VRRP虛擬路由器冗余協(xié)議詳解(實(shí)驗+原理)

VRRP虛擬路由器冗余協(xié)議詳解(實(shí)驗+原理)

VRRP虛擬路由器冗余協(xié)議是一種容錯協(xié)議，它能夠保證當(dāng)主機(jī)的下一跳路由器出現(xiàn)故障時，由另一臺路由器來代替出現(xiàn)故障的路由器進(jìn)行工作，從而保持網(wǎng)絡(luò)通信的連續(xù)性和可靠性。虛擬路由器由一個Master路由器和多個Backup路由器組成，主機(jī)將虛擬路由器當(dāng)作默認(rèn)網(wǎng)關(guān)。一個虛擬路由器的標(biāo)識為VRID，有相同VRID的一組路由器構(gòu)成一個虛擬路由器。Master路由器是虛擬路由器中承擔(dān)報文轉(zhuǎn)發(fā)任務(wù)的路由器，而Backup路由器則是在Master路由器出現(xiàn)故障時能夠代替其工作的路由器。虛擬路由器可以擁有一個或多個IP地址，接口IP地址與虛擬IP地址相同的路由器被稱為IP地址擁有者。虛擬路由器擁有一個虛擬MAC地址，其格式為00-00-5E-00-01-{VRID}。通常情況下，虛擬路由器回應(yīng)ARP請求使用的是虛擬MAC地址，只有在虛擬路由器做特殊配置的情況下，才會回應(yīng)接口的真實(shí)MAC地址。VRRP根據(jù)優(yōu)先級來確定虛擬路由器中每臺路由器的地位。如果Backup路由器工作在非搶占方式下，則只要Master路由器沒有出現(xiàn)故障，Backup路由器即使隨后被配置了更高的優(yōu)先級也不會成為Master路由器。而如果Backup路由器工作在搶占方式下，當(dāng)它收到VRRP報文后，會將自己的優(yōu)先級與通告報文中的優(yōu)先級進(jìn)行比較。如果自己的優(yōu)先級比當(dāng)前的Master路由器的優(yōu)先級高，就會主動搶占成為Master路由器；否則，將保持Backup狀態(tài)。VRRP是一種將局域網(wǎng)內(nèi)的一組路由器劃分在一起，形成一個備份組的技術(shù)，稱為虛擬路由器。虛擬路由器使用虛擬路由器號進(jìn)行標(biāo)識，有自己的虛擬IP地址和虛擬MAC地址，外在表現(xiàn)和實(shí)際的物理路由器完全一樣。局域網(wǎng)內(nèi)的主機(jī)將虛擬路由器的IP地址設(shè)置為默認(rèn)網(wǎng)關(guān)，通過虛擬路由器與外部網(wǎng)絡(luò)進(jìn)行通信。虛擬路由器是由多個實(shí)際的路由器組成，包括一個Master路由器和多個Backup路由器。Master路由器正常工作時，局域網(wǎng)內(nèi)的主機(jī)通過Master與外界通信。當(dāng)Master路由器出現(xiàn)故障時，Backup路由器中的一臺設(shè)備將成為新的Master路由器，接替轉(zhuǎn)發(fā)報文的工作。VRRP的工作過程包括以下幾個步驟：首先，虛擬路由器中的路由器根據(jù)優(yōu)先級選舉出Master。Master路由器通過發(fā)送免費(fèi)ARP報文，將自己的虛擬MAC地址通知給與它連接的設(shè)備或者主機(jī)，從而承擔(dān)報文轉(zhuǎn)發(fā)任務(wù)。其次，Master路由器周期性發(fā)送VRRP報文，以公布其配置信息（優(yōu)先級等）和工作狀況。如果Master路由器出現(xiàn)故障，虛擬路由器中的Backup路由器將根據(jù)優(yōu)先級重新選舉新的Master。虛擬路由器狀態(tài)切換時，Master路由器由一臺設(shè)備切換為另外一臺設(shè)備，新的Master路由器只是簡單地發(fā)送一個攜帶虛擬路由器的MAC地址和虛擬IP地址信息的免費(fèi)ARP報文，這樣就可以更新與它連接的主機(jī)或設(shè)備中的ARP相關(guān)信息。網(wǎng)絡(luò)中的主機(jī)感知不到Master路由器已經(jīng)切換為另外一臺設(shè)備。最后，Backup路由器的優(yōu)先級高于Master路由器時，由Backup路由器的工作方式（搶占方式和非搶占方式）決定是否重新選舉Master。為了保證Master路由器和Backup路由器能夠協(xié)調(diào)工作，VRRP需要實(shí)現(xiàn)以下功能：Master路由器的選舉、Master路由器狀態(tài)的通告。同時，為了提高安全性，VRRP還提供了認(rèn)證功能。VRRP根據(jù)優(yōu)先級來確定虛擬路由器中每臺路由器的角色（Master路由器或Backup路由器）。優(yōu)先級越高，則越有可能成為Master路由器。路由器初始創(chuàng)建時處于Backup狀態(tài)。通過VRRP報文的交互，可以獲知虛擬路由器中其他成員的優(yōu)先級。如果VRRP報文中Master路由器的優(yōu)先級高于自己的優(yōu)先級，則路由器保持在Backup狀態(tài)。