1.vrrp原理
vrrp(虛擬路由冗餘協議)實現對終端設備的默認網關進行冗餘備份,在一臺路由出現故障時,備份路由器及時接管數據轉發,避免網絡的單點失效。
在基於TCP/IP協議的網絡中,爲了保證和出本網之外的其它網絡通信,主機必須指定默認路由。常用的方法有兩種:一種是通過路由協議動態學習;另一種是靜態配置。在每一個終端都運行動態路由協議,會增加路由協議的收斂時間,甚至由於戶端操作系統平臺問題造成網絡的不穩定。因此一般是給終端設備指定一個或者多個默認網關。靜態路由的方法簡化了網絡管理的複雜度和減輕了終端設備的通信開銷,但是它仍然有一個缺點:如果一臺默認路由器出現故障,終端不會自動切換到備份路由。採用虛擬路由冗餘協議可以很好的避免靜態指定網關的缺陷。
在VRRP協議中,有兩組重要的概念:VRRP路由器和虛擬路由器,主控(master)路由器和備(backup)路由器。VRRP路由器是指運行VRRP的路由器,是物理實體,虛擬路由器是指VRRP協議創建的,是邏輯的。一組VRRP路由器協同工作,共同構成一臺虛擬路由器。該虛擬路由器對外表現爲一個具有唯一固定IP地址和MAC地址的邏輯路由器。處於同一個VRRP組中的路由器具有兩種互斥的角色:主控路由器和備份路由器,一個VRRP組中有且只有一臺處於主控角色的路由器,可以有一個或者多個處於備份角色的路由器。VRRP協議使用選擇策略從路由器組中選出一臺作爲主控,負責ARP相應和轉發IP數據包,組中的其它路由器作爲備份的角色。一個VRRP路由器有唯一的標識:VRID,範圍爲0—255。該路由器對外表現爲唯一的虛擬MAC地址,地址的格式爲00-00-5E-00-01-[VRID]。主控路由器負責對ARP請求用該MAC地址做應答。這樣,無論如何切換,保證給終端設備的是唯一一致的IP和MAC地址,減少了切換對終端設備的影響。
VRRP控制報文只有一種:VRRP通告(advertisement)。它使用IP組播(224.0.0.18)發送通告,發佈範圍只限於同一局域網內。這保證了VRID在不同網絡中可以重複使用。爲了減少網絡帶寬消耗只有主控路由器纔可以週期性的發送VRRP通告報文。備份路由器在連續三個通告間隔內收不到VRRP或收到優先級爲0的通告後啓動新的一輪VRRP選舉。 在VRRP路由器組中,按優先級選舉主控路由器,VRRP協議中優先級範圍是0—255。若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優先級:255。優先級0一般用在IP地址所有者主動放棄主控者角色時使用。優先級的配置原則可以依據路由器性能和可靠性以及其它管理策略設定。如果在VRRP組中有IP地址所有者,則它總是作爲主控路由的角色出現。對於相同優先級的候選路由器,按照IP地址大小順序選舉。VRRP還提供了優先級搶佔策略,如果配置了該策略,高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成爲新的主控路由器。
2.案例配置
1)用到的拓撲圖
2)所用平臺
華爲(quidway-2600serial)路由器(r1,r2,r3);兩臺華爲交換機(quidway s3526)
3)R1配置命令
[Router]interface serial0
[Router-Serial0]ip address 202.102.1.2 24
[Router-Serial0]interface serial1
[Router-Serial1]ip address 202.102.2.2 24
[Router-Serial1]interface loopback 1
[Router-LoopBack1]ip address 202.102.3.1 24
4)R2配置命令
[Router]interface eth1.10 //vlan10 子接口
[Router-Ethernet1.10]vlan-type dot1q vid 10
[Router-Ethernet1.10]ip address 192.168.10.1 24
[Router-Ethernet1.10]vrrp vrid 10 virtual-ip 192.168.10.254 //配置vlan10 虛擬網關
[Router-Ethernet1.10]vrrp vrid 10 track serial1 reduced 30 // 監控serial 1端口如果此端口失效優先級減少30
[Router]acl 2000
[Router-acl-2000]rule permit source 192.168.0.0 0.0.0.255 // 允許192.168.0.0 網段的私有地址作nat 轉換
[Router]interface serial1
[Router-Serial1]ip address 202.102.2.1 24
[Router-Serial1]nat outbound 2000 interface //在接口作nat轉換
[Router-Ethernet1.10]interface eth1.20
[Router-Ethernet1.20]vlan-type dot1q vid 20
[Router-Ethernet1.20]ip address 192.168.20.1 24
[Router-Ethernet1.20]vrrp vrid 20 priority 120 //設置優先級爲120
