1、虛擬路由器冗余協(xié)議（VRRP）5.1 VRRP協(xié)議原理VRRP協(xié)議（Virtual Router Redundancy Protocol，虛擬路由器冗余協(xié)議）與HSRP類似，能夠提高網(wǎng)絡(luò)的穩(wěn)定性和可靠性，其由IETF標(biāo)準(zhǔn)RFC2338定義。由于VRRP與HSRP原理類似，只是術(shù)語和功能上有細(xì)微的差別，所以本節(jié)簡(jiǎn)要介紹VRRP的原理。1、VRRP的工作原理如圖5.1所示，VRRP協(xié)議將LAN網(wǎng)段上的兩臺(tái)或者多臺(tái)路由器可以作為一臺(tái)“虛擬”路由器使用，通過同一個(gè)虛擬IP地址和虛擬MAC地址而對(duì)外提供服務(wù)。如果其中一臺(tái)出現(xiàn)故障，另一臺(tái)就能接替它，繼續(xù)完成路由功能。圖5.1 VRRP創(chuàng)建了一個(gè)有自己MA

2、C地址和IP地址的虛擬路由器VRRP協(xié)議組中包括一臺(tái)主路由器、備份路由器和一臺(tái)虛擬路由器組成。VRRP協(xié)議中活躍路由器稱為主路由器，其轉(zhuǎn)發(fā)發(fā)送到虛擬路由器的數(shù)據(jù)包。而其他VRRP組中非主路由器的路由器都處于備份狀態(tài)。虛擬路由器是向最終用戶代表一臺(tái)可以連續(xù)工作的路由器。VRRP與HSRP相同根據(jù)優(yōu)先級(jí)大小選擇主路由器，同一個(gè)VRRP組中優(yōu)先級(jí)最大的路由器成為主路由器，狀態(tài)為Master。組中其他路由器都處于備份狀態(tài)，并檢測(cè)主路由器的狀態(tài)。主路由器每隔一段時(shí)間會(huì)發(fā)送一個(gè)VRRP通告，通告其工作正常。如果VRRP組中的備份路由器長(zhǎng)時(shí)間沒有收到主路由器的通告，就將自己改為Master狀態(tài)。VRRP組內(nèi)

3、可能有多臺(tái)備份路由器同時(shí)認(rèn)為自己是主路由器，這時(shí)每臺(tái)主路由器都會(huì)比較收到的VRRP通告中的優(yōu)先級(jí)與本地的優(yōu)先級(jí)的大小。如果本地優(yōu)先級(jí)小于VRRP通告的優(yōu)先級(jí)，則自身路由器狀態(tài)為備份狀態(tài)，否則為Master狀態(tài)不變。最終一個(gè)VRRP組中優(yōu)先級(jí)最大的路由器成為新的主路由器。2、虛擬MAC地址VRRP組中虛擬路由器的MAC地址格式為0000.5e00.01xx，其中xx為VRRP組號(hào)。例如：VRRP組47，則虛擬路由器的MAC地址是0000.5e00.012f。3、VRRP通告VRRP協(xié)議中只定義了一種報(bào)文即VRRP通告，其使用IP協(xié)議協(xié)議號(hào)為112，目的地址為組播地址224.0.0.18。4、VR

4、RP的狀態(tài)VRRP協(xié)議共定義了三種狀態(tài)：Master（主狀態(tài)）、Backup（備份狀態(tài)）、Initialize（初始狀態(tài)）。n 初始狀態(tài)：所有路由器都從初始狀態(tài)開始，即進(jìn)程啟動(dòng)后進(jìn)入此狀態(tài)。n 備份狀態(tài)：接收主路由器發(fā)送的VRRP組播通告，由此判斷主路由器的狀態(tài)；丟棄發(fā)送到虛擬路由器的MAC地址和IP地址的數(shù)據(jù)包；不響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求。n 主狀態(tài)：定期發(fā)送VRRP組播通告；響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求，并且發(fā)送免費(fèi)ARP報(bào)文使網(wǎng)絡(luò)內(nèi)主機(jī)知道虛擬IP地址和虛擬MAC地址的對(duì)應(yīng)關(guān)系；轉(zhuǎn)發(fā)目的地址是虛擬MAC地址的IP數(shù)據(jù)包。VRRP三種狀態(tài)間的轉(zhuǎn)換關(guān)系，如圖5.2所示。圖5.2 VR

