1、VRRP 工程工程3 3項目項目5 5 第第23講講 背景描述背景描述背景描述背景描述解決方案解決方案v 中心交換機是整個網(wǎng)絡(luò)的核心和心臟，如果發(fā)生致命的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，所造成的損失也是難以估計的。因此，對鏈路采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。v 鏈路層冗余備份技術(shù)：v 網(wǎng)絡(luò)層冗余備份技術(shù)：利HSRP、VRRP協(xié)議保證核心設(shè)備的負荷分擔(dān)和熱備份，在中心交換機和雙匯聚交換機中某臺交換機出現(xiàn)故障時，應(yīng)能夠迅速切換三層路由設(shè)備和虛擬網(wǎng)關(guān)，實現(xiàn)雙線路的冗余備份，保證整網(wǎng)的穩(wěn)定性。v VRRP 協(xié)議是一種容錯協(xié)議，它與CISCO公司的私有協(xié)議HSRP（Hot Standby Redund

2、ency Protocol）實現(xiàn)相同的功能。 VRRP(Virtual Router Redundancy Protocol)：虛擬路由冗余協(xié)議是用于實現(xiàn)路由器冗余的協(xié)議，最新協(xié)議在RFC3768中定義。 在該協(xié)議中，對共享多存取訪問介質(zhì)（如以太網(wǎng)）上終端IP設(shè)備的默認網(wǎng)關(guān)(Default Gateway)進行冗余備份，從而在其中一臺路由設(shè)備宕機時，備份路由設(shè)備及時接管轉(zhuǎn)發(fā)工作，向用戶提供透明的切換，提高了網(wǎng)絡(luò)服務(wù)質(zhì)量。虛擬路由器地址：虛擬路由器地址：1. 采用主路由器物理地址，如采用主路由器物理地址，如10.1.1.12.采用本網(wǎng)段其它地址，如采用本網(wǎng)段其它地址，如10.1.1.4VRRP

3、VRRP 的應(yīng)用的應(yīng)用VRRP的基本應(yīng)用-路由冗余v 如圖，設(shè)備如圖，設(shè)備A、B以及以及C均使用以太網(wǎng)均使用以太網(wǎng)口與局域網(wǎng)連接，并在其連接局域網(wǎng)口與局域網(wǎng)連接，并在其連接局域網(wǎng)的以太網(wǎng)接口上設(shè)置了的以太網(wǎng)接口上設(shè)置了VRRP，它們，它們處于同一個處于同一個VRRP組并且該組并且該VRRP組組的虛擬的虛擬IP地址為地址為192.168.12.1，其中，其中設(shè)備設(shè)備A經(jīng)選舉為經(jīng)選舉為VRRP的主設(shè)備，設(shè)的主設(shè)備，設(shè)備備B與與C作為備份設(shè)備。局域網(wǎng)內(nèi)的作為備份設(shè)備。局域網(wǎng)內(nèi)的主機主機1、2以及以及3以虛擬設(shè)備的以虛擬設(shè)備的IP 地址地址192.168.12.1作為網(wǎng)關(guān)。局域網(wǎng)內(nèi)主作為網(wǎng)關(guān)。局域網(wǎng)內(nèi)

4、主機發(fā)往其它網(wǎng)絡(luò)的數(shù)據(jù)包將由主設(shè)備機發(fā)往其它網(wǎng)絡(luò)的數(shù)據(jù)包將由主設(shè)備(在圖在圖2中是設(shè)備中是設(shè)備A)進行路由轉(zhuǎn)發(fā)。一進行路由轉(zhuǎn)發(fā)。一旦設(shè)備旦設(shè)備A失效，將在設(shè)備失效，將在設(shè)備B與與C之間選之間選舉出主設(shè)備來承擔(dān)虛擬設(shè)備的路由轉(zhuǎn)舉出主設(shè)備來承擔(dān)虛擬設(shè)備的路由轉(zhuǎn)發(fā)功能，由此實現(xiàn)了簡單路由冗余。發(fā)功能，由此實現(xiàn)了簡單路由冗余。VRRP的高級應(yīng)用-負載均衡v 如圖，設(shè)置了兩個虛擬設(shè)備。對于虛擬設(shè)備如圖，設(shè)置了兩個虛擬設(shè)備。對于虛擬設(shè)備1，設(shè)備，設(shè)備A使用以太網(wǎng)口使用以太網(wǎng)口Fa0/0的的IP地址地址192.168.12.1作為虛擬設(shè)備的作為虛擬設(shè)備的IP地址，這樣設(shè)備地址，這樣設(shè)備A就成為主設(shè)備，而設(shè)就