[Router-Ethernet1.20]vrrp vrid 20 track serial1 reduced 30
[Router-Ethernet1.20]vrrp vrid 20 preempt-mode // 設置爲搶佔模式
[Router-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254
[Router]ip route-static 0.0.0.0 0.0.0.0 202.102.2.2 //到達外網的默認路由
5)R3配置命令
[Router]interface eth1.10
[Router-Ethernet1.10]vlan-type dot1q vid 10
[Router-Ethernet1.10]ip address 192.168.10.2 24
[Router-Ethernet1.10]vrrp vrid 10 virtual-ip 192.168.10.254
[Router-Ethernet1.10]vrrp vrid 10 priority 120
[Router-Ethernet1.10]vrrp vrid 10 track serial0 reduced 30
[Router-Ethernet1.10]vrrp vrid 10 preempt-mode
[Router-Ethernet1.10]interface eth1.20
[Router-Ethernet1.20]vlan-type dot1q vid 20
[Router-Ethernet1.20]ip address 192.168.20.2 24
[Router-Ethernet1.20]vrrp vrid 20 virtual-ip 192.168.20.254 //配置vlan10 虛擬網關
[Router-Ethernet1.20]vrrp vrid 20 track serial0 reduced 30 // 監控serial 0端口如果此端口失效優先級減少30
[Router]acl 2000
[Router-acl-2000]rule permit source 192.168.0.0 0.0.255.255
[Router]interface serial0
[Router-Serial0]ip address 202.102.1.1 24
[Router-Serial0]nat outbound 2000 interface
[Router]ip route-static 0.0.0.0 0.0.0.0 202.102.1.2
6)兩臺交換機的配置命令
[Quidway]vlan 10 //創建vlan10
[Quidway-vlan10]port eth0/5 to eth0/10 //把eth0/5-10 分配給vlan10
[Quidway]vlan 20
[Quidway-vlan20]port eth0/11 to eth0/15 // 把eth0/11-15 分配給vlan20
[Quidway]interface eth0/20
[Quidway-Ethernet0/20]port link-type trunk //配置eth0/20 爲幹道
[Quidway-Ethernet0/20]port trunk permit vlan all //幹道鏈路允許所有vlan通過
[Quidway]interface eth0/24
[Quidway-Ethernet0/24]port link-type trunk
[Quidway-Ethernet0/24]port trunk permit vlan all
[s38]vlan 10
[s38-vlan10]port eth0/5 to eth0/10
[s38-vlan10]vlan 20
[s38-vlan20]port eth0/11 to eth0/15
[s38]interface eth0/20
[s38-Ethernet0/20]port link-type trunk
[s38-Ethernet0/20]port trunk permit vlan all
[s38-Ethernet0/20]interface eth0/24 //兩臺交換機之間連接的端口
[s38-Ethernet0/24]port link-type trunk
[s38-Ethernet0/24]port trunk permit vlan all
7)測試結果
在R3上關於vrrp的信息
在R4上關於vrrp的信息
其中一臺主機的ip
在這臺主機上ping 外網地址
在R3上關閉連接交換機的ethernet1 端口
從新測試連通性
3.hsrp原理
hsrp(Hot Standby Router Protocol)是cisco的專有協議它實現和vrrp類似的功能。HSRP中有多臺路由器,它們組成一個“熱備份組”,這個組形成一個虛擬路由器。在任一時刻,一個組內只有一個路由器是活動的,並由它來轉發數據包,如果活動路由器發生了故障,將選擇一個備份路由器來替代活動路由器,但是在本網絡內的主機看來,虛擬路由器沒有改變。所以主機仍然保持連接,沒有受到故障的影響,這樣就較好地解決了路由器切換的問題。HSRP協議利用一個優先級方案來決定哪個配置了HSRP協議的路由器成爲默認的主動路由器。如果一個路由器的優先級設置的比所有其他路由器的優先級高,則該路由器成爲主動路由器。路由器的缺省優先級是100,所以如果只設置一個路由器的優先級高於100,則該路由器將成爲主動路由器。通過在設置了HSRP協議的路由器之間廣播HSRP優先級,HSRP協議選出當前的主動路由器。當在預先設定的一段時間內主動路由器不能發送hello消息時,優先級最高的備用路由器變爲主動路由器。
