本章节下载(290.43 KB)
在数据通信过程中,各种软件或硬件错误都可能导致网络连接异常中断,造成数据传输失败。为了避免网络设备或线路出现故障时引起数据通信中断,Comware系统提供Backup Center(备份中心)、VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)和热备份技术确保在通信线路或设备故障时提供备用方案,从而保障数据通信的畅通,有效增强了网络的强壮性和可靠性。
备份中心为路由器之间的通信线路提供了完善的备份功能,通过指定主接口和对应的备份接口,调节各备份接口的备份优先级、切换时间等参数,实现备份接口在主接口出现故障时及时接替其工作,确保承载的业务不受影响,极大地提高了通信线路的可靠性。Comware上任意一个物理接口、子接口、任意接口上的某条逻辑通道(如X.25虚电路)都可以作为主接口;任意物理接口、dialer route逻辑通道都可以作为其它接口或逻辑通道的备份接口。
VRRP提高网络与外界连接的可靠性,适用于支持组播或广播的局域网(如以太网等)。通过将多台路由器组成一个备份组(也可认为是虚拟路由器)作为本地网络统一的出口网关,而备份组内的路由器对本地网络透明。在备份组内有一台路由器处于活动状态,承担报文转发任务,一台路由器处于备份状态并随时接替任务,其余路由器处于监听状态。当处于活动状态的路由器出现故障时,将会由处于备份状态的路由器接替其工作,而其余处于监听状态的路由器将再决定出另一台路由器担任备份工作。这样本地主机就可以不作任何修改地继续工作,极大地提高了通信的可靠性。
Comware为高端设备提供热备份机制,对于高端设备,一般都配备两块主控板,一块主用,另一块备用。当主用板发生故障时,系统自动进行主备倒换,由备用板接替主用板的工作,热备份还可以实现不中断业务的软件升级,保证业务的正常运行。
为了提高网络的可靠性,Comware使用备份中心来提供完善的备份功能:
l 可被备份的接口称为主接口。路由器上的任意一个广域网接口/子接口/逻辑接口(包括Virtual-Template接口、Dialer接口,但MFR接口除外)都可以作为主接口。
l 为其它接口作备份的接口称为备份接口。路由器上的任意一个物理接口、逻辑通道或逻辑接口(如Dialer Route Logical-channel、Dialer、Virtual-Template)都可以作为其它接口备份接口。
l 对一个主接口,可为它提供多个备份接口;当主接口出现故障时,多个备份接口可以根据优先级来决定接替顺序。如果一个主接口有两个优先级相等的备份接口,当主接口出现故障时,会选择先配的备份接口。
l 具有多个物理通道的接口(如ISDN BRI和ISDN PRI接口)可以使用通过配置dialer route logical-channel logic-channel-number命令生成的多个逻辑接口来为多个主接口提供备份。
l 备份中心支持备份负载分担功能。当主接口的流量达到设定的门限上限时,路由器启动一个优先级最高的可用备份接口,同主接口一起进行负载分担;当主接口的流量小于设定的门限下限时,路由器关闭一个优先级别最低的备份接口。建议用户不要采用这种负载分担方式,因为在备份接口没有up的时候,由于配置了路由负载分担,会有一半的数据包因为被发往备份接口而丢失。
l ima-group接口不支持接口备份,作为主接口或备份接口都不支持。
备份中心的基本配置包括:
l 进入将被备份的主接口配置模式
l 指定主接口使用的备份接口及其优先级
l 设置主备接口切换的延时
l 配置主备接口的路由
备份中心的高级配置包括:
l 配置备份负载分担
l 配置主接口备份带宽
l 配置检测接口流量的时间间隔
l 配置拨号备份功能在系统重新启动的生效时间
在使用Comware平台的设备中,任意一个物理口或子接口均可作为主接口。在对某接口进行备份前,必须首先进入该接口的视图。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
进入主接口视图 |
interface type number |
主接口的备份接口既可以是物理接口,也可以是逻辑通道或逻辑接口(如Dialer Route Logical-channel,Dialer,Virtual-Template)。
请在被备份的主接口视图下进行下列配置。
|
操作 |
命令 |
|
指定主接口的备份接口与该备份接口的优先级 |
standby interface type number [ priority ] |
|
删除主接口的备份接口 |
undo standby interface type number |
缺省情况下,优先级(priority)缺省为0。
若一个主接口有多个备份接口,则重复以上操作即可;一个主接口最多允许有三个备份接口;备份中心允许同时存在十个主接口。如果一个主接口有多个优先级相等的备份接口,当主接口Down的时会优先选择先配的备份接口。
若备份接口为拨号接口下用dialer route logical-channel命令生成的逻辑通道,则需要先创建逻辑通道接口,然后在拨号接口下配置dialer route logical-channel命令将dialer route逻辑通道与逻辑通道接口关联。
请在系统视图下进行下列配置。
表2-3 配置逻辑通道与逻辑通道接口关联
|
操作 |
命令 |
|
