route-map的使用介紹

一、關(guān)于route-map

routemap可用于路由的再發(fā)布和策略路由，還經(jīng)常使用在BGP中。策略

路由實(shí)際上是復(fù)雜的靜態(tài)路由，靜態(tài)路由是基于數(shù)據(jù)包的目標(biāo)地址并轉(zhuǎn)發(fā)到指定

的下一跳路由器，策略路由還利用和擴(kuò)展IPACL鏈接，以便提供更多功能的過(guò)

濾和分類(lèi)。

如下圖，在R2上將OSPF路由重發(fā)布進(jìn)RIP,重發(fā)布時(shí)，可以使用metric

關(guān)鍵字來(lái)設(shè)置路由被重發(fā)布進(jìn)RIP后的metric,這里設(shè)置為1,直接結(jié)果是，所

有被注入到RIP的OSPF路由，metric都是1。靈活的調(diào)整一下，例如在路由被

注入RIP后，192,168,1.0路由的metric為1,2.0的metric為2,而傳統(tǒng)的重

發(fā)布是無(wú)法做到的。

redistributeospf1metric1

121

?重發(fā)布

121

165

但可以使用route-map工具，也就是在執(zhí)行重發(fā)布時(shí)，關(guān)聯(lián)一個(gè)route-

map,以實(shí)現(xiàn)這個(gè)功能。

二、Route-map的用途

1.重分發(fā)期間進(jìn)行路由過(guò)濾或執(zhí)行策略

2.PBR（策略路由）

3.NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）

4.BGP中的策略部署

5.其他用途

三、Route-map定義序列

route-map這個(gè)工具很重要，且使用范圍非常廣泛。定義route-map時(shí)，可

以采用route-map關(guān)鍵字來(lái)關(guān)聯(lián)一個(gè)自定義的參數(shù)，例如test來(lái)創(chuàng)建。一個(gè)

route-map列表，由這個(gè)test字符串統(tǒng)一表示，你可以在一個(gè)route-m叩下定

義多個(gè)序列，用十進(jìn)制的序列號(hào)來(lái)表示，如下圖的10、20：

route-maptestpermit10

matchx1逐級(jí)向下比對(duì)

matchx2

匹配每一個(gè)match語(yǔ)句

setyl

如果匹配，貝!J執(zhí)行SET動(dòng)作，

否則進(jìn)入下一個(gè)條目

route>maptestpermit20

matchx3

sety2

在每一個(gè)序列中，可定義供策略部署的兩個(gè)元素：匹配條件（match語(yǔ)句）

和執(zhí)行動(dòng)作（set語(yǔ)句）。你也可以定義多個(gè)條件，當(dāng)條件被匹配時(shí)，就會(huì)去執(zhí)

行set指定的相關(guān)動(dòng)作（set語(yǔ)句并非必須，例如：若route-map僅用于匹配感

興趣流量，則不需要set語(yǔ)句）。route-map被調(diào)用后，匹配動(dòng)作將會(huì)從最小的

序列號(hào)開(kāi)始執(zhí)行，如果該序列號(hào)中的條件都被匹配了，則執(zhí)行set命令，若條件

不匹配，則切換到下一個(gè)序列號(hào)繼續(xù)進(jìn)行匹配動(dòng)作。

四、Route-map的特點(diǎn)

