr 10.10.10.1 255.255.255.0
routerA(config-if)#vrrp 1 priority 120
routerA(config-if)#vrrp 1 ip 10.10.10.1
routerA(config-if)#vrrp 1 timer advertise 3
routerA(config-if)#vrrp 1 preempt
routerA(config-if)#vrrp 1 authentication text cisco
routerA(config-if)#vrrp 1 track 1 decrement 100
routerA(config-if)#vrrp 2 ip 10.10.10.2
routerA(config-if)#vrrp 2 timer advertise 30
routerA(config-if)#vrrp 2 priority 100
routerA(config-if)#vrrp 2 preempt
----------------------------------------------------------------
routerB#config termi
routerB(config)#track 1 interface s0/0
routerB(config)#interface e0
routerB(config-if)#ip addr 10.10.10.2 255.255.255.0
routerB(config-if)#vrrp 1 priority 100
routerB(config-if)#vrrp 1 ip 10.10.10.1
routerB(config-if)#vrrp 1 timer advertise 3
routerB(config-if)#vrrp 1 preempt
routerB(config-if)#vrrp 1 authentication text cisco
routerB(config-if)#vrrp 2 track 1 decrement 150
routerB(config-if)#vrrp 2 ip 10.10.10.2
routerB(config-if)#vrrp 2 timer advertise 30
routerB(config-if)#vrrp 2 priority 200
routerB(config-if)#vrrp 2 preempt
--------------------------------------------------------------
routerA# show vrrp
Ethernet0 - Group 1
State is Master
Virtual IP address is 10.10.10.1
Virtual MAC address is 0000.5e00.0101
Advertisement interval is 3.000 sec
Preemption is enabled
min delay is 0.000 sec
Priority is 120
Authentication text, key-string “cisco”, timeout 30 secs
Master Router is 10.10.10.1 (local), priority is 120
Master Advertisement interval is 2.000 sec
Master Down interval is 3.609 sec
----------------------------------------------------------------
routerA#show track
Track 1
Interface Serial0/0 line-protocol
Line protocol is Down (hw down)
1 change, last change 00:06:53
Tracked by:
VRRP Ethernet0 1
案例：
CCIE-LAB(V142)
題目要求：
VLAN D上冗余網(wǎng)關(guān)使用VRRP(Router Redundancy Protocol)，優(yōu)選R5，認(rèn)證密碼為明文cisco，沒有特別要求IP地址，可以采用R5的IP地址，也就是說R5為主虛擬路由器
?
配置：
R5
?? config term
?? interface f0/1
????? ip address 1.1.65.5 255.255.255.0
????? vrrp 1 priority 101
????? vrrp 1 ip 1.1.65.5
????? vrrp 1 preempt
????? vrrp 1 authentication text cisco
R6
?? config term
?? interface f0/1
?????? ip address 1.1.65.6 255.255.255.0
?????? vrrp 1 priority 100
?????? vrrp 1 ip 1.1.65.5
?????? vrrp 1 preempt
?????? vrrp 1 authentication text cisco

轉(zhuǎn)載于:https://blog.51cto.com/batigoal/44438

總結(jié)

以上是生活随笔為你收集整理的CCIE试验备考之冗余备份VRRP的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。