核心交换机VRRP配置技术说明
VRRP配置实例
VRRP配置及多备份VRRP配置实例中兴通讯数据用服部钱月玫1 VRRP概念介绍VRRP全称是虚拟路由器冗余协议(Virtual Router Redundancy Protocol)。
为了理解VRRP,首先需要确定下列术语:●VRRP路由器:运行VRRP协议的路由器。
该路由器可以是一个或多个虚拟路由器。
●虚拟路由器:一个由VRRP协议管理的抽象对象,作为一个共享LAN内主机的缺省路由器。
它由一个虚拟路由器标识符(VRID)和同一LAN中一组关联IP地址组成。
一个VRRP路由器可以备份一个或多个虚拟路由器。
●IP地址所有者:将局域网的接口地址作为虚拟路由器的IP地址的路由器。
当运行时,该路由器将响应寻址到该IP地址的数据包。
●主虚拟路由器:该VRRP路由器将承担下列任务:转发那些寻址到与虚拟路由器关联的IP地址的数据包,应答对该IP地址的ARP请求。
注意,如果存在IP地址所有者,那么该所有者总是主虚拟路由器。
●备份虚拟路由器:一组可用的VRRP路由器,当主虚拟路由器失效后将承担主虚拟路由器的转发功能。
2 VRRP的工作机制VRRP把在同一个广播域中的多个路由器接口编为一组,形成一个虚拟路由器,并为其分配一个IP地址,作为虚拟路由器的接口地址。
虚拟路由器的接口地址既可以是其中一个路由器接口的地址,也可以是第三方地址。
如果使用路由器的接口地址作为VRRP虚拟地址,则拥有这个IP地址的路由器作为主用路由器,其他路由器作为备份。
如果采用第三方地址,则优先级高的路由器成为主用路由器;如果两路由器优先级相同,则谁先发VRRP 报文,谁就成为主用。
如图1所示,在这个广播域中的主机中,把虚拟路由器的IP地址设为网关。
当主用路由器发生故障时,将在备用路由器中选择优先级最高的路由器接替它的工作,这对于域中的主机来说没有任何影响。
只有当这个VRRP组中所有的路由器都不能正常工作时,该域中的主机才不能与外界通信。
但是,又有这样一个问题出现,如果VRRP组中主用路由器的上行链路断开,它的状态是不会改变的,还是Master,此时该域中的主机路由还是走此路由器,但因为其上行链路断开,导致该域的主机无法正常与外界通信。
双核心(MSTP+VRRP)的拓扑实现和配置实例
双核心(MSTP+VRRP)的拓扑实现和配置实例1 配置VRRP在实验拓扑图中,由于有多条链路产生环路,所以我们在实验初始时一定要将某些端口堵塞(初始化时已将RG-S35B的f0/1-4四个端口堵塞,在配置完毕进行测试时才可以打开).否则产生环路后,会发现设备的cpu利用率会达到100%(使用命令show cpu查看)。
RG-S35A(config)#interface vlan 10RG-S35A(config-if)#ip address 192.168.10.254 255.255.255.0 !配置VLAN10的IP 地址RG-S35A(config-if)#standby 1 ip 192.168.10.250 !配置虚拟IPRG-S35A(config-if)#standby 1 preempt!设为抢占模式RG-S35A(config-if)#standby 1 priority 254 !VLAN10的standby优先级设为254RG-S35A(config-if)#exitRG-S35A(config)#interface vlan 20 !VLAN20的standby不设优先级,默认为100RG-S35A(config-if)#ip address 192.168.20.253 255.255.255.0 !配置VLAN20的IP 地址RG-S35A(config-if)#standby 2 ip 192.168.20.250 !配置虚拟IPRG-S35A(config-if)#standby 2 preempt !设为抢占模式RG-S35A(config-if)#exitRG-S35A(config)#interface vlan 30RG-S35A(config-if)#ip address 192.168.30.254 255.255.255.0 !配置VLAN30的IP 地址RG-S35A(config-if)#standby 3 ip 192.168.30.250 !配置虚拟IPRG-S35A(config-if)#standby 3 preempt !设为抢占模式RG-S35A(config-if)#standby 3 priority 254 !VLAN30的standby优先级设为254RG-S35A(config-if)#exitRG-S35A(config)#interface vlan 40 !VLAN20的standby不设优先级,默认为100RG-S35A(config-if)#ip address 192.168.40.253 255.255.255.0 !配置VLAN40的IP 地址RG-S35A(config-if)#standby 4 ip 192.168.40.250 !配置虚拟IPRG-S35A(config-if)#stand 4 preempt !设为抢占模式RG-S35A(config-if)#exitRG-S35A(config)#exitRG-S35B把vlan20 40 设置为standby 2、4 priority 2542 配置RG-S35A与RG-S35B的端口聚合理论上,35A和35B的f0/3和f0/4端口不需要设置为trunk口,但是我们习惯上都设为trunk(已在前面做好了配置)。
