随着网络的发展,人们对网络的可靠性的要求越来越高。对于用户来讲,能够与外部网络保持通信非常重要,但内部网络中的所有主机通常只能设置一个网关IP地址,通过该出口实现主机与外部的通信。那么就会出现一个问题,如果该出口网关设备出现故障了就会导致主机与外部网络的通信的中断。如何去解决这个问题呢?常见的方法就是配置多个出口网关。因此便有了VRRP技术的产生。主机在多个出口网关的情况下,仅需要配置一个虚拟网关IP地址作为网关即可。
如图所示,同一网段内的所有主机都设置一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关,再由网关进行转发,从而实现主机与外部网络的通信。当网关发生故障时,本网段内所有以网关为缺省路由的主机将无法与外部网络通信。
虚拟路由冗余协议VRRP(Virtual Router Redundancy Protocol)通过把几台路由设备联合组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
VRRP术语
1、Virtual Router
虚拟路由器,一个抽象对象,基于子网接口,包括一个虚拟路由器标识符(VRID)和一个或多个IP地址,这个IP地址又称为虚拟IP地址,虚拟IP地址作为主机的默认网关。
2、VRRP Router
VRRP路由器,即运行VRRP协议的路由器,一个VRRP路由器可以加入到一个或多个虚拟路由器中。
3、IP Address Owner
IP地址拥有者,虚拟路由器的虚拟IP地址与接口的真实IP地址相同的VRRP路由器。
4、Virtual Router Master
虚拟主路由器,负责转发通过虚拟路由器的三层数据包,对虚拟路由器的IP地址的ARP请求进行回应。如果某个VRRP路由器是IP地址拥有者,则它总是虚拟主路由器。
5、Virtual Router Backup
虚拟备份路由器,不转发三层数据包,不应答虚拟IP地址的ARP请求,当虚拟主路由器出现故障时接替虚拟主路由器的工作。
VRRP工作过程
1. VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备。
2. Master设备周期性向备份组内所有Backup设备发送VRRP通告报文,以公布其配置信息和工作状况。
3. 如果Master设备出现故障,VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
4. VRRP备份组状态切换时,Master设备由一台设备切换为另外一台设备,新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的报文,刷新与它连接的主机的MAC表项。
原Master设备故障恢复时,若该设备为IP地址拥有者(优先级为255),将直接切换至Master状态。若该设备优先级小于255,将首先切换至Backup状态,且其优先级恢复为故障前配置的优先级。
VRRP单备份组配置举例
组网需求
如图所示,Host A所在网络的出口处部署了两台网关设备。现要求使用VRRP主备备份功能,将这两台设备组成一台虚拟路由器,作为Host A的缺省网关。具体应用需求如下:
在正常情况下,由Device A承担网关功能,转发Host A发送至外网的流量;
当Device A或者Device A的上行接口出现故障时,由Device B接替Device A承担网关功能;
当Device A或者Device A的上行接口故障恢复后,由Device A继续承担网关功能。
VRRP单备份组配置组网图
配置步骤
(1)Device A的配置:
#配置接口IP地址。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/1
[DeviceA-GigabitEthernet1/1] ip address 192.168.0.2 24
#创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为
192.168.0.1。
[DeviceA-GigabitEthernet1/1] vrrp vrid 1 virtual-ip
192.168.0.1
#设置Device A在VRRP备份组1中的优先级为110,高于Device
B的优先级100,以保证Device A成为Master负责转发流量。
[DeviceA-GigabitEthernet1/1] vrrp vrid 1 priority 110
#设置Device A工作在抢占方式,以保证Device A故障恢复后,
能再次抢占成为Master,即只要Device A正常工作,就由Device
A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[DeviceA-GigabitEthernet1/1] vrrp vrid 1 preempt-mode delay5
[DeviceA-GigabitEthernet1/1] quit
#创建和上行接口GigabitEthernet1/2物理状态关联的Track项1。
[DeviceA] track 1 interface gigabitethernet 1/2
#配置监视Track项1,Track项的状态为Negative时,Device A
在VRRP备份组中的优先级降低的数值为50。
[DeviceA] interface gigabitethernet 1/1
[DeviceA-GigabitEthernet1/1] vrrp vrid 1 track 1 reduced 50
[DeviceA-GigabitEthernet1/1] quit
(2) Device B的配置
#配置接口IP地址。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/1
[DeviceB-GigabitEthernet1/1] ip address 192.168.0.3 24
#创建VRRP备份组1,并配置VRRP备份组1的虚拟IP地址为
192.168.0.1
#设置Device B在VRRP备份组1中的优先级为100。
[DeviceB-GigabitEthernet1/1] vrrp vrid 1 priority 100
#设置Device B工作在抢占方式,抢占延迟时间为5秒。
[DeviceB-GigabitEthernet1/1] vrrp vrid 1 preempt-mode delay 5
[DeviceB-GigabitEthernet1/1] quit
关于我们:
河北镌远网络科技有限公司(Hebei JYCYBER TechnologyCo.,Ltd.)是一家集人才、技术和经验于一体的,提供全面网络安全解决方案的专业服务商。镌远科技致力于为各行业的网络安全需求提供软件研发和通用解决方案,业务领域主要包括基础服务、咨询业务、产品研发和安全培训四大版块,各版块相互独立又相辅相成,完美阐释了“专业服务、全程服务、延伸服务”的服务体系和“单一业务与长远目标相融合”的服务理念。
关注镌远科技,关注网络安全!
河北分公司:河北镌远网络科技有限公司
地址:河北省邯郸市丛台区中华北大街193号慧谷大厦14层
总公司:北京冠程科技有限公司
地址:北京市昌平区科技园区东区产业基地企业墅上区一号楼九单元四层
实训基地:河北省石家庄市电子信息学校冠程科技研究与实训中心
欢迎扫描关注我们,及时了解更多关于网络安全相关知识