虛擬路由器冗餘協議(VRRP)是一種LAN接入裝置備份協議。一個區域網絡內的所有主機都設定預設閘道器,這樣主機發出的目的地址不在本網段的報文將被透過預設閘道器發往三層交換機,從而實現了主機和外部網路的通訊。它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發資料包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的預設第一跳路由器。使用 VRRP 的好處是有更高的預設路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中傳送。
簡介
虛擬路由器冗餘協議(VRRP)是一種LAN接入裝置備份協議。一個區域網絡內的所有主機都設定預設閘道器,這樣主機發出的目的地址不在本網段的報文將被透過預設閘道器發往三層交換機,從而實現了主機和外部網路的通訊。它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器,它負責轉發資料包到這些虛擬 IP 地址。一旦主路由器不可用,這種選擇過程就提供了動態的故障轉移機制,這就允許虛擬路由器的 IP 地址可以作為終端主機的預設第一跳路由器。使用 VRRP 的好處是有更高的預設路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議。 VRRP 包封裝在 IP 包中傳送。
互相區別
VRRP協議的工作機理與CISCO公司的HSRP(Hot Standby Routing Protocol)有許多相似之處。但二者主要的區別是在CISCO的HSRP中,需要單獨配置一個IP地址作為虛擬路由器對外體現的地址,這個地址不能是組中任何一個成員的介面地址。
使用VRRP協議,不用改造目前的網路結構,相當大限度保護了當前投資,只需相當少的管理費用,卻大大提升了網路效能,具有重大的應用價值。
工作原理
vrrp只定義了一種報文——vrrp報文,這是一種組播報文,由主三層交換機定時發出來通告他的存在。使用這些報文可以檢測虛擬三層交換機各種引數,還可以用於主三層交換機的選舉。
vrrp報文是封裝在IP報文上的,支援各種上層協議,同時VRRP還支援將真實介面IP地址設定為虛擬IP地址。
那麼如何從備份組的多臺交換機中選舉Master?這項工作由我們在備份組內每臺交換機上配置的相同IP地址的虛擬交換機完成。
虛擬交換機根據配置的優先順序的大小選擇主交換機,優先順序相當大的作為主交換機,狀態為Master,若優先順序相同(如果交換機沒有配置優先順序,就採用預設值100),則比較介面的主IP地址,主IP地址大的就成為主交換機,由它提供實際的路由服務。其他交換機作為備份交換機,隨時監測主交換機的狀態。當主交換機正常工作時,它會每隔一段時間傳送一個VRRP組播報文,以通知組內的備份交換機,主交換機除正常工作狀態。如果組內的備份交換機長時間沒有接收到來自主交換機的VRRP組播報文,則將自己狀態轉換為Master。當組內有多臺備份交換機,將有可能產生多個主交換機。這時每一個主交換機就會比較VRRP報文中的優先順序和自己本地的優先順序,如果本地的優先順序小於VRRP中的優先順序,則將自己的狀態轉換為Backup,否則保持自己的狀態不變。透過這樣一個過程,就會將優先順序相當大的交換機選成新的主交換機,完成VRRP的備份功能。
VRRP監視功能
1. 監視指定介面功能
VRRP的監視介面功能使其在路由器連線上行鏈路的接口出現故障時,備份組無法感知上行鏈路的故障,如果該路由器此時處於Master狀態,將會導致區域網內的主機無法訪問外部網路。透過監視指定介面的功能,可以解決該問題。當連線上行鏈路的介面處於Down或Removed狀態時,路由器主動降低自己的優先順序,使得備份組內其它路由器的優先順序高於這個路由器,以便優先順序相當高的路由器成為Master,承擔轉發任務。
2. 監視Track項功能
透過VRRP監視Track項功能,可以實現:
根據上行鏈路的狀態,改變路由器的優先順序。當上行鏈路出現故障,區域網內的主機無法透過路由器訪問外部網路時,被監視Track項的狀態為Negative,並將路由器的優先順序降低指定的數額。從而,使得備份組內其它路由器的優先順序高於這個路由器的優先順序,成為Master路由器,保證區域網內主機與外部網路的通訊不會中斷。