创建逻辑通道接口(系统视图) |
interface logic-channel logic-channel-number |
|
将dialer route逻辑通道与逻辑通道接口关联(物理拨号接口) |
dialer route protocol next-hop-address [ user hostname ] [ broadcast ] [ dial-number ] [ auto-dial ] logical-channel logic-channel-number |
当主接口的状态由up转为down之后,系统并不立即切换到备份接口,而是等待一个预先设置好的延时。若超过这个延时后主接口的状态仍为down,系统才切换到备份接口;若在延时时间段中,主接口状态恢复正常,则不进行切换。
下表中的命令必须在命令standby interface执行后才能正常执行。
请在被备份的主接口视图下进行下列配置。
|
操作 |
命令 |
|
设置主备接口切换的延时 |
standby timer delay enable-delay disable-delay |
|
恢复主备接口切换的延时的缺省值 |
undo standby timer delay |
缺省情况下,主接口切换到备份接口的延时值enable-delay为5秒,取值范围为0~65535秒;备份接口切换到主接口的延时值disable-delay为5秒,取值范围为0~65535秒。
& 说明:
l 当配置的切换延时为0时,表示立即进行切换;
l 当配置为立即切换时,将可能引起链路震荡,所以建议用户尽量不要配置该切换延时为0。
请在系统视图下进行下列配置。
|
操作 |
命令 |
|
设置拨号备份功能在系统重新启动后多久可以生效 |
dialer timer warmup seconds |
|
恢复缺省设置 |
undo dialer timer warmup |
缺省情况下定时器时长30s。
可以在系统视图下使用ip route-static命令分别配置通过主接口和全部备份接口到目的网段的路由。有关ip route-static命令的详细介绍请参见本手册中的“路由协议”部分章节。
下表中的命令必须在命令standby interface执行后才能正常执行。
请在被备份的主接口视图下进行下列配置。
|
操作 |
命令 |
|
配置接口和逻辑通道的备份负载分担 |
standby threshold enable-threshold disable-threshold |
|
取消接口和逻辑通道的备份负载分担配置 |
undo standby threshold |
缺省情况下,没有使能接口的备份负载分担功能。
当主接口参与备份负载分担时,备份中心优先采用用户配置的主接口备份带宽,如果用户没有配置,备份中心将自动获取系统提供的主接口的带宽,当获取不到,备份中心会要求用户配置主接口备份带宽。
下表中的命令必须在命令standby interface执行后才能正常执行。
请在被备份的主接口视图下进行下列配置。
|
操作 |
命令 |
|
设置主接口备份带宽。 |
standby bandwidth number |
|
恢复主接口备份带宽的缺省值 |
undo standby bandwidth |
缺省情况下,带宽number的值为0。
当主接口参与备份负载分担时,备份中心将自动检测主接口的流量,检测的时间间隔可用下列命令来设置。
下表中的命令必须在命令standby interface执行后才能正常执行。
请在被备份的主接口视图下进行下列配置。
|
操作 |
命令 |
|
配置检测主接口流量的时间间隔 |
standby timer flow-check interval-time |
|
恢复流量检测时间间隔的缺省值 |
undo standby timer flow-check |
缺省情况下,检测间隔为30秒。
在完成上述配置后,在任意视图下执行display命令可以显示备份中心配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行debugging命令可以打开调试开关,从而可以监控和维护备份中心。
表2-9 备份中心显示和调试
|
操作 |
命令 |
|
打开备份调试信息开关 |
debugging standby event |
|
关闭备份调试信息开关 |
undo debugging standby event |
|
显示参与备份负载分担的主接口的流量统计数据 |
display standby flow |
|
显示主接口与备份接口的接口状态和备份状态,以及备份接口的优先级、备份状态标识和备份负载状态 |
display standby state |
将接口Serial2/0/0作为接口Serial1/0/0的备份接口。
# 进入Serial1/0/0的接口视图。
[H3C] interface serial 1/0/0
# 将Serial2/0/0设置为其备份接口。
[H3C-Serial1/0/0] standby interface serial 2/0/0
# 设置主备接口的互相切换的延迟时间均为10秒。
[H3C-Serial1/0/0] standby timer delay 10 10
将接口Serial1/0/0和Serial2/0/0均作为接口Serial0/0/0的备份接口,并优先使用接口Serial1/0/0。
