VRRP原理与实例Word文档下载推荐.docx

VRRP原理与实例Word文档下载推荐.docx

《VRRP原理与实例Word文档下载推荐.docx》由会员分享，可在线阅读，更多相关《VRRP原理与实例Word文档下载推荐.docx（25页珍藏版）》请在冰豆网上搜索。

虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址，也可以和备份组内的某个

路由器的接口IP地址相同。

接口IP地址与虚拟IP地址相同的路由器被称为“IP地址拥有者”。

在同一个VRRP备份组中，只允许配置一个IP地址拥有者。

2.备份组中路由器的优先级

VRRP根据优先级来确定备份组中每台路由器的角色（Master路由器或Backup路由器）。

优先级

越高，则越有可能成为Master路由器，其他优先级低的成为Backup路由器。

路由器在备份组中的状态可以为Master、Backup和Initialize。

VRRP优先级的取值范围为0到255（数值越大表明优先级越高），可配置的范围是1到254，优

先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。

当路由器为IP地址拥

有者时，其优先级始终为255。

因此，当备份组内存在IP地址拥有者时，只要其工作正常，则为

Master路由器。

3.备份组中路由器的工作方式

备份组中的路由器具有以下两种工作方式：

非抢占方式：

如果备份组中的路由器工作在非抢占方式下，则只要Master路由器没有出现故

障，Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。

抢占方式：

如果备份组中的路由器工作在抢占方式下，它一旦发现自己的优先级比当前的

Master路由器的优先级高，就会对外发送VRRP通告报文。

导致备份组内路由器重新选举

Master路由器，并最终取代原有的Master路由器。

相应地，原来的Master路由器将会变成

Backup路由器。

4.备份组中路由器的认证方式

为了防止非法用户构造报文攻击备份组，VRRP通过在VRRP报文中增加认证字的方式，验证接收

到的VRRP报文。

VRRP提供了两种认证方式：

simple：

简单字符认证。

发送VRRP报文的路由器将认证字填入到VRRP报文中，而收到

VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。

如果

认证字相同，则认为接收到的报文是真实、合法的VRRP报文；

否则认为接收到的报文是一

个非法报文。

md5：

MD5认证。

发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要

运算，运算结果保存在AuthenticationHeader（认证头）中。

收到VRRP报文的路由器会利

用认证字和MD5算法进行同样的运算，并将运算结果与认证头的内容进行比较。

如果相同，

则认为接收到的报文是真实、合法的VRRP报文；

否则认为接收到的报文是一个非法报文。

在一个安全的网络中，用户也可以不设置认证方式。

1.2.2VRRP定时器

VRRP定时器分为两种：

VRRP通告报文间隔时间定时器和VRRP抢占延迟时间定时器。

1.VRRP通告报文时间间隔定时器

VRRP备份组中的Master路由器会定时发送VRRP通告报文，通知备份组内的路由器自己工作正

常。

用户可以通过设置VRRP定时器来调整Master路由器发送VRRP通告报文的时间间隔。

Backup路由器在等待了3个间隔时间后，依然没有收到VRRP通告报文，则认为自己是Master

路由器，并对外发送VRRP通告报文，重新进行Master路由器的选举。

2.VRRP抢占延迟时间定时器

为了避免备份组内的成员频繁进行主备状态转换，让Backup路由器有足够的时间搜集必要的信息

（如路由信息），Backup路由器接收到优先级低于本地优先级的通告报文后，不会立即抢占成为

Master，而是等待一定时间——抢占延迟时间后，才会对外发送VRRP通告报文取代原来的Master

路由器。

1.2.3VRRP报文格式

Master路由器以组播的方式定时发送VRRP报文通告它的存在。

这些报文可以用来检测虚拟路由

器的各种参数，还可以用于Master路由器的选举。

VRRP报文封装在IP报文中，协议号为112。

VRRPv2的报文格式如图1-3所示，VRRPv3的报文

格式如图1-4所示。

图1-3VRRPv2的报文格式

图1-4VRRPv3的报文格式

各字段解释如下：

Version：

协议版本号。

VRRPv2对应的版本号为2；

VRRPv3对应的版本号为3。

Type：

VRRP报文的类型。

VRRPv2和VRRPv3报文只有一种类型，即VRRP通告报文

