任務(wù)11

配置VRRP11.1任務(wù)描述某企業(yè)通過R1、R2兩臺路由器分別連接到不同的ISP，以實現(xiàn)外網(wǎng)接入。網(wǎng)絡(luò)連接現(xiàn)狀為提高外網(wǎng)接入可靠性和網(wǎng)絡(luò)的高可用性，管理員需需要配置VRRP，實現(xiàn)路由器R1和R2之間的路由冗余備份。確保在主網(wǎng)關(guān)或其上行鏈路發(fā)生故障時，備用網(wǎng)關(guān)能夠自動無縫接管流量轉(zhuǎn)發(fā)，保證業(yè)務(wù)連續(xù)性，實現(xiàn)網(wǎng)絡(luò)資源的優(yōu)化利用。任務(wù)需求11.2任務(wù)目標知識目標01了解VRRP基本概念；理解VRRP專業(yè)術(shù)語；掌握VRRP工作原理。能力目標02能夠配置VRRP；能夠配置VRRP負載均衡；能夠配置VRRP認證。素質(zhì)目標03具有質(zhì)量意識、安全意識、信息素養(yǎng)、工匠精神、創(chuàng)新思維。創(chuàng)新目標04根據(jù)網(wǎng)絡(luò)需要求，靈活運用VRRP技術(shù)實現(xiàn)網(wǎng)關(guān)的冗余備份和網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)呢撦d均衡。11.3知識準備11.3.1VRRP術(shù)語

第一跳冗余協(xié)議(FirstHopRedundancyProtocol，F(xiàn)HRP)是一類網(wǎng)絡(luò)協(xié)議，這類協(xié)議所提供服務(wù)的共同特點是為終端設(shè)備提供了網(wǎng)關(guān)的冗余。

虛擬路由器冗余協(xié)議(VirtualRouterRedundancyProtocol，VRRP)是一種在部署冗余網(wǎng)關(guān)時最常用的FHRP。下圖展示了VRRP網(wǎng)絡(luò)的拓撲圖。11.3.1VRRP術(shù)語由多臺運行VRRP協(xié)議的路由器組成備份組，協(xié)同工作構(gòu)成虛擬路由器。組內(nèi)路由器共享虛擬IP和MAC地址。當主用設(shè)備故障時自動切換設(shè)備，確保網(wǎng)絡(luò)通信連續(xù)可靠。VRRP組分配給VRRP組的IP地址。其作為局域網(wǎng)內(nèi)主機默認網(wǎng)關(guān)地址。它是邏輯地址，非物理路由器接口地址。主機與外網(wǎng)通信時將數(shù)據(jù)包發(fā)至此地址，由Master路由器接收轉(zhuǎn)發(fā)。虛擬IP地址由VRRP協(xié)議根據(jù)VRID自動生成，格式為00-00-5E-00-01-{VRID}。虛擬路由器使用此MAC地址響應局域網(wǎng)內(nèi)對虛擬IP地址的ARP請求。虛擬MAC地址虛擬路由器的標識符，在同一個VRRP備份組內(nèi)唯一，取值范圍為1-255。管理員在配置VRRP組時必須指定VRID。VRID11.3.1VRRP術(shù)語主用設(shè)備（Master）在VRRP備份組中，負責處理所有發(fā)送到虛擬IP地址的用戶數(shù)據(jù)流量。主用設(shè)備周期性發(fā)送VRRP通告報文；響應局域網(wǎng)內(nèi)對虛擬IP地址的ARP請求。備用設(shè)備（Backup）VRRP備份組中未承擔轉(zhuǎn)發(fā)任務(wù)的設(shè)備，主要作用是在Master設(shè)備故障時，通過選舉機制成為新的Master設(shè)備，保證網(wǎng)絡(luò)連續(xù)性和可靠性。優(yōu)先級決定VRRP設(shè)備在備份組中成為Master的優(yōu)先程度，取值范圍0-255，數(shù)值越大優(yōu)先級越高，默認值100。優(yōu)先級為0表示設(shè)備停止參與備份組。搶占當Backup優(yōu)先級高于當前Master時，Backup立即宣告自己為新Master的行為。搶占模式默認開啟。非搶占模式下，只要Master設(shè)備正常，高優(yōu)先級Backup不會成為Master。11.3.2VRRP工作原理

