H3C交换机设置VRRPWord文档下载推荐.docx
《H3C交换机设置VRRPWord文档下载推荐.docx》由会员分享,可在线阅读,更多相关《H3C交换机设置VRRPWord文档下载推荐.docx(16页珍藏版)》请在冰豆网上搜索。
vrrp?
mode?
loadbalance?
H3C交换机设置VRRP基本功能
在标准协议模式下配置H3C交换机的VRRP基本功能,涉及到一个重要的知识点,那就是VRRP备份控制VLAN。
也就是VRRP报文终结的VLAN。
VLAN终结是指某个端口在接收到VLAN报文后去掉报文中的VLAN标记,再进行三层转发或其他处理。
VLAN终结分为:
明确终结:
终结特定的VLAN。
某端口在接收到特定VLAN的报文后去掉该报文中的VLAN标记。
模糊终结:
终结某个范围的VLAN。
某端口在接收到VLAN报文后,如果该报文属于指定的VLAN范围,则去掉该报文中的VLAN标记。
默认情况下,三层以太网端口或VLAN接口上配置VLAN模糊终结后,该接口不支持发送广播或组播报文。
只有启用了VLAN终结支持广播/组播报文功能,该接口才可以正常发送广播/组播报文,且广播/组播报文需要在所有终结的VLAN内发送。
在如图4-10所示的网络中,在VRRP备份组中三个路由器的三层以太网接口上配置了模糊VLAN终结,要求终结VLAN10和VLAN20。
为了保证Master路由器可以周期性地向Backup路由器发送VRRP通告报文(组播报文),需要在三层以太网接口上启用VLAN终结支持广播/组播功能。
启用该功能后,VRRP通告报文将发送给所有终结的VLAN。
但三层以太网接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。
为了解决这个问题,就诞生了VRRP控制VLAN功能。
只需关闭VLAN终结支持广播/组播功能,然后配置VRRP控制VLAN,就可以使得Master路由器仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。
?
(点击查看大图)图4-10VRRP控制VLAN示意图
VRRP控制VLAN分为两种:
只指定一层VLAN标记:
配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN。
指定两层VLAN标记:
配置了模糊QinQ终结的子接口上,需要指定此类控制QinQVLAN。
在支持VRRP功能的H3C以太网交换机上所需进行的基本功能配置如表43所示。
但要注意,不要在远程镜像VLAN(RemoteprobeVLAN)的三层接口上,进行VRRP备份组相关特性的配置,否则可能影响报文镜像效果。
表4-3VRRP基本功能的配置步骤
H3C交换机设置VRRP基本功能
【示例1】启用备份组的虚拟路由器IP地址的被ping功能。
Sysname>
?
System?
View:
return?
to?
User?
View?
with?
Ctrl+Z.?
pingenable?
【示例2】指定当前交换机的备份组虚拟路由器IP地址和交换机的路由接口实际MAC地址对应,也就是使用交换机的路由接口MAC地址。
H3C>
[H3C]?
method?
realmac?
【示例3】在VLAN2接口上创建一个备份组1,并配置虚拟IP地址为10.10.0.1.
interface?
Vlaninterface?
2?
[H3CVlaninterface2]?
vrrp?
vrid?
1?
virtualip?
10.10.0.1?
【示例4】在VLAN2接口上删除虚拟路由器的IP地址10.10.10.10.
undo?
10.10.10.10?
【示例5】在VLAN2接口上删除备份组1.
【示例6】在VLAN2接口上设置当前交换机在备份组1中的优先级为100.
priority?
100?
?
H3C交换机设置VRRP高级功能
在支持VRRP功能的H3C以太网交换机上所需进行的高级配置任务如下(均为可选配置):
备份组中成员交换机抢占方式和抢占延时时间配置
备份组中成员交换机的VRRP认证方式以及认证字配置
VRRP定时器配置
VRRP监视功能配置
这些高级功能的配置均需要在进行上节介绍的一些必选基本功能配置后进行,特别是需要先为备份组配置虚拟路由器IP地址。
1.备份组中成员交换机抢占方式和抢占延时时间配置
在本章前面已介绍到,H3C以太网交换机的VRRP有抢占方式和非抢占方式之分。
如果需要优先级高的交换机能够主动抢占成为Master,就需要将这台交换机设置为抢占方式;
如果需要将抢占的时间延长,还可以设置延迟时间。
在非抢占方式的备份组中,一旦某台交换机成为Master,只要它没有出现故障,即使在备份组中的其他交换机的优先级被配置成高于它,也不会成为Master.相反,如果为抢占方式,则一旦备份组内的Backup交换机发现自己的优先级比当前的Master交换机的优先级高,就会抢占Master角色,成为Master交换机,这样原来的Master交换机将会变成Backup角色。
在设置抢占的同时,还可以设置延迟时间,使得优先级较高的Backup交换机延迟一段时间再成为Master交换机。
其目的在于:
在性能不够稳定的网络中,Master交换机正常工作时,也可能由于网络堵塞导致Backup交换机收不到原来Master交换机发来的VRRP通告报文,使得备份组内的成员频繁地进行主备状态转换。
设置延迟时间后,Backup交换机没有按时收到来自Master交换机的VRRP通告报文时,会再等待一段时间,只有在这段等待时间过后Backup交换机还没有收到来自原Master交换机的VRRP通告报文,Backup交换机才会转换为Master角色。
备份组中成员交换机抢占方式和抢占延时时间的配置方法是在配置了虚拟IP地址的VLAN(备份组中的交换机接口属于这个VLAN)接口视图下使用vrrpvridvirtualrouteridpreemptmode[timerdelaydelayvalue]命令。
参数virtualrouterid:
用来设置要配置抢占方式的VRRP备份组号,取值范围为1~255的正整数,参数delayvalue:
用来设置Backup交换机抢占Master角色前所需等待的时间,取值范围为0~255秒。
默认情况下,备份组内的交换机被设置为抢占方式,延迟时间为0秒。
可用undovrrpvridpreemptmode
命令取消备份组的抢占方式。
【示例1】设置备份组1为抢占方式。
preemptmode?
