标签:中小型网络构建
中小型网络构建-vrrp协议详解什么是VRRP?
虚拟路由冗余协议(Virtual Router Redundancy Protocol,简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议,1998年已推出正式的RFC2338协议标准。VRRP广泛应用在边缘网络中,它的设计目标是支持特定情况下IP数据流量失败转移不会引起混乱,允许主机使用单路由器,以及及时在实际第一跳路由器使用失败的情形下仍能够维护路由器间的连通性。
优点
VRRP具有如下优点:
l 简化网络管理。在具有多播或广播能力的局域网(如以太网)中,借助VRRP能在某台设备出现故障时仍然提供高可靠的缺省链路,有效避免单一链路发生故障后网络中断的问题,而无需修改动态路由协议、路由发现协议等配置信息,也无需修改主机的默认网关配置。
l 适应性强。VRRP报文封装在IP报文中,支持各种上层协议。
l 网络开销小。VRRP只定义了一种报文——VRRP通告报文,并且只有处于Master状态的路由器可以发送VRRP报文。
虚拟路由器简介
VRRP将局域网内的一组路由器划分在一起,形成一个VRRP备份组,它在功能上相当于一台虚拟路由器,使用虚拟路由器号进行标识。以下使用虚拟路由器代替VRRP备份组进行描述。
虚拟路由器有自己的虚拟IP地址和虚拟MAC地址,它的外在表现形式和实际的物理路由器完全一样。局域网内的主机将虚拟路由器的IP地址设置为默认网关,通过虚拟路由器与外部网络进行通信。
VRRP工作过程
VRRP的工作过程为:
(1) 虚拟路由器中的路由器根据优先级选举出Master。Master路由器通过发送免费ARP报文,将自己的虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务;
(2) Master路由器周期性发送VRRP报文,以公布其配置信息(优先级等)和工作状况;
(3) 如果Master路由器出现故障,虚拟路由器中的Backup路由器将根据优先级重新选举新的Master;
(4) 虚拟路由器状态切换时,Master路由器由一台设备切换为另外一台设备,新的Master路由器只是简单地发送一个携带虚拟路由器的MAC地址和虚拟IP地址信息的免费ARP报文,这样就可以更新与它连接的主机或设备中的ARP相关信息。网络中的主机感知不到Master路由器已经切换为另外一台设备。
(5) Backup路由器的优先级高于Master路由器时,由Backup路由器的工作方式(抢占方式和非抢占方式)决定是否重新选举Master。
由此可见,为了保证Master路由器和Backup路由器能够协调工作,VRRP需要实现以下功能:
认证方式
VRRP提供了三种认证方式:
l 无认证:不进行任何VRRP报文的合法性认证,不提供安全性保障。
l 简单字符认证:在一个有可能受到安全威胁的网络中,可以将认证方式设置为简单字符认证。发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文。
l MD5认证:在一个非常不安全的网络中,可以将认证方式设置为MD5认证。发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行加密,加密后的报文保存在AuthenticationHeader(认证头)中。收到VRRP报文的路由器会利用认证字解密报文,检查该报文的合法性。
负载分担
在路由器的一个接口上可以创建多个虚拟路由器,使得该路由器可以在一个虚拟路由器中作为Master路由器,同时在其他的虚拟路由器中作为Backup路由器。
负载分担方式是指多台路由器同时承担业务,因此负载分担方式需要两个或者两个以上的虚拟路由器,每个虚拟路由器都包括一个Master路由器和若干个Backup路由器,各虚拟路由器的Master路由器可以各不相同
1、首先给主机配置ip
2、其次配置交换机端口加入access链路
3、给两台路由器配置192.168.10.0网段的IP地址
4、进入路由器配置VRRP协议
[Huawei-GigabitEthernet0/0/0]VRRP vrid 1 virtual-ip 192.168.10.254
1、 同样给主机配置IP
2、 其次给sw1配置VLAN和链路类型
3、 给两台三层路由配置VLAN和链路类型
4、 给两台sw2和sw3VLAN配置网关
5、 进入sw2和sw3配置vrrp建立虚拟局域网。调整vrrp的优先级
Sw2
[Huawei-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.254
[Huawei-Vlanif10]vrrp vrid 10 priority 200
[Huawei-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
Sw3
[Huawei-Vlanif20]vrrp vrid 20 virtual-ip 192.168.20.254
[Huawei-Vlanif20]vrrp vrid 20 priority 200
[Huawei-Vlanif10]vrrp vrid 10 virtual-ip 192.168.10.25
在上面的实验基础上shutdown0/0/2/口
[Huawei-Vlanif10]vrrp vrid 10 track interface GigabitEthernet 0/0/2 reduced 150
监听0/0/2口是否正常 端口跟踪
配置vrrp认证[Huawei-Vlanif10]vrrp vrid 10 authentication-mode md5 haha
上图可以看到当一台交换机配置认证而另一台未配置则会出现两台交换机都认为自己是master。
认证模式有两种明文和密文。
标签:中小型网络构建
原文地址:http://blog.51cto.com/13698450/2116691