使用match命令匹配特定的分組或路由，set修改該分組或路由相關(guān)屬性。

Route-map中的每個(gè)序列號(hào)語(yǔ)句相當(dāng)于訪問(wèn)控制列表中的各行。

Route-map默認(rèn)為permit,默認(rèn)序列號(hào)為10,序列號(hào)不會(huì)自動(dòng)遞增，需要

指定序列號(hào)。

末尾隱含denyany。

單條match語(yǔ)句包括多個(gè)條件時(shí)，使用邏輯or運(yùn)算；多條match語(yǔ)句時(shí)，

使用邏輯and運(yùn)算。

五、route-map配置命令

工?創(chuàng)建route-map

這個(gè)全局配置命令創(chuàng)建一個(gè)route-map,并使用自定義的字符串來(lái)表示，

個(gè)route-map下可以定義多個(gè)序列號(hào)。匹配動(dòng)作時(shí)，序列號(hào)具有優(yōu)先順序。

Permit/deny關(guān)鍵字在不同的部署場(chǎng)合中作用也有所不同：

route-maptestpermit/deny10

matchxl

matchx2,x3

setY

route-maptestpermit/deny20

matchx4

setY

2.定義匹配條件

matchipaddress匹配訪問(wèn)列表或前綴列表

matchlength根據(jù)分組的第三層長(zhǎng)度進(jìn)行匹配

matchinterface匹配下一跳出接口為指定接口之一的路由

matchipnext-hop匹配下一跳地址為特定訪問(wèn)列表中被允許的那些路由

matchmetric匹配具有指定度量值的路由

matchroute-type匹配指定類(lèi)型的路由

matchcommunity匹配BGP共同體

matchtag根據(jù)路由的標(biāo)記進(jìn)行匹配

3.定義set動(dòng)作

setmetric設(shè)置路由協(xié)議的度量值

setmetric-type設(shè)置目標(biāo)路由協(xié)議的度量值類(lèi)型

setdefaultinterface指定如何發(fā)送這樣的分組

setinterface指定如何發(fā)送這樣的分組

setipdefaultnext-hop指定轉(zhuǎn)發(fā)的下一跳

setipnext-hop指定轉(zhuǎn)發(fā)的下一跳

setnext-hop指定下一跳的地址，指定BGP的下一跳

setas-path

setcommunity

setlocal-preference

setweight

setorigin

settag

default關(guān)鍵字優(yōu)先級(jí)低于明細(xì)路由

六、路由重發(fā)布

工?路由重發(fā)布時(shí)關(guān)聯(lián)route-map

221

重發(fā)布

221

364

OSPF

在上圖中，我們將OSPF路由注入到RIP,而傳統(tǒng)的做法只能對(duì)所有注入進(jìn)

來(lái)的路由統(tǒng)一設(shè)置metric,但有了route-m叩，在配置重發(fā)布命令時(shí)，可關(guān)聯(lián)一

個(gè)已經(jīng)定義好的route-m叩，在route-m叩中，通過(guò)創(chuàng)建多個(gè)序列號(hào)語(yǔ)句來(lái)對(duì)不

同的路由設(shè)置不同的屬性或動(dòng)作。

如果希望OSPF路由注入到RIP后,和這兩條路

由的metric變?yōu)?跳,3.0變?yōu)?跳。

Access-list1permit

access-list1permit

access-list2permit

上面創(chuàng)建了兩個(gè)ACL,分別匹配需要差分對(duì)待的路由

route-maptestpermit10

matchipaddress1,當(dāng)路由匹配ACL1時(shí)，

setmetric2,將metric修改為2

route-maptestpermit20

matchipaddress2

setmetric3

!

routerrip

Redistributeospf1route-maptest

2?路由重發(fā)布時(shí)關(guān)聯(lián)route-map的經(jīng)典案例

在這個(gè)典型案例中，假設(shè)該網(wǎng)絡(luò)環(huán)境中有兩臺(tái)路由器，分別為RI、R2,連

接到了服務(wù)器群,服務(wù)器群使用兩臺(tái)三層交換機(jī)下掛著網(wǎng)絡(luò)的服務(wù)器，服務(wù)器中

有兩個(gè)子網(wǎng)，分別是生產(chǎn)服務(wù)器的10.1.L0/24,以及辦公服務(wù)器的

/24oR3是接入路由器，RI、R2、R3跑。SPF。

RLR2與三層交換機(jī)之間，假設(shè)是靜態(tài)路由環(huán)境。如果要想R3下的月戶(hù)

在訪問(wèn)生產(chǎn)服務(wù)器時(shí)，流量往紅色虛線(xiàn)箭頭所指示的方向流動(dòng)，訪問(wèn)辦公服務(wù)器

的時(shí)候往藍(lán)色箭頭方向流動(dòng)。

則首先R1及R2上，讓它們能夠到達(dá)服務(wù)器及2.0網(wǎng)段，需要

配置兩條靜態(tài)路由:

Iproute

Iproute10.1.2,0

下一步，要使R3能動(dòng)態(tài)學(xué)習(xí)到生產(chǎn)服務(wù)器和辦公服務(wù)器的路由，現(xiàn)將這兩

條靜態(tài)路由重發(fā)布進(jìn)OSPF,重發(fā)布時(shí)也有一些技巧。

R1的配置如下：

access-list1permit

access-list2permit

route-mapCiscopermit10

matchipaddress1

setmetric10

route-mapciscopermit20

matchipaddress2

setmetric20

routerospf100

redisstaticroute-mapcisco

R2的配置如下：

access-list1permit

access-list2permit

route-mapciscopermit10

matchipaddress1

setmetric20

route-mapciscopermit20

matchipaddress2

setmetric10

routerospf100

redisstaticroute-mapcisco

這樣就實(shí)現(xiàn)了需求。

七、其他細(xì)節(jié)

L驗(yàn)證matchinterface的作用1

在R3上：

Iproute1.1102552552550serial0/0

Iproute2.2.2,0

Iproute3.3.3,0serial0/1

I

Route-maptestpermit10

Matchinterfaces0/0

Routeros1

Redisstaticroute-maptest

那么在R4上，只能學(xué)習(xí)到111.0。222.0路由雖然下一期提指

向R1，但是并沒(méi)有用出按口的方式創(chuàng)建路由條目，從殛嬲看

沒(méi)有被match住.3.330就不嬲了，關(guān)領(lǐng)艇:是s0/1.

所以matchinterface,是match具有二屬性的路由，并且這

條路由的下一跳曲口是match的這個(gè)端口.

