- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-VRRP
本章節下載: 01-VRRP (389.93 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ VRRP備份組
○ 聯動雙機熱備
· 配置指南
○ VRRP基本配置
○ VRRP高級配置
在具有組播或廣播能力的局域網(如以太網)中,借助VRRP(Virtual Router Redundancy Protocol,虛擬路由器冗餘協議)能在某台設備出現故障時仍然提供高可靠的鏈路,有效避免單一鏈路發生故障後網絡中斷的問題。
VRRP將可以承擔網關功能的一組設備加入到備份組中,形成一台虛擬設備。VRRP通過選舉機製決定哪台設備承擔轉發任務,局域網內的主機隻需將虛擬設備配置為默認網關即可。因此,VRRP在提高可靠性的同時,簡化了主機的配置。
VRRP將局域網內的可以承擔網關功能的一組設備劃分在一起,組成一個備份組。備份組由一台Master設備和多台Backup設備組成,對外相當於一台虛擬設備。
如圖-1的左圖所示,在僅有VRRP的組網環境中,當VRRP鏈路故障時會導致上、下行VRRP備份組中的Master設備不是同一台設備,造成流量中斷。如圖-1的右圖所示,將雙機熱備技術和VRRP技術關聯,使用雙機熱備功能管理設備在VRRP備份組中的Master和Backup狀態的統一切換,可以解決以上問題。
創建VRRP備份組時,通過把設備加入VRRP active組和VRRP standby組可以實現將VRRP與雙機熱備進行關聯。當RBM的控製通道建立後,VRRP備份組內的設備狀態將由雙機熱備決定,VRRP自身的主備選擇機製不再生效;當RBM的控製通道斷開後,VRRP自身的主備選擇機製將會重新生效。
圖-1 雙機熱備管理VRRP備份組示意圖
VRRP active/standby組分別有兩種狀態:Master和Backup。VRRP成員設備在VRRP備份組中的狀態與所屬VRRP active/standby組的狀態保持一致。例如,VRRP active備份組的狀態是Master,則該組中所有設備在VRRP備份組中的狀態均為Master。
VRRP active/standby組初始狀態的實現機製如下:
· 主備模式下:主管理設備上VRRP active組和VRRP standby組的初始狀態均為Master;從管理設備上VRRP active組和VRRP standby組的初始狀態均為Backup。
· 雙主模式下:此種模式下VRRP active/standby組的狀態與主從管理設備角色無關,VRRP active組的初始狀態為Master;VRRP standby組的初始狀態均為Backup。
如圖-1的右圖所示,將雙機熱備與VRRP成功關聯後,VRRP備份組中Master/Backup狀態的變化機製如下:
1. 正常情況下,Device A(假設其是主管理設備)上VRRP active組的狀態是Master,所以Device A在VRRP備份組1和VRRP備份組2中的狀態是Master設備。Device B(假設其是從管理設備)上VRRP standby組的狀態是Backup,所以Device B在VRRP備份組1和VRRP備份組2中的狀態是Backup設備。
2. 當Device A的下行接口Interface A2故障後,雙機熱備會收到接口故障事件。然後雙機熱備發送VRRP active/standby組狀態信息變更報文給Device B,通知Device B將其VRRP standby組的狀態變更為Master。
3. Device B收到VRRP active/standby組狀態信息變更報文後,會將自身VRRP standby組的狀態變更為Master,同時將Device B在VRRP備份組1和VRRP備份組2中的狀態變為Master設備。變更完成後給Device A發送應答報文。
4. Device A收到Device B的VRRP standby組狀態變更成功應答報文後,將自己VRRP active組的狀態變更為Backup,同時將Device A在VRRP備份組1和VRRP備份組2中的狀態變更為Backup。
