1、在具有组播或广播能力的局域网(如以太网)中,借助 VRRP 能在某台路由器出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。设备支持两种工作模式的 VRRP:标准协议模式:基于RFC实现的VRRP,详细介绍请参见“1.2 VRRP标准协议模式”。负载均衡模式:在标准协议模式的基础上进行了扩展,实现了负载均衡功能,详细介绍请参见“1.3 VRRP负载均衡模式”。VRRP 包括 VRRPv2 和 VRRPv3 两个版本,VRRPv2 版本只支持 IPv4 VRRP,VRRPv3 版本支持IPv4 VRRP 和 IPv6 VRRP。1-2 1.2 VRRP标准协议模式 1.2
2、.1 VRRP备份组 VRRP 将局域网内的可以承担网关功能的一组路由器划分在一起,组成一个备份组。备份组由一台Master 路由器和多台 Backup 路由器组成,对外相当于一台虚拟路由器。虚拟路由器具有 IP 地址,称为虚拟 IP 地址。局域网内的主机仅需要知道这台虚拟路由器的 IP 地址,并将其设置为网关的 IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。图1-2 VRRP 组网示意图 如 图 1-2 所示,Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器有自己的IP地址,由用户手工指定。局域网内的主机将虚拟路由器设置为默认网关。Ro
3、uter A、Router B和Router C中优先级最高的路由器作为Master路由器,承担网关的功能,其余两台路由器作为Backup路由器,当Master路由器发生故障时,取代Master路由器继续履行网关职责,从而保证局域网内的主机可不间断地与外部网络进行通信。虚拟路由器的 IP 地址可以是备份组所在网段中未被分配的 IP 地址,也可以和备份组内的某个路由器的接口 IP 地址相同。接口 IP 地址与虚拟 IP 地址相同的路由器被称为 IP 地址拥有者。在同一个VRRP 备份组中,只能存在一个 IP 地址拥有者。1.备份组中路由器的优先级 VRRP 根据优先级来确定备份组中每台路由器的角
4、色(Master 路由器或 Backup 路由器)。优先级越高,则越有可能成为 Master 路由器。VRRP 优先级的取值范围为 0 到 255(数值越大表明优先级越高),可配置的范围是 1 到 254,优先级 0 为系统保留给特殊用途来使用,255 则是系统保留给 IP 地址拥有者。当路由器为 IP 地址拥有Host AHost BHost CRouter AMasterRouter BBackupRouter CBackupVirtual routerVirtual IP address:10.1.1.1/24Network 1-3 者时,其优先级始终为 255。因此,当备份组内存在 I
5、P 地址拥有者时,只要其工作正常,则为 Master路由器。2.备份组中路由器的工作方式 备份组中的路由器具有以下两种工作方式:非抢占方式:在该方式下只要 Master 路由器没有出现故障,Backup 路由器即使随后被配置了更高的优先级也不会成为 Master 路由器。非抢占方式可以避免频繁地切换 Master 路由器。抢占方式:在该方式下 Backup 路由器一旦发现自己的优先级比当前 Master 路由器的优先级高,就会触发 Master 路由器的重新选举,并最终取代原有的 Master 路由器。抢占方式可以确保承担转发任务的 Master 路由器始终是备份组中优先级最高的路由器。3.备
6、份组中路由器的认证方式 VRRP 通过在 VRRP 报文中增加认证字的方式,验证接收到的 VRRP 报文,防止非法用户构造报文攻击备份组内的路由器。VRRP 提供了两种认证方式:简单字符认证:发送 VRRP 报文的路由器将认证字填入到 VRRP 报文中,而收到 VRRP 报文的路由器会将收到的 VRRP 报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的 VRRP 报文;否则认为接收到的报文是一个非法报文,将其丢弃。MD5 认证:发送 VRRP 报文的路由器利用认证字和 MD5 算法对 VRRP 报文进行摘要运算,运算结果保存在 VRRP 报文中。收到
7、VRRP 报文的路由器会利用本地配置的认证字和 MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的 VRRP 报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。在一个安全的网络中,用户也可以不设置认证方式。VRRPv3 版本的 IPv4 VRRP 和 IPv6 VRRP 均不支持对 VRRP 报文进行认证。1.2.2 VRRP定时器 1.偏移时间 偏移时间(Skew_Time)用来避免 Master 路由器出现故障时,备份组中的多个 Backup 路由器在同一时刻同时转变为 Master 路由器,导致备份组中存在多台 Master 路由器。
8、Skew_Time 的值不可配置,其计算方法与使用的 VRRP 协议版本有关:使用 VRRPv2 版本(RFC 3768)时,计算方法为:(256路由器在备份组中的优先级)/256 使用 VRRPv3 版本(RFC 5798)时,计算方法为:(256路由器在备份组中的优先级)VRRP 通告报文的发送时间间隔)/256 2.VRRP通告报文发送间隔定时器 VRRP 备份组中的 Master 路由器会定时发送 VRRP 通告报文,通知备份组内的路由器自己工作正常。1-4 用户可以通过命令行来调整 Master 路由器发送 VRRP 通告报文的发送间隔。如果 Backup 路由器在等待了 3发送间隔
9、Skew_Time 后,依然没有收到 VRRP 通告报文,则认为自己是 Master 路由器,并向本组其它路由器发送 VRRP 通告报文,重新进行 Master 路由器的选举。3.VRRP抢占延迟定时器 为了避免备份组内的成员频繁进行主备状态转换、让 Backup 路由器有足够的时间搜集必要的信息(如路由信息),在抢占方式下,Backup 路由器接收到优先级低于本地优先级的 VRRP 通告报文后,不会立即抢占成为 Master 路由器,而是等待一定时间抢占延迟时间Skew_Time 后,才会对外发送 VRRP 通告报文通过 Master 路由器选举取代原来的 Master 路由器。1.2.3
10、Master路由器选举 备份组中的路由器根据优先级确定自己在备份组中的角色。路由器加入备份组后,初始处于 Backup状态:如果等待 3发送间隔Skew_Time 后还没有收到 VRRP 通告报文,则转换为 Master 状态;如果在 3发送间隔Skew_Time 内收到优先级大于或等于自己优先级的 VRRP 通告报文,则保持 Backup 状态;如果在 3发送间隔Skew_Time 内收到优先级小于自己优先级的 VRRP 通告报文,且路由器工作在非抢占方式,则保持 Backup 状态;否则,路由器抢占成为 Master 路由器。通过上述步骤选举出的 Master 路由器启动 VRRP 通告报
11、文发送间隔定时器,定期向外发送 VRRP通告报文,通知备份组内的其它路由器自己工作正常;Backup 路由器则启动定时器等待 VRRP 通告报文的到来。当 Backup 路由器收到 VRRP 通告报文后,只会将自己的优先级与通告报文中的优先级进行比较,不会比较 IP 地址。由于网络故障原因造成备份组中存在多台 Master 路由器时,这些 Master 路由器会根据优先级和 IP 地址选举出一个 Master 路由器:优先级高的路由器成为 Master 路由器;优先级低的成为Backup 路由器;如果优先级相同,则 IP 地址大的成为 Master 路由器。1.2.4 VRRP监视功能 VRRP 监视功能只能工作在抢占方式下,用以保证只有优先级最高的路由器才能成为 Master 路由器。VRRP 监视功能通过 NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测 Master 路由器和上行链路的状态,并通过 Track 功能在 VRRP 设备状态和 NQA/BFD 之间建立关联:1-5 监视上行链路,根据上行链路的状态,改变路由器的优先级。当 Master 路由器的上行链路出现故障,局域网内的主机无法通过网关
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1