【示例2】设置备份组1的Backup交换机抢占Master角色时的等待时间为5秒。
preemptmode?
timer?
delay?
5?
【示例3】取消备份组1中交换机的抢占方式设置。
2.备份组中成员交换机的VRRP认证方式以及认证字配置在本章前面4.1.3节中介绍了VRRP支持三种认证方式:
无认证、明文认证和MD5消息摘要认证,默认方式为无认证,也就是要加入到VRRP备份组的交换机无需认证就可以加入到VRRP备份组中。
VRRP认证方式和认证字(也就是认证密码)的配置方法是直接在虚拟路由器所在VLAN的VLAN接口下使用vrrpvridvirtualrouteridauthenticationmodeauthenticationtypeauthenticationkey命令。
命令中的三个参数说明如下:
virtualrouterid:
用于指定要配置认证方式的VRRP备份组编号,取值范围为1~255.
authenticationtype:
用于指定以上备份组的认证方式,主要有以下两种:
可选值有两种①simple:
表示进行简单字符认证;
②md5:
表示用MD5算法进行认证。
authenticationkey:
用于指定所选认证方式的认证字。
当采用simple认证方式时,为明文验证字,长度为1~8个字符;
当采用md5认证方式时,为明文验证字或者MD5密文验证字。
如果以明文形式输入,长度为1~8个字符,如:
1234567;
如果以密文形式输入,长度必须为24,并且必须是密文形式(只能通过从其他加密的密文复制得到,不能直接输入)。
【注意】认证字区分大小写,但在进行配置前,需要先在接口上创建备份组并配置虚拟IP地址。
而且,这里所配置的VRRP认证适用于同一个接口上的所有VRRP备份组,也就是在同一个接口上只需进行一次VRRP认证即可,无论它加入了多少个备份组,该接口上的所有备份组都使用相同的VRRP认证和认证字。
另外,加入同一备份组的所有成员也要设置相同的认证方式和认证字。
下面的示例是设置VRRP备份组1的认证方式为simple方式,认证字为123456.注意,这是在对应的备份组所在VLAN的VLAN接口中配置的,所以需要先确保该VLAN接口上已配置虚拟IP地址,并且所指定的VRRP备份组已创建。
[SysnameVlaninterface2]?
10.10.0.1?
authenticationmode?
simple?
123456?
H3C交换机设置VRRP高级功能
3.VRRP定时器配置
在VRRP中因为只有一种报文,那就是VRRP通告报文,向组内的成员交换机通知自己工作正常,所以在VRRP的配置中仅需要配置Master交换机VRRP通告报文发送的定时器(也就是报文发送的时间间隔)。
如果Backup交换机在等待了3个间隔时间后,依然没有收到VRRP通告报文,则认为自己是Master交换机,并对外发送VRRP通告报文,进行Master交换机重新选举。
VRRP报文发送定时器也需要在配置好VRRP备份组和所属的VLAN的VLAN接口上的虚拟路由器IP地址后进行,就是在对应的VLAN接口下使用vrrpvridvirtualrouteridtimeradvertiseadverinterval命令进行VRRP报文发送定时器配置。
命令中的两个参数说明如下:
用于指定要设置VRRP报文发送定时器的VRRP备份组编号,取值范围为1~255.
adverinterval:
用于指定备份组中的Master交换机发送VRRP报文的定时器,取值范围为1~255秒。
默认情况下,备份组中的Master交换机发送VRRP报文的定时器为1秒,可用undovrrpvridvirtualrouteridtimeradvertise命令来恢复为默认值。
【注意】同一备份组内的交换机要配置相同的定时器值,否则导致配置错误。
下面的示例是设置备份组1中Master交换机发送VRRP报文的定时器为15秒。
timer?
advertise?
15?
