VRRP协议描述随着互联网的飞速发展,基于网络的APP越来越多,对网络可靠性的要求也越来越高。 我们必须在兼顾可靠性和经济性的同时取得平衡。
通常,子网中的所有主机都会设置到同一网关的默认路由。 从主机发送的所有目标地址都不在本网段中的消息将通过默认路由发送到网关,以便主机可以与外部网络进行通信。 如果网关出现故障,本网段中以网关为缺省路由的所有主机将中断与外部网络的通信。
默认路由对于用户的配置操作非常有用,但默认网关设备要求高度稳定。 提高系统可靠性的常用方法是增加出口网关,但如何选择多个出口是一个需要解决的问题。
虚拟路由冗馀协议(virtualrouterredundancyprotocol,简称VRRP )是一种很好的解决方案。 在局域网(如具有多播或广播功能的以太网)中,VRRP可以在设备出现故障时提供可靠的默认链路,而无需更改用户的配置信息。 在该协议中,通过对以太网等共享多址媒体上的终端IP设备的默认网关(Default Gateway )进行冗馀备份,在存在任意一个路由设备的情况下,备份路由设备及时进行传输作业
VRRP概述在基于TCP/IP协议的网络中,必须指定路由以确保没有直接物理连接的设备之间的通信。 有两种方法指定当前常用的路由。 一种是通过内部路由协议RIP和OSPF等路由协议动态学习;另一种是静态配置。 由于大多数客户端操作系统平台不支持动态路由协议,在各个终端上运行动态路由协议是不现实的,即使支持,但由于管理开销、收敛度、安全性等诸多问题因此,到终端IP设备静态路由配置是典型的,且向终端设备指定一个或多个默认网关是典型的。 静态路由方法可以降低网络管理的复杂性,减少终端设备的通信开销,但如果缺省网关路由器损坏,使用该网关作为下一跳的所有主机的通信必然会中断即使配置了多个默认网关,只有重新启动终端设备才能切换到新网关。 采用VRRP可以较好地避免静态指定网关的缺陷。
VRRP协议:具有多播或广播功能的局域网设计,可确保在局域网中主机的下一个路由器出现故障时,另一个路由器立即备用,从而确保通信的可靠性和连续性。 要使VRRP工作,必须在路由器上配置虚拟路由器号和虚拟IP,同时生成虚拟MAC地址,并将虚拟路由器添加到此网络。 网络上的主机与此路由器进行通信,无需了解此网络上的物理路由器的信息。 一个虚拟路由器有一个主路由器和多个备用路由器,主路由器提供真正的转发功能。 如果主路由器发生故障,备用路由器将成为新的主路由器并接管其工作。
VRRP协议的实现有两个版本: VRRPv2和VRRPv3。 其中VRRPv2基于IPv4,VRRPv3基于IPv6。 两个版本的VRRP在功能实现上没有区别。 IPv4设备和IPv6设备使用的命令不同。
VRRP只定义了一种消息,它是多播消息,封装在IP消息中,定时发自主路由器通知它的存在。 通过使用这些信息,可以检测出虚拟路由器的各种参数,也可以用于主路由器的选举。
VRRP定义了模型初始状态(Initialize )、主机状态)、备用状态(Backup )这3个状态。 这里,只有主机状态才能服务于转发到虚拟IP地址的请求。
2.VRRP基本概念vrrp路由器和虚拟路由器
VRRP路由器是运行VRRP的路由器,是一个物理实体,虚拟路由器是通过VRRP协议创建的逻辑概念。 一组VRRP路由器协作配置一台虚拟路由器。 该虚拟路由器具有唯一的静态IP地址和MAC地址。 主路由器和备用路由器
同一VRRP组中的路由器具有两个互斥角色:主路由器和备份路由器。 一个VRRP组中只能有一个主机路由器,并且可以有一个或多个路由器负责备份。 VRRP协议采用优先级方式,从路由器组中选择一台作为主机,负责ARP的对应和IP数据包的转发,组内其他路由器作为备用路由器进行待机。 如果主路由器由于任何原因出现故障,备份路由器可以在几秒钟内推迟升级到主路由器。 这种切换非常快速,而且不会更改IP和MAC地址,因此对最终用户系统是透明的。
VRRP备份路由器具有以下特征:
LAN中的主机只需知道此虚拟路由器的IP地址并将其设置为缺省路由的下一跳地址即可。
网络中的主机通过此虚拟路由器与外部网络进行通信。
备份组中的路由器根据一定的选举机制,分别承担网关的功能。 如果备份组中负责网关功能的路由器出现故障,则剩下的路由器将继续充当网关。 VRRP优先级
VRRP根据优先级确定参与备份组的每个路由器的角色。 主路由器或备份路由器)。 优先级越高,越有可能成为主路由器。 抢占模式
在非抢占方法中,备份组中的任何路由器成为主路由器后,如果其他路由器具有较高的优先级,则它不会成为主路由器,除非发生故障。
如果路由器被设置为抢占式,当它发现自己的优先级高于当前主路由器时,它就是主路由器; 因此,原始主路由器将是Backup路由器。 监视接口功能
VRRP的监视接口功能
更好地扩充了备份功能:不仅在备份组中某路由器的接口出现故障时能提供备份功能,还能在路由器的其它接口不可用时提供备份功能。当被监视的接口处于down状态时,拥有该接口的路由器的优先级会自动降低一定的优先级,从而可能导致备份组内其它路由器的优先级高于这个路由器的优先级,使其它优先级高的路由器转变为Master路由器。 三.VRRP原理一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟MAC地址,格式为00-00-5E-00-01-[VRID]。主机路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少了切换对终端设备的影响。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组播地址为224.0.0.18,发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃做主机时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性来设定。主机路由器的选择中,高优先级的虚拟路由器优先,因此,如果在VRRP组中有IP地址所有者,则它总是作为主机路由。对于相同优先级的候选路由器,按照IP地址大小顺序来选择。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主机路由器而成为新的主机路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文重放和修改等攻击。
VRRP是在接入层中最常用的备份技术,在应用路由器作VRRP备份的时候,下挂的以太网交换机是必须的,而且应用方式也比较固定。当越来越多的三层交换机在接入层应用时,由于三层交换机本身具有二层交换机的全部功能,原来比较固定的VRRP应用模式虽然在网络拓扑结构上没有太大的变化,但是在数据配置方面确有了很多的改变,并且客户也可以根据不同的需求,有更多的选择。
总的说来,应用三层交换机作接入层VRRP备份,根据两台设备之间互连链路的不同应用方式,可以分为两类:互连链路应用三层,互连链路应用二层。对于互连链路应用三层的情况,与路由器组网没有太大的差别,只是由于三层交换机在启动三层转发功能时需要配置三层逻辑接口VlanInterface,而VlanInterface的up/down状态取决与该Vlan内所有物理端口的状态,所以,需要注意上行Vlan的配置。对于互连链路应用二层的情况,与路由器组网差别较大,由于中间互连端口采用中继线模式,所以,每个接入Vlan的广播域都会有环路存在。
最典型的VRRP应用实例:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。
在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地址所有者。将H1的默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。