文章目录**1 VRRP技术**1.1 VRRP基本概念1.2 VRRP协议标准模式详细信息**VRRP备份组****备份组成员优先级****如何操作备份组成员
1 VRRP 技术1.1 VRRP的基本概念
增加网关是提高链路可靠性的常用方法,在这种情况下,如何在多个出口之间选择路径是需要解决的问题。 虚拟
路由就绪
虚拟路由器冗馀协议(Protocol )解决了这一问题,VRRP功能将承担网关功能的一组路由器添加到备份组以形成虚拟路由器,VRRP协议选举机制允许哪个路由器承担转发任务
VRRP有VRRPv2和VRRPv3两个版本,VRRPv2版本仅支持IPv4 VRRP,VRRPv3版本支持IPv4
VRRP和IPv6 VRRP。
提示: VRRP必须应用于具有多播或广播功能的局域网(如以太网)。
1.2 VRRP协议标准模式细节解VRRP备份组VRRP将局域网中的一组路由器统称为备份组。 备份组主路由器
一个或多个Backup路由器。 VRRP备份组特征:
虚拟路由器具有一个称为虚拟IP地址的IP地址。 局域网中的主机只需知道此虚拟路由器的IP地址并将其设置为默认网关即可。 网络中的主机通过此虚拟路由器与外部网络进行通信。
备份组中的路由器根据优先级选择主路由器,并承担网关功能。 其他路由器作为Backup路由器,如果主路由器出现故障,它将继续代替主路由器充当网关,使网络中的主机不断与外部网络进行通信。
虚拟路由器的IP地址可以是未分配给备份组所在网段的IP地址,也可以与备份组中路由器的接口IP地址相同。 接口IP地址与虚拟IP地址相同的路由器称为“IP地址所有者”。
备份组成员的优先级VRRP根据优先级确定备份组中每个路由器的角色(主路由器或Backup路由器)。 优先级越高,越有可能成为主路由器。
VRRP的优先级范围为0到255,数值越大表示优先级越高。 可设置的范围为1~254,其中系统保留优先级0用于特殊目的,系统保留IP地址所有者255。 如果路由器是IP地址的所有者,则其优先级始终为255。 因此,如果备份组中存在IP地址所有者,只要其运行正常,它就是主路由器。
备份组成员的工作方式备份组中的路由器具有以下两种行为:
非抢占方法—即使以后设置了更高的优先级,Backup路由器也不会成为主路由器,除非主路由器出现故障。
抢占方式:当发现自己的优先级高于当前主路由器的优先级时,向外部发送VRRP通知消息。 备份组中的路由器重新选举主路由器,最终将替代原始主路由器。 因此,原始主路由器将是Backup路由器。
备份组成员的认证方式为了防止未授权用户对消息的攻击,VRRP通过在VRRP消息中添加认证字来验证所接收的VRRP消息。 VRRP有两种认证方式。
simple :简单的文字认证。 发送VRRP消息的路由器在VRRP消息中写入认证字,并且接收到VRRP消息的路由器将接收到的VRRP消息中的认证字与本地配置的认证字进行比较。 如果认证字相同,则认为接收到的消息是真实且合法的VRRP消息; 否则,我认为接收到的消息是非法消息。
md5:MD5认证。 发送VRRP消息的路由器使用认证字和MD5算法对VRRP消息进行摘要运算,运算结果保存在Authentication中
正在验证头。 接收到VRRP消息的路由器使用认证字和MD5算法进行同样的运算,将运算结果与认证头的内容进行比较。 如果是,则认为所接收的消息是真实且合法的VRRP消息; 否则,我认为接收到的消息是非法消息。
提示:在不安全的网络中,如果备份组以抢占方式运行,未经验证就被攻击消息抢占为主节点,很容易导致业务中断; 在安全网络上,用户可以不设置身份验证方法。
VRRP定时器VRRP计时器分为两种。
(1) VRRP告知信息时间间隔定时器
VRRP备份组中的主路由器定期(默认为1秒,可更改)发送VRRP通知消息,通知备份组中的路由器运行正常。 如果Backup路由器等待三个间隔后仍未收到VRRP通知消息,则它会认为自己是主路由器,并对外发送VRRP通知消息,然后重新选举主路由器。