VRRP將具有相同出口網(wǎng)管需求的路由設(shè)備配置到同一個VRRP組，并設(shè)置相同的虛擬IP地址。

組內(nèi)路由器根據(jù)優(yōu)先級選舉出Master。Master負責響應ARP請求并轉(zhuǎn)發(fā)用戶數(shù)據(jù)。Master周期性發(fā)送VRRP通告報文，宣告其存在和優(yōu)先級。

Backup監(jiān)聽Master的通告。如果在Master_Down_Interval（默認為3.609秒）內(nèi)未收到Master的通告，則認為Master失效。

Backup發(fā)起新的選舉，優(yōu)先級最高的Backup切換為Master狀態(tài)。新Master立即發(fā)送一個免費ARP更新局域網(wǎng)內(nèi)設(shè)備的ARP緩存（指向新的物理接口MAC），并開始周期性發(fā)送通告和轉(zhuǎn)發(fā)用戶數(shù)據(jù)。11.3.3VRRP基本配置

下圖為某企業(yè)網(wǎng)絡(luò)拓撲，路由器R1、R2連接到網(wǎng)關(guān)路由器R3。提高外網(wǎng)接入的可靠性，管理員計劃通過配置VRRP，實現(xiàn)路由器R1和R2的路由備用。11.3.3VRRP基本配置：配置思路在R1和R2連接內(nèi)網(wǎng)的接口（如GE0/0/0）上創(chuàng)建相同的VRRP組（VRID20）；設(shè)置相同的虛擬IP地址（10.1.1.254/24）；設(shè)置優(yōu)先級（R1:150,R2:默認100），使R1成為Master。配置VRRP組01在R1的GE0/0/0接口上，配置上行鏈路追蹤。當R1的上行接口GE0/0/1狀態(tài)變?yōu)镈own時，其VRRP優(yōu)先級自動降低100（從150變?yōu)?0），低于R2的優(yōu)先級（100），觸發(fā)R2搶占成為新Master。配置上行鏈路追蹤02將內(nèi)網(wǎng)主機的默認網(wǎng)關(guān)設(shè)置為VRRP虛擬IP地址（10.1.1.254）。在所有路由器（R1,R2,R3）上配置單區(qū)域OSPF協(xié)議，確保內(nèi)網(wǎng)路由可達以及R1/R2能通過各自的上行鏈路訪問外網(wǎng)。配置終端與路由0311.3.3VRRP基本配置：配置過程(1)在路由器R1上配置VRRP，R1為Master。配置命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]vrrpvrid20virtual-ip10.1.1.254[R1-GigabitEthernet0/0/0]vrrpvrid20priority150(2)在路由器R2上配置VRRP，R2為Backup，配置命令如下：

<Huawei>system-view[Huawei]sysnameR2[R2]interfacegigabitethernet0/0/0[R2-GigabitEthernet0/0/0]vrrpvrid20virtual-ip10.1.1.254(3)配置VRRP追蹤上行接口狀態(tài)。在路由器R1的GE0/0/0接口上配置以下命令，實現(xiàn)VRRP追蹤上行接口狀態(tài)。配置命令如下：[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]vrrpvrid20trackinterfacegigabitethernet0/0/1reduced100(4)在各路由器上配置單區(qū)域OSPF協(xié)議，確保網(wǎng)絡(luò)互通，此處略。11.3.3VRRP基本配置：配置驗證(1)在路由器R1和R2的系統(tǒng)視圖下，分別執(zhí)行displayvrrpbrief命令，查看兩臺路由器上VRRP的概要信息。配置命令如下：[R1]displayvrrpbriefTotal:1Master:1Backup:0Non-active:0VRIDStateInterfaceTypeVirtualIP20MasterGE0/0/0Normal10.1.1.254[R2]displayvrrpbriefTotal:1Master:0Backup:1Non-active:0VRIDStateInterfaceTypeVirtualIP20BackupGE0/0/0Normal10.1.1.25411.3.3VRRP基本配置：配置驗證(2)通過手動關(guān)閉路由器R1的接口GE0/0/1來模擬上行鏈路故障，查看路由器R1上的VRRP相關(guān)狀態(tài)變化信息。其具體命令如下：[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]shutdown

