# 中小型網絡構建-vrrp協議詳解
中小型網絡構建-vrrp協議詳解
什么是VRRP���?
虛擬路由冗余協議(Virtual Router Redundancy Protocol�����,簡稱VRRP)是由IETF提出的解決局域網中配置靜態網關出現單點失效現象的路由協議��,1998年已推出正式的RFC2338協議標準��。VRRP廣泛應用在邊緣網絡中��,它的設計目標是支持特定情況下IP數據流量失敗轉移不會引起混亂���,允許主機使用單路由器����,以及及時在實際第一跳路由器使用失敗的情形下仍能夠維護路由器間的連通性���。
優點
VRRP具有如下優點:
l 簡化網絡管理��。在具有多播或廣播能力的局域網(如以太網)中�,借助VRRP能在某臺設備出現故障時仍然提供高可靠的缺省鏈路���,有效避免單一鏈路發生故障后網絡中斷的問題����,而無需修改動態路由協議�、路由發現協議等配置信息����,也無需修改主機的默認網關配置�����。
l 適應性強�����。VRRP報文封裝在IP報文中����,支持各種上層協議��。
l 網絡開銷小���。VRRP只定義了一種報文——VRRP通告報文���,并且只有處于Master狀態的路由器可以發送VRRP報文���。
虛擬路由器簡介
VRRP將局域網內的一組路由器劃分在一起���,形成一個VRRP備份組��,它在功能上相當于一臺虛擬路由器�,使用虛擬路由器號進行標識�����。以下使用虛擬路由器代替VRRP備份組進行描述�����。
虛擬路由器有自己的虛擬IP地址和虛擬MAC地址��,它的外在表現形式和實際的物理路由器完全一樣��。局域網內的主機將虛擬路由器的IP地址設置為默認網關�,通過虛擬路由器與外部網絡進行通信���。
VRRP工作過程
VRRP的工作過程為:
(1) 虛擬路由器中的路由器根據優先級選舉出Master��。Master路由器通過發送免費ARP報文���,將自己的虛擬MAC地址通知給與它連接的設備或者主機�,從而承擔報文轉發任務��;
(2) Master路由器周期性發送VRRP報文���,以公布其配置信息(優先級等)和工作狀況�;
(3) 如果Master路由器出現故障�,虛擬路由器中的Backup路由器將根據優先級重新選舉新的Master���;
(4) 虛擬路由器狀態切換時�,Master路由器由一臺設備切換為另外一臺設備��,新的Master路由器只是簡單地發送一個攜帶虛擬路由器的MAC地址和虛擬IP地址信息的免費ARP報文��,這樣就可以更新與它連接的主機或設備中的ARP相關信息����。網絡中的主機感知不到Master路由器已經切換為另外一臺設備���。
(5) Backup路由器的優先級高于Master路由器時�����,由Backup路由器的工作方式(搶占方式和非搶占方式)決定是否重新選舉Master�����。
由此可見�,為了保證Master路由器和Backup路由器能夠協調工作�,VRRP需要實現以下功能:
認證方式
VRRP提供了三種認證方式:
l 無認證:不進行任何VRRP報文的合法性認證�����,不提供安全性保障����。
l 簡單字符認證:在一個有可能受到安全威脅的網絡中����,可以將認證方式設置為簡單字符認證����。發送VRRP報文的路由器將認證字填入到VRRP報文中�����,而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較����。如果認證字相同���,則認為接收到的報文是合法的VRRP報文��;否則認為接收到的報文是一個非法報文�。
l MD5認證:在一個非常不安全的網絡中�,可以將認證方式設置為MD5認證����。發送VRRP報文的路由器利用認證字和MD5算法對VRRP報文進行加密���,加密后的報文保存在AuthenticationHeader(認證頭)中����。收到VRRP報文的路由器會利用認證字解密報文�����,檢查該報文的合法性�����。
負載分擔
在路由器的一個接口上可以創建多個虛擬路由器��,使得該路由器可以在一個虛擬路由器中作為Master路由器�,同時在其他的虛擬路由器中作為Backup路由器����。
負載分擔方式是指多臺路由器同時承擔業務����,因此負載分擔方式需要兩個或者兩個以上的虛擬路由器�,每個虛擬路由器都包括一個Master路由器和若干個Backup路由器�����,各虛擬路由器的Master路由器可以各不相同
1����、首先給主機配置ip
2�、其次配置交換機端口加入access鏈路
3��、給兩臺路由器配置192.168.10.0網段的IP地址
4�、進入路由器配置VRRP協議
[Huawei-GigabitEthernet0/0/0]VRRP vrid 1 virtual-ip 192.168.10.254
1����、 同樣給主機配置IP
2�、 其次給sw1配置VLAN和鏈路類型
3�、 給兩臺三層路由配置VLAN和鏈路類型
4�、 給兩臺sw2和sw3VLAN配置網關
5�����、 進入sw2和sw3配置vrrp建立虛擬局域網����。調整vrrp的優先級
Sw2
[Huawei-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254
[Huawei-Vlanif10]vrrp vrid 10 priority 200
[Huawei-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
Sw3
[Huawei-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
[Huawei-Vlanif20]vrrp vrid 20 priority 200
[Huawei-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.25
在上面的實驗基礎上shutdown0/0/2/口
[Huawei-Vlanif10]vrrp vrid 10 track interface GigabitEthernet 0/0/2 reduced 150
監聽0/0/2口是否正常 端口跟蹤
配置vrrp認證[Huawei-Vlanif10]vrrp vrid 10 authentication-mode md5 haha
上圖可以看到當一臺交換機配置認證而另一臺未配置則會出現兩臺交換機都認為自己是master�����。
認證模式有兩種明文和密文�。
