- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-VRRP配置
本章節下載: 01-VRRP配置 (500.47 KB)
目 錄
通常,同一網段內的所有主機上都存在一個相同的默認網關。主機發往其它網段的報文將通過默認網關進行轉發,從而實現主機與外部網絡的通信。如圖1-1所示,當默認網關發生故障時,本網段內所有主機將無法與外部網絡通信。
默認網關為用戶的配置操作提供了方便,但是對網關設備提出了很高的穩定性要求。增加網關是提高鏈路可靠性的常見方法,此時如何在多個出口之間進行選路就成為需要解決的問題。
VRRP(Virtual Router Redundancy Protocol,虛擬路由器冗餘協議)可以解決這個問題,VRRP功能將可以承擔網關功能的一組路由器加入到備份組中,形成一台虛擬路由器,並為該虛擬路由器指定虛擬IP地址。VRRP通過選舉機製決定哪台路由器承擔轉發任務。局域網內的主機僅需要知道這台虛擬路由器的虛擬IP地址,並將其設置為網關的IP地址即可。局域網內的主機通過這台虛擬路由器與外部網絡進行通信。
VRRP在提高可靠性的同時,簡化了主機的配置。在具有組播或廣播能力的局域網(如以太網)中,借助VRRP能在某台路由器出現故障時仍然提供高可靠的鏈路,有效避免單一鏈路發生故障後網絡中斷的問題。
設備支持兩種工作模式的VRRP:
· 標準協議模式:基於RFC實現的VRRP,詳細介紹請參見“1.2 VRRP標準協議模式”。
· 負載均衡模式:在標準協議模式的基礎上進行了擴展,實現了負載均衡功能,詳細介紹請參見“1.3 VRRP負載均衡模式”。
VRRP包括VRRPv2和VRRPv3兩個版本,VRRPv2版本隻支持IPv4 VRRP,VRRPv3版本支持IPv4 VRRP和IPv6 VRRP。
VRRP標準協議模式典型組網如圖1-2所示,Router A、Router B和Router C組成一台虛擬路由器。此虛擬路由器有自己的IP地址,由用戶手工指定。局域網內的主機將虛擬路由器設置為默認網關。Router A、Router B和Router C中優先級最高的路由器作為Master路由器,承擔網關的功能,其餘兩台路由器作為Backup路由器,當Master路由器發生故障時,取代Master路由器繼續履行網關職責,從而保證局域網內的主機可不間斷地與外部網絡進行通信。
圖1-2 VRRP組網示意圖
虛擬路由器的IP地址可以是備份組所在網段中未被分配的IP地址,也可以和備份組內的某個路由器的接口IP地址相同。接口IP地址與虛擬IP地址相同的路由器被稱為IP地址擁有者。在同一個VRRP備份組中,隻能存在一個IP地址擁有者。
VRRP根據優先級來確定備份組中每台路由器的角色(Master路由器或Backup路由器)。優先級越高,則越有可能成為Master路由器。
VRRP優先級的取值範圍為0到255(數值越大表明優先級越高),可配置的範圍是1到254,優先級0為係統保留給特殊用途來使用,255則是係統保留給IP地址擁有者。當路由器為IP地址擁有者時,其優先級始終為255。因此,當備份組內存在IP地址擁有者時,隻要其工作正常,則為Master路由器。
備份組中的路由器具有以下兩種工作方式:
· 非搶占方式:在該方式下隻要Master路由器未出現故障,Backup路由器即使隨後被配置了更高的優先級也不會成為Master路由器。非搶占方式可以避免頻繁地切換Master路由器。
· 搶占方式:在該方式下Backup路由器一旦發現自己的優先級比當前Master路由器的優先級高,就會觸發Master路由器的重新選舉,並最終取代原有的Master路由器。搶占方式可以確保承擔轉發任務的Master路由器始終是備份組中優先級最高的路由器。
VRRP通過在VRRP報文中增加認證字的方式,驗證接收到的VRRP報文,防止非法用戶構造報文攻擊備份組內的路由器。VRRP提供了兩種認證方式:
· 簡單字符認證:發送VRRP報文的路由器將認證字填入到VRRP報文中,而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同,則認為接收到的報文是真實、合法的VRRP報文;否則認為接收到的報文是一個非法報文,將其丟棄。
· MD5認證:發送VRRP報文的路由器利用認證字和MD5算法對VRRP報文進行摘要運算,運算結果保存在VRRP報文中。收到VRRP報文的路由器會利用本地配置的認證字和MD5算法進行同樣的運算,並將運算結果與認證頭的內容進行比較。如果相同,則認為接收到的報文是合法的VRRP報文;否則認為接收到的報文是一個非法報文,然後將其丟棄。
在一個安全的網絡中,用戶也可以不設置認證方式。
VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持對VRRP報文進行認證。
偏移時間(Skew_Time)用來避免Master路由器出現故障時,備份組中的多個Backup路由器在同一時刻同時轉變為Master路由器,導致備份組中存在多台Master路由器。
Skew_Time的值不可配置,其計算方法與使用的VRRP協議版本有關:
· 使用VRRPv2版本(RFC 3768)時,計算方法為:(256-路由器在備份組中的優先級)/256
· 使用VRRPv3版本(RFC 5798)時,計算方法為:((256-路由器在備份組中的優先級)×VRRP通告報文的發送時間間隔)/256
VRRP備份組中的Master路由器會定時發送VRRP通告報文,通知備份組內的路由器自己工作正常。
用戶可以通過命令行來調整Master路由器發送VRRP通告報文的發送間隔。如果Backup路由器在等待了3×發送間隔+Skew_Time後,依然未收到VRRP通告報文,則認為自己是Master路由器,並向本組其它路由器發送VRRP通告報文,重新進行Master路由器的選舉。