? 在Backup路由器上監視Master路由器的狀態。當Master路由器出現故障時,工作在切換模式的Backup路由器能夠迅速成為Master路由器,以保證通訊不會中斷
應用例項:
實驗拓撲圖
實驗配置和檢視
VRRP虛擬路由器冗餘協議2
VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網路內的所有主機都設定一條預設路由,這樣,主機發出的目的地址不在本網段的報文將被透過預設路由發往路由器RouterA,從而實現了主機與外部網路的通訊。
AD:網+線下沙龍 | 移動APP模式創新:給你一個做APP的理由>>
VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗餘協議)是一種容錯協議。通常,一個網路內的所有主機都設定一條預設路由,這樣,主機發出的目的地址不在本網段的報文將被透過預設路由發往路由器RouterA,從而實現了主機與外部網路的通訊。當路由器RouterA壞掉時,本網段內所有以RouterA為預設路由下一跳的主機將斷掉與外部的通訊產生單點故障。VRRP就是為解決上述問題而提出的,它為具有多播組播或廣播能力的區域網(如:乙太網)設計。
VRRP將區域網的一組路由器(包括一個Master即活動路由器和若干個 Backup即備份路由器)組織成一個虛擬路由器,稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和備份組內的某個路由器的介面地址相同,相同的則稱為ip擁有者),備份組內的路由器也有自己的IP地址(如Master的IP地址為 10.100.10.2,Backup的IP地址為10.100.10.3)。區域網內的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1, 而並不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它們將自己的預設路由下一跳地址設定為該虛擬路由器的IP地址10.100.10.1.於是,網路內的主機就透過這個虛擬的路由器來與其它網路進行通訊。如果備份組內的 Master路由器壞掉,Backup路由器將會透過選舉策略選出一個新的Master路由器,繼續向網路內的主機提供路由服務。從而實現網路內的主機不間斷地與外部網路進行通訊。
工作原理
一個VRRP路由器有部分的標識:VRID,範圍為0-255該路由器對外表現為部分的虛擬MAC地址,地址的格式為00-00-5E- 00-01-[VRID]主控路由器負責對ARP請求用該MAC地址做應答這樣,無論如何切換,保證給終端裝置的是部分一致的IP和MAC地址,減少了切換對終端裝置的影響[3]
VRRP控制報文只有一種:VRRP通告(advertisement)它使用IP多播資料包進行封裝,組地址為224.0.0.18,釋出範圍只限於同一區域網內這保證了VRID在不同網路中可以重複使用為了減少網路頻寬消耗只有主控路由器才可以週期性的傳送VRRP通告報文備份路由器在連續三個通告間隔內收不到VRRP或收到優先順序為0的通告後啟動新的一輪VRRP選舉[3]
路由器的IP地址和虛擬路由器的介面IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有相當高優先順序:255優先順序0一般用在IP地址所有者主動放棄主控者角色時使用可配置的優先順序範圍為1-254優先順序的配置原則可以依據鏈路的速度和成本路由器效能和可靠性以及其它管理策略設定主控路由器的選舉中,高優先順序的虛擬路由器獲勝,因此,如果在VRRP組中有IP地址所有者,則它總是作為主控路由的角色出現對於相同優先順序的候選路由器,按照IP地址大小順序選舉VRRP還提供了優先順序搶佔策略,如果配置了該策略,高優先順序的備份路由器便會剝奪當前低優先順序的主控路由器而成為新的主控路由器[3]
為了保證VRRP協議的安全性,提供了兩種安全認證措施:明文認證和IP頭認證明文認證方式要求:在加入一個VRRP路由器組時,必須同時提供相同的VRID和明文密碼適合於避免在區域網內的配置錯誤,但不能防止透過網路監聽方式獲得密碼IP頭認證的方式提供了更高的安全性,能夠防止報文重放和修改等攻擊。