# 进入Serial0/0/0的接口视图。
[H3C] interface serial 0/0/0
[H3C-Serial0/0/0] interface serial 0/0/0
# 将Serial1/0/0和Serial2/0/0设置为备份接口,优先级分别为30、20。
[H3C-Serial0/0/0] standby interface serial 1/0/0 30
[H3C-Serial0/0/0] standby interface serial 2/0/0 20
路由器RouterA通过ADSL线路和普通拨号线路与Internet相连,其中ADSL线路作为主用链路,普通拨号作为备用链路。当ADSL链路发生故障时,RouterA仍然可以发起PPP呼叫通过PSTN连接到Internet。
图2-1 利用ADSL做主用链路,普通拨号做备份链路典型组网图
配置Router A
# 配置Dialer接口。
[H3C] dialer-rule 1 ip permit
[H3C] interface dialer 1
[H3C-Dialer1] dialer user h3c
[H3C-Dialer1] dialer-group 1
[H3C-Dialer1] dialer bundle 1
[H3C-Dialer1] ip address ppp-negotiate
[H3C-Dialer1] standby interface analogmodem 1/0/0
# 配置Virtual-Ethernet接口。
[H3C-Dialer1]interface virtual-ethernet 1
[H3C-Virtual-Ethernet1] mac 0001-0002-0003
[H3C-Virtual-Ethernet1] quit
[H3C] interface atm 0/0/0
[H3C-atm1/0/0] pvc to_adsl_a 0/60
[H3C-atm-pvc-atm0/0/0-0/60-to_adsl_a] map bridge virtual-ethernet 1
[H3C-atm-pvc-atm0/0/0-0/60-to_adsl_a] quit
# 配置PPPoE会话。
[H3C-atm1/0/0] virtual-ethernet 1
[H3C-virtual-Ethernet1] pppoe-client dial-bundle-number 1 idle-timeout 120
# 配置AM接口。
[H3C-virtual-Ethernet1] interface analogmodem 1/0/0
[H3C-analogmodem 1/0/0] link-protocol ppp
[H3C-analogmodem 1/0/0] ip address ppp-negotiate
[H3C-analogmodem 1/0/0] dialer enable-circular
[H3C-analogmodem 1/0/0] dialer-group 1
[H3C-analogmodem 1/0/0] dialer number 163
[H3C-analogmodem 1/0/0] quit
# 配置到对端的静态路由。
[H3C] ip route 0.0.0.0 0 dialer 1 preference 70
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由(如下图所示,10.100.10.1),这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA坏掉时,本网段内所有以RouterA为缺省路由下一跳的主机将断掉与外部的通信。
VRRP就是为解决上述问题而提出的,它为具有多播或广播能力的局域网(如:以太网)设计。我们结合下图来看一下VRRP的实现原理。VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组。
图3-2 VRRP组网示意图
这个虚拟的路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个路由器的接口地址相同),备份组内的路由器也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1,而并不知道具体的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master路由器坏掉,Backup路由器将会通过选举策略选出一个新的Master路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
关于VRRP协议的详细信息,可以参考RFC 2338。
VRRP的基本配置包括:
l 添加或删除虚拟IP地址
l 设置虚拟IP地址是否可以被ping通
l 设置备份组的优先级
l 设置备份组的抢占方式和延迟时间
VRRP的高级配置包括:
l 设置备份组的认证方式和认证字
l 设置备份组的定时器
l 设置监视指定接口
l 设置检查VRRP报文的TTL域