4.VRRP监视功能配置
通过本章前面的学习我们已经知道,VRRP备份组中的Backup交换机会在Master交换机出现故障时重新选举新的Master交换机。
这就涉及到一个如何识别Master交换机出现故障的问题了。
这就是此处所要介绍的VRRP监视功能,它是监视Master交换机在备份组中的接口状态,VRRP协议一旦发现该接口Down了,立即降低Master主机的优先级,这样就可以重新进行Master交换机选举。
其实这里的VRRP端口监视包括两个方面,一是监视VRRP备份组中VLAN接口状态,另一个是监视某个VLAN中的交换机物理端口状态。
VRRP的VLAN接口监视功能更好地扩充了备份功能,即不仅能在备份组所在的接口出现故障时提供备份功能,而且在交换机的其他接口不可用时,也可以使用备份功能。
当被监视的接口Down掉时,拥有这个接口的交换机的优先级会自动降低一个数额,可能导致备份组内其他交换机的优先级高于这个交换机的优先级,从而使得其他优先级高的交换机转变为Master.启动VRRP备份组端口监视功能后,将对物理端口进行链路状态监视,在物理端口发生故障时,会降低所在交换机的优先级。
如果备份组内管理交换机(Master)与上游连接的物理端口发生故障时,管理交换机的优先级按照设定的优先级降低值自动降低,从而促使备份组内重新选举管理交换机。
这两种监视功能的具体步骤如表4-4所示。
【注意】当备份组内存在"
IP地址拥有者"
(也就是VRRP备份组中某个交换机的物理端口IP地址与VRRP虚拟IP地址相同的交换机)时,IP地址拥有者上配置的VRRP备份组的监视端口功能不生效,因为该交换机永久是VRRP备份组的Master,具有最高优先级255,不可改变。
监视物理端口时,该端口可以包含在备份组所在VLAN接口的VLAN中,但最多只可以对8个物理端口进行监控。
表4-4VRRP监视功能的配置步骤
H3C交换机VRRP高级功能配置(3)
【示例4】在启用了VRRP功能的VLAN2接口上设置监视VLAN1接口,当VLAN1接口Down掉时,VLAN2上的备份组1的Master交换机优先级降低50.
track?
vlaninterface?
1?
reduced?
50?
【示例5】监视VLAN2中以太网端口GigabitEthernet1/0/1,在出现Down状态时,该端口优先级降低50.
vlan?
2?
[Sysnamevlan2]?
port?
GigabitEthernet1/0/1?
quit?
GigabitEthernet?
1/0/1?
[SysnameGigabitEthernet1/?
0/1]?
2?
5.虚拟转发器监视配置
在配置虚拟转发器监视功能之前,需要先在接口上创建备份组并配置虚拟IP地址。
在VRRP标准协议模式和负载均衡模式下均可配置虚拟转发器监视功能,但只有在VRRP负载模式下虚拟转发器监视功能才会起作用。
在这里先来简单介绍Track功能。
为了避免报文转发失败,提高通信的可靠性,一些模块需要及时感知接口的状态、链路的状态、网络的可达性或网络的性能。
例如,静态路由需要及时感知路由下一跳是否可达。
当下一跳不可达时,报文无法通过该静态路由到达目的网络。
此时,应该将静态路由置为无效,确保报文不再通过该静态路由转发。
需要感知接口状态、网络可达性等的模块,称为应用模块。
设备可以通过多种方式监测接口状态、链路状态、网络可达性和网络性能,如NQA(NetworkQualityAnalyzer,网络质量分析)、BFD(BidirectionalForwardingDetection,双向转发检测)和接口管理。
负责监测接口状态、网络可达性等的模块,称为监测模块。
应用模块可以直接与监测模块关联。
监测模块负责监测接口状态、链路状态、网络可达性或网络性能,并将监测结果通知给应用模块;
应用模块根据监测结果,进行相应的处理,例如,将静态路由置为无效。
应用模块支持与多种监测模块关联时,由于不同监测模块通知给应用模块的监测结果形式各不相同,应用模块需要分别处理不同形式的监测结果。
在应用模块和监测模块之间增加Track模块,可以屏蔽不同监测模块的差异,简化应用模块的处理。
Track模块中可以创建多个Track对象,分别与不同的应用模块和监测模块关联。
该Track对象称为Track项,通过编号来标识。
Track项的状态包括以下三种:
Possitive:
表示监测的对象正常工作,如接口处于Up状态、网络可达。
Negative:
表示监测的对象出现异常,如接口处于Down状态、网络不可达。
Invalid:
表示监测结果无效,如NQA作为监测模块时,与Track项关联的NQA测试组不存在。
配置虚拟转发器监视Track项的方法是在VRRP备份所属VLAN的VLAN接口(先要为该VLAN接口配置VRRP虚拟IP地址)视图下使用vrrpvridvirtualrouteridweighttracktrackentrynumber[reducedweightreduced]命令。
VRRP工作在负载均衡模式时,如果配置虚拟转发器监视Track项,则当Track项状态为Negative时,路由器上所有虚拟转发器的权重都将降低指定的数额;
被监视的Track项状态由Negative变为Positive或Invalid后,路由器中所有虚拟转发器的权重会自动恢复。
命令中的参数说明如下:
升级会员 