系統(tǒng)分冊02 vrrp配置

操作手冊系統(tǒng)分冊 目 1 1 1 2 4 4 6 7 7 9 9 i第1VRRP如圖1-1所示，通常，同一網(wǎng)段內(nèi)的所有主機都設(shè)置一條相同的以網(wǎng)關(guān)為下一跳的

圖1-1VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協(xié)議）將可以承擔VRRP是一種容錯協(xié)議，在提高可靠性的同時，簡化了主機的配置。在具有多播或備上和IPv6設(shè)備上使用的命令不同。Master防火墻，承擔網(wǎng)關(guān)功能。當備Master防火墻發(fā)生故障時，其余的防火墻將取代它繼圖1-2VRRP1-2所示，SecPathA、SecPathB和SecPathC組成一個虛擬防火墻。此虛擬SecPathB和SecPathC中優(yōu)先級最高的防火墻作為Master防火墻，承擔網(wǎng)關(guān)的功份組內(nèi)的某個防火墻的接口IP地址相同。VRRP根據(jù)優(yōu)先級來確定備份組中每臺防火墻的角色（MasterBackup防火墻）。優(yōu)先級越高，則越有可能成為Master防火墻。VRRP0255（數(shù)值越大表明優(yōu)先級越高），可配置的范圍在IP地址擁有者時，只要其工作正常，則為Master防火墻。Master防火墻沒有出現(xiàn)故障，Backup防火墻即使隨后被配置了更高的優(yōu)先級也不會成為Master防火墻。MasterVRRP通告報文。導(dǎo)致相應(yīng)地，原來的Master防火墻將會變成Backup防火墻。VRRPVRRP報文中的認證字和本地配置的AuthenticationHeader（認證頭）VRRP報文的VRRPMasterVRRP通告報文，通知備份組內(nèi)的防VRRP搶占延遲時間的方法來解決這個問題。VRRP搶占延遲時間后，Backup3倍的通告報文時間間份組內(nèi)防火墻進行Master防火墻的選舉。虛擬的各種參數(shù)，還可以用于Master的選舉。圖圖1-3基于IPv4的VRRPType：VRRP報文的類型。VRRPVRRPCountIPAddrsIP地址的個數(shù)。1一律填0。圖圖1-4基于IPv6的VRRPType：VRRP報文的類型。VRRPVRRP不支持MD5認證。Addrs字段。一律填0。MasterBackup防火墻。Master防火墻定期發(fā)送VRRP通告報文，通知備份組內(nèi)的其他設(shè)備自己工作正常；Backup防火墻則啟動定時器等待通告報文的到來。與通告報文中的優(yōu)先級進行比較。如果大于通告報文中的優(yōu)先級，則成為Master防火墻；否則將保持Backup狀態(tài)。Master防火墻沒有出現(xiàn)故障，備份組中的防火墻始終也不會成為Master防火墻。BackupMasterVRRPMasterBackup防火墻會根據(jù)優(yōu)先級選舉出Master防火墻，承擔報文的轉(zhuǎn)發(fā)功能。VRRP的監(jiān)視接口功能更好地擴充了備份功能：不僅能在備份組中某防火墻的接口down狀態(tài)時，擁有該接口的防火墻的優(yōu)先級會自動降低一個指定優(yōu)先級高的Backup防火墻轉(zhuǎn)變?yōu)镸aster防火墻。優(yōu)先級，成為Master，保證局域網(wǎng)內(nèi)主機與外部網(wǎng)絡(luò)的通信不會中斷。擁有不同優(yōu)先級，優(yōu)先級最高的防火墻將成為Master，如圖1-5中所示。圖1-5主備備份初始情況下，SecPathAMaster并承擔轉(zhuǎn)發(fā)任務(wù)，SecPathBSecPathC是SecPathBSecPathCMaster，這個新Master繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。為Master，在其他的備份組中作為Backup?？梢愿鞑幌嗤?，如圖1-6中所示。圖1-6負載分擔1-6中，有三個備份組存在：C作為Backup。C作為Backup。B作為Backup。SecPathA、SecPathBSecPathC之間進行負載分擔，需需要確保三個備份組中各防火墻的VRRP優(yōu)先級形成交叉對應(yīng)。IPv4的表1-1VRRP配置虛擬IPMAC創(chuàng)建備份組并配置虛擬IPMACIPMAC地址的對應(yīng)關(guān)系，將發(fā)往其他網(wǎng)段的報文正確轉(zhuǎn)發(fā)給Master。如果采用這種對應(yīng)關(guān)系，MasterIP地址與MAC地址的綁定。IPMACIP地址擁有者IPMACIP地址對應(yīng)兩主機發(fā)送的報文將按照實際MAC地址轉(zhuǎn)發(fā)給IP地址擁有者。表1-2MAC地址和虛擬IP-配置虛擬IPvrrpmethod{real-macMAC地址和虛擬IP注意：允許修改虛擬IP地址和MAC地址的對應(yīng)關(guān)系。則可以為一個備份組配置多個虛擬IP地址，以便實現(xiàn)不同子網(wǎng)中防火墻的備份。IP地址時，VRRPIP地址添加到它的備份組虛擬IP地址列表中。注意：隨后配置的虛擬IP地址與接口的IP地址在同一網(wǎng)段。表1-3創(chuàng)建備份組并配置虛擬IP--虛擬IP地址配置的虛擬IP地址數(shù)目是不相同的。IP墻被稱為“IP地址擁有者”。