本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟IP地址。根据VRRP的标准协议,备份组的虚拟IP地址是无法使用ping命令来ping通的。这时路由器连接的用户无法通过ping命令来判断一个IP地址是否被备份组使用。如果用户将自己的主机IP配置与备份组的虚拟IP地址相同的IP地址,将会使本网段的报文都发送到用户的主机,导致本网段的数据不能被正确转发。
H3C路由器提供给用户如下功能:在进行了相应的配置后,用户将可以使用ping命令ping通备份组的虚拟IP地址。
请在系统视图下进行下列配置。
表3-1 设定虚拟IP地址是否可以使用ping命令ping通
|
操作 |
命令 |
|
设定虚拟IP地址可以使用ping命令ping通 |
vrrp ping-enable |
|
设定虚拟IP地址不可以使用ping命令ping通 |
undo vrrp ping-enable |
缺省情况下,用户不能使用ping命令ping通备份组的虚拟IP地址。
将一个本网段的IP地址指定到一个虚拟路由器(也称为一个备份组),或将指定到一个备份组的虚拟IP地址从虚拟地址列表中删除。如果不指定删除某一虚拟IP地址,则删除此虚拟路由器上的所有虚拟IP地址。
请在以太网接口视图或桥模板视图下进行下列配置。
表3-2 添加/删除虚拟IP地址
|
操作 |
命令 |
|
添加虚拟IP地址 |
vrrp vrid virtual-router-ID virtual-ip virtual-address |
|
删除虚拟IP地址 |
undo vrrp vrid virtual-router-ID virtual-ip [ virtual-address ] |
需要注意的是:如果一个桥组中存在非以太网类型的接口,则不允许在这个桥组所对应的桥模板上配置VRRP。
备份组号virtual-router-ID范围从1到255,虚拟地址可以是备份组所在网段中未被分配的IP地址,也可以是属于备份组某接口的IP地址。对于后者,称拥有这个接口IP地址的路由器为一个地址拥有者(IP Address Owner)。当指定第一个IP地址到一个备份组时,系统会创建这个备份组,以后再指定虚拟IP地址到这个备份组时,系统仅仅将这个地址添加到这个备份组的虚拟IP地址列表中。在对一个备份组进行其它配置之前,必须先通过指定一个虚拟IP地址的命令将这个备份组创建起来。
备份组中最后一个虚拟IP地址被删除后,这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组,这个备份组的所有配置都不再有效。
& 说明:
l 路由器上每个接口可以同时加入到64个备份组中,每个备份组可配置的虚拟IP地址个数为16个。当配置的虚拟备份组个数多于14个时,要在接口使能混合模式(promiscuous), 否则会有直连路由不通的情况,使得VRRP备份功能和负载分担功能丢包。
l 当本路由器上的VRRP备份组的状态是master时,支持GRE通道的源IP是VRRP虚IP地址,IKE Peer的本地IP是VRRP虚IP地址。
VRRP中根据优先级来确定参与备份组的每台路由器的地位,备份组中优先级最高的路由器将成为Master。
优先级的取值范围为0到255(数值越大表明优先级越高),但是可配置的范围最小值是1,最大值是254。优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。
请在以太网接口视图或桥模板视图下进行下列配置。
|
操作 |
命令 |
|
设置备份组的优先级 |
vrrp vrid virtual-router-ID priority priority-value |
|
恢复为缺省值 |
undo vrrp vrid virtual-router-ID priority |
需要注意的是:如果一个桥组中存在非以太网类型的接口,则不允许在这个桥组所对应的桥模板上配置VRRP。
缺省情况下,优先级的取值范围为100。备份接口的优先级数值越大则优先级越大。
& 说明:
对于IP地址拥有者,存在配置优先级和运行优先级两种优先级,配置优先级即用vrrp vrid配置的优先级;运行优先级是不可配置的,始终为255。
在非抢占方式下,一旦备份组中的某台路由器成为Master,只要它没有出现故障,其它路由器即使随后被配置更高的优先级,也不会成为Master。如果路由器设置为抢占方式,它一旦发现自己的优先级比当前的Master的优先级高,就会成为Master,相应地,原来的Master将会变成Backup。
在设置抢占的同时,还可以设置延迟时间。这样可以使得Backup延迟一段时间成为Master。其原因是这样的,在性能不够稳定的网络中,Backup可能因为网络堵塞而无法正常收到Master的报文,使用vrrp vrid命令配置了抢占延迟时间后,可以避免因网络的短暂故障而导致的备份路由器的状态频繁转换。
延迟的时间以秒计,范围为0~255。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置备份组的抢占方式和延迟时间 |
vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ] |
|
取消备份组的抢占方式 |
undo vrrp vrid virtual-router-ID preempt-mode |
缺省方式是抢占方式,延迟时间为0。
& 说明:
取消抢占方式,则延迟时间就会自动变为0秒。