（Advertisement），该字段取值为1。

VirtualRtrID（VRID）：

虚拟路由器号（即备份组号），取值范围1～255。

Priority：

路由器在备份组中的优先级，取值范围0～255，数值越大表明优先级越高。

CountIPAddrs/CountIPv6Addrs：

备份组虚拟IP地址的个数。

1个备份组可对应多个虚拟

IP地址。

AuthType：

认证类型。

该值为0表示无认证，为1表示简单字符认证，为2表示MD5认证。

VRRPv3不支持MD5认证。

AdverInt：

发送通告报文的时间间隔。

VRRPv2中单位为秒，缺省为1秒；

VRRPv3中单位

为厘秒，缺省为100厘秒。

Checksum：

16位校验和，用于检测VRRP报文中的数据破坏情况。

IPAddress/IPv6Address：

备份组虚拟IP地址表项。

所包含的地址数定义在CountIP

Addrs/CountIPv6Addrs字段。

1-5

AuthenticationData：

验证字，目前只用于简单字符认证，对于其它认证方式一律填0。

1.2.4VRRP工作过程

VRRP的工作过程如下：

（1）备份组中的路由器根据优先级确定自己在备份组中的角色。

优先级高的路由器成为Master路

由器；

优先级低的成为Backup路由器。

Master路由器定期发送VRRP通告报文，通知备份

组内的其他路由器自己工作正常；

Backup路由器则启动定时器等待通告报文的到来。

（2）在抢占方式下，当Backup路由器收到VRRP通告报文后，会将自己的优先级与通告报文中

的优先级进行比较。

如果大于通告报文中的优先级，则成为Master路由器；

否则将保持Backup

状态。

抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器。

（3）在非抢占方式下，只要Master路由器没有出现故障，备份组中的路由器始终保持Master或

Backup状态，Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。

非

抢占方式可以避免频繁地切换Master路由器。

（4）如果Backup路由器的定时器超时后仍未收到Master路由器发送来的VRRP通告报文，则认

为Master路由器已经无法正常工作，此时Backup路由器会认为自己是Master路由器，并对

外发送VRRP通告报文。

备份组内的路由器根据优先级选举出Master路由器，承担报文的转

发功能。

由于路由器上备份组的配置不一致、网络故障等原因造成备份组中存在多个Master路由器时，

这些Master路由器会根据优先级和IP地址选举出一个Master：

优先级高的路由器成为Master；

优先级低的成为Backup；

如果优先级相同，则IP地址大的成为Master。

Backup路由器接收到VRRP通告报文后，只会将自己的优先级与通告报文中的优先级进行比

较，不会比较IP地址。

只有自己的优先级大于通告报文中的优先级时，才会抢占成为Master。

1.2.5VRRP监视功能

配置VRRP监视功能时，需要配置备份组中的路由器工作在抢占方式，以保证只有优先级最高的路

由器才能成为Master、承担转发任务。

1.监视指定接口功能

路由器连接上行链路的接口出现故障时，备份组无法感知上行链路接口的故障，如果该路由器此时

处于Master状态，将会导致局域网内的主机无法访问外部网络。

通过监视指定接口的功能，可以

解决该问题。

当连接上行链路的接口处于Down或Removed状态时，路由器主动降低自己的优先

级，使得备份组内其它路由器的优先级高于这个路由器，以便优先级最高的路由器成为Master，承

担转发任务。

2.监视Track项功能

通过VRRP监视Track项功能，可以实现：

根据上行链路的状态，改变路由器的优先级。

当上行链路出现故障，局域网内的主机无法通

过路由器访问外部网络时，被监视Track项的状态为Negative，并将路由器的优先级降低指

定的数额。

从而，使得备份组内其它路由器的优先级高于这个路由器的优先级，成为Master

路由器，保证局域网内主机与外部网络的通信不会中断。

在Backup路由器上监视Master路由器的状态。

当Master路由器出现故障时，工作在切换模

式的Backup路由器能够迅速成为Master路由器，以保证通信不会中断。

Track项的详细介绍，请参见“可靠性配置指导”中的“Track”。

1.3配置基于IPv4的VRRP

1.3.1基于IPv4的VRRP配置任务简介

在备份组内的每个路由器上都需进行配置，才能形成一个备份组。

表1-1VRRP配置任务简介

配置任务

说明

详细配置

配置虚拟IP地址对应的MAC地址的类型

可选

1.3.2