HSRP 狀態 備份組內的路由器處於各自的狀態,根據相互間發送 HSRP 報文來調整新的狀態。
(1)init:所有備份組內組員的初始狀態爲 INIT,當組員配置屬性或端口 UP 時,進入 INIT 狀態。
(2)learn:該組員未設定虛擬IP地址,並等待從本組活動路由器發出的認證的Hello 報文中學習得到自己的虛擬IP 地址。
(3)listen :該組員已得知或設置了虛擬 IP 地址,通過監聽 Hello 報文監視活動/備份路由器,一旦發現活動/備份路由器長時間未發送 Hello 報文,則進入 SPEAK 狀態,開始競選。
(4)speak: 參加競選活動/備份路由器的組員所處的狀態,通過發送 Hello 報文使競選者間相互比較、競爭。
(5)standby: 組內備份路由器所處的狀態,備份組員監視活動路由器,準備隨時在活動路由器壞掉時接替活動路由器。備份路由器也週期性發送 Hello 報文告訴其他組員自己沒有壞掉。
(6)ACTIVE:組內活動路由器即負責虛擬路由器實際路由工作的組員所處的狀態。活動路由器週期性發送 Hello 報文告訴其他組員自己沒有壞掉。
4.hsrp案例配置
1)用到的拓撲圖
2)r1配置命令
r1(config)#interface FastEthernet0/0.10
r1(config-if)#encapsulation dot1Q 10
r1(config-if)#ip address 192.168.10.1 255.255.255.0
r1(config-if)#standby 10 ip 192.168.10.254
r1(config-if)#standby 10 priority 150
r1(config)#interface FastEthernet0/0.20
r1(config-if)#encapsulation dot1Q 20
r1(config-if)#ip address 192.168.20.1 255.255.255.0
r1(config-if)#standby preempt
r1(config-if)#standby 20 ip 192.168.20.254
3)r2配置命令
r1(config)#interface FastEthernet0/0.10
r1(config-if)#encapsulation dot1Q 10
r1(config-if)#ip address 192.168.10.2 255.255.255.0
r1(config-if)#standby 10 ip 192.168.10.254
r1(config-if)#standby 10 priority 150
r1(config)#interface FastEthernet0/0.20
r1(config-if)#encapsulation dot1Q 20
r1(config-if)#ip address 192.168.20.2 255.255.255.0
r1(config-if)#standby preempt
r1(config-if)#standby 20 ip 192.168.20.254
4)R14配置命令
R14#vlan database
R14(vlan)#vlan 10
R14(vlan)#vlan 20
R14(config)#interface range fa1/0 –2
R14(config-if-range)#switchport mode trunk
R14(config-if-range)#channel-group 1 mode on
R14(config)#interface range fa1/0 –4
R14(config-if-range)#switchport mode trunk
5)R15配置命令
R15#vlan database
R15(vlan)#vlan 10
R15(vlan)#vlan 20
R15(config)#interface range fa1/0 –2
R15(config-if-range)#switchport mode trunk
R15(config-if-range)#channel-group 1 mode on
R15(config)#interface range fa1/0 –4
R15(config-if-range)#switchport mode trunk
6)R13配置命令
R13(config)#interface range fa1/0 –2
R13(config-if-range)#switchport mode trunk
R13(config)#vlan 10
R13(config)#vlan 20
R13(config)#interface range fa1/4 –5
R13(config-if-range)#switchport access vlan 10
R13(config)#interface range fa1/6 –7
R13(config-if-range)#switchport access vlan 20
7)測試在host1的連通性
關閉一個路由器在測試