VRRP提供了两种认证方式,分别是:
l SIMPLE:简单字符认证
l MD5:MD5认证
在一个安全的网络中,可以采用缺省值,则路由器对要发送的VRRP报文不进行任何认证处理,而收到VRRP报文的路由器也不进行任何认证就认为是一个真实的,合法的VRRP报文,这种情况下,不需要设置认证字。
在一个有可能受到安全威胁的网络中,可以将认证方式设置为SIMPLE,则发送VRRP报文的路由器就会将认证字填入到VRRP报文中,而收到的VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较,相同则认为是真实的、合法的VRRP报文,否则认为是一个非法的报文,将会丢弃。这种情况下,应当设置长度为不超过8字节的认证字。
在一个非常不安全的网络中,可以将认证方式设置为MD5,则路由器就会利用Authentication Header提供的认证方式和MD5算法来对VRRP报文进行认证。如果以明文形式输入,长度为1~8个字符,如:1234567;如果以密文形式输入,长度必须为24个字符,并且必须是密文形式,如:_(TT8F]Y\5SQ=^Q`MAF4<1!!。
对于没有通过认证的报文将做丢弃处理,并会向网管发送陷阱报文。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置认证方式和认证字 |
vrrp vrid virtual-router-id authentication-mode { md5 key | simple key } |
|
恢复为缺省值 |
undo vrrp vrid virtual-router-id authentication-mode |
缺省认证方式为不进行认证。
& 说明:
一个接口上的备份组要设置相同的认证方式和认证字。
VRRP备份组中的Master路由器通过定时(adver-interval)发送VRRP报文来向组内的路由器通知自己工作正常。如果Backup超过一定时间(master-down-interval)没有收到Master发送来的VRRP报文,则认为它已经无法正常工作。同时就会将自己的状态转变为Master。
用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间(adver-interval)。而Backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的路由器上的定时器差异等因素,会导致master-down-interval异常到时而导致状态转换。对于这种情况,可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。
请在接口视图下进行下列配置。
表3-6 设置VRRP定时器
|
操作 |
命令 |
|
设置VRRP定时器 |
vrrp vrid virtual-router-ID timer advertise adver-interval |
|
恢复为缺省值 |
undo vrrp vrid virtual-router-ID timer advertise |
缺省情况下,adver-interval的值是1秒,取值范围从1到255。
VRRP监视接口功能,更好地扩充了备份功能,即不仅在备份组所在的接口出现故障时提供备份功能,而且在路由器的其它接口不可用时,也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口DOWN时,这个接口的路由器的优先级会自动降低一个数额(priority-reduced),于是就会导致备份组内其它路由器的优先级高于这个路由器的优先级,从而使得其它优先级高的路由器转变为Master,达到对这个接口监视的目的。
请在接口视图下进行下列配置。
|
操作 |
命令 |
|
设置监视指定接口 |
vrrp vrid virtual-router-ID track interface interface-type interface-number [ reduced priority-reduced ] |
|
取消监视指定接口 |
undo vrrp vrid virtual-router-ID track [ interface interface-type interface-number ] |
缺省情况下,priority-reduced的值为10。
VRRP不仅可以监视物理接口,还可以监视逻辑接口,如VT口、Dialer口等,VT口及Dialer口的UP、DOWN规则为:
l 对于MP,绑定VT口的所有PPP链路的IPCP DOWN时,VT口DOWN;如有一条PPP链路的IPCP UP,则VT口UP。
l 对于PPPoE Server,VT口与PPPoE Client之间无任何Session时,VT口DOWN;如果PPPoE成功创建了一条Session,则VT口UP。
l 对于PPPoE Client,Dialer口与PPPoE Server之间无任何Session时,Dialer口DOWN;如果PPPoE成功创建一条Session,Dialer口UP。
l 对于非拨号的PPPoA,当VT口上所有PPP链路的IPCP DOWN时,VT口DOWN;如果有一条PPP链路的IPCP UP,VT口UP。