创建备份组并配置虚拟IP地址

必选

1.3.3

配置备份组优先级、抢占方式及监视功能

1.3.4

配置VRRP报文的相关属性

1.3.5

开启VRRP的Trap功能

1.3.6

1.3.2配置虚拟IP地址对应的MAC地址的类型

配置虚拟IP地址对应的MAC地址的类型后，Master路由器将根据配置的MAC地址类型，选择发

送报文的源MAC地址，并采用指定类型的MAC地址应答主机的ARP请求，以便内部网络的主机

学习到IP地址和MAC地址的对应关系。

虚拟IP地址对应的MAC地址类型有两种：

虚拟MAC地址：

缺省情况下，创建备份组后，会自动生成与之对应的虚拟MAC地址，虚拟

IP地址与此虚拟MAC地址对应。

如果采用这种对应关系，Master路由器改变时，内部网络

的主机不需要更新IP地址与MAC地址的绑定。

接口的实际MAC地址：

当备份组中存在IP地址拥有者时，如果配置虚拟IP地址和虚拟MAC

地址对应，会造成一个IP地址对应两个MAC地址。

因此用户可以配置备份组虚拟IP地址和

接口的实际MAC地址对应，主机发送的报文将按照实际MAC地址转发给IP地址拥有者。

表1-2配置虚拟IP地址对应的MAC地址的类型

操作

命令

进入系统视图

system-view

配置虚拟IP地址对应的

MAC地址的类型

vrrpmethod{real-mac|virtual-mac}

缺省情况下，采用虚拟MAC地址和虚拟IP地址对应

本配置需要在备份组创建之前就进行设定。

如果路由器上已经创建了备份组，则不允许修改虚

拟IP地址对应的MAC地址的类型。

如果一台设备的多个接口上创建了相同编号的备份组，且这些备份组的VRRP通告报文都需要

通过QinQ网络发送，则建议采用接口的实际MAC地址与虚拟IP地址对应，否则可能会导致

网络不通。

1.3.3创建备份组并配置虚拟IP地址

创建VRRP备份组的同时，需要配置备份组的虚拟IP地址。

如果接口连接多个子网，则可以为一

个备份组配置多个虚拟IP地址，以便实现不同子网中路由器的备份。

为备份组指定第一个虚拟IP地址时，VRRP备份组就会自动生成。

以后用户再给这个备份组指定虚

拟IP地址时，VRRP备份组仅将这个IP地址添加到它的备份组虚拟IP地址列表中。

建议不要在SuperVLAN对应的VLAN接口下创建VRRP备份组，以免对网络性能造成影响。

1.配置准备

在接口上创建备份组并配置虚拟IP地址之前，需要配置接口的IP地址，并且保证随后配置的虚拟

IP地址与接口的IP地址在同一网段。

1-9

2.创建备份组并配置虚拟IP地址

表1-3创建备份组并配置虚拟IP地址

进入接口视图

interfaceinterface-typeinterface-number

创建备份组，并配置备份组的虚拟IP地址

vrrpvridvirtual-router-idvirtual-ip

virtual-address

缺省情况下，没有创建备份组

-

VRRP工作在标准协议模式时，备份组的虚拟IP地址可以是备份组所在网段中未被分配的IP

地址，也可以和备份组内的某个路由器的接口IP地址相同。

接口IP地址与虚拟IP地址相同的

路由器被称为“IP地址拥有者”。

路由器作为IP地址拥有者时，建议不要采用接口的IP地址（即备份组的虚拟IP地址）与相邻

的路由器建立OSPF邻居关系，即不要通过network命令在该接口上使能OSPF。

network

命令的详细介绍，请参见“三层技术-IP路由命令参考”中的“OSPF”。

备份组中所有虚拟IP地址都被删除后，该备份组也将同时被删除掉，并且该备份组的所有配置

都不再有效。

删除IP地址拥有者上的VRRP备份组，将导致地址冲突。

建议先修改IP地址拥有者的接口IP

地址，再删除该接口上的VRRP备份组，以避免地址冲突。

备份组的虚拟IP地址不能为全零地址（0.0.0.0）、广播地址（255.255.255.255）、环回地址、非

A/B/C类地址和其它非法IP地址（如0.0.0.1）。

配置的虚拟IP地址和接口IP地址在同一网段，且为合法的主机地址时，备份组才能够正常工

作；

否则，如果配置的虚拟IP地址和接口IP地址不在同一网段，或为接口IP地址所在网段的

网络地址或网络广播地址，虽然可以配置成功，但是备份组会始终处于Initialize状态，此状态

下VRRP不起作用。

1.3.4配置备份组优先级、抢占方式及监视功能

在配置备份组优先级、抢占方式及监视功能之前，需要先在接口上创建备份组并配置虚拟IP地址。

2.配置过程

通过优先级、抢占方式和监视指定接口或Track项的配置，可以决定备份组中哪个路由器作为Master

下面这些配置是可选的，可以根据实际需要进行配置。

表1-4配置备份组优先级、抢占方式及监视功能

配置路由器在备份组中的优先级

vrrpvridvirtual-router-idpriority