在路由器R1的接口GE0/0/1上執(zhí)行了shutdown命令后，R1接口狀態(tài)從UP變?yōu)閐own。由于優(yōu)先級值重新計算，路由器R1的VRRP狀態(tài)也從Master變?yōu)锽ackup。在PC上執(zhí)行tracert命令，進行路徑跟蹤測試。具體執(zhí)行命令如下：PC>tracert100.200.30.1tracerouteto100.200.30.1,8hopsmax(ICMP),pressCtrl+Ctostop110.1.1.25131ms47ms31ms230.30.30.247ms31ms47ms3100.200.30.147ms62ms63ms

以上結(jié)果顯示第一跳地址變?yōu)镽2的內(nèi)網(wǎng)接口IP（如10.1.1.251），證明流量已切換至R2。VRRP的主用、備用路由器切換成功。11.3.3VRRP基本配置：配置驗證(3)華為設(shè)備默認開啟VRRP搶占功能。上一步為驗證上行鏈路追蹤，關(guān)閉了路由器R1的GE0/0/1接口，路由器R2成為了主用路由器。為驗證VRRP搶占功能，執(zhí)行如下操作：①

恢復路由器R1的GE0/0/1接口：[R1]interfacegigabitethernet0/0/1[R1-GigabitEthernet0/0/1]undoshutdown②

輸入“displayvrrpstate-changeinterfacegigabitethernet0/0/0vrid20”命令，查看路由器R1的GE0/0/0接口的VRID20中的VRRP狀態(tài)變化情況。具體執(zhí)行命令如下：[R1]displayvrrpstate-changeinterfacegigabitethernet0/0/0vrid20TimeSourcestateDestStateReason2020-01-2005:42:00UTC-08:00IinitialistBackupInterfaceup2020-01-2005:42:03UTC-08:00BackupMasterProtocoltimerexpired2020-01-2006:32:00UTC-08:00MasterBackupPrioritycalculation2020-01-2007:42:08UTC-08:00Backup

MasterPrioritycalculation11.3.4VRRP的認證配置

為加強VRRP的安全性，管理者可在VRRP設(shè)備的協(xié)商消息中添加認證參數(shù)，確保只有具有相同認證配置的設(shè)備之間才能夠進行VRRP協(xié)商。下圖為某企業(yè)網(wǎng)絡(luò)拓撲，要求為PC20設(shè)置IP地址與網(wǎng)關(guān)地址，在路由器R1和R2上添加一個VRRP備用組，設(shè)置VRID與虛擬IP地址，主用路由器設(shè)置為R2，備用路由器設(shè)置為R1，并且路由器之間進行VRRP驗證。具體IP地址、接口等基本信息參照小節(jié)11.3.3VRRP的拓撲圖。11.3.4VRRP的認證配置：配置思路01為防止未經(jīng)授權(quán)的路由器加入VRRP組或篡改VRRP協(xié)商消息，增強VRRP協(xié)議的安全性，需要在VRRP設(shè)備的通告報文中添加認證字段。只有配置了相同認證方式和密鑰（密碼）的設(shè)備才能成功協(xié)商并加入同一個VRRP組。02在VRRP組配置中啟用認證功能（authentication-mode），并設(shè)置相同的認證密碼（如huawei）。OSPF配置與之前類似（確保網(wǎng)絡(luò)互通）。認證配置目的路由器配置要點11.3.4VRRP的認證配置：配置過程(1)在路由器R1上配置VRRPVRID30，并啟用認證功能。配置命令如下：<Huawei>system-view[Huawei]sysnameR1[R1]interfacegigabitethernet0/0/0[R1-GigabitEthernet0/0/0]vrrpvrid30virtual-ip10.1.1.253[R1-Gigabitethernet0/0/0]vrrpvrid30authentication-modesimpleplainHuawei//simpleplain表示明文認證，密碼在配置和報文中以明文傳輸（2）在路由器R2上配置VRRPVRID30并啟用認證功能，命令如下：<Huawei>system-view[Huawei]sysnameR2[R2]interfacegigabitethernet0/0/0[R2-GigabitEthernet0/0/0]vrrpvrid30virtual-ip10.1.1.253[R2-GigabitEthernet0/0/0]vrrpvrid30priority150[R2-GigabitEthernet0/0/0]vrrpvrid30authentication-modesimpleplainhuawei11.3.4VRRP的認證配置：配置驗證在路由器R1上執(zhí)行displayvrrp30命令，驗證VRRPVRID30的狀態(tài)。[R1]displayvrrp30GigabitEthernet0/0/0｜