為了避免備份組內的成員頻繁進行主備狀態轉換、讓Backup路由器有足夠的時間搜集必要的信息(如路由信息),在搶占方式下,Backup路由器接收到優先級低於本地優先級的VRRP通告報文後,不會立即搶占成為Master路由器,而是等待一定時間——搶占延遲時間+Skew_Time後,才會對外發送VRRP通告報文通過Master路由器選舉取代原來的Master路由器。
備份組中的路由器根據優先級確定自己在備份組中的角色。路由器加入備份組後,初始處於Backup狀態:
· 如果等待3×發送間隔+Skew_Time後還未收到VRRP通告報文,則轉換為Master狀態;
· 如果在3×發送間隔+Skew_Time內收到優先級大於或等於自己優先級的VRRP通告報文,則保持Backup狀態;
· 如果在3×發送間隔+Skew_Time內收到優先級小於自己優先級的VRRP通告報文,且路由器工作在非搶占方式,則保持Backup狀態;否則,路由器搶占成為Master路由器。
通過上述步驟選舉出的Master路由器啟動VRRP通告報文發送間隔定時器,定期向外發送VRRP通告報文,通知備份組內的其它路由器自己工作正常;Backup路由器則啟動定時器等待VRRP通告報文的到來。
由於網絡故障原因造成備份組中存在多台Master路由器時,這些Master路由器會根據優先級和IP地址選舉出一個Master路由器:優先級高的路由器成為Master路由器;優先級低的成為Backup路由器;如果優先級相同,則IP地址大的成為Master路由器。
VRRP監視功能通過NQA(Network Quality Analyzer,網絡質量分析)、BFD(Bidirectional Forwarding Detection,雙向轉發檢測)等監測Master路由器和上行鏈路的狀態,並通過Track功能在VRRP設備狀態和NQA/BFD之間建立關聯:
· 監視上行鏈路,根據上行鏈路的狀態,改變路由器的優先級。當Master路由器的上行鏈路出現故障,局域網內的主機無法通過網關訪問外部網絡時,被監視Track項的狀態變為Negative,Master路由器的優先級降低指定的數值。使得當前的Master路由器不是組內優先級最高的路由器,而其它路由器成為Master路由器,保證局域網內主機與外部網絡的通信不會中斷。
· 在Backup路由器上監視Master路由器的狀態。當Master路由器出現故障時,監視Master路由器狀態的Backup路由器能夠迅速成為Master路由器,以保證通信不會中斷。
被監視Track項的狀態由Negative變為Positive或Notready後,對應的路由器優先級會自動恢複。Track項的詳細介紹,請參見“可靠性配置指導”中的“Track”。
VRRP監視功能隻能工作在搶占方式下,用以保證隻有優先級最高的路由器才能成為Master路由器。
主備備份方式表示轉發任務僅由Master路由器承擔。當Master路由器出現故障時,才會從其它Backup路由器選舉出一個接替工作。主備備份方式僅需要一個備份組,不同路由器在該備份組中擁有不同優先級,優先級最高的路由器將成為Master路由器,如圖1-3中所示(以IPv4 VRRP為例)。
初始情況下,Router A為Master路由器並承擔轉發任務,Router B和Router C是Backup路由器且都處於就緒監聽狀態。如果Router A發生故障,則備份組內處於Backup狀態的Router B和Router C路由器將根據優先級選出一台新的Master路由器,這台新Master路由器繼續向網絡內的主機提供網關服務。
一台路由器可加入多個備份組,在不同備份組中有不同的優先級,使得該路由器可以在一個備份組中作為Master路由器,在其它的備份組中作為Backup路由器。
負載分擔方式是指多台路由器同時承擔網關的功能,因此負載分擔方式需要兩個或者兩個以上的備份組,每個備份組都包括一台Master路由器和若幹台Backup路由器,各備份組的Master路由器各不相同,如圖1-4中所示。
同一台路由器同時加入多個VRRP備份組,在不同備份組中有不同的優先級。
在圖1-4中,有三個備份組存在:
· 備份組1:對應虛擬路由器1。Router A作為Master路由器,Router B和Router C作為Backup路由器。
· 備份組2:對應虛擬路由器2。Router B作為Master路由器,Router A和Router C作為Backup路由器。
· 備份組3:對應虛擬路由器3。Router C作為Master路由器,Router A和Router B作為Backup路由器。
為了實現業務流量在Router A、Router B和Router C之間進行負載分擔,需要將局域網內的主機的缺省網關分別設置為虛擬路由器1、虛擬路由器2和虛擬路由器3。在配置優先級時,需要確保備份組1中,Router A的優先級最高;備份組2中,Router B的優先級最高;備份組3中,Router C的優先級最高。
在VRRP標準協議模式中,隻有Master路由器可以轉發報文,Backup路由器處於監聽狀態,無法轉發報文。雖然創建多個備份組可以實現多台路由器之間的負載分擔,但是局域網內的主機需要設置不同的網關,增加了配置的複雜性。
VRRP負載均衡模式在VRRP提供的虛擬網關冗餘備份功能基礎上,增加了負載均衡功能。其實現原理為:將一個虛擬IP地址與多個虛擬MAC地址對應,VRRP備份組中的每台路由器都對應一個虛擬MAC地址;使用不同的虛擬MAC地址應答主機的ARP(IPv4網絡中)/ND(IPv6網絡中)請求,從而使得不同主機的流量發送到不同的路由器,備份組中的每台路由器都能轉發流量。在VRRP負載均衡模式中,隻需創建一個備份組,就可以實現備份組中多台路由器之間的負載分擔,避免了標準協議模式下VRRP備份組中Backup路由器始終處於空閑狀態、網絡資源利用率不高的問題。
VRRP負載均衡模式以VRRP標準協議模式為基礎,VRRP標準協議模式中的工作機製(如Master路由器的選舉、搶占、監視功能等),VRRP負載均衡模式均支持。VRRP負載均衡模式還在此基礎上,增加了新的工作機製。