交换机VRRP配置
VRRP原理虚拟路由器冗余协议(VRRP)是一种标准化协议,主要用于非cisco设备厂商。
它可以把一个虚拟路由器的责任动态分配到局域网上的VRRP 路由器中的一台。
控制虚拟路由器IP 地址的VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟IP 地址。
一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的IP地址可以作为终端主机的默认第一跳路由器。
使用VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。
VRRP 包封装在IP包中发送。
在一个VRRP组内的多个路由器共用一个虚拟的物理地址和I P地址,该地址被作为局域网内所有主机的缺省网关地址。
VRRP协议决定哪个路由器被激活,该被激活的路由器接收发过来的数据包并进行路由。
组内的各路由器之间交换呼叫信号,如果当前路由器变得无法使用,备用路由器将进入激活状态,接管路由任务。
VRRP配置命令:1) 华为系列交换机配置:vrrp ping-enable:根据VRRP的标准协议,备份组的虚拟IP地址是无法使用ping命令来ping通的。
此命令可以使用户能够使用ping命令来ping通备份组的虚拟IP地址。
如果需要主机可以ping通网关,则此命令必须在配置vrrp之前使能。
vrrp vrid virtual-router-ID virtual-ip virtual-address:将一个本网段的IP地址指定到一个虚拟路由器vrrp vrid virtual-router-ID priority priority-value:设置路由器在备份组中的优先级,优先级越大,越有机会成为备份组中的主设备。
vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ]:设置路由器抢占模式。
在非抢占方式下,一旦备份组中的某台路由器成为Master,只要它没有出现故障,其它路由器即使随后被配置更高的优先级,也不会成为Master。
H3C交换机设置VRRP
H3C机设置VRRP在支持标准VRRP模式的H3C机设置VRRP 功能,主要包括创建备份组、添加虚拟器IP 地址、启用虚拟路由器IP 地址、配置备份组优先级等基本功能,以及包括配置备份组成员交换机的抢占方式、VRRP 认证方式、VRRP 定时器和VRRP 监视功能等高级配置。
在支持负载均衡VRRP 模式的H3C 交换机中,首先还要对交换机设置VRRP 的工作模式。
下面分别予以介绍。
VRRP 工作模式配置本节仅适用于同时支持标准VRRP 模式和负载均衡VRRP 模式的H3C 交换机,如58 系列和S9500E 系列交换机。
配置VRRP 的工作模式后,路由器上所有的VRRP 备份组都工作在该模式。
VRRP 工作模式的配置步骤如表4-2所示。
表4-2 VRRP 工作模式的配置步骤【注意】通过本命令配置VRRP 的工作模式后,基于IPv4 和IPv6 的备份组均工作在指定的模式。
VRRP 工作在负载均衡模式时,要求备份组虚拟IP 地址和VRRP 备份组中交换机物理端口的IP 地址不能相同,且虚拟IP 地址需要与虚拟MAC 地址对应,也不能采用VRRP 备份组中交换机物理端口上的实际MAC 地址。
否则,VRRP 负载均衡功能将无法正常工作。
创建VRRP 备份组后,仍然可以修改VRRP 的工作模式。
修改VRRP 的工作模式后,路由器上所有的备份组都工作在该模式。
以下示例是配置VRRP 工作在负载均衡模式。
<Sysname>systemview ?[Sysname]?vrrp?mode?loadbalance?H3C交换机设置VRRP 基本功能在标准模式下配置H3C 交换机的VRRP 基本功能,涉及到一个重要的知识点,那就是VRRP 备份控制VLAN。
也就是VRRP 报文终结的VLAN。
VLAN 终结是指某个端口在接收到VLAN 报文后去掉报文中的VLAN 标记,再进行三层转发或其他处理。
VLAN 终结分为:明确终结:终结特定的VLAN。
vrrp基本命令
vrrp基本命令
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)的基本命令可以概括为以下几个步骤:
1.配置VRRP备份组:在接口视图下,使用命令“vrrp vrid virtual-router-id virtual-ip virtual-address”来创建VRRP备份组并给备份组配置虚拟IP地址。
2.配置VRRP备份组的优先级:使用命令“vrrp vrid virtual-router-id priority priority-value”来配置交换机在备份组中的优先级。
缺省情况下,优先级的取值是100。
数值越大,优先级越高,越可能成为Master设备。
3.配置VRRP备份组的虚拟IP地址:使用命令“vrrp vrid virtual-router-id virtual-ip virtual-address”来配置VRRP备份组的虚拟IP地址。
4.查看VRRP备份组的状态:使用命令“show vrrp brief”来查看VRRP备份组的状态,包括接口状态、虚拟IP地址、优先级等信息。