擁有者的接口IP地址的方式解決地址沖突。回地址、非A/B/C類地址和其它非法IP地址(如0.0.0.1)。IP地址所在網(wǎng)段的網(wǎng)絡(luò)地址或網(wǎng)絡(luò)廣播地址，雖然可以配置成功，但是備份組會始終處于Initialize狀態(tài)，此狀態(tài)下VRRP不起作用。置虛擬IP地址。防火墻作為Master。下面這些配置是可選的，可以根據(jù)實際需要進行配置。表1-4--vrrpvridvirtual-router-id中的優(yōu)先級為100vrrpvridvirtual-router-idpreempt-mode[timerdelaydelay-value]時間為0秒vrrpvridvirtual-router-idtrackinterfaceinterface-typeinterface-number[reducedpriority-reduced]vrrpvridvirtual-router-idtracktrack-entry-number[reducedpriority-reduced|switchover]的Track項被監(jiān)視的接口可以是三層以太網(wǎng)接口、VLAN接口、同異步串口、MP-group接為PPPoE客戶端，并工作在永久在線方式；BRI接口工作在專線模式。VRRPIP地--VRRP報文的認證方式vrrp{md5|simple}配置備份組中Mastervrrpvirtual-router-idtimeradvertiseadver-interval禁止檢查VRRPvrrpun-check表1-6VRRPTrap-snmp-agenttrapenable[authfailure|newmastersnmp-agenttrapenablevrrp命令的詳細介紹請參見“系統(tǒng)分冊/SNMP命令”中的snmp-agenttrapenable命令。displayIPv4表1-7VRRPdisplayvrrp[verbose][interfaceinterface-typeinterface-number[vridvirtual-router-id]]displayvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]resetvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]HostA需要訪問Internet上的HostBHostA的缺省網(wǎng)關(guān)為202202圖1-7VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathB5[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master [SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt DelayAuth VirtualIP MasterIP :202.38.160.1A發(fā)送給HostB的報文通過SecPathA轉(zhuǎn)發(fā)。verbose命令查看SecPathB上備份組的詳細信息。[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master HostA需要訪問Internet上的HostBHostA的缺省網(wǎng)關(guān)為HostB的報文通過SecPathB轉(zhuǎn)發(fā)。202圖1-8VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelayreduced30[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin Config Run::Preempt Auth Track DelayTimePri::VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.1[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP :202.38.160.111MasterIP :202.38.160.1A發(fā)送給HostB的報文通過SecPathA轉(zhuǎn)發(fā)。pingHostB。通過displayvrrpverbose命令查看備份組的信息。[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : : Adver. :Admin : :Config : Run :PreemptMode :YES DelayTime :5AuthType :SIMPLETEXT TrackIF :GigabitEthernet0/1 PriReduced :30VirtualIP :202.38.160.111Master :[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.2SecPathAGigabitEthernet0/1不可用時，SecPathA的80Backup，SecPathBMaster，HostAHostB的報文通過SecPathB轉(zhuǎn)發(fā)。的缺省網(wǎng)關(guān)為202.38.160.112/24；

圖1-9VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-Giga