VRRP

知识点

1. VRRP的原理

建设企业网络的主要目的是最终用户可以访问其数据与服务，网络中的用户端通常采用一个默认网关的形似访问外部网络。如果默认网关设备发生故障，将中断所有用户终端的网关访问，为了解决这个问题，可以部署多个网关，为了不让多个网关发生冲突，VRRP应用而升。

2. VRRP工作原理

VRRP就是实现IP地址漂移的，是一种容错协议。各虚拟路由器都有自己的IP地址，局域网内的主句将虚拟路由器设置为缺省网关，优先级最高的路由器作为Master路由器，承担网关的功能。

其余的路由器作为Backup路由器，当Master路由器出故障后，Backup路由器会根据优先级重新选举出新的Master路由器承担网关功能。Master路由器周期性地发送VRRP报文，在虚拟路由器中公布其配置信息(优先级等)和工作状况。Backup路由器通过接收到VRRP报文的情况来判断Master路由器是否工作正常。

3. VRRP概述

VRRP是一种容错协议，它为具有组播或广播能力的局域网(如以太网)设计,它保证当局域网内主机的下一跳路由器出现故障时，可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性,为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器而网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息,一个虚拟路由器由一个主路由器和若干个备份路由器组成,主路由器实现真正的转发功能当主路由器出现故障时,一个备份路由器将成为新的主路由器,接替它的工作。

4. VRRP备份组

 VRRP协议：Virtual router redunancy protocol(虚拟路由器冗余协议，由IETF标准RFC2338定义)

 VRRP组成员

1. 主路由器
2. 备份路由器
3. 虚拟路由器

lVRRP的状态

1. Initialize：所有路由器都从初始状态开始，即进程启动后进入此状态
2. Backup：接收主路由器发送的vrrp组播通告，由此判断主路由器的状态;丢弃发送到虚拟路由器的mac地址和ip地址的数据包;不响应对虚拟ip地址的ARP请求。不会承担流量转发
3. Master：定期发送vrrp组播通告;相应对虚拟ip地址的ARP请求;转发目的地址是虚拟mac地址的ip数据包

5. VRRP选举机制

 

根据优先级选择主路由器:优先级高的路由器被选择为主路由器;

如果两台路由器的优先级相同，则比较接口ip地址，具有较大接口ip地址的路由器将被称为主路由器。

其他路由器作为备份路由器，随时监控Master路由器的状态。

如果组内的备份路由器在Master_Down_Interval时间内没有收到Master路由器的报文，则切换到主路由器，在有多个备份路由器的VRRP组中，可能会在短时间内产生多个Master路由器，然后将接收到的VRRP报文中的优先级与本地优先级进行比较，选择优先级最高的路由器作为Master路由器;

6. 主备切换的底层流程

VRRP使用组播地址224.0.0.18(IPv4)或FF02::12(IPv6)发送通告消息，流程如下：

1. 初始化：路由器启动后进入Backup状态，监听通告。
2. 选举：收到通告后比较优先级，若本地优先级更高且配置抢占，则竞争Master。
3. 正常运行：Master每秒发送一次通告(默认间隔1秒),Backup监听。
4. 故障切换：Backup在”死亡时间”(默认3秒，Advertisement Interval*3)内未收到通告，升为Master，并发送免费ARP更新客户端ARP表。
5. 恢复抢占：若配置抢占，原Master恢复后重新夺回角色。

7. 主备切换时间

主备切换时间默认为3秒

8. VRRP定时器

①　VRRP通告报文时间间隔定时器

1. VRRP备份组中的Master路由器会定时发送VRRP通告报文，通知备份组内的路由器自己工作正常
2. 用户可以通过设置VRRP定时器来调整Master路由器发送VRRP通告报文的时间间隔
3. 如果Backup路由器在等待了3个间隔时间后，依然没有收到VRRP通告报文，则认为自己是Master路由器，并对外发送VRRP通告报文，重新进行Master路由器的选举

②　VRRP抢占延迟时间定时器

1. 为了避免备份组内的成员频繁进行主备状态转换，让Backup路由器有足够的hi见搜集必要的信息(如路由信息),Backup路由器接收到优先级低于本地优先级的通告报文后，不会立即抢占称Master
2. 而是等待一定时间———抢占延迟时间后，才会对外发送VRRP通告报文取代原来的Master路由器

③　偏移时间定时器

1. 偏移时间定时器是用来避免Master路由出现问题时，防止备份组中出现多个Master路由，Skew_Time=(256-路由在备份组中的优先级)/256，单位为秒

9. VRRP抢占

VRRP抢占在默认情况下处于启用状态，这会启用更高优先级的虚拟路由器备份，该备份可以从被选为虚拟路由器主控的虚拟路由器备份中接管，如果禁用抢占，则被选为虚拟路由器主控的虚拟路由器备份保持主控状态，直到原来的虚拟路由器主控恢复并再次成为主控。