5、RP三種狀態(tài)之間的轉(zhuǎn)換關(guān)系在初始狀態(tài)如果接收到startup消息，并且優(yōu)先級(jí)為255（優(yōu)先級(jí)范圍0255）時(shí)，則路由器狀態(tài)轉(zhuǎn)為主狀態(tài)；如果優(yōu)先級(jí)小于255時(shí)，則路由器狀態(tài)轉(zhuǎn)為備份狀態(tài)。在備份狀態(tài)如果接口收到shutdown消息，則路由器狀態(tài)轉(zhuǎn)為初始狀態(tài)；如果Master_Down_Interval時(shí)間超時(shí)，則路由器轉(zhuǎn)為主狀態(tài)。在主狀態(tài)如果接口收到shutdown消息，則路由器狀態(tài)轉(zhuǎn)為初始狀態(tài)；如果接收到的VRRP組播通告中的優(yōu)先級(jí)大于本地優(yōu)先級(jí)，則路由器狀態(tài)轉(zhuǎn)為備份狀態(tài)。· 名稱解釋：1、Master_Down_Interval相當(dāng)于HSRP中的保持時(shí)間，即備份路由器一段時(shí)間沒有收到

6、主路由器的VRRP通告，則認(rèn)為主路由器異常，自身成為主路由器。2、VRRP優(yōu)先級(jí)與HSRP優(yōu)先級(jí)相同，范圍是0255，可以配置的范圍是1254，默認(rèn)為100。如果，VRRP配置的虛擬IP地址和路由器的實(shí)際物理接口地址相同時(shí)這個(gè)VRRP路由器稱為IP地址擁有者，這時(shí)此路由器的VRRP優(yōu)先級(jí)為255。5、VRRP計(jì)時(shí)器VRRP通告的發(fā)送時(shí)間默認(rèn)為1s，而Master_Down_Interval時(shí)間是3倍的主路由器VRRP通告發(fā)送時(shí)間再加上一個(gè)偏移時(shí)間，具體的計(jì)算公式詳見RFC2338。6、VRRP認(rèn)證VRRP協(xié)議提供了三種認(rèn)證方式（無認(rèn)證、簡(jiǎn)單字認(rèn)證和MD5認(rèn)證）可以根據(jù)不同的網(wǎng)絡(luò)環(huán)境使用不同的認(rèn)

7、證方式。在一個(gè)安全的網(wǎng)絡(luò)中可以使用無認(rèn)證，在一個(gè)十分不安全的網(wǎng)絡(luò)中可以使用MD5認(rèn)證。5.2 VRRP協(xié)議的相關(guān)配置前面簡(jiǎn)單的講解了VRRP協(xié)議的原理，本節(jié)介紹VRRP協(xié)議的相關(guān)配置。5.2.1 VRRP的配置命令1、將路由器配置為VRRP組成員將路由器或三層交換機(jī)配置為VRRP組的成員，并指定虛擬IP地址：Switch(config-if)#vrrp group-number ip virtual-ip-address其中：n group-number：表示該端口所屬的VRRP組。可配置范圍是1255。n virtual-ip-address：表示虛擬VRRP路由器的IP地址，即網(wǎng)段的網(wǎng)關(guān)地

8、址。如果虛擬IP地址和接口的物理IP地址相同，則此VRRP組中本地路由器的優(yōu)先級(jí)為255。2、配置VRRP優(yōu)先級(jí)用戶可以指定端口在組內(nèi)的優(yōu)先級(jí)。這樣，在發(fā)生出現(xiàn)故障時(shí)，用戶可以靈活地指定端口順序。優(yōu)先級(jí)數(shù)值高的將成為主路由器，指定優(yōu)先級(jí)可使用下面的命令：Switch(config-if)#vrrp group-number priority priority-value其中，priority-value范圍是0255，可配置范圍是1254，默認(rèn)值是100。需要注意如果路由器是IP地址擁有者則優(yōu)先級(jí)為255，無法配置優(yōu)先級(jí)。3、配置占先權(quán)占先權(quán)的含義與HSRP相同，但是VRRP協(xié)議中占先權(quán)默認(rèn)是

9、開啟的。關(guān)閉VRRP占先權(quán)的命令為：Switch(config-if)#no vrrp group-number preempt可以使用vrrp group-number preempt命令開啟VRRP占先權(quán)。4、配置VRRP定時(shí)器配置VRRP路由器的VRRP通告發(fā)送時(shí)間的命令為：Switch(config-if)#vrrp 1 timers advertise msec interval其中，使用msec參數(shù)配置的時(shí)間間隔為毫秒，范圍50999；不使用msec參數(shù)參數(shù)配置的時(shí)間間隔為秒，范圍是1255。命令vrrp group-number timers learn為從主路由器那里獲悉VRR