一個(gè)route-map語(yǔ)句中，如果沒(méi)有match語(yǔ)句，則匹配所有

Matchinterface：Todistributeanyroutesthathavetheirnexthopoutone

oftheinterfacesspecified,usethematchinterfacecommandinroute-map

configurationmode.用中文理解為：

matchinterface匹配的是下一跳出接口是這個(gè)接口的路由條目。

2?驗(yàn)證matchinterface的作用2

R1、R2、R3之間的RIP,R1、R2分別注入各自的loopback口

R3、R4胸OSPF在R3降分^學(xué)習(xí)到來(lái)自R1和R2的looback

/24/24

路由，接下去：

R3上配置如下：

route-maptestpermit10

matchinterfaceSerialO/O

routerospfl

redistnbuteripsubnetsroute-maptest

此時(shí)在R4上，只能學(xué)習(xí)到1110/24以及19216813.0/24

此時(shí)R3上看到1.110這條路由,是包含下T閽生的，而上例

中，關(guān)聯(lián)下一跳班態(tài)路由是沒(méi)有這個(gè)屬性，所以不被匹配

3?驗(yàn)證setipdefaultnext-hop

先保證RI、R3往工O.LLO的路由，在R2上做測(cè)試：

若R2上沒(méi)有任何的動(dòng)、靜態(tài)路由，且配置如下：

access-list1permit55

route-maptestpermit10

matchipaddress1

setipdefaultnext-hop

則PCping,數(shù)據(jù)走RI；

在上述基礎(chǔ)上,如果R2增加到R3的默認(rèn)路由,則PC到網(wǎng)絡(luò)的

數(shù)據(jù)仍被丟給R1，即ipdefaut-next-hop的優(yōu)先級(jí)高于默認(rèn)路由。

否定掉上面配置的默認(rèn)路由，再配置一條去往10.L13.0網(wǎng)絡(luò)的路由，下一

跳為R3,貝UPC至IJ網(wǎng)絡(luò)的數(shù)據(jù)切換到R3,證明ipdefaultnext-hop的

優(yōu)先級(jí)低于明細(xì)路由，高于默認(rèn)路由。

再次驗(yàn)證，只用一條ip「outel0.0,0,0255.000的匯總路由，下一跳為

R3,不用明細(xì)路由，同樣也走R3。因此只要不是默認(rèn)路由，只要路由表中存在

這么一條匹配的路由，則優(yōu)先走路由，沒(méi)有路由的情況下再走route-m叩。

第12章BFD

12.1BFD介紹

BFD(BidirectionalForwardingDetection,雙向轉(zhuǎn)發(fā)檢測(cè))是一套全網(wǎng)統(tǒng)一

的檢測(cè)機(jī)制，用于快速檢測(cè)、監(jiān)控網(wǎng)絡(luò)中鏈路連通狀況。為了提升現(xiàn)有網(wǎng)絡(luò)性

能，協(xié)議鄰居之間必須能快速檢測(cè)到通信故障，從而更快的建立起備用通道恢復(fù)

通信。

BFD提供了一個(gè)通用的、標(biāo)準(zhǔn)化的、介質(zhì)無(wú)關(guān)、協(xié)議無(wú)關(guān)的快速故障檢測(cè)機(jī)

制，可以為各上層協(xié)議如路由協(xié)議、MPLS等統(tǒng)一地快速檢測(cè)兩臺(tái)網(wǎng)絡(luò)設(shè)備間

雙向轉(zhuǎn)發(fā)路徑的故障。

BFD在兩臺(tái)網(wǎng)絡(luò)設(shè)備上建立會(huì)話(huà)，用來(lái)監(jiān)測(cè)兩臺(tái)網(wǎng)絡(luò)設(shè)備間的雙向轉(zhuǎn)發(fā)路徑，

為上層協(xié)議服務(wù)。BFD本身并沒(méi)有發(fā)現(xiàn)機(jī)制，而是靠被服務(wù)的上層協(xié)議通知其

該與誰(shuí)建立會(huì)話(huà)，會(huì)話(huà)建立后如果在檢測(cè)時(shí)間內(nèi)沒(méi)有收到對(duì)端的BFD控制報(bào)文

則認(rèn)為發(fā)生故障，逋知被服務(wù)的上層協(xié)議，上層協(xié)議進(jìn)行相應(yīng)的處理。

12.2BFD配置任務(wù)序列

BFD基本功能配置

BFD功能與RIP(ng)協(xié)議聯(lián)動(dòng)配置

BFD功能與靜態(tài)路由(IPv6)協(xié)議聯(lián)動(dòng)配置

BFD功能與VRRP(v3)協(xié)議聯(lián)動(dòng)配置

1.BFD基本功能配置

命令解釋

全局配置模式

配置BFD會(huì)話(huà)建立前的工作

模式,默認(rèn)為active模式。本

命令的no操作為恢復(fù)

bfdmode{active|passive}active模式。

nobfdmode

配置BFD認(rèn)證使用的key

和文本方式加密的認(rèn)證字符

bfdauthenticationkey<1-255>text<WORD>no

串。

bfdauthenticationkey<1~255>

no命令為刪除配置的key。

配置BFD使用的key和

md5方式加密的認(rèn)證字符串。

bfdauthenticationkey<1-255>md5<WORD>nono命令為刪除配置的key.

bfdauthenticationkey

接口配置模式

配置BFD控制報(bào)文的最小發(fā)

bfdinterval<value1>min_rx<value2>multiplier送時(shí)間間隔和會(huì)話(huà)檢測(cè)系數(shù)。

<value3>

nobfdinterval本命令的no操作為恢復(fù)檢測(cè)