5、成為主設(shè)備，而設(shè)備備B成為備份設(shè)備。對于虛擬設(shè)備成為備份設(shè)備。對于虛擬設(shè)備2，設(shè)備，設(shè)備B使用以太網(wǎng)口使用以太網(wǎng)口Fa0/0的的IP 地址地址192.168.12.2作為虛擬設(shè)備的作為虛擬設(shè)備的IP地址，這樣設(shè)備地址，這樣設(shè)備B就成為主設(shè)備，而設(shè)備就成為主設(shè)備，而設(shè)備A成成為備份設(shè)備。在局域網(wǎng)內(nèi)，主機為備份設(shè)備。在局域網(wǎng)內(nèi)，主機1和主機和主機2使用虛擬設(shè)備使用虛擬設(shè)備1的的IP地址地址192.168.12.1作為默認網(wǎng)關(guān)，主機作為默認網(wǎng)關(guān)，主機3和主機和主機4使用虛擬設(shè)備使用虛擬設(shè)備2的的IP地址地址92.168.12.2作為默認網(wǎng)關(guān)。在作為默認網(wǎng)關(guān)。在VRRP這個應(yīng)用中，設(shè)備這個應(yīng)用中，設(shè)備

6、A和設(shè)備和設(shè)備B實現(xiàn)了路由實現(xiàn)了路由冗余，并同時分擔(dān)了來自局域網(wǎng)的流量即實現(xiàn)了負載平衡。冗余，并同時分擔(dān)了來自局域網(wǎng)的流量即實現(xiàn)了負載平衡。vrrp grou- number ip IP-address secondarySwitch(config-if)#參數(shù)參數(shù)描述描述group-number取值范圍為0255之間,vrrp 組號IP-address虛擬路由器IP地址，可以是一臺真實路由器的地址，也可以虛擬的路由器地址secondary標明是該虛擬路由器的次IP 地址 說明：說明：l 如果不指定虛擬如果不指定虛擬IP 地址地址IPaddress，設(shè)備就不會參與，設(shè)備就不會參與VRRP備份組

7、。如果備份組。如果不使用不使用Secondary參數(shù)，那么設(shè)置的參數(shù)，那么設(shè)置的IP地址將成為虛擬設(shè)備的主地址將成為虛擬設(shè)備的主IP地址。地址。l 如果如果VRRP組的虛擬組的虛擬IP地址地址(Primary或者或者Secondary)與所在以太網(wǎng)接口上與所在以太網(wǎng)接口上的的IP地址地址(Primary或者或者Secondary)一致，那么就認為該一致，那么就認為該VRRP組占用組占用(Own)了以太網(wǎng)接口實際了以太網(wǎng)接口實際IP 地址，此時該地址，此時該VRRP組的優(yōu)先級為組的優(yōu)先級為255，如果對，如果對應(yīng)的以太網(wǎng)接口可用，那么該應(yīng)的以太網(wǎng)接口可用，那么該VRRP組將自動處于組將自動處于M

8、aster狀態(tài)。狀態(tài)。課堂實驗vrrp group-number priority priority-valueSwitch(config-if)#vrrp group-number preempt delay Delay-time Switch(config-if)# 在配置了VRRP備份組監(jiān)視的接口后，系統(tǒng)將根據(jù)所監(jiān)視接口的狀態(tài)動態(tài)地調(diào)整本設(shè)備的優(yōu)先級。一旦所監(jiān)視的接口狀態(tài)變?yōu)椴豢捎镁桶凑赵O(shè)置的數(shù)值減少本設(shè)備在VRRP備份組中的的優(yōu)先級，而此時同一個備份組中接口狀態(tài)更穩(wěn)定并且優(yōu)先級更高的其它設(shè)備就可以成為該VRRP備份組的活動的(或主)設(shè)備。 缺省狀態(tài)下，系統(tǒng)沒有設(shè)置VRRP備份組監(jiān)視的接

9、口。參數(shù)Interface -Priority取值范圍為1255。如果參數(shù)Interface -Priority缺省，系統(tǒng)會取默認值即10。Switch(config-if)#vrrp group-number track interfacetype number interface priority vrrp group-number timers advertise vrrp-advertise-intervalSwitch(config-if)#vrrp group-number times learnSwitch(config-if)#vrrp group-number authent

10、ication stringSwitch(config-if)#Switch#Switch#Switch# 課堂實驗 VRRP單備份組配置示例使用VRRP監(jiān)視接口配置示例HSRP和VRRP兩大備份路由器協(xié)議比較v 1.在功能上，VRRP和HSRP非常相似，但是就安全而言，VRRP對HSRP的一個主要優(yōu)勢：它允許參與VRRP組的設(shè)備間建立認證機制。并且，不像HSRP那樣要求虛擬路由器不能是其中一個路由器的ip地址，但是VRRP允許這種情況發(fā)生(如果”擁有”虛擬路由器地址的路由器被建立并且正在運行，那么應(yīng)該總是由這個虛擬路由器管理等價于HSRP中的活動路由器)，但是為了確保萬一失效發(fā)生的時候終端主