VRRP負載均衡模式中,Master路由器負責為備份組中的路由器分配虛擬MAC地址,並為來自不同主機的ARP/ND請求,應答不同的虛擬MAC地址,從而實現流量在多台路由器之間分擔。備份組中的Backup路由器不會應答主機的ARP/ND請求。
以IPv4網絡為例,VRRP負載均衡模式的具體工作過程為:
(1) Master路由器為備份組中的路由器(包括Master自身)分配虛擬MAC地址。如圖1-5所示,虛擬IP地址為10.1.1.1/24的備份組中,Router A作為Master路由器,Router B作為Backup路由器。Router A為自己分配的虛擬MAC地址為000f-e2ff-0011,為Router B分配的虛擬MAC地址為000f-e2ff-0012。
圖1-5 Master分配虛擬MAC地址
(2) Master路由器接收到主機發送的目標IP地址為虛擬IP地址的ARP請求後,根據負載均衡算法使用不同的虛擬MAC地址應答主機的ARP請求。如圖1-6所示,Host A發送ARP請求獲取網關10.1.1.1對應的MAC地址時,Master路由器(即Router A)使用Router A的虛擬MAC地址應答該請求;Host B發送ARP請求獲取網關10.1.1.1對應的MAC地址時,Master路由器使用Router B的虛擬MAC地址應答該請求。
圖1-6 Master應答ARP請求
(3) 通過使用不同的虛擬MAC地址應答主機的ARP請求,可以實現不同主機的流量發送給不同的路由器。如圖1-7所示,Host A認為網關的MAC地址為Router A的虛擬MAC地址,從而保證Host A的流量通過Router A轉發;Host B認為網關的MAC地址為Router B的虛擬MAC地址,從而保證Host B的流量通過Router B轉發。
當Master路由器收到ARP請求報文後,發出的ARP應答報文中以太網報文頭部中的源MAC地址和ARP報文內容的源MAC地址不一致。這樣,就需要對和VRRP備份組配合使用的二層設備做如下限製:
· 不能開啟ARP報文源MAC地址一致性檢查功能;
· 如果開啟了ARP Detection功能,不能開啟ARP報文有效性檢查功能的源MAC地址檢查模式。
關於“ARP報文源MAC地址一致性檢查”和“ARP Detection”功能的介紹,請參見“安全使用指導”中的“ARP攻擊防禦”。
虛擬MAC地址的分配,實現了不同主機將流量發送給備份組中不同的路由器。為了使備份組中的路由器能夠轉發主機發送的流量,需要在路由器上創建虛擬轉發器。每個虛擬轉發器都對應備份組的一個虛擬MAC地址,負責轉發目的MAC地址為該虛擬MAC地址的流量。
虛擬轉發器的創建過程為:
(1) 備份組中的路由器獲取到Master路由器為其分配的虛擬MAC地址後,創建該MAC地址對應的虛擬轉發器,該路由器稱為此虛擬MAC地址對應虛擬轉發器的VF Owner(Virtual Forwarder Owner,虛擬轉發器擁有者)。
(2) VF Owner將虛擬轉發器的信息通告給備份組內其它的路由器。
(3) 備份組內的路由器接收到虛擬轉發器信息後,在本地創建對應的虛擬轉發器。
由此可見,備份組中的路由器上不僅需要創建Master路由器為其分配的虛擬MAC地址對應的虛擬轉發器,還需要創建其它路由器通告的虛擬MAC地址對應的虛擬轉發器。
虛擬轉發器的權重標識了虛擬轉發器的轉發能力。權重值越高,虛擬轉發器的轉發能力越強。當權重低於一定的值——失效下限時,虛擬轉發器無法再為主機轉發流量。
虛擬轉發器的優先級用來決定虛擬轉發器的狀態:不同路由器上同一個虛擬MAC地址對應的虛擬轉發器中,優先級最高的虛擬轉發器處於Active狀態,稱為AVF(Active Virtual Forwarder,動態虛擬轉發器),負責轉發流量;其它虛擬轉發器處於Listening狀態,稱為LVF(Listening Virtual Forwarder,監聽虛擬轉發器),監聽AVF的狀態,不轉發流量。虛擬轉發器的優先級取值範圍為0~255,其中,255保留給VF Owner使用。如果VF Owner的權重高於或等於失效下限,則VF Owner的優先級為最高值255。
設備根據虛擬轉發器的權重計算虛擬轉發器的優先級:
· 如果權重高於或等於失效下限,且設備為VF Owner,則虛擬轉發器的優先級為最高值255;
· 如果權重高於或等於失效下限,且設備不是VF Owner,則虛擬轉發器的優先級為權重/(本地AVF的數目+1);
· 如果權重低於失效下限,則虛擬轉發器的優先級為0。
備份組中不同路由器上同一個虛擬MAC地址對應的虛擬轉發器之間形成備份關係。當為主機轉發流量的虛擬轉發器或其對應的路由器出現故障後,可以由其它路由器上備份的虛擬轉發器接替其為主機轉發流量。
圖1-8舉例說明了備份組中每台路由器上的虛擬轉發器信息及其備份關係。Master路由器Router A為自己、Router B和Router C分配的虛擬MAC地址分別為000f-e2ff-0011、000f-e2ff-0012和000f-e2ff-0013。這些虛擬MAC地址對應的虛擬轉發器分別為VF 1、VF 2和VF 3。在Router A、Router B和Router C上都創建了這三個虛擬轉發器,並形成備份關係。例如,Router A、Router B和Router C上的VF 1互相備份:
· Router A為VF 1的VF Owner,Router A上VF 1的虛擬轉發器優先級為最高值255。因此,Router A上的VF 1作為AVF,負責轉發目的MAC地址為虛擬MAC地址000f-e2ff-0011的流量。
· Router B和Router C上VF 1的虛擬轉發器優先級為:權重255/(本地AVF數目1+1)=127,低於Router A上VF 1的優先級。因此,Router B和Router C上的VF 1作為LVF,監視Router A上VF 1的狀態。