系數(shù)為默認(rèn)值。

配置BFD控制報(bào)文的最小接

收時(shí)間間隔，no命令操作為恢

"echo報(bào)文的最小接收間隔

bfdmin-echo-receive-interval<value>no為默認(rèn)值。

bfdmin-echo-receive-interval

開(kāi)啟bfdecho功能，no命令

bfdechono為關(guān)閉bfdecho功能。

bfdecho

配置的Echo報(bào)文源地址進(jìn)行

鏈路故障的探測(cè)，n。命令操作

為刪除配置的echo報(bào)文源地

bfdecho-source-ip<ipv4-address>no址。

bfdecho-source-ip

配置的Echo報(bào)文源地址進(jìn)行

鏈路故障的探測(cè)，no命令操作

為刪除配置的echo報(bào)文源地

bfdecho-source-ipv6<ipv6-address>no址。

bfdecho-source-ipv6

接口開(kāi)啟BFD認(rèn)證功能和配

置使用的密鑰。本命令的no

bfdauthenticationkey<7-255>no操作為關(guān)閉BFD認(rèn)證功能。

bfdauthenticationkey

2.BFD功能與RIP(ng)協(xié)議聯(lián)動(dòng)配置

命令解釋

接口配置模式

在指定接口上配置RIP協(xié)議與

BFD聯(lián)動(dòng)，no命令操作為禁

用已經(jīng)配置的RIP協(xié)議與

ripbfdenableno

ripbfdenableBFD進(jìn)行聯(lián)動(dòng)功能。

在指定接口上配置RIPng協(xié)

議與BFD聯(lián)動(dòng)；no命令操作

為禁用已經(jīng)配置的RIPng協(xié)

ipv6ripbfdenableno議與BFD進(jìn)行聯(lián)動(dòng)功能。

ipv6ripbfdenable

3.BFD功能與靜態(tài)路由(IPv6)協(xié)議聯(lián)動(dòng)配置

命令解釋

全局配置模式

配置靜態(tài)路由與BFD進(jìn)行聯(lián)

iproute{vrf<name><ipv4-address>|動(dòng)。no命令操作為取消配置

<ipv4-address>}mask<nexthop>bfdnoiproute靜態(tài)路由與BFD進(jìn)行聯(lián)動(dòng)。

{vrf<name><ipv4-address>|

<ipv4-address>}mask<nexthop>bfd

配置IPv6靜態(tài)路由與BFD

ipv6route{vrf<name><ipv6-address>|進(jìn)行聯(lián)動(dòng)。no命令操作為取

<ipv6-address>}prefix<nexthop>bfd消配置IPv6靜態(tài)路由與

noipv6route{vrf<name><ipv6-address>|<ipv6-BFD進(jìn)行聯(lián)動(dòng)。

address>}prefix<nexthop>bfd

4.BFD功能與VRRP(v3)協(xié)議聯(lián)動(dòng)配置

命令解釋

VRRP(v3)組配置模式

啟用VRRP(v3)協(xié)議與

BFD聯(lián)動(dòng)功能，在該組上啟

用BFD檢測(cè)功能，no命令

操作為禁用VRRP(v3)協(xié)

bfdenableno議與BFD聯(lián)動(dòng)功能。

bfdenable

12.3BFD舉例

12.3.1BFD與靜態(tài)路由聯(lián)動(dòng)舉例

案例：在SwitchA上配置靜態(tài)路由可以到達(dá)1411.0/24網(wǎng)段路由，在

SwitchB上配置靜態(tài)路

由可以到達(dá)/24網(wǎng)段路由，并都使能BFD檢測(cè)功能；當(dāng)SwitchA

和SwitchB鏈路出現(xiàn)故障時(shí)BFD能夠快速感知。

vlan15

vlan14

L2switch

配置步驟如下：配置switchA:

Switch#config

Switch(config)#interfacevlan12

Switch(config-if-vlan12)#ipaddress

Switch(config)#interfacevlan15

Switch(config-if-vlan15)#ipaddress

Switch(config)#iproutebfd

配置switchB:

Switch#config

Switch(config)#interfacevlan12

Switch(config-if-vlan12)#ipaddress

Switch(config)#interfacevlan14

Switch(config-if-vlan15)#ipaddress

Switch(config)#iproutebfd

SwitchB和二層交換機(jī)之間鏈路發(fā)生故障時(shí),SwitchA能夠快速感知

SwitchB的變化。此時(shí)查看靜態(tài)路由，路由處于Inactive狀態(tài)。12.3.2BFD與

RIP路由聯(lián)動(dòng)舉例

案例：

SwitchA、SwitchB連接并運(yùn)行RIP協(xié)議，在兩臺(tái)交換機(jī)上開(kāi)啟BFD功

能。當(dāng)SwitchA和SwitchB鏈路出現(xiàn)故障時(shí)BFD能夠快速感知。

配置步驟如下：

配置switchA:

Switch#config

Switch(config)#bfdmodeactive

Switch(config)#interfacevlan100

Switch(config-if-vlan100)#ipaddress

Switch(config)#interfacevlan200

Switch(config-if-vlan200)#ipaddress

Switch(config)#routerrip

Switch(config-router)#networkvlan100

Switch(config-router)#networkvlan200

Switch(config)#interfacevlan100

Switch(config-if-vlan100)#ripbfdenable

配置switchB:

Switch#config

Switch(config)#bfdmodepassive

Switch(config)#interfacevlan100

Switch(config-if-vlan100)#ipaddress

Switch(config)#interfacevlan300

Switch(config-if-vlan300)#ipaddress

Switch(config)#routerrip

Switch(config-router)#networkvlan100

Switch(config-router)#networkvlan300

Switch(config)#interfacevlan100

Switch(config-if-vlan100)#ripbfdenable

SwitchA和SwitchB交換機(jī)之間鏈路發(fā)生故障時(shí)，BFD可以快速感知鏈

路故障。BFD協(xié)議通知RIP協(xié)議刪除學(xué)習(xí)到的路由。

12.3.3BFD與VRRP聯(lián)動(dòng)舉例

案例：當(dāng)Master出現(xiàn)故障時(shí)，只能依賴(lài)于Backup設(shè)置的超時(shí)時(shí)間來(lái)判斷是

否應(yīng)該搶占，切換時(shí)間一般在3秒~4秒之間，無(wú)法達(dá)到秒級(jí)以下的切換速度。

VRRP協(xié)議必須依賴(lài)一種可靠的鏈路檢測(cè)機(jī)制來(lái)探測(cè)Master的當(dāng)前狀態(tài)。

Backup上的探測(cè)協(xié)議快速檢測(cè)Master的運(yùn)行狀態(tài)，當(dāng)Master狀態(tài)出現(xiàn)故障

時(shí)，Backup能夠立即搶占成為Master,切換時(shí)間在100ms以?xún)?nèi)。

Internet

Master用BacKup

上行設(shè)備層傳發(fā)

VirtualRouter

SwitchAISwitchB

MasterBackup

vlan2vlan2

01,24

02^4

Trunk

啟動(dòng)MSTP

配置修改：

配置步驟如下：

#配置三層交換機(jī)SwitchA

Switch#config

Switch(config)#bfdmodeactive

Switch(config)#interfacevlan2

Switch(config-ip-vlan2)#ipaddress01

Switch(config)#routervrrp1

Switch(config-router)#virtual-ip0

Switch(config-router)#interfacevlan1

Switch(config-router)#enable

Switch(config-router)#bfdenable

#配置三層交換機(jī)SwitchB

Switch#config

Switch(config)#bfdmodepassive

Switch(config)#interfacevlan2

Switch(config-ip-vlan2)#ipaddress192.16.0,102

Switch(config)#routervrrp1

Switch(config-router)#virtual-ip0

Switch(config-router)#interfacevlan1

Switch(config-router)#enable

Switch(config-router)#bfdenable

12.4BFD排錯(cuò)幫助當(dāng)配置BFD功能出現(xiàn)問(wèn)題時(shí)，請(qǐng)檢查是否是如下原因：

路由協(xié)議的鄰居是否已經(jīng)成功建立，如果路由協(xié)議的鄰居沒(méi)有建立成功此時(shí)

BFD無(wú)法進(jìn)行檢測(cè)

與靜態(tài)路由聯(lián)動(dòng)時(shí)配置的source-ip是否正確，如果兩端配置的IP不能互通

BFD無(wú)法進(jìn)行檢測(cè)

與VRRP協(xié)議聯(lián)動(dòng)時(shí)，VRRP組是否已經(jīng)成功建立，如果VRRP組沒(méi)有建

立成功此時(shí)

BFD無(wú)法進(jìn)行檢測(cè)

RIP路由聚合功能典型案例

如下圖的應(yīng)用

環(huán)境：

/22

/24

/24

/24

/24

圖3-2RIP路由聚合典型應(yīng)用環(huán)境

在上述網(wǎng)絡(luò)拓?fù)鋱D中，S2通過(guò)接口vlanl與S1相連，S2另外有四條子網(wǎng)

路由，分別是:

/24,/24,/24,/240

S2支持路由聚合，在S2的接口vlard上配置聚合路由/22后，通

過(guò)vlanl給S1發(fā)送路由信息時(shí)，將四條子網(wǎng)路由聚合成一條聚合路由

/22,發(fā)送給S1,而不將子網(wǎng)發(fā)送給鄰居。減小了S1的路由表規(guī)

模，節(jié)省了內(nèi)存。

S1配置序列：

S1(config)#routerrip

S1(config-router)#networkvlan1

S2配置序列：

S2(config)#routerrip

S2(config-router)#networkvlan1

S2(config-router)#exit

S2(config)#invlan1

S2(Config-if-Vlan1)#ipripagg/22

第1章VRRP配置

1.1VRRP簡(jiǎn)介

VRRP（VirtualRouterRedundancyProtocol,虛擬路由器冗余協(xié)議）是一種容錯(cuò)協(xié)