)2) VRRP抢占
延迟时间定时器为了避免备份组内的成员频繁进行主备状态转换,让Backup路由器有足够的时间搜集必要的信息(如路由信息),Backup路由器接收到优先级低于本地优先级的通告报文后,不会立即抢占成Master,而是等待一定时间(抢占延迟时间后),才会对外发送VRRP通告报文取代原来的Master路由器。
VRRP工作过程VRRP的工作过程如下:
(1)
备份组中的路由器根据优先级确定自己在备份组中的角色。优先级高的路由器成为Master路由器;优先级低的成为Backup路由器;如果优先级相同,则IP地址大的成为Master路由器。Master路由器定期发送VRRP通告报文,通知备份组内的其他路由器自己工作正常;Backup路由器则启动定时器等待通告报文的到来。
(2)在抢占方式下,当Backup路由器收到VRRP通告报文后,会将自己的优先级与通告报文中的优先级进行比较。如果大于通告报文中的优先级,则成为Master路由器;否则将保持Backup状态。抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器。
(3)在非抢占方式下,只要Master路由器没有出现故障,备份组中的路由器始终保持Master或Backup状态,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。非抢占方式可以避免频繁地切换Master路由器。
(4)如果Backup路由器的定时器超时后仍未收到Master路由器发送来的VRRP通告报文,则认为Master路由器已经无法正常工作,此时Backup路由器会认为自己是Master路由器,并对外发送VRRP通告报文。备份组内的路由器根据优先级选举出Master路由器,承担报文的转发功能。
由于路由器上备份组的配置不一致、网络故障等原因造成备份组中存在多个Master路由器时,这些Master路由器会根据优先级和IP地址选举出一个Master:优先级高的路由器成为Master;优先级低的成为Backup;如果优先级相同,则IP地址大的成为Master。
VRRP监视功能配置VRRP监视功能时,需要配置备份组中的路由器工作在抢占方式,以保证只有优先级最高的路由器才能成为Master、承担转发任务。
(1)监视指定接口功能
VRRP的监视接口功能更好地扩充了备份功能:不仅能在备份组中某路由器的接口出现故障时提供备份功能,还能在路由器的其它接口(如连接上行链路的接口)不可用时提供备份功能。
路由器连接上行链路的接口出现故障时,备份组无法感知上行链路接口的故障,如果该路由器此时处于Master状态,将会导致局域网内的主机无法访问外部网络。通过监视指定接口的功能,可以解决该问题。当连接上行链路的接口处于Down或Removed状态时,路由器主动降低自己的优先级,使得备份组内其它路由器的优先级高于这个路由器,以便优先级最高的路由器成为Master,承担转发任务。
(2)监视Track项功能
通过VRRP监视Track项功能,可以实现:
根据上行链路的状态,改变路由器的优先级。当上行链路出现故障,局域网内的主机无法通过路由器访问外部网络时,被监视Track项的状态为Negative,并将路由器的优先级降低指定的数额。从而,使得备份组内其它路由器的优先级高于这个路由器的优先级,成为Master路由器,保证局域网内主机与外部网络的通信不会中断。
在Backup路由器上监视Master路由器的状态。当Master路由器出现故障时,工作在切换模式的Backup路由器能够迅速成为Master路由器,以保证通信不会中断。
提示:关于Track功能,请查看“ ”
VRRP报文格式Master路由器以组播的方式定时发送VRRP报文通告它的存在。这些报文可以用来检测虚拟路由器的各种参数,还可以用于Master路由器的选举。VRRP报文封装在IP报文中,协议号为112。