以上是VRRP的基本命令,具体实现还需要根据不同厂商的设备进行具体配置。
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
防火墙双机热备命令行说明防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
HRP命令行配置说明HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP 是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。
不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
VRRP配置
在主路由器出现故障时,备用路由器无法正常切换为 主路由器。
原因分析
经过排查发现,备用路由器的优先级配置低于主路由 器,且未启用抢占模式。
典型案例分析
典型案例分析
故障现象
VRRP组成员间无法正常通信,导致VRRP 协议无法正常工作。
B A 案例二
VRRP组成员间通信故障
C
D
解决方案
定位并修复网络故障点,恢复VRRP组成 员间的正常通信。同时,可以优化网络设 计,提高网络的可靠性和稳定性。
最佳实践经验和建议分享
加强网络安全管理
建立完善的网络安全管理制度,加强网络安全 意识培训,提高网络安全防护能力。
定期备份配置文件
定期备份VRRP网络的配置文件,以便在出现故 障时能够快速恢复网络配置。
关注厂商安全通告
关注网络设备厂商发布的安全通告,及时了解并应对潜在的安全风险。
未来发展趋势预测
智能化发展
原因分析
经过排查发现,网络中存在故障点,导致 VRRP组成员间通信中断。
06
VRRP安全性考虑及最佳实践建议
安全性问题剖析和防范措施
未经授权的设备接入
未经授权的设备可能接入VRRP网络 ,导致网络安全风险增加。
恶意攻击
攻击者可能通过伪造VRRP报文等手段 ,对网络进行恶意攻击,导致网络故 障。
安全性问题剖析和防范措施
定时器调整优化网络性能
要点一
广告间隔定时器( Advertisement Inter…
调整此定时器可以影响VRRP路由器之间发送VRRP通告的 频率。较短的间隔可以提高网络的快速收敛性,但可能会 增加网络负载。
要点二
抢占延迟定时器(Preemption Delay Ti…
VRRP配置实例
路由器VRRP配置1拓扑图说明VRRP配置RouterA和 RouterB之间做VRRP,对内体现为vrrp虚拟路由器IP,做为虚拟网关,RouterA 为主设备,允许抢占,RouterB为从设备,实现路由器的热备份。
PC1和PC2主机的网关设置为VRRP虚拟网关地址192.168.1.3。
2主备和负载分担配置A、『两台路由器主备的配置流程』问题1为什么需要要VRRP通常一个网络内的所有主机都设置一条缺省路由,主机发往外部网络的报文将通过缺省路由发往该网关设备,从而实现了主机与外部网络的通信。
当该设备发生故障时,本网段内所有以此设备为缺省路由下一跳的主机将断掉与外部的通信。
VRRP就是为解决上述问题而提出的。
问题2 VRRP的组成和基本工作原理VRRP可以将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,这组路由器被称为一个备份组。
虚拟的路由器拥有自己的真实IP地址,备份组内的路由器也有自己的IP地址。
局域网内的主机仅仅知道这个虚拟路由器的IP地址(通常被称为备份组的虚拟IP地址),而不知道具体的Master路由器的IP地址以及Backup路由器的IP地址。
局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址。
于是,网络内的主机就通过这个虚拟的路由器与其它网络进行通信。
当备份组内的Master路由器不能正常工作时,备份组内的其它Backup路由器将接替不能正常工作的Master路由器成为新的Master路由器,继续向网络内的主机提供路由服务,从而实现网络内的主机不间断地与外部网络进行通信。
[RouterA 相关配置]*****IP地址和路由配置略*****VRRP配置1.创建VRRP组10,虚拟网关为192.168.1.3RouterA(config)#interface FastEthernet0/0RouterA(config-if)#vrrp 10 ip 192.168.1.32. 设置VRRP组优先级为120,缺省为100RouterA(config-if)#vrrp 10 priority 1203. 设置为抢占模式RouterA(config-if)#vrrp preempt[RouterB 相关配置]*****IP地址和路由配置略*****VRRP配置1.创建VRRP组10,虚拟网关为192.168.1.3RouterB(config)#interface FastEthernet0/0RouterB(config-if)#vrrp 10 ip 192.168.1.32. 设置VRRP组优先级为100,缺省为100RouterB(config-if)#vrrp 10 priority 1003. 设置为抢占模式RouterB(config-if)#vrrp preempt【switchC相关配置】SwitchC在这里起端口汇聚作用,同时允许RouterA和RouterB发送心跳报文,可以不配置任何数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