議，其目的是利川備份機(jī)制來(lái)提高路由器（或三層以太網(wǎng)交換機(jī)）與外界連接的可靠性。它

是為具有多播或廣播能力的局域網(wǎng)（最明顯的例子就是以太網(wǎng)）而設(shè)計(jì)的，由IETF提出，

目前應(yīng)用比較廣泛。

通常，一個(gè)局域網(wǎng)內(nèi)的所有主機(jī)都會(huì)設(shè)置一條缺省路由以指明缺省網(wǎng)關(guān)，主機(jī)發(fā)出的那

些目的地址小在本網(wǎng)段的報(bào)文將通過(guò)該缺省路由發(fā)往缺省網(wǎng)關(guān)，從而實(shí)現(xiàn)了局域網(wǎng)內(nèi)各主機(jī)

與外部網(wǎng)絡(luò)的通信。然而.當(dāng)作為缺省網(wǎng)關(guān)的路由器與外部網(wǎng)絡(luò)相連的通信鏈路出現(xiàn)故障

后，本網(wǎng)段內(nèi)所有以該網(wǎng)關(guān)為缺省路由下一跳的各主機(jī)將被迫中斷與外部網(wǎng)絡(luò)的通信。

VRRP就是為解決上述問(wèn)題而提出的。VRRP運(yùn)行于局域網(wǎng)的多臺(tái)路由器上，它將這

幾臺(tái)路由器組織成一臺(tái)“虛擬”路由器，或稱(chēng)為一個(gè)備份組。在這個(gè)備份組中，有?個(gè)活動(dòng)路

由器（被稱(chēng)為Master）和一個(gè)或多個(gè)備份路由器（被稱(chēng)為Backup）o活動(dòng)路由器將實(shí)際承

擔(dān)這個(gè)'虛擬”路由器的工作任務(wù)（如負(fù)責(zé)轉(zhuǎn)發(fā)各主機(jī)送給'虛擬”路由器的報(bào)文），而備份路由

器則作為活動(dòng)路由器的備吩。

在運(yùn)行的時(shí)候，這個(gè)“虛擬”路由器擁有自己的“虛擬”IP地址，備份組內(nèi)的路由器也有自

己的IP地址。但是，由于VRRP只在路由器或以太網(wǎng)交換機(jī)上運(yùn)行，所以對(duì)于該網(wǎng)段上

的各主機(jī)來(lái)說(shuō)，這個(gè)備份組是透明的，它們僅僅知道這個(gè)“虛擬”路由器的“虛擬”IP地址，而

并不知道Master以及Backup的實(shí)際IP地址，因此它們將把自己的缺省網(wǎng)關(guān)地址設(shè)置

為該“虛擬”路由器的“虛擬"IP地址。于是，本局域網(wǎng)內(nèi)的各主機(jī)就通過(guò)這個(gè)'虛擬”路由器來(lái)

與其它網(wǎng)絡(luò)進(jìn)行通信。而實(shí)際上，它們是通過(guò)Master在與其它網(wǎng)絡(luò)進(jìn)行通信。而一旦備份

組內(nèi)的Master發(fā)生故障，Backup將會(huì)接替其工作，成為新的Master,繼續(xù)為本局域網(wǎng)

內(nèi)的各主機(jī)提供服務(wù)，從而保障本局域網(wǎng)內(nèi)的各主機(jī)可以不間斷與外部網(wǎng)絡(luò)的通信。

我們可以總結(jié)一下：在VRRP備份組內(nèi)，總有一臺(tái)路由器或以太網(wǎng)交換機(jī)是活動(dòng)路由

器（Master）,它完成“虛擬”路由器的工作；該備份組中其它的路由器或以太網(wǎng)交換機(jī)作為備

份路由器（Backup,可以不只一臺(tái)），隨時(shí)監(jiān)控Master的活動(dòng)。當(dāng)原有的Master出現(xiàn)故

障時(shí)，各Backup將自動(dòng)選舉出一個(gè)新的Master來(lái)接替其工作，繼續(xù)為網(wǎng)段內(nèi)各主機(jī)提

供路由服務(wù)。由于這個(gè)選舉和接替階段短暫而平滑，因比，網(wǎng)段內(nèi)各主機(jī)仍然可以正常地使

用虛擬路由器，實(shí)現(xiàn)不間斷地與外界保持通信。

1.2VRRP配置

配置任務(wù)序列：

1.創(chuàng)建/刪除虛擬路由器（必須）

2.配置VRRP虛擬IP和接口（必須）

3.啟動(dòng)/關(guān)閉虛擬路由器(必須)

4.配置VRRP輔助參數(shù)(可選)

(1)配置VRRP搶占模式

(2)配置VRRP優(yōu)先級(jí)

(3)配置VRRP定時(shí)器時(shí)間間隔

(4)配置VRRP對(duì)接口的監(jiān)控

1.創(chuàng)建/刪除虛擬路由器

命令解釋

全局配置模式

routervrrp<vrid>no創(chuàng)建/刪除虛擬路由器。

routervrrp<vrid>

2.配置VRRP虛擬IP和接口

命令解釋

VRRP協(xié)議配置模式

配置VRRP虛擬IP,no命令刪除虛擬

virtual-ip<ip>

novirtual-ipIP。

interface{IFNAME|Vian</D>>no配置VRRP接口，no命令刪除該接口。

interface

3.啟動(dòng)/關(guān)閉虛擬路由器

命令解釋

VRRP協(xié)議配置模式

啟動(dòng)該虛擬路由器。

enable

關(guān)閉該虛擬路由器。

disable

4.配置VRRP輔助參數(shù)