當Device A的下行接口Interface A2故障恢複後,流量會進行回切,VRRP備份組中Master/Backup狀態的變化與接口故障時的變化過程類似,不再重複介紹。
備份組具有IP地址,稱為虛擬IP地址。局域網內的主機僅需要知道這台虛擬設備的IP地址,並將其設置為網關的IP地址即可。局域網內的主機通過這台虛擬設備與外部網絡進行通信。
虛擬設備的IP地址可以是備份組所在網段中未被分配的IP地址,也可以和備份組內的某個設備的接口IP地址相同。接口IP地址與虛擬IP地址相同的設備被稱為IP地址擁有者。
VRRP根據優先級來確定備份組中每台設備的角色(Master設備或Backup設備)。優先級越高,則越有可能成為Master設備。
VRRP優先級的取值範圍為0到255(數值越大表明優先級越高),可配置的範圍是1到254,優先級0為係統保留給特殊用途來使用,255則是係統保留給IP地址擁有者。當設備為IP地址擁有者時,其優先級始終為255。因此,當備份組內存在IP地址擁有者時,隻要其工作正常,則為Master設備。在同一個VRRP備份組中,隻能存在一個IP地址擁有者。
備份組中的設備具有以下兩種方式:
· 搶占方式:在該方式下Backup設備一旦發現自己的優先級比當前Master設備的優先級高,就會觸發Master設備的重新選舉,並最終取代原有的Master設備。搶占方式可以確保承擔轉發任務的Master設備始終是備份組中優先級最高的設備。
· 非搶占方式:在該方式下隻要Master設備沒有出現故障,Backup設備即使隨後被配置了更高的優先級也不會成為Master設備。非搶占方式可以避免頻繁地切換Master設備。
在搶占方式下,為了避免備份組內的成員頻繁進行主備狀態轉換,讓Backup設備有足夠的時間搜集必要的信息(如路由信息),Backup設備接收到優先級低於本地優先級的通告報文後,不會立即搶占成為Master設備,而是等待搶占延遲時間後,才會重新選舉新的Master設備。
Backup設備搶占成為Master設備時,需要等待指定延遲時間後,才會搶占為Master設備。0表示立刻搶占為Master設備。
VRRP備份組中的Master設備會定時發送VRRP通告報文,通知備份組內的設備自己工作正常。需要注意的是:
· 建議配置VRRP通告報文的發送間隔大於100厘秒,否則會對係統的穩定性產生影響。
· 使用VRRPv2版本時,IPv4 VRRP備份組中的所有設備必須配置相同的VRRP通告報文間隔。
· 使用VRRPv3版本時,VRRP備份組中的設備上配置的VRRP通告報文間隔可以不同。Master設備根據自身配置的報文間隔定時發送通告報文,並在通告報文中攜帶Master設備上配置的間隔;Backup設備接收到Master設備發送的通告報文後,記錄報文中攜帶的Master設備通告報文間隔,如果在3×記錄的間隔+Skew_Time內沒有收到Master設備發送的VRRP通告報文,則認為Master設備出現故障,重新選舉Master設備。
· 網絡流量過大可能會導致Backup設備在指定時間內沒有收到Master設備的VRRP通告報文,從而發生狀態轉換。可以通過將VRRP通告報文的發送間隔延長的辦法來解決該問題。
VRRP通過在VRRP報文中增加認證字的方式,驗證接收到的VRRP報文,防止非法用戶構造報文攻擊備份組內的設備。VRRP提供了三種認證方式:
· 無認證:發送VRRP報文的設備與接收報文的設備之間不進行報文合法性認證。
· 簡單字符認證:發送VRRP報文的設備將認證字填入到VRRP報文中,而收到VRRP報文的設備會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同,則認為接收到的報文是真實、合法的VRRP報文;否則認為接收到的報文是一個非法報文,將其丟棄。
· MD5認證:發送VRRP報文的設備利用認證字和MD5算法對VRRP報文進行摘要運算,運算結果保存在VRRP報文中。收到VRRP報文的設備會利用本地配置的認證字和MD5算法進行同樣的運算,並將運算結果與認證頭的內容進行比較。如果相同,則認為接收到的報文是合法的VRRP報文;否則認為接收到的報文是一個非法報文,然後將其丟棄。