核心交换机VRRP配置技术说明一、简单介绍VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。
如下图所示,通常一个网络内的所有主机都设置一条缺省路由(图中的缺省路由下一跳地址为10.100.10.1),主机发往外部网络的报文将通过缺省路由发往三层交换机Switch,从而实现了主机与外部网络的通信。
当交换机Switch 发生故障时,本网段内所有以Switch为缺省路由下一跳的主机将断掉与外部的通信。
局域网组网方案VRRP就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如以太网)设计。
VRRP将局域网的一组交换机(包括一个Master即主交换机和若干个Backup即备份交换机)组织成一个虚拟路由器,这组交换机被称为一个备份组。
虚拟路由器示意图虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个交换机的接口地址相同),备份组内的交换机也有自己的IP地址(如Master 的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。
局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1(通常被称为备份组的虚拟IP地址),而不知道具体的Master交换机的IP地址10.100.10.2以及Backup交换机的IP地址10.100.10.3。
局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址10.100.10.1。
于是,网络内的主机就通过这个虚拟的路由器与其它网络进行通信。
当备份组内的Master交换机不能正常工作时,备份组内的其它Backup交换机将接替不能正常工作的Master交换机成为新的Master交换机,继续向网络内的主机提供路由服务,从而实现网络内的主机不间断地与外部网络进行通信。
二、核心交换机设备配置实例1.组网需求主机A把交换机A和交换机B组成的VRRP备份组作为自己的缺省网关,访问Internet上的主机B。
VRRP备份组构成:备份组号为1,虚拟IP地址为202.38.160.111,交换机A做Master,交换机B做备份交换机,允许抢占。
2.组网图3.配置步骤(1)配置交换机A:# 配置VLAN。
[SWA] vlan 2[SWA-vlan2] interface vlan 2[SWA-vlan-interface2] ip address 202.38.160.1 24[SWA-vlan-interface2] vlan 4[SWA-vlan4] interface vlan 4[SWA-vlan-interface4] ip address 20.0.0.2 16[SWA-vlan-interface4] quit# 配置VRRP。
[SWA] vrrp ping-enable[SWA] interface vlan 2[SWA-vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111 [SWA-vlan-interface2] vrrp vrid 1 priority 110[SWA-vlan-interface2] vrrp vrid 1 preempt-mode# 配置RIP[SWA]rip[SWA-rip]network 20.0.0.2[SWA-rip]network 202.38.160.1(2)配置交换机B:# 配置VLAN。
[SWB] vlan 2[SWB-vlan2] interface vlan 2[SWB-vlan-interface2] ip address 202.38.160.2 24[SWB-vlan-interface2] vlan 3[SWB-vlan3] interface vlan 3[SWB-vlan-interface3] ip address 30.0.0.2 16[SWB-vlan-interface3] quit# 配置VRRP。
[SWB] vrrp ping-enable[SWB] interface vlan 2[SWB-vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111 [SWB-vlan-interface2] vrrp vrid 1 preempt-mode# 配置RIP[SWB]rip[SWB-rip]network 30.0.0.2[SWB-rip]network 202.38.160.2(3)配置交换机C:# 配置VLAN。
[Switch C] vlan 3[Switch C-vlan3] interface vlan 3[Switch C-vlan-interface3] ip address 30.0.0.1 16[Switch C-vlan-interface3] vlan 4[Switch C-vlan4] interface vlan 4[Switch C-vlan-interface4] ip address 20.0.0.1 16[Switch C-vlan-interface4] quit# 配置Loopback。
