- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
04-VRRP
本章節下載: 04-VRRP (243.50 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ VRRP備份組
在具有組播或廣播能力的局域網(如以太網)中,借助VRRP能在某台設備出現故障時仍然提供高可靠的鏈路,有效避免單一鏈路發生故障後網絡中斷的問題。
VRRP將可以承擔網關功能的一組設備加入到備份組中,形成一台虛擬設備。VRRP通過選舉機製決定哪台設備承擔轉發任務,局域網內的主機隻需將虛擬設備配置為默認網關即可。因此,VRRP在提高可靠性的同時,簡化了主機的配置。
VRRP將局域網內的可以承擔網關功能的一組設備劃分在一起,組成一個備份組。備份組由一台Master設備和多台Backup設備組成,對外相當於一台虛擬設備。
備份組具有IP地址,稱為虛擬IP地址。局域網內的主機僅需要知道這台虛擬設備的IP地址,並將其設置為網關的IP地址即可。局域網內的主機通過這台虛擬設備與外部網絡進行通信。
虛擬設備的IP地址可以是備份組所在網段中未被分配的IP地址,也可以和備份組內的某個設備的接口IP地址相同。接口IP地址與虛擬IP地址相同的設備被稱為IP地址擁有者。
VRRP根據優先級來確定備份組中每台設備的角色(Master設備或Backup設備)。優先級越高,則越有可能成為Master設備。
VRRP優先級的取值範圍為0到255(數值越大表明優先級越高),可配置的範圍是1到254,優先級0為係統保留給特殊用途來使用,255則是係統保留給IP地址擁有者。當設備為IP地址擁有者時,其優先級始終為255。因此,當備份組內存在IP地址擁有者時,隻要其工作正常,則為Master設備。在同一個VRRP備份組中,隻能存在一個IP地址擁有者。
備份組中的設備具有以下兩種方式:
· 搶占方式:在該方式下Backup設備一旦發現自己的優先級比當前Master設備的優先級高,就會觸發Master設備的重新選舉,並最終取代原有的Master設備。搶占方式可以確保承擔轉發任務的Master設備始終是備份組中優先級最高的設備。
· 非搶占方式:在該方式下隻要Master設備沒有出現故障,Backup設備即使隨後被配置了更高的優先級也不會成為Master設備。非搶占方式可以避免頻繁地切換Master設備。
在搶占方式下,為了避免備份組內的成員頻繁進行主備狀態轉換,讓Backup設備有足夠的時間搜集必要的信息(如路由信息),Backup設備接收到優先級低於本地優先級的通告報文後,不會立即搶占成為Master設備,而是等待搶占延遲時間後,才會重新選舉新的Master設備。
VRRP通過在VRRP報文中增加認證字的方式,驗證接收到的VRRP報文,防止非法用戶構造報文攻擊備份組內的設備。VRRP提供了三種認證方式:
· 無認證:發送VRRP報文的設備與接收報文的設備之間不進行報文合法性認證。
· 簡單字符認證:發送VRRP報文的設備將認證字填入到VRRP報文中,而收到VRRP報文的設備會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同,則認為接收到的報文是真實、合法的VRRP報文;否則認為接收到的報文是一個非法報文,將其丟棄。
· MD5認證:發送VRRP報文的設備利用認證字和MD5算法對VRRP報文進行摘要運算,運算結果保存在VRRP報文中。收到VRRP報文的設備會利用本地配置的認證字和MD5算法進行同樣的運算,並將運算結果與認證頭的內容進行比較。如果相同,則認為接收到的報文是合法的VRRP報文;否則認為接收到的報文是一個非法報文,然後將其丟棄。
VRRP備份組中的Master設備會定時發送VRRP通告報文,通知備份組內的設備自己工作正常。需要注意的是:
· 建議配置VRRP通告報文的發送間隔大於100厘秒,否則會對係統的穩定性產生影響。
· 使用VRRPv2版本時,IPv4 VRRP備份組中的所有設備必須配置相同的VRRP通告報文時間間隔。
· 使用VRRPv3版本時,VRRP備份組中的設備上配置的VRRP通告報文時間間隔可以不同。Master設備根據自身配置的報文時間間隔定時發送通告報文,並在通告報文中攜帶Master設備上配置的時間間隔;Backup設備接收到Master設備發送的通告報文後,記錄報文中攜帶的Master設備通告報文時間間隔,如果在3×記錄的時間間隔+Skew_Time內沒有收到Master設備發送的VRRP通告報文,則認為Master設備出現故障,重新選舉Master設備。
· 網絡流量過大可能會導致Backup設備在指定時間內沒有收到Master設備的VRRP通告報文,從而發生狀態轉換。可以通過將VRRP通告報文的發送時間間隔延長的辦法來解決該問題。
缺省情況下,在Master的三層以太網子接口上配置模糊VLAN終結後,該接口不支持發送廣播和組播報文。為了保證Master可以周期性地向Backup發送VRRP通告報文(組播報文),需要在Master的三層以太網子接口上啟用VLAN終結支持廣播/組播報文功能。啟用該功能後,VRRP通告報文將發送給所有終結的VLAN。三層以太網子接口上模糊終結的VLAN較多時,會導致發送的VRRP通告報文數量過多,嚴重影響設備的性能。
配置VRRP的控製VLAN能夠解決上述問題。關閉VLAN終結支持廣播/組播功能,並配置VRRP的控製VLAN後,可以使得Master設備僅在控製VLAN內發送VRRP通告報文,避免發送過多的VRRP通告報文。
VRRP的控製VLAN分為兩種:
· 隻指定一層VLAN Tag:配置了模糊Dot1q終結的子接口上,需要指定此類控製VLAN;
· 指定兩層VLAN Tag:配置了模糊QinQ終結的子接口上,需要指定此類控製VLAN。
· VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持對VRRP報文進行認證。
· 一個接口上的不同備份組可以設置不同的認證方式和認證字;加入同一備份組的設備需要設置相同的認證方式和認證字。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