· 當Router A上的VF 1出現故障時,將從Router B和Router C上的VF 1中選舉出虛擬轉發器優先級最高的LVF作為AVF,負責轉發目的MAC地址為虛擬MAC地址000f-e2ff-0011的流量。如果LVF的優先級相同,則LVF所在設備接口MAC地址大的成為AVF。
虛擬轉發器始終工作在搶占模式。對於不同路由器上互相備份的LVF和AVF,如果LVF接收到AVF發送的虛擬轉發器信息中虛擬轉發器優先級低於本地虛擬轉發器假設變成AVF後的優先級,則LVF將會搶占成為AVF。
虛擬轉發器的AVF出現故障後,接替其工作的新的AVF將為該VF創建Redirect Timer和Timeout Timer兩個定時器。
· Redirect Timer:VF重定向定時器。該定時器超時前,Master路由器還會采用該VF對應的虛擬MAC地址應答主機的ARP/ND請求;該定時器超時後,Master路由器不再采用該VF對應的虛擬MAC地址應答主機的ARP/ND請求。如果VF Owner在Redirect Timer超時前恢複,則VF Owner可以迅速參與流量的負載分擔。
· Timeout Timer:VF生存定時器,即AVF接替VF Owner工作的期限。該定時器超時前,備份組中的路由器上都保留該VF,AVF負責轉發目的MAC地址為該VF對應虛擬MAC地址的報文;該定時器超時後,備份組中的路由器上都刪除該VF,不再轉發目的MAC地址為該VF對應虛擬MAC地址的報文。
AVF負責轉發目的MAC地址為虛擬轉發器MAC地址的流量,當AVF連接的上行鏈路出現故障時,如果不能及時通知LVF接替其工作,局域網中以此虛擬轉發器MAC地址為網關MAC地址的主機將無法訪問外部網絡。
虛擬轉發器的監視功能可以解決上述問題。利用NQA、BFD等監測AVF連接的上行鏈路的狀態,並通過Track功能在虛擬轉發器和NQA/BFD之間建立聯動。當上行鏈路出現故障,Track項的狀態變為Negative,虛擬轉發器的權重將降低指定的數額,以便虛擬轉發器優先級更高的路由器搶占成為AVF,接替其轉發流量。
與VRRP相關的協議規範有:
· RFC 3768:Virtual Router Redundancy Protocol (VRRP)
· RFC 5798:Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6
· 在聚合組的成員端口上配置VRRP不生效。
· 每台路由器都需要配置一致的功能,才能形成一個VRRP備份組。
IPv4 VRRP配置任務如下:
(1) 配置IPv4 VRRP的工作模式
(2) (可選)配置使用的IPv4 VRRP版本
(3) 配置IPv4 VRRP備份組
(4) (可選)配置IPv4 VRRP的控製VLAN
VRRP工作在負載均衡模式時,不能配置VRRP的控製VLAN。
(5) (可選)配置IPv4 VRRP報文的相關屬性
(6) (可選)配置虛擬轉發器監視功能
本配置僅在VRRP負載均衡模式下生效。
(7) (可選)開啟告警功能
配置VRRP的工作模式後,路由器上所有的IPv4 VRRP備份組都工作在指定的模式。
(1) 進入係統視圖。
system-view
(2) 配置VRRP工作模式。
¡ 配置VRRP工作在標準協議模式。
undo vrrp mode
¡ 配置VRRP工作在負載均衡模式。
vrrp mode load-balance [ version-8 ]
缺省情況下,VRRP工作在標準協議模式。
IPv4 VRRP既可以使用VRRPv2版本,也可以使用VRRPv3版本。通過本配置,可以指定接口上IPv4 VRRP使用的版本。
IPv4 VRRP備份組中的所有路由器上配置的IPv4 VRRP版本必須一致,否則備份組無法正常工作。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置使用的VRRP版本。
vrrp version version-number
缺省情況下,IPv4 VRRP使用VRRPv3版本。
隻有創建備份組,並為備份組配置虛擬IP地址後,備份組才能正常工作。如果接口連接多個子網,則可以為一個備份組配置多個虛擬IP地址,以便實現不同子網中路由器的備份。
關閉VRRP備份組功能通常用於暫時禁用備份組,但還需要再次開啟該備份組的場景。關閉備份組後,該備份組的狀態為Initialize,並且該備份組所有已存在的配置保持不變。在關閉狀態下還可以對備份進行配置。備份組再次被開啟後,基於最新的配置,從Initialize狀態重新開始運行。
|
限製項 |
說明 |
|
最大備份組及虛擬IP地址數目 |
標準協議模式下,一個接口上能夠創建的最大備份組數目為32個,一個備份組最多可以配置的虛擬IP地址數目是16個 負載均衡模式下,設備支持備份組最大數量為MaxVRNum/N,其中MaxVRNum為標準協議模式下支持配置備份組的最大數量,N為VRRP備份組內設備數量 |
|
備份組的虛擬IP地址 |
VRRP工作在標準協議模式時,備份組的虛擬IP地址可以是備份組所在網段中未被分配的IP地址,也可以和備份組內的某個路由器的接口IP地址相同 VRRP工作在負載均衡模式時,備份組的虛擬IP地址可以是備份組所在網段中未被分配的IP地址,但不能與VRRP備份組中路由器的接口IP地址相同,即負載均衡模式的VRRP備份組中不能存在IP地址擁有者 如果沒有為備份組配置虛擬IP地址,但為備份組進行了其它配置(如優先級、搶占方式等),則該備份組會存在於設備上,並處於Inactive狀態,此時備份組不起作用 建議將備份組的虛擬IP地址和備份組中設備下行接口的IP地址配置為同一網段,否則可能導致局域網內的主機無法訪問外部網絡 |
|
IP地址擁有者 |