10、P通告時(shí)間間隔，由此計(jì)算Master_Down_Interval的時(shí)間。5、配置VRRP認(rèn)證VRRP配置明文認(rèn)證的命令為：Switch(config-if)#vrrp 1 authentication wordVRRP配置MD5認(rèn)證的命令為：Switch(config-if)#vrrp 1 authentication md5 key- string word6、配置VRRP端口跟蹤VRRP配置端口跟蹤的方式與HSRP稍有不同。VRRP配置端口跟蹤時(shí)，首先，需要定義跟蹤的端口命令如下：Switch(config-if)#track number interface type mod/mun l

11、ine-protocol其中，number為編號(hào)，范圍1500；line-protocol表示接口鏈路層狀態(tài)。然后，在接口模式下配置VRRP端口跟蹤，命令為：Switch(config-if)#vrrp group-number track number decrement interface-priority其中：n group-number：采用跟蹤功能的端口的VRRP組號(hào)；n number：跟蹤由track number所定義的端口；n interface-priority：當(dāng)端口失效時(shí)路由器的熱備份優(yōu)先級(jí)將降低的數(shù)值；當(dāng)端口變?yōu)榭捎脮r(shí)，路由器的優(yōu)先級(jí)將加上該數(shù)值。要關(guān)閉端口跟蹤功能時(shí)，

12、可以使用no standby group-number track命令。需要注意如果路由器是IP地址擁有者則優(yōu)先級(jí)為255，不能配置端口跟蹤。7、查看VRRP路由器狀態(tài)要顯示VRRP路由器的狀態(tài)，在特權(quán)模式下輸入如下命令：Switch#show vrrp interface type mod/mun group group-number brief其中：n interface type mod/mun:要顯示的端口類型和序號(hào)；n group group-number:要顯示的具體VRRP組；n brief：顯示摘要信息，每個(gè)備份組總結(jié)顯示一行輸出；如果沒有指定這些任選端口參數(shù)，那么，show

13、vrrp 命令可以顯示所有端口的VRRP信息。使用show vrrp brief命令的輸出結(jié)果如下：SW1#show vrrp brief Interface Grp Pri Time Own Pre State Master addr Group addr此輸出表明，VLAN2端口參與了VRRP 2組，優(yōu)先級(jí)為150，啟用了占先權(quán)，不是IP地址擁有者，這個(gè)路由器處于Master狀態(tài)，組中主路由器的IP地址192.168.2.1，VRRP組的虛擬IP地址是192.168.2.254。使用show vrrp可以查看VRRP的詳細(xì)信息，如下所示：SW1#show vrrp Vlan2 - Grou

14、p 2 /VRRP組號(hào) State is Master /狀態(tài)為Master /VRRP組的虛擬IP地址 /VRRP組的虛擬MAC地址 Advertisement interval is 1.000 sec /VRRP通告發(fā)送時(shí)間間隔 Preemption enabled /占先權(quán)為啟動(dòng)狀態(tài) Priority is 150 /優(yōu)先級(jí)為150 Track object 1 state Up decrement 100 /端口跟蹤，降低優(yōu)先級(jí)100 Master Router is 192.168.2.1 (local), priority is 150 /主路由器的信息 Master Adver

15、tisement interval is 1.000 sec /主路由器的VRRP通告時(shí)間間隔 Master Down interval is 3.414 sec /主路由器的Down interval時(shí)間Vlan3 - Group 3 State is Backup Advertisement interval is 1.000 sec Preemption enabled Priority is 100 Master Router is 192.168.3.2, priority is 150 Master Advertisement interval is 1.000 sec Maste

16、r Down interval is 3.609 sec (expires in 3.217 sec) Learning /學(xué)習(xí)到的主路由器Down interval時(shí)間5.2.2 VRRP的配置實(shí)例與HSRP相同，要實(shí)現(xiàn)網(wǎng)絡(luò)流量的負(fù)載均衡，需要通過配置VRRP和生成樹來實(shí)現(xiàn)。下面通過一個(gè)配置實(shí)例來說明如何配置VRRP的負(fù)載均衡。BENET公司組建網(wǎng)絡(luò)如圖5.30所示，要求使用SW1和SW2使用VRRP加強(qiáng)網(wǎng)絡(luò)穩(wěn)定，為了充分利用網(wǎng)絡(luò)資源還要求實(shí)現(xiàn)VLAN的負(fù)載均衡。VRRP參數(shù)規(guī)劃如表5.1所示。表5.1 VRRP參數(shù)規(guī)劃表VRRP參數(shù)主路由器備份路由器優(yōu)先級(jí)150100占先權(quán)是（默認(rèn)）是（默