如果VRRP報文中Master路由器的優(yōu)先級低于自己的優(yōu)先級，則采用搶占工作方式的路由器將搶占成為Master狀態(tài)，周期性地發(fā)送VRRP報文；采用非搶占工作方式的路由器仍保持Backup狀態(tài)。如果在一定時間內(nèi)沒有收到VRRP報文，則路由器切換為Master狀態(tài)。VRRP優(yōu)先級的取值范圍為1到254，255為系統(tǒng)保留給IP地址擁有者使用。當(dāng)虛擬路由器內(nèi)存在IP地址擁有者時，只要其工作正常，則為Master路由器。Master路由器周期性地發(fā)送VRRP報文，在虛擬路由器中公布其配置信息和工作狀況。Backup路由器通過接收到VRRP報文的情況來判斷Master路由器是否工作正常。當(dāng)Master路由器主動放棄Master地位時，會發(fā)送優(yōu)先級為255的VRRP報文，致使Backup路由器快速切換變成Master路由器。這個切換的時間稱為Skewtime，計算方式為：（256－Backup路由器的優(yōu)先級）/256，單位為秒。當(dāng)Master路由器發(fā)生網(wǎng)絡(luò)故障而不能發(fā)送VRRP報文的時候，Backup路由器并不能立即知道其工作狀況。Backup路由器等待一段時間之后，如果還沒有接收到VRRP報文，那么會認(rèn)為Master路由器無法正常工作，而把自己升級為Master路由器，周期性發(fā)送VRRP報文。如果此時多個Backup路由器競爭Master路由器的位置，將通過優(yōu)先級來選舉Master路由器。Backup路由器默認(rèn)等待的時間稱為Master_Down_Interval，取值為：（3×VRRP報文的發(fā)送時間間隔）＋Skewtime，單位為秒。VRRP是一種可以提高網(wǎng)絡(luò)可靠性的協(xié)議。在網(wǎng)絡(luò)不穩(wěn)定的情況下，Backup路由器可能會搶占Master位置，導(dǎo)致虛擬路由器成員頻繁進(jìn)行Master搶占。為了解決這個問題，我們可以使用延遲等待定時器，讓Backup路由器在等待了Master_Down_Interval后再等待延遲等待時間，如果在此期間仍然沒有收到VRRP報文，則此Backup路由器才會切換為Master路由器并對外發(fā)送VRRP報文。VRRP提供了三種認(rèn)證方式，包括無認(rèn)證、簡單字符認(rèn)證和MD5認(rèn)證。其中，簡單字符認(rèn)證可以在可能受到安全威脅的網(wǎng)絡(luò)中使用，發(fā)送VRRP報文的路由器會將認(rèn)證字填入到VRRP報文中，而接收到VRRP報文的路由器會將收到的認(rèn)證字和本地配置的認(rèn)證字進(jìn)行比較。MD5認(rèn)證則可以在非常不安全的網(wǎng)絡(luò)中使用，發(fā)送VRRP報文的路由器會利用認(rèn)證字和MD5算法對VRRP報文進(jìn)行加密，加密后的報文保存在AuthenticationHeader中。接收到VRRP報文的路由器會利用認(rèn)證字解密報文，檢查該報文的合法性。在本實(shí)驗中，我們配置了兩個VRRP組，分別是vrrp1和vrrp2。在vrrp1中，路由器R1為主虛擬路由器，R2為備用虛擬路由器；在vrrp2中，路由器R1為備用虛擬路由器，路由器R2為主虛擬路由器。在兩個路由器都正常工作的時候，PC1和PC2通過R1訪問R3。具體的配置步驟包括配置R1的接口信息和VRRP組信息，其中vrrp1的優(yōu)先級設(shè)置為200并啟用預(yù)搶占模式。R1的配置如下：vrrp2ip10.0.0.254vrrp2priority100vrrp2preemptR2的配置如下：ints1/0ipaddress200.0.2.1255.255.255.0noshutdownintf0/0ipaddress10.0.0.254255.255.255.0noshutdownvrrp1ip10.0.0.253vrrp1priority150vrrp1preemptvrrp2ip10.0.0.254vrrp2priority200vrrp2preemptR3的配置如下：ints0/0ipaddress200.0.1.2255.255.255.0noshutdownints0/1ipaddress200.0.2.2255.255.255.0noshutdownrouterripversion2network200.0.1.0network200.0.2.0network3.3.3.0noauto-summary【實(shí)驗調(diào)試】①.在R1和R2上檢查VRRP：在R1和R2上，可以通過showvrrp命令來檢查VRRP的狀態(tài)和優(yōu)先級。在R1上，VRRP組2的優(yōu)先級為100，IP地址為10.0.0.254。在R2上，VRRP組1的優(yōu)先級為150，IP地址為10.0.0.253，VRRP組2的優(yōu)先級為200，IP