缺省情況下,在Master的三層以太網子接口上配置模糊VLAN終結後,該接口不支持發送廣播和組播報文。為了保證Master可以周期性地向Backup發送VRRP通告報文(組播報文),需要在Master的三層以太網子接口上啟用VLAN終結支持廣播/組播報文功能。啟用該功能後,VRRP通告報文將發送給所有終結的VLAN。三層以太網子接口上模糊終結的VLAN較多時,會導致發送的VRRP通告報文數量過多,嚴重影響設備的性能。
配置VRRP的控製VLAN能夠解決上述問題。關閉VLAN終結支持廣播/組播功能,並配置VRRP的控製VLAN後,可以使得Master設備僅在控製VLAN內發送VRRP通告報文,避免發送過多的VRRP通告報文。
VRRP的控製VLAN分為兩種:
· 控製VLAN:配置了模糊Dot1q終結的子接口上,需要指定此類控製VLAN;
· 內層VLAN:配置了模糊QinQ終結的子接口上,需要指定此類控製VLAN。
· VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持對VRRP報文進行認證。
· 一個接口上的不同備份組可以設置不同的認證方式和認證字;加入同一備份組的設備需要設置相同的認證方式和認證字。
VRRP基本配置的具體配置步驟如下:
1. 選擇“係統 > 高可靠性 > VRRP”。
2. 在“VRRP”頁麵單擊<新建>按鈕,進入“新建VRRP備份組”頁麵。
3. 新建VRRP備份組,具體配置內容如下表所示:
表-1 VRRP備份組配置參數表
|
參數 |
說明 |
|
備份組所在的接口 |
VRRP功能基於接口實現,指定VRRP備份組所屬的接口 |
|
備份組號 |
VRRP備份組的編號,是其唯一的標識。不同設備上編號相同的備份組形成一個VRRP備份組 |
|
類型 |
支持IPv4和IPv6兩種類型 |
|
聯動雙機熱備 |
在雙機熱備與VRRP配合使用的高可靠性組網中必須配置此功能,使不同VRRP備份組之間進行聯動 |
|
虛擬IP地址/掩碼長度 |
局域網內的主機使用這個虛擬IP地址作為網關地址與外部網絡進行通信 |
|
優先級 |
優先級越高,則越有可能成為Master設備,數值越大優先級越高 |
|
搶占模式 |
支持搶占模式和非搶占模式兩種 |
|
延遲時間 |
Backup設備搶占成為Master設備時,需要等待指定延遲時間後,才會搶占為Master設備。0表示立刻搶占為Master設備 |
|
通告報文發送間隔 |
Master設備根據配置的此時間定時發送VRRP通告報文,通知備份組內的路由器自己工作正常。使用VRRPv2版本時,該參數的實際生效值隻能是100的整倍數,例如,配置該參數取值在10~100、101~200、4001~4095範圍內時,實際生效值分別為100、200、4100;使用VRRPv3版本時,該參數的實際生效值與所配置數值相同 |
|
認證類型 |
VRRP通過在VRRP報文中增加認證字的方式,驗證接收到的VRRP報文,防止非法用戶構造報文攻擊備份組內的設備。VRRP提供了無認證、簡單字符認證和MD5認證三種認證方式 |
VRRP高級配置的具體配置步驟如下:
1. 選擇“係統 > 高可靠性 > VRRP高級設置”。
2. 在“VRRP高級設置”頁麵,單擊目標接口右側的<編輯>按鈕,進入“VRRP高級設置”頁麵。
3. 在“VRRP高級設置”頁麵進行配置,具體配置內容如下表所示:
表-2 VRRP高級設置配置參數表
|
參數 |
說明 |
|
接口 |
VRRP備份組綁定的接口編號 |
|
VRRP版本 |
VRRP包括VRRPv2和VRRPv3兩個版本,VRRPv2版本隻支持IPv4 VRRP,VRRPv3版本支持IPv4 VRRP和IPv6 VRRP IPv4 VRRP備份組中的所有路由器上配置的IPv4 VRRP版本必須一致 |
|
控製VLAN |
配置了模糊Dot1q終結的子接口上,需要指定此類控製VLAN |
|
內層VLAN |
配置了模糊QinQ終結的子接口上,需要指定此類控製VLAN |
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