17、認(rèn)）計(jì)時(shí)器默認(rèn)默認(rèn)組號(hào)VLAN-ID注：u 對(duì)于VLAN2：SW1為主路由器、SW2為備份路由器；u 對(duì)于VLAN3：SW1為備份路由器、SW2為主路由器；其它網(wǎng)絡(luò)規(guī)劃如下：n 在SW1交換機(jī)VLAN 虛接口物理IP地址：l VLAN 2：ln 在SW2交換機(jī)VLAN 虛接口物理IP地址：l VLAN 2：ln PC1的IP地址：192.168.2.10/24，虛擬網(wǎng)關(guān)為192.168.2.254/24；PC2的IP地址：192.168.3.10/24，虛擬網(wǎng)關(guān)為192.168.3.254/24；n SW1和R1的互聯(lián)地址為192.168.0.0/30；SW2和R1的互聯(lián)地址為192.168.

18、1.0/30；n 配置R1路由器的Loopback接口地址192.168.100.1/24模擬外網(wǎng)地址；n 交換機(jī)之間鏈路均為中繼鏈路，并使用靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)互通；圖5.3 VRRP案例網(wǎng)絡(luò)拓?fù)鋱D根據(jù)網(wǎng)絡(luò)規(guī)劃配置網(wǎng)絡(luò)。1、配置設(shè)備基本信息（接口IP、VLAN、TRUNK、路由等配置），配置省略；配置時(shí)需要注意三層交換機(jī)啟用路由功能、VLAN虛端口需要開啟、三層交換機(jī)端口啟用三層功能等配置，以及接口配置的物理IP地址。2、配置VRRP分別在SW1和SW2上配置VRRP，如下所示：SW1配置SW1(config)#track 1 interface FastEthernet0/1 line-pro

19、tocol /定義跟蹤的端口SW1(config)#interface Vlan2 /配置虛擬IP地址SW1(config-if)#vrrp 2 timers learn SW1(config-if)#vrrp 2 priority 150 /配置優(yōu)先級(jí)150SW1(config-if)#vrrp 2 track 1 decrement 100 /配置端口跟蹤SW1(config-if)#exitSW1(config)#interface Vlan3 /優(yōu)先級(jí)使用默認(rèn)配置為100，并且不需要跟蹤端口SW1(config-if)#vrrp 3 timers learn /配置從主路由器獲悉VRR

20、P通告時(shí)間SW1(config-if)#exitSW2配置SW2(config)#track 1 interface FastEthernet0/1 line-protocolSW2(config)#interface Vlan2SW2(config-if)#vrrp 2 timers learnSW2(config-if)#exitSW2(config)#interface Vlan3SW2(config-if)#vrrp 3 timers learnSW2(config-if)#vrrp 3 priority 150SW2(config-if)#vrrp 3 track 1 decreme

21、nt 100SW2(config-if)#exit3、配置STP實(shí)現(xiàn)VLAN負(fù)載均衡SW1的配置信息如下：SW1(config)#spanning-tree vlan 2 root primary SW1(config)#spanning-tree vlan 3 root secondarySW2的配置信息如下：SW2(config)#spanning-tree vlan 2 root secondary SW2(config)#spanning-tree vlan 3 root primary由此可以保證VLAN2的STP實(shí)例阻塞的端口是SW2和SW3連接端口中的一個(gè)，而VLAN3的STP實(shí)

22、例阻塞的端口是SW1和SW3連接端口中的一個(gè)。由此保證了不同VLAN從SW3到主路由器的鏈路不被阻塞。4、驗(yàn)證VRRP使用show vrrp命令查看VRRP詳細(xì)信息，如下所示：SW1#show vrrpVlan2 - Group 2 State is Master Advertisement interval is 1.000 sec Preemption enabled Priority is 150 Track object 1 state Up decrement 100 Master Router is 192.168.2.1 (local), priority is 150 Mast

23、er Advertisement interval is 1.000 sec Master Down interval is 3.414 secVlan3 - Group 3 State is Backup Advertisement interval is 1.000 sec Preemption enabled Priority is 100 Master Router is 192.168.3.2, priority is 150 Master Advertisement interval is 1.000 sec Master Down interval is 3.609 sec (expires in 3.225 sec) Lea