路由器作為IP地址擁有者時,建議不要采用接口的IP地址(即備份組的虛擬IP地址)與相鄰的路由器建立OSPF鄰居關係,即不要通過network命令在該接口上開啟OSPF。network命令的詳細介紹,請參見“三層技術-IP路由命令參考”中的“OSPF” 刪除IP地址擁有者上的VRRP備份組,將導致地址衝突。建議先修改配置了備份組的接口的IP地址,再刪除該接口上的VRRP備份組,以避免地址衝突 IP地址擁有者的優先級始終為255,無需用戶配置;IP地址擁有者始終工作在搶占方式 路由器在某個備份組中作為IP地址擁有者時,如果在該路由器上執行vrrp vrid track priority reduced或vrrp vrid track switchover命令來配置該備份組監視指定的Track項,則該配置不會生效。該路由器不再作為IP地址擁有者後,監視指定的Track項功能的配置才會生效 |
|
VRRP關聯Track項狀態 |
被監視Track項的狀態由Negative變為Positive或Notready後,對應的路由器優先級會自動恢複或故障恢複後的原Master路由器會重新搶占為Master狀態 |
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 創建備份組,並配置備份組的虛擬IP地址。
vrrp vrid virtual-router-id virtual-ip virtual-address
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置路由器在備份組中的優先級。
vrrp vrid virtual-router-id priority priority-value
缺省情況下,路由器在備份組中的優先級為100。
(4) 配置備份組中的路由器工作在搶占方式,並配置搶占延遲時間。
vrrp vrid virtual-router-id preempt-mode [ delay delay-value ]
缺省情況下,備份組中的路由器工作在搶占方式,搶占延遲時間為0厘秒。
(5) 配置監視指定的Track項。
vrrp vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ip-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
缺省情況下,未指定被監視的Track項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 關閉VRRP備份組。
vrrp vrid virtual-router-id shutdown
圖1-9 VRRP的控製VLAN示意圖
如圖1-9所示,在路由器的三層以太網子接口上配置VLAN模糊終結,終結VLAN 10和VLAN 20。為了保證Master路由器可以周期性地向Backup發送VRRP通告報文(組播報文),需要在三層以太網子接口上開啟VLAN終結支持廣播/組播報文功能。開啟該功能後,VRRP通告報文將發送給所有終結的VLAN。三層以太網子接口上模糊終結的VLAN較多時,會導致發送的VRRP通告報文數量過多,嚴重影響設備的性能。
配置VRRP的控製VLAN能夠解決上述問題。關閉VLAN終結支持廣播/組播功能,並配置VRRP的控製VLAN後,可以使得Master路由器僅在控製VLAN內發送VRRP通告報文,避免發送過多的VRRP通告報文。
在配置了模糊Dot1q終結的子接口上,隻需要指定一層控製VLAN。
VLAN終結的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN終結”。
· VRRP工作在負載均衡模式時,不能配置VRRP的控製VLAN。
· 配置VRRP的控製VLAN後,建議通過arp send-gratuitous-arp命令配置備份組中的路由器周期性發送免費ARP報文,以便及時刷新各個模糊終結VLAN內設備上的MAC地址表項。arp send-gratuitous-arp命令的詳細介紹,請參見“三層技術-IP業務命令參考”中的“免費ARP”。
(1) 進入係統視圖。
system-view
(2) 進入三層以太網子接口、三層聚合子接口或以太網冗餘子接口視圖。
interface interface-type interface-number
(3) 在配置了模糊VLAN終結的子接口上,指定VRRP的控製VLAN。
¡ 在配置了模糊Dot1q終結的子接口上,指定VRRP的控製VLAN。
vrrp dot1q vid vlan-id
缺省情況下,未指定VRRP的控製VLAN,即Master路由器在所有模糊終結的VLAN內發送VRRP通告報文。
· 一個接口上的不同備份組可以設置不同的認證方式和認證字;加入同一備份組的路由器需要設置相同的認證方式和認證字。
· 使用VRRPv3時,認證方式和認證字的相關配置不會生效。
· 使用VRRPv2時,備份組中的所有路由器必須配置相同的VRRP通告報文發送間隔。
· 使用VRRPv3時,備份組中的路由器上配置的VRRP通告報文發送間隔可以不同。Master路由器根據自身配置的報文發送間隔定時發送通告報文,並在通告報文中攜帶Master路由器上配置的發送間隔;Backup路由器接收到Master路由器發送的通告報文後,記錄報文中攜帶的Master路由器通告報文發送間隔,如果在3×發送間隔+Skew_Time內未收到Master路由器發送的VRRP通告報文,則認為Master路由器出現故障,重新選舉Master路由器。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置備份組發送和接收VRRP報文的認證方式和認證字。
vrrp vrid virtual-router-id authentication-mode { md5 | simple } { cipher | plain } string
缺省情況下,不進行認證。
(4) 配置備份組中Master路由器發送VRRP通告報文的發送間隔。
vrrp vrid virtual-router-id timer advertise adver-interval