各字段解释如下:
Version:协议版本号。VRRPv2对应的版本号为2;VRRPv3对应的版本号为3。
Type:VRRP报文的类型。VRRPv2和VRRPv3报文只有一种类型,即VRRP通告报文(Advertisement),该字段取值为1。
Virtual Rtr ID(VRID):虚拟路由器号(即备份组号),取值范围1~255。
Priority:路由器在备份组中的优先级,取值范围0~255,数值越大表明优先级越高。
Count IP Addrs/Count IPv6
Addrs:备份组虚拟IP地址的个数。1个备份组可对应多个虚拟IP地址。
Auth
Type:认证类型。该值为0表示无认证,为1表示简单字符认证,为2表示MD5认证。VRRPv3不支持MD5认证。
Adver
Int:发送通告报文的时间间隔。VRRPv2中单位为秒,缺省为1秒;VRRPv3中单位为厘秒,缺省为100厘秒。
Checksum:16位校验和,用于检测VRRP报文中的数据破坏情况。
IP Address/IPv6 Address:备份组虚拟IP地址表项。所包含的地址数定义在Count IP
Addrs/Count IPv6 Addrs字段。
Authentication Data:验证字,目前只用于简单字符认证,对于其它认证方式一律填0。
1.3 VRRP协议负载模式详解 VRRP负载均衡模式基本概念在VRRP标准协议模式中,只有Master路由器可以转发报文,Backup路由器处于监听状态,无法转发报文。虽然创建多个备份组可以实现多个路由器之间的负载分担,但是局域网内的主机需要使用不同的网关,在个别组网中不太现实。
VRRP负载均衡模式在VRRP提供的虚拟网关冗余备份功能基础上,增加了负载均衡功能。其实现原理为:将一个虚拟IP地址与多个虚拟MAC地址对应,VRRP备份组中的每个路由器都对应一个虚拟MAC地址;Master使用不同的虚拟MAC地址应答主机的ARP(IPv4网络中)/ND(IPv6网络中)请求,从而使得不同主机的流量发送到不同的路由器,备份组中的每个路由器都能转发流量。在VRRP负载均衡模式中,只需创建一个备份组,就可以实现备份组中多个路由器之间的负载分担,避免了VRRP备份组中Backup路由器始终处于空闲状态、网络资源利用率不高的问题。
虚拟MAC地址的分配VRRP负载均衡模式中,Master路由器负责为备份组中的路由器分配虚拟MAC地址,并为来自不同主机的ARP/ND请求,应答不同的虚拟MAC地址,从而实现流量在多个路由器之间分担。备份组中的Backup路由器不会应答主机的ARP/ND请求。
虚拟转发器
虚拟MAC地址的分配,实现了不同主机将流量发送给备份组中不同的路由器。为了使备份组中的路由器能够转发主机发送的流量,需要在路由器上创建虚拟转发器。每个虚拟转发器都对应备份组的一个虚拟MAC地址,负责转发目的MAC地址为该虚拟MAC地址的流量。
虚拟转发器的创建过程为:
(1)备份组中的路由器获取到Master为其分配的虚拟MAC地址后,创建该MAC地址对应的虚拟转发器,该路由器称为此虚拟MAC地址对应虚拟转发器的VF
Owner(Virtual Forwarder Owner,虚拟转发器拥有者)。
(2)该路由器将虚拟转发器的信息通告给备份组内其他的路由器。
(3)备份组内的路由器接收到虚拟转发器信息后,在本地创建该虚拟MAC地址对应的虚拟转发器。
由此可见,备份组中的路由器上不仅需要创建Master为其分配的虚拟MAC地址对应的虚拟转发器,还需要创建其他路由器通告的虚拟MAC地址对应的虚拟转发器。
(2)该路由器将虚拟转发器的信息通告给备份组内其他的路由器。
(3)备份组内的路由器接收到虚拟转发器信息后,在本地创建该虚拟MAC地址对应的虚拟转发器。
由此可见,备份组中的路由器上不仅需要创建Master为其分配的虚拟MAC地址对应的虚拟转发器,还需要创建其他路由器通告的虚拟MAC地址对应的虚拟转发器。