l 对于PPPoA Server,当VT口与PPPoA Client之间无任何Session时,VT口DOWN;如果PPPoA成功创建一条Session时,VT口UP。
l 对于PPPoA Client,当Dialer口与PPPoA Server之间无任何Session时,Dialer口DOWN;如果PPPoA成功创建一条Session时,Dialer口UP。
& 说明:
l 当路由器为IP地址拥有者时,不允许对其进行监视接口的配置。
l VRRP监视的VT口与Dialer口仅用于MP、PPPoE、PPPoA应用,不支持普通拨号,如ISDN的Dialer接口。
请在以太网接口视图下进行下列配置。
表3-8 配置检查VRRP报文的TTL域
|
操作 |
命令 |
|
配置不检查VRRP报文的TTL域 |
vrrp un-check ttl |
|
配置检查VRRP报文的TTL域 |
undo vrrp un-check ttl |
缺省情况下,检查VRRP报文的TTL域。
在完成上述配置后,在任意视图下执行display命令可以显示VRRP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,执行debugging命令可以对VRRP进行调试。
表3-9 VRRP显示和调试
|
操作 |
命令 |
|
显示VRRP的概要信息 |
display vrrp [ interface type number [ virtual-router-ID ] ] |
|
显示VRRP的详细信息 |
display vrrp verbose [ interface type number [ vrid virtual-router-ID ] ] |
|
禁止对VRRP报文的调试 |
undo debugging vrrp packet |
|
使能对VRRP状态的调试 |
debugging vrrp state |
|
禁止对VRRP状态的调试 |
undo debugging vrrp state |
用户可以通过打开VRRP调试开关的命令来查看VRRP的运行情况。共有两个调试开关,一个是VRRP的报文调试开关(packet),一个是VRRP的状态调试开关(state),缺省情况下是将调试开关关闭。
主机A把路由器A和路由器B组成的VRRP备份组作为自己的缺省网关,访问Internet上的主机B。
VRRP备份组构成:备份组号为1,虚拟IP地址为202.38.160.111,路由器A做Master,路由器B做备份路由器,允许抢占。
图3-3 VRRP单备份组配置组网图
配置路由器A:
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
[H3C-Ethernet1/0/0] vrrp vrid 1 priority 120
[H3C-Ethernet1/0/0] vrrp vrid 1 preempt-mode timer delay 5
配置路由器B:
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
备份组配置后不久就可以使用。主机A可将缺省网关设为202.38.160.111。
正常情况下,路由器A执行网关工作,当路由器A关机或出现故障,路由器B将接替执行网关工作。
设置抢占方式,目的是当路由器A恢复工作后,能够继续成为Master执行网关工作。
即使路由器A仍然工作,但当其连接Internet的接口不可用时,可能希望由路由器B来执行网关工作。可通过配置监视接口来实现上述需求。
为了便于说明,设备份组号为1,并增加授权字和计时器的配置(在该应用中不是必须的)。
图3-4 VRRP监视接口配置组网图
配置路由器A:
# 创建一个备份组。
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[H3C-Ethernet1/0/0] vrrp vrid 1 priority 120
# 设置备份组的认证字。
[H3C-Ethernet1/0/0] vrrp authentication-mode md5 H3C
# 设置Master发送VRRP报文的间隔时间为5秒。
[H3C-Ethernet1/0/0] vrrp vrid 1 timer advertise 5
# 设置监视接口。
[H3C-Ethernet1/0/0] vrrp vrid 1 track serial 2/0/0 reduced 30
配置路由器B:
# 创建一个备份组。
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的认证字。
[H3C-Ethernet1/0/0] vrrp authentication-mode md5 H3C
# 设置Master发送VRRP报文的间隔时间为5秒。
[H3C-Ethernet1/0/0] vrrp vrid 1 timer advertise 5
[H3C-Ethernet1/0/0] vrrp vrid 1 preempt-mode timer delay 5
正常情况下,路由器A执行网关工作,当路由器A的接口Serial2/0/0不可用时,路由器A的优先级降低30,低于路由器B优先级,路由器B将抢占成为Master执行网关工作。
当路由器A的接口Serial2/0/0恢复工作后,路由器A能够继续成为Master执行网关工作。