priority-value

缺省情况下，路由器在备份组中的优

先级为100

配置备份组中的路由器工

作在抢占方式，并配置抢占

延迟时间

vrrpvridvirtual-router-idpreempt-mode

[timerdelaydelay-value]

缺省情况下，备份组中的路由器工作

在抢占方式，抢占延迟时间为0秒

配置监视指定接口

vrrpvridvirtual-router-idtrackinterface

interface-typeinterface-number[reduced

priority-reduced]

缺省情况下，没有指定被监视的接口

配置监视指定的Track项

vrrpvridvirtual-router-idtrack

track-entry-number[reduced

priority-reduced|switchover]

缺省情况下，没有指定被监视的

Track项

IP地址拥有者的运行优先级始终为255，无需用户配置；

IP地址拥有者始终工作在抢占方式。

路由器在某个备份组中作为IP地址拥有者时，如果在该路由器上配置该备份组监视指定的接口

或Track项，则该配置不会生效。

该路由器不再作为IP地址拥有者后，之前的配置才会生效。

被监视接口的状态由Down或Removed变为Up后，对应路由器的优先级数会自动恢复。

被监视Track项的状态由Negative变为Positive或Invalid后，对应的路由器优先级会自动恢

复。

1.3.5配置VRRP报文的相关属性

在配置VRRP报文的相关属性之前，需要先在接口上创建备份组并配置虚拟IP地址。

表1-5配置VRRP报文的相关属性

System-view

interfaceinterface-type

interface-number

配置备份组发送和接收VRRP报文的认证方式和认证字

vrrpvridvirtual-router-id

authentication-mode{md5|

simple}key

缺省情况下，不进行认证

配置备份组中Master路由器发送VRRP通告报文的时间间隔

vrrpvridvirtual-router-idtimer

advertiseadver-interval

缺省情况下，备份组中Master路由

器发送VRRP通告报文的时间间隔

为1秒

禁止检查VRRP报文的TTL域

vrrpun-checkttl

缺省情况下，检查VRRP报文的TTL域

进行此配置之前，不需要创建备份组

一个接口上的不同备份组可以设置不同的认证方式和认证字；

加入同一备份组的成员需要设置

相同的认证方式和认证字。

网络流量过大可能会导致Backup路由器在指定时间内没有收到Master的VRRP通告报文，

而发生状态转换。

可以通过将VRRP通告报文的发送时间间隔延长的办法来解决该问题。

备份组中不同路由器上配置的VRRP通告报文发送时间间隔不同，也可能会导致Backup路由

器在指定时间内没有收到Master的VRRP通告报文，而发生状态转换。

可以通过修改路由器

上的VRRP通告报文发送时间间隔、使得备份组中所有路由器上该值相同的方法来解决此问题。

1.3.6开启VRRP的Trap功能

开启VRRP模块的Trap功能后，该模块会生成级别为errors的Trap报文，用于报告该模块的重要

事件。

生成的Trap报文将被发送到设备的信息中心，通过设置信息中心的参数，最终决定Trap报

文的输出规则（即是否允许输出以及输出方向）。

（有关信息中心参数的配置请参见“网络管理和

监控配置指导”中的“信息中心”。

）

表1-6开启VRRP的Trap功能

开启VRRP模块的Trap功能

snmp-agenttrapenablevrrp

[authfailure|newmaster]

缺省情况下，VRRP模块的Trap功能处于开启状态

1.3.7基于IPv4的VRRP显示和维护

在完成上述配置后，在任意视图下执行display命令可以显示基于IPv4的VRRP配置后的运行情

况，通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除基于IPv4的VRRP统计信息。

表1-7VRRP显示和维护

显示VRRP备份组的状态信息

displayvrrp[verbose][interfaceinterface-typeinterface-number

[vridvirtual-router-id]][|{begin|exclude|include}

regular-expression]

显示VRRP备份组的统计信息

displayvrrpstatistics[interfaceinterface-typeinterface-number[vrid

virtual-router-id]][