缺省情況下,備份組中Master路由器發送VRRP通告報文的發送間隔為100厘秒。
建議配置VRRP通告報文的發送間隔大於100厘秒,否則會對係統的穩定性產生影響。
(5) 為VRRP備份組指定源接口,該源接口用來代替IPv4 VRRP備份組所在接口進行該備份組VRRP報文的收發。
vrrp vrid virtual-router-id source-interface interface-type interface-number
缺省情況下,未指定備份組的源接口,VRRP報文通過VRRP備份組所在接口進行收發。
(6) 啟動對VRRP報文TTL域的檢查。
vrrp check-ttl enable
缺省情況下,檢查VRRP報文的TTL域。
(7) 退回係統視圖。
quit
(8) 配置VRRP報文的DSCP優先級。
vrrp dscp dscp-value
缺省情況下,VRRP報文的DSCP優先級為48。
DSCP用來體現報文自身的優先等級,決定報文傳輸的優先程度。
在VRRP標準協議模式和負載均衡模式下均可配置虛擬轉發器監視功能,但隻有在VRRP負載均衡模式下虛擬轉發器監視功能才會起作用。
VRRP工作在負載均衡模式時,如果通過Track功能在虛擬轉發器和NQA/BFD之間建立聯動,當Track項的狀態變為Negative時,路由器上所有虛擬轉發器的權重都將降低指定的數額;被監視的Track項的狀態由Negative變為Positive或Notready後,路由器中所有虛擬轉發器的權重會自動恢複。
· 缺省情況下,虛擬轉發器的權重為255,虛擬轉發器的失效下限為10。
· 由於VF Owner的權重高於或等於失效下限時,它的優先級始終為255,不會根據虛擬轉發器的權重改變。當監視的上行鏈路出現故障時,配置的權重降低數額需保證VF Owner的權重低於失效下限,即權重降低的數額大於245,其它的虛擬轉發器才能接替VF Owner成為AVF。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置虛擬轉發器監視指定的Track項。
vrrp vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ip-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
缺省情況下,未指定虛擬轉發器監視的Track項。
開啟VRRP的告警功能後,該模塊會生成告警信息,用於報告該模塊的重要事件。生成的告警信息將發送到設備的SNMP模塊,通過設置SNMP中告警信息的發送參數,來決定告警信息輸出的相關屬性。
有關告警信息的詳細介紹,請參見“網絡管理和監控配置指導”中的“SNMP”。
(1) 進入係統視圖。
system-view
(2) 開啟VRRP的告警功能。
snmp-agent trap enable vrrp [ auth-failure | new-master ]
缺省情況下,VRRP的告警功能處於開啟狀態。
在完成上述配置後,在任意視圖下執行display命令可以顯示IPv4 VRRP配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IPv4 VRRP統計信息。
表1-1 IPv4 VRRP顯示和維護
|
操作 |
命令 |
|
顯示IPv4 VRRP備份組的狀態信息 |
display vrrp [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ] |
|
顯示IPv4 VRRP備份組的統計信息 |
display vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
|
清除IPv4 VRRP備份組的統計信息 |
reset vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
· 在聚合組的成員端口上配置IPv6 VRRP不生效。
· 每台路由器都需要配置一致的功能,才能形成一個IPv6 VRRP備份組。
IPv6 VRRP配置任務如下:
(1) 配置IPv6 VRRP的工作模式
(2) 配置IPv6 VRRP備份組
(3) (可選)配置IPv6 VRRP的控製VLAN
IPv6 VRRP工作在負載均衡模式時,不能配置IPv6 VRRP的控製VLAN。
(4) (可選)配置虛擬轉發器監視功能
本配置僅在VRRP負載均衡模式下生效。
(5) (可選)配置IPv6 VRRP報文的相關屬性
配置VRRP的工作模式後,路由器上所有的IPv6 VRRP備份組都工作在該模式。
(1) 進入係統視圖。
system-view
(2) 配置VRRP工作模式。
¡ 配置VRRP工作在標準協議模式。
undo vrrp ipv6 mode
¡ 配置VRRP工作在負載均衡模式。
vrrp ipv6 mode load-balance
缺省情況下,VRRP工作在標準協議模式。
隻有創建備份組,並為備份組配置虛擬IPv6地址後,備份組才能正常工作。可以為一個備份組配置多個虛擬IPv6地址。
關閉IPv6 VRRP備份組功能通常用於暫時禁用備份組,但還需要再次開啟該備份組的場景。關閉備份組後,該備份組的狀態為Initialize,並且該備份組所有已存在的配置保持不變。在關閉狀態下還可以對備份進行配置。備份組再次被開啟後,基於最新的配置,從Initialize狀態重新開始運行。
|
限製項 |
說明 |
|
最大備份組及虛擬IP地址數目 |
標準協議模式下,一個接口上能夠創建的最大備份組數目為32個,一個備份組最多可以配置的虛擬IPv6地址數目為16個 負載均衡模式下設備支持備份組最大數量為MaxVRNum/N,其中MaxVRNum為標準協議模式下支持配置備份組的最大數量,N為VRRP備份組內設備數量 |
|
備份組的虛擬IP地址 |