[Switch C] int loopback 0[Switch C-LoopBack0] ip address 10.0.0.1 8[Switch C-LoopBack0]quit# 配置RIP[Switch C]rip[Switch C-rip]network 20.0.0.1[Switch C-rip]network 30.0.0.1[Switch C-rip]network 10.0.0.1备份组配置后不久就可以使用。
主机A可将缺省网关设为202.38.160.111。
正常情况下,交换机A行使网关的职能,当交换机A关机或出现故障,交换机B将接替行使网关的职能。
设置抢占方式的目的是当交换机A恢复工作后,能够继续成为Master行使网关的职能。
三、正确配置状态显示[SWA]dis vrrpRun Method : VIRTUAL-MACVirtual Ip Ping : EnableInterface : Vlan-interface2VRID : 1 Adver. Timer : 1Admin Status : UP State : MasterConfig Pri : 110 Run Pri : 110Preempt Mode : YES Delay Time : 0Auth Type : NONEVirtual IP : 202.38.160.111Virtual MAC : 0000-5e00-0101Master IP : 202.38.160.1[SWA]dis vrrp statisticsInterface : Vlan-interface2VRID : 1CheckSum Errors : 0 Version Errors : 0 VRID Errors : 0 Advertisement Interval Errors : 0IP TTL Errors : 0 Auth Failures : 0 Invalid Auth Type : 0 Auth Type Mismatch : 0 Packet Length Errors : 0 Address List Errors : 0 Become Master : 2 Priority Zero Pkts Rcvd : 0 Advertise Rcvd : 869 Priority Zero Pkts Sent : 0 Advertise Sent : 19514 Invalid Type Pkts Rcvd : 0 [SWA]dis vrrp summaryRun Method : VIRTUAL-MACVirtual Ip Ping : EnableThe total number of the vitual routers: 1VLANID VRID State Run Adver. Auth VirtualPri Time Type IP--------------------------------------------------------------------------------2 1 Master 110 1 NONE202.38.160.111[SWB]dis vrrpRun Method : VIRTUAL-MACVirtual Ip Ping : EnableInterface : Vlan-interface2VRID : 1 Adver. Timer : 1Admin Status : UP State : Backup Config Pri : 100 Run Pri : 100Preempt Mode : YES Delay Time : 0Auth Type : NONEVirtual IP : 202.38.160.111Master IP : 202.38.160.1[SWB]dis vrrp statisticsInterface : Vlan-interface2VRID : 1CheckSum Errors : 0 Version Errors : 0 VRID Errors : 0 Advertisement Interval Errors : 0IP TTL Errors : 0 Auth Failures : 0 Invalid Auth Type : 0 Auth Type Mismatch : 0 Packet Length Errors : 0 Address List Errors : 0 Become Master : 14 Priority Zero Pkts Rcvd : 0 Advertise Rcvd : 7667 Priority Zero Pkts Sent : 4 Advertise Sent : 11477 Invalid Type Pkts Rcvd : 0 [SWB]dis vrrp summaryRun Method : VIRTUAL-MACVirtual Ip Ping : EnableThe total number of the vitual routers: 1VLANID VRID State Run Adver. Auth VirtualPri Time Type IP--------------------------------------------------------------------------------2 1 Backup 100 1 NONE202.38.160.111。