(1)配置VRRP搶占模式

命令解釋

VRRP協(xié)議配置模式

preempt-mode{true|false}配置VRRP的搶占模式。

(2)配置VRRP優(yōu)先級(jí)

命令解釋

VRRP協(xié)議配置模式

配置優(yōu)先級(jí)。

priority<priority>VRRP

（3）配置VRRP定時(shí)器時(shí)間間隔

命令解釋

VRRP協(xié)議配置模式

配置定時(shí)器時(shí)間值（單位為秒）。

advertisement-interval<time>VRRP

（4）配置VRRP對(duì)接口的監(jiān)控

命令解釋

VRRP協(xié)議配置模式

circuit-failover{IFNAME|Vlan</D>}

配置VRRP對(duì)接口的監(jiān)控，no命令刪除

<value_reducect>對(duì)接口的監(jiān)控。

nocircuit-failover

1.3VRRP典型案例

如下圖，SwitchA和SwitchB為在同一組內(nèi)互為備份的三層以太網(wǎng)交換機(jī)。

SWITCHB

SWITCHA

InterfacevlanlInterfacevlanl

圖1-1VRRP網(wǎng)絡(luò)拓?fù)涫疽鈭D

SwitchA的配置：

SwitchA(config)#interfacevlan1

SwitchA(Config-if-Vlan1)#ipaddress

SwitchA(config)#routervrrp1

SwitchA(config-router)#virtual-ip

SwitchA(config-router)#interfacevlan1

SwitchA(config-router)#enable

SwitchB的配置：

SwitchB(config)#interfacevlan1

SwitchB(Config-if-Vlan1)#ipaddress

SwitchB(config)#routervrrp1

SwitchB(config-router)#virtual-ip

SwitchB(config-router)#interfacevlan1

SwitchB(config-router)#enable

ULPP酉己置

4.1ULPP簡(jiǎn)介

每個(gè)ULPP組包括兩個(gè)上行鏈路端口，一個(gè)主端口(master),另一個(gè)為副端口(slave)。

這里的端口可以是物理端口，也可以是portchannel。ULPP組成員端口有三種狀態(tài)：

Forwarding,Standby,Down。正常情況下，只有?個(gè)湍口處于轉(zhuǎn)發(fā)(Forwarding)狀態(tài)，另

一個(gè)端口阻塞，處于待命(Standby)狀態(tài)。當(dāng)主端口發(fā)生鏈路故障時(shí)?，主端口變?yōu)镈own狀

態(tài)，原來(lái)處于Standby狀態(tài)的副端口切換到Forwarding狀態(tài)。

圖4-1ULPP使用場(chǎng)景

圖4-1中使用了雙上行組網(wǎng)，這是ULPP的典型應(yīng)用場(chǎng)景。交換機(jī)A通過(guò)B和C

雙上行到D,端口A1和A2為上行端口。交換機(jī)A上配置了ULPP,其中端口A1設(shè)

置為主端口，端I」A2設(shè)置為副端口。當(dāng)處于Forwarding狀態(tài)的端口A1發(fā)生故障時(shí)，

立即進(jìn)行鏈路切換，端口A2進(jìn)入Forwarding狀態(tài)。此后，當(dāng)主端口恢復(fù)時(shí)，如果沒(méi)有配

置搶占模式，則端口A2繼續(xù)保持Forwarding狀態(tài)，端口A1進(jìn)入Standby狀態(tài)。

通過(guò)開(kāi)啟搶占模式，使得主端口從故障恢復(fù)時(shí)可以對(duì)副端口進(jìn)行搶占。為了避免異常故

障導(dǎo)致的頻繁鏈路切換，引入了搶占延時(shí)機(jī)制，主端口搶占副端口前需要等待一定的時(shí)間。

為了保持流量的穩(wěn)定，默人情況下主端口不進(jìn)行搶占，而是進(jìn)入Standby狀態(tài)。

對(duì)ULPP配置時(shí)，需要通過(guò)MSTP實(shí)例的方式指定該ULPP組所保護(hù)的VLAN,對(duì)

保護(hù)VLAN之外的其它VLAN,ULPP不提供保護(hù)。

當(dāng)發(fā)生鏈路切換時(shí)，網(wǎng)絡(luò)中設(shè)備上原有的轉(zhuǎn)發(fā)表項(xiàng)將不適用于新的拓?fù)?。在圖4-1所示拓

撲中，交換機(jī)A上配置了ULPP,作為主端口的端匚A1處于Forwarding狀態(tài)，此時(shí)

交換機(jī)D會(huì)從端口D3上學(xué)習(xí)到PC的MAC地址。此后端口A1發(fā)生故障，流量切換

到端口A2進(jìn)行轉(zhuǎn)發(fā)，此時(shí)如果有通過(guò)交換機(jī)D發(fā)往PC的數(shù)據(jù)，仍然會(huì)從端口D3進(jìn)