VRRP工作在負載均衡模式時,虛擬IPv6地址不能與VRRP備份組中路由器的接口IPv6地址相同,即負載均衡模式的VRRP備份組中不能存在IP地址擁有者 如果沒有為備份組配置虛擬IPv6地址,但是為備份組進行了其它配置(如優先級、搶占方式等),則該備份組會存在於設備上,並處於Inactive狀態,此時備份組不起作用 建議將備份組虛擬IPv6地址和備份組中設備下行接口的IPv6地址配置為同一網段,否則可能導致局域網內的主機無法訪問外部網絡 |
|
IP地址擁有者 |
路由器作為IP地址擁有者時,建議不要采用接口的IPv6地址(即備份組的虛擬IPv6地址)與相鄰的路由器建立OSPFv3鄰居關係,即不要通過ospfv3 area命令在該接口上開啟OSPF。ospfv3 area命令的詳細介紹,請參見“三層技術-IP路由命令參考”中的“OSPFv3” 刪除IP地址擁有者上的VRRP備份組,將導致地址衝突。建議先修改IP地址擁有者的接口IPv6地址,再刪除該接口上的VRRP備份組,以避免地址衝突 IP地址擁有者的運行優先級始終為255,無需用戶配置;IP地址擁有者始終工作在搶占方式 路由器在某個備份組中作為IP地址擁有者時,如果在該路由器上執行vrrp ipv6 vrid track priority reduced或vrrp ipv6 vrid track switchover命令,則該配置不會生效。該路由器不再作為IP地址擁有者後,之前的配置才會生效 路由器作為IP地址擁有者時,需要在配置VRRP功能的接口上配置ipv6 nd dad attempts 0命令關閉重複地址檢測功能。ipv6 nd dad attempts 命令的詳細描述,請參見“三層技術-IP業務命令參考”中的“IPv6基礎” |
|
VRRP關聯Track項狀態 |
被監視Track項的狀態由Negative變為Positive或Notready後,對應的路由器優先級會自動恢複或故障恢複後的原Master路由器會重新搶占為Master狀態 |
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 創建備份組,並配置備份組的虛擬IPv6地址,該虛擬IPv6地址為鏈路本地地址。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address link-local
備份組的第一個虛擬IPv6地址必須是鏈路本地地址,並且每個備份組隻允許有一個鏈路本地地址,該地址必須最後一個刪除。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置備份組的虛擬IPv6地址,該虛擬IPv6地址為全球單播地址。
vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address
缺省情況下,沒有為備份組指定全球單播地址類型的虛擬IPv6地址。
(4) 配置路由器在備份組中的優先級。
vrrp ipv6 vrid virtual-router-id priority priority-value
缺省情況下,路由器在備份組中的優先級為100。
(5) 配置備份組中的路由器工作在搶占方式,並配置搶占延遲時間。
vrrp ipv6 vrid virtual-router-id preempt-mode [ delay delay-value ]
缺省情況下,備份組中的路由器工作在搶占方式,搶占延遲時間為0厘秒。
(6) 配置監視指定的Track項。
vrrp ipv6 vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ipv6-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
缺省情況下,未指定被監視的Track項。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 關閉IPv6 VRRP備份組。
vrrp ipv6 vrid virtual-router-id shutdown
缺省情況下,IPv6 VRRP備份組處於開啟狀態。
圖1-10 IPv6 VRRP控製VLAN示意圖
如圖1-10所示,在路由器的三層以太網子接口上配置VLAN模糊終結,終結VLAN 10和VLAN 20。為了保證Master路由器可以周期性地向Backup發送IPv6 VRRP通告報文(組播報文),需要在三層以太網子接口上開啟VLAN終結支持廣播/組播報文功能。開啟該功能後,IPv6 VRRP通告報文將發送給所有終結的VLAN。三層以太網子接口上模糊終結的VLAN較多時,會導致發送的IPv6 VRRP通告報文數量過多,嚴重影響設備的性能。
配置IPv6 VRRP的控製VLAN能夠解決上述問題。關閉VLAN終結支持廣播/組播功能,並配置IPv6 VRRP的控製VLAN後,可以使得Master路由器僅在控製VLAN內發送IPv6 VRRP通告報文,避免發送過多的IPv6 VRRP通告報文。
在配置了模糊Dot1q終結的子接口上,隻需要指定一層控製VLAN。
VLAN終結的詳細介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN終結”。
IPv6 VRRP工作在負載均衡模式時,不能配置IPv6 VRRP的控製VLAN。
(1) 進入係統視圖。
system-view
(2) 進入三層以太網子接口、三層聚合子接口或以太網冗餘子接口視圖。
interface interface-type interface-number
(3) 在配置了模糊VLAN終結的子接口上,指定IPv6 VRRP的控製VLAN。
¡ 在配置了模糊Dot1q終結的子接口上,指定IPv6 VRRP的控製VLAN。
vrrp ipv6 dot1q vid vlan-id
缺省情況下,未指定IPv6 VRRP的控製VLAN,即Master路由器在所有模糊終結的VLAN內發送IPv6 VRRP通告報文。