VirtualRouter30State:BackupVirtualIP：10.1.1.253Masterip：10.1.1.251PriorityRun:100PriorityConfig:100MasterPriority:150Preempt:YESDelayTime:0sTimerRun:1sTimerConfig:1sAuthtype:SIMPLEAuthkey:huawei

VirtualMAC:0000-5e00-0120CheckTTL:YESConfigtype:normal-vrrpBackup-forward:disabledCreatetime：2020-01-2013:20:14UTC-08:00Lastchangetime:2020-01-2013:31:59UTC-08:00路由器R1啟用了VRRP認證功能，認證模式為“SIMPLE”，認證密碼為“huawei”。11.3.5VRRP負載均衡VRRP協(xié)議本身是主備冗余協(xié)議，單個VRRP組內(nèi)同一時刻只有一個Master轉(zhuǎn)發(fā)流量。但是，可以利用多VRRP組實現(xiàn)流量分擔。配置VRRP負載均衡時，在同一臺物理接口上可以配置多個虛擬路由器實例，使得流量可以在多個路由器之間分配，從而提高網(wǎng)絡(luò)的吞吐量和效率。

基于前面2個小節(jié)的配置，從下圖可以看出，通過VRRP實現(xiàn)了流量的負載均衡。PC10和PC20分別通過路由器R1和R2訪問Internet。具體IP地址、接口等基本信息參照小節(jié)11.3.3VRRP的拓撲圖。VRRP本質(zhì)上看，還是主備冗余，要實現(xiàn)真正意義上的負載均衡，需采用多VRRP組+策略路由的形式。11.3.5VRRP負載均衡:查看VRRP的配置

在路由器R1和R2上分別執(zhí)行displayvrrpbrief命令查看VRRP的配置。配置命令如下：[R1]displayvrrpbriefTotal:2Master:1Backup:1Non-active:0VRIDStateInterfaceTypeVirtualIP20MasterGE0/0/0Normal10.1.1.25430BackupGE0/0/0Normal10.1.1.253[R2]displayvrrpbriefTotal:2Master:1Backup:1Non-active:0VRIDStateInterfaceTypeVirtualIP20BackupGE0/0/0Normal10.1.1.25430MasterGE0/0/0Normal10.1.1.253

從displayvrrpbrief命令的回顯信息中可以看出，路由器R1是VRID20的主用路由器，是VRID30的備用路由器；路由器R2是VRID30的主用路由器，是VRID20的備用路由器。當設(shè)置網(wǎng)關(guān)時，主機可以用10.1.1.254和10.1.1.253作為網(wǎng)關(guān)地址，實現(xiàn)負載均衡。

那么，同學們，如果出口路由器有3個、4個，也能采用VRRP，實現(xiàn)負載均