10. VRRP版本

Vrrp有两个版本：版本2、版本3

1. VRRPV2：支持IPv4
2. VRRPV3：支持IPv4和IPv6

11. VRRP中的MD5认证

MD5认证是为了防止伪造通告。

实验

实现要求：

1.VLAN10是SW1为主。

2.VLAN20是SW2为主。

3.VLAN30是SW3为主。

配置步骤

SW1交换机

创建VLAN

vlan 10   

vlan 20

vlan 30

配置VLAN的IP地址以及VRRP配置

interface vlan-interface10     

ip address 192.168.10.251 24    //配置IP地址

vrrp vrid 10 virtual-ip 192.168.10.254      //设置VRRP虚拟IP地址

vrrp vrid 10 priority 150     //设置优先级为150，越大越优先。默认是100

vrrp vrd 10 track 1 priority reduced 150      //这条链路down的时候，优先级会往下减去150，变成0。SW2的VLAN10会变成VRRP10的主

interface vlan-interface20

ip address 192.168.20.251 24 

vrrp vrid 20 virtual-ip 192.168.20.254    //设置VRRP虚拟IP地址

interface vlan-interface30

ip address 192.168.30.251 24 

vrrp vrid 30 virtual-ip 192.168.30.254     //设置VRRP虚拟IP地址

放行相应的VLAN

interfac GigabitEthernet1/0/2

port link-mode bridge    //设置端口模式为二层接口模式

port link-type trunk    //改成trunk口

undo port trunk permit vlan 1     //不放行VLAN1

port trunk permit vlan 10 20 30       //放行10 20 30

SW2交换机

创建VLAN

vlan 10   

vlan 20

vlan 30

配置VLAN的IP地址以及VRRP

interface vlan-interface10     

ip address 192.168.10.252 24    //配置IP地址

vrrp vrid 10 virtual-ip 192.168.10.254      //设置VRRP虚拟IP地址

interface vlan-interface20

ip address 192.168.20.252 24 

vrrp vrid 20 virtual-ip 192.168.20.254    //设置VRRP虚拟IP地址

vrrp vrid 20 priority 150     //设置优先级为150，越大越优先。默认是100

vrrp vrd 20 track 1 priority reduced 150      //这条链路down的时候，优先级会往下减去150，变成0。SW3的VLAN20会变成VRRP20的主

interface vlan-interface30

ip address 192.168.30.252 24 

vrrp vrid 30 virtual-ip 192.168.30.254     //设置VRRP虚拟IP地址

放行相应的VLAN

interface GigabitEthernet1/0/3

port link-mode bridge     //设置端口模式为二层接口模式

port link-type trunk   //改成trunk口

undo port trunk permit vlan 1    //不放行VLAN1

port trunk permit vlan 10 20 30   //放行10 20 30

SW3交换机

创建VLAN

vlan 10   

vlan 20

vlan 30

配置VLAN的IP地址以及VRRP

interface vlan-interface10     

ip address 192.168.10.253 24    //配置IP地址

vrrp vrid 10 virtual-ip 192.168.10.254      //设置VRRP虚拟IP地址

interface vlan-interface20

ip address 192.168.20.253 24 

vrrp vrid 20 virtual-ip 192.168.20.254    //设置VRRP虚拟IP地址

interface vlan-interface30

ip address 192.168.30.253 24 

vrrp vrid 30 virtual-ip 192.168.30.254     //设置VRRP虚拟IP地址

vrrp vrid 30 priority 150     //设置优先级为150，越大越优先。默认是100

vrrp vrd 30 track 1 priority reduced 150      //这条链路down的时候，优先级会往下减去150，变成0。SW1的VLAN30会变成VRRP30的主

放行相应的VLAN

interface GigabitEthernet1/0/0

port link-mode bridge     //设置端口模式为二层接口模式

port link-type trunk   //改成trunk口

undo port trunk permit vlan 1    //不放行VLAN1

port trunk permit vlan 10 20 30   //放行10 20 30

SW4交换机的配置

放行相应的VLAN

interface GigabitEthernet1/0/2

port link-mode bridge     //设置端口模式为二层接口模式

port link-type trunk   //改成trunk口

undo port trunk permit vlan 1    //不放行VLAN1

port trunk permit vlan 10 20 30   //放行10 20 30

interface GigabitEthernet1/0/3

port link-mode bridge     //设置端口模式为二层接口模式

port link-type trunk   //改成trunk口

undo port trunk permit vlan 1    //不放行VLAN1

port trunk permit vlan 10 20 30   //放行10 20 30

interface GigabitEthernet1/0/4

port link-mode bridge     //设置端口模式为二层接口模式

port link-type trunk   //改成trunk口

undo port trunk permit vlan 1    //不放行VLAN1

port trunk permit vlan 10 20 30   //放行10 20 30

结果

SW1的VRRP状态

SW2的VRRP状态

SW3的VRRP状态