在VRRP標準協議模式和負載均衡模式均可配置虛擬轉發器監視功能,但隻有在VRRP負載均衡模式下虛擬轉發器監視功能才會起作用。
VRRP工作在負載均衡模式時,如果配置虛擬轉發器監視Track項,則當Track項狀態為Negative時,路由器上所有虛擬轉發器的權重都將降低指定的數額;被監視的Track項狀態由Negative變為Positive或Notready後,路由器中所有虛擬轉發器的權重會自動恢複。
· 缺省情況下,虛擬轉發器的權重為255;虛擬轉發器的失效下限為10。
· 由於VF Owner的權重高於或等於失效下限時,它的優先級始終為255,不會根據虛擬轉發器的權重改變.當監視的上行鏈路出現故障時,配置的權重降低數額需保證VF Owner的權重低於失效下限,即權重降低的數額大於245,其它的虛擬轉發器才能接替VF Owner成為AVF。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置虛擬轉發器監視指定的Track項。
vrrp ipv6 vrid virtual-router-id track track-entry-number { forwarder-switchover member-ip ipv6-address | priority reduced [ priority-reduced ] | switchover | weight reduced [ weight-reduced ] }
缺省情況下,未指定虛擬轉發器監視的Track項。
· IPv6 VRRP備份組中的路由器上配置的VRRP通告報文發送間隔可以不同。Master路由器根據自身配置的報文發送間隔定時發送通告報文,並在通告報文中攜帶Master路由器上配置的發送間隔;Backup路由器接收到Master路由器發送的通告報文後,記錄報文中攜帶的Master通告報文發送間隔,如果在3×發送間隔+Skew_Time內未收到Master路由器發送的VRRP通告報文,則認為Master路由器出現故障,重新選舉Master路由器。
· 網絡流量過大可能會導致Backup路由器在指定時間內未收到Master路由器的VRRP通告報文,而發生狀態轉換。可以通過將VRRP通告報文的發送間隔延長的辦法來解決該問題。
(1) 進入係統視圖。
system-view
(2) 進入接口視圖。
interface interface-type interface-number
(3) 配置備份組中Master路由器發送VRRP通告報文的發送間隔。
vrrp ipv6 vrid virtual-router-id timer advertise adver-interval
缺省情況下,備份組中Master路由器發送VRRP通告報文的發送間隔為100厘秒。
建議配置VRRP通告報文的發送間隔大於100厘秒,否則會對係統的穩定性產生影響。
(4) 退回係統視圖。
quit
(5) 配置IPv6 VRRP報文的DSCP優先級。
vrrp ipv6 dscp dscp-value
缺省情況下,IPv6 VRRP報文的DSCP優先級為56。
DSCP用來體現報文自身的優先等級,決定報文傳輸的優先程度。
在完成上述配置後,在任意視圖下執行display命令可以顯示IPv6 VRRP配置後的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除IPv6 VRRP統計信息。
表1-2 IPv6 VRRP顯示和維護
|
操作 |
命令 |
|
顯示IPv6 VRRP備份組的狀態信息 |
display vrrp ipv6 [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ] |
|
顯示IPv6 VRRP備份組的統計信息 |
display vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
|
清除IPv6 VRRP備份組的統計信息 |
reset vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
在配置過程中出現配置錯誤的提示,提示內容如下:"The virtual router detected a VRRP configuration error.”。
· 可能是備份組內的設備配置不一致造成的,具體包括以下幾種情況:
¡ 備份組運行的是VRRPv2版本時,報文攜帶的通告報文發送間隔與當前備份組不一致,VRRPv3版本不受此限製。
¡ 報文攜帶的虛擬IP地址個數與當前備份組不一致。
¡ 報文攜帶的虛擬IP地址列表與當前備份組不一致。
· 可能是備份組內的設備收到攻擊者發送的非法VRRP報文,如IP地址擁有者收到優先級為255的VRRP報文。
· 對於第一種情況,可以通過修改配置來解決。
· 對於第二種情況,則是有些攻擊者有不良企圖,應當通過定位和防止攻擊來解決。
同一個備份組內出現多台Master路由器。
· 若短時間內存在多台Master路由器,屬於正常情況,無需進行人工幹預。
· 若多台Master路由器長時間共存,這很有可能是由於Master路由器之間收不到VRRP報文,或者收到的報文不合法造成的。
先在多台Master路由器之間執行ping操作。如果ping不通,則檢查網絡連接是否正確;如果能ping通,則檢查VRRP的配置是否一致。對於同一個VRRP備份組的配置,必須要保證虛擬IP地址個數、每個虛擬IP地址和認證方式完全一樣。如果使用的是IPv4 VRRP,還需保證IPv4 VRRP使用的版本一致。如果是VRRPv2版本,還要求VRRP通告發送間隔一致。
在運行過程中VRRP的狀態頻繁轉換。
這種情況一般是由於VRRP通告報文發送間隔太短造成的。
增加通告報文的發送間隔或者設置搶占延遲都可以解決這種故障。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