行轉(zhuǎn)發(fā)，造成數(shù)據(jù)包的丟失。因此，鏈路切換時(shí)，配置了ULPP的設(shè)備需要通過(guò)切換變?yōu)?/p>

Forwarding狀態(tài)的端口發(fā)送flush報(bào)文，更新網(wǎng)絡(luò)中其他設(shè)備的MAC地址表和ARP

表。ULPP分別使用兩種flush報(bào)文對(duì)表項(xiàng)進(jìn)行更新：MAC地址更新報(bào)文和ARP刪除

報(bào)文。

為了充分利用帶寬資源，ULPP通過(guò)配置可以實(shí)現(xiàn)VLAN負(fù)載均衡。如圖所示，交換

機(jī)A上配置了兩個(gè)ULPP組：組1中端口A1做為主端口，端口A2為副端口，組2

中端口A2為主端口，端口A1為副端口，組1和組2保護(hù)的VLAN分別為1-100和

101-200.此時(shí)端口A1和端口A2同時(shí)處于轉(zhuǎn)發(fā)狀態(tài)，主端口和副端口互為備份，分別轉(zhuǎn)

發(fā)不同范圍VLAN的報(bào)文。端口A1發(fā)生故障時(shí)，VLAN1-200的流量都會(huì)由端口A2進(jìn)

行轉(zhuǎn)發(fā)。此后當(dāng)端口A1恢復(fù)正常時(shí)，端口2繼續(xù)轉(zhuǎn)發(fā)VLAN101-200的數(shù)據(jù)，VLAN1-

100的數(shù)據(jù)切換到端口

A1轉(zhuǎn)發(fā)。

4-2VLAN負(fù)載均衡

4.2ULPP酉己置任務(wù)序歹(J

1)全局創(chuàng)建ULPP組

2)配置ULPP組

3)顯示和調(diào)試ULPP相關(guān)信息

1)全局創(chuàng)建ULPP組

命令解釋

全局配置模式

ulppgroup<integer>no全局配置和刪除ULPP組。

ulppgroup<integer>

2)再口置ULPP組

命令解釋

ULPP組配置模式

配置ULPP組的搶占模式，no操作為刪

preemptionmodeno除搶占模式。

preemptionmode

preemptiondelay<integer>no配置搶占時(shí)延，no操作恢復(fù)默認(rèn)值30so

preemptiondelay

配置發(fā)送控制VLAN,no操作恢目發(fā)送

controlvlan<integer>no

控制VLAN的默認(rèn)值1。

controlvlan

protectvlan-reference-instance

配置保護(hù)VLAN,n。操作為刪除保護(hù)

<instance-list>noprotectvlan-

reference-instance<instance-list>VLAN。

使能或者關(guān)閉MAC地址更新的flush報(bào)

flushenablemacflush文的發(fā)送功能。

disablemac

使能或者關(guān)閉ARP刪除的flush報(bào)文的

flushenablearpflush發(fā)送功能。

disablearp

使能或關(guān)閉根據(jù)vlan刪除動(dòng)態(tài)單播mao

flushenablemac-vlanflush的flush報(bào)文發(fā)送功能

disablemac-vlan

description<string>no配置或者刪除ULPP組描述.

description

端口配置模式

配置接收控制VLAN,no操作恢復(fù)接收

ulppcontrolvlan<vlan-list>no控制VLAN的默認(rèn)值

ulppcontrolvlan<vlan-list>

使能或者關(guān)閉MAC地址更新的flush報(bào)

ulppflushenablemaculpp文的接收功能。

flushdisablemac

使能或者關(guān)閉ARP刪除的flush報(bào)文的

ulppflushenablearpulpp接收功能。

flushdisablearp

使能或關(guān)閉mac-vlan類(lèi)型的flush報(bào)文

ulppflushenablemac-vlanulpp接收功能

flushdisablemac-vlan

ulppgroup<integer>masterno配置或者刪除ULPP組的主端口。

ulppgroup<integer>master

ulppgroup<integer^slaveno配置或者刪除ULPP組的副端口。

ulppgroup<integer>slave

3)顯示和調(diào)試ULPP相關(guān)信息

命令解釋

特權(quán)配置模式

顯示已配置的組的配置信息。

showulppgroup[group-id]ULPP

showulppflushcounterinterface顯示flush報(bào)文統(tǒng)計(jì)信息。

{ethernet<IFNAME>|<IFNAME>}

顯示端口接收f(shuō)lush類(lèi)型和controlvlan

showulppflush-receive-porto

clearulppflushcounterinterface清除flush報(bào)文統(tǒng)計(jì)信息。

<name>

debugulppflush{send|receive}

顯示收發(fā)fush報(bào)文信息，no操作為關(guān)閉

interface<name>

顯示收發(fā)fush報(bào)文信息。

nodebugulppflush{send|receive}

interface<name>

顯示接收到的flush報(bào)文內(nèi)容，no操作為

debugulppflushcontentinterface

關(guān)閉顯示fush報(bào)文內(nèi)容。

<name>nodebugulppflushcontent

interface<name>

顯示ULPP錯(cuò)誤信息，no操作為關(guān)閉顯

示

debugulpp