在Comware中,允许一台路由器加入多个备份组。
通过多备份组设置可以实现负荷分担。如路由器A作为备份组1的Master,同时又兼职备份组2的备份路由器,而路由器B正相反,作为备份组2的Master,并兼职备份组1的备份路由器。一部分主机使用备份组1作网关,另一部分主机使用备份组2作为网关。这样,以达到分担数据流,而又相互备份的目的。
图3-5 VRRP多备份组配置组网图
配置路由器A:
# 创建一个备份组1。
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[H3C-Ethernet1/0/0] vrrp vrid 1 priority 120
# 创建一个备份组2。
[H3C-Ethernet1/0/0] vrrp vrid 2 virtual-ip 202.38.160.112
配置路由器B:
# 创建一个备份组1。
[H3C-Ethernet1/0/0] vrrp vrid 1 virtual-ip 202.38.160.111
# 创建一个备份组2。
[H3C-Ethernet1/0/0] vrrp vrid 2 virtual-ip 202.38.160.112
# 设置备份组2的优先级。
[H3C-Ethernet1/0/0] vrrp vrid 2 priority 120
如图3-6,路由器上的两个接口需要处于同一个物理网段,这种情况下,可将两个接口加入同一个桥组,然后在该桥组对应的桥模板上配置备份组,达到备份目的。
配置路由器A:
# 使能桥组。
[H3C] bridge enable
# 使能桥转发功能。
[H3C] bridge routing-enable
# 创建桥组1。
[H3C] bridge 1 enable
# 使桥组1可转发IP报文。
[H3C] bridge 1 routing ip
# 创见与桥组对应的桥模板接口。
[H3C] interface bridge-template1
# 为桥模板配置IP地址与备份组。
[H3C-Bridge-template1] ip address 172.31.1.10 16
[H3C-Bridge-template1] vrrp vrid 1 virtual-ip 172.31.1.1
[H3C-Bridge-template1] quit
# 将两个以太网接口加入桥组
[H3C] interface ethernet 0/0/0
[H3C-Ethernet0/0/0] bridge-set 1
[H3C-Ethernet0/0/0] quit
[H3C] interface ethernet 0/0/1
[H3C-Ethernet0/0/1] bridge-set 1
[H3C-Ethernet0/0/1] quit
配置路由器B:
# 使能桥组。
[H3C] bridge enable
# 使能桥转发功能。
[H3C] bridge routing-enable
# 创建桥组1。
[H3C] bridge 1 enable
# 使桥组1可转发IP报文。
[H3C] bridge 1 routing ip
# 创见与桥组对应的桥模板接口。
[H3C] interface bridge-template 1
# 为桥模板配置IP地址与备份组。
[H3C-Bridge-template1] ip address 172.31.1.20 16
[H3C-Bridge-template1] vrrp vrid 1 virtual-ip 172.31.1.1
[H3C-Bridge-template1] quit
# 将两个以太网接口加入桥组
[H3C] interface ethernet 0/0/0
[H3C-Ethernet0/0/0] bridge-set 1
[H3C-Ethernet0/0/0] quit
[H3C] interface ethernet 0/0/1
[H3C-Ethernet0/0/1] bridge-set 1
[H3C-Ethernet0/0/1] quit
VRRP配置不是很复杂,如果功能不正常,基本可以通过查看配置以及调试信息来定位。以下,就如何排除常见的故障加以说明。
故障之一:控制台上频频给出配置错误的提示
这表明收到一个错误的VRRP报文,一种可能是备份组内的另一台路由器由于配置不一致造成的,另一种可能是有的机器试图发送非法的VRRP报文。对于第一种可能,可以通过修改配置来解决。对于第二种可能,则是有些机器有不良企图,应当通过非技术手段来解决。
故障之二:同一个备份组内出现多个Master路由器
这分为两种情况,一种是多个Master并存时间较短,这种情况是正常的。无需进行人工干预。另一种是多个Master长时间共存,这很有可能是由于Master之间收不到VRRP报文,或者收到的报文不合法造成的。
解决的方法是,先互相在多个Master之间互相ping,如果ping不通,则是其它问题。如果能ping通,则一定是配置不同造成的,对于同一个VRRP备份组的配置,必须要保证虚拟IP地址个数、每个虚拟IP地址、定时器间隔时间和认证方式完全一样。
故障之三:VRRP的状态频繁转换
这种情况一般是由于备份组的定时器间隔时间(adver-interval)设置太短造成的,加大这个时间间隔或者设置抢占延迟都可以解决这种故障。
