本章节下载(376.31 KB)
目 录
VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。
如图1-1所示,通常情况下:
l 一个网络内的所有主机都设置一条缺省路由(图中的缺省路由下一跳地址为10.100.10.1)。
l 主机发往外部网络的报文将通过缺省路由发往三层交换机Switch,从而实现了主机与外部网络的通信。
l 当交换机Switch1发生故障时,本网段内所有以Switch为缺省路由下一跳的主机将断掉与外部的通信。
为避免交换机故障造成用户群无法通信,产生了VRRP容错协议,专门为具有组播或广播能力的局域网(如以太网)设计。
VRRP将局域网的一组交换机(包括一个Master即主交换机和若干个Backup即备份交换机)组织成一个虚拟路由器,这组交换机被称为一个备份组。
备份组内的交换机具有以下的特点:
l 虚拟路由器拥有自己的IP地址10.100.10.1(这个IP地址可以和备份组内的某个交换机的接口地址相同)。
l 备份组内的交换机也有自己的IP地址(如Master的IP地址为10.100.10.2,Backup的IP地址为10.100.10.3)。
l 局域网内的主机仅仅知道这个虚拟路由器的IP地址10.100.10.1(通常被称为备份组的虚拟路由器的IP地址),而不知道具体的Master交换机的IP地址10.100.10.2以及Backup交换机的IP地址10.100.10.3。
l 局域网内的主机将自己的缺省路由的下一跳IP地址设置为该虚拟路由器的IP地址10.100.10.1。
因此,网络内的主机可以通过这个虚拟的路由器与其它网络进行通信。
当备份组内的Master交换机不能正常工作时,备份组内的优先级最高的Backup交换机将接替它成为新的Master交换机,继续向网络内的主机提供路由服务,从而实现网络内的主机不间断地与外部网络进行通信。
备份组内的交换机在使能VRRP协议后,会虚拟出一个虚拟路由器。用户可以在虚拟路由器上进行相关的配置。
虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址,也可以是备份组中成员交换机的接口IP地址。虚拟路由器的IP地址具有以下的特性:
l 虚拟路由器的IP地址可以是备份组中成员交换机自己使用的真实IP地址,真实IP地址与虚拟路由器的IP地址相同的交换机被称为“IP地址拥有者”。
l 当为一个备份组指定第一个IP地址时,系统会创建这个备份组,以后再给这个备份组指定虚拟路由器的IP地址时,系统仅仅将这个地址添加到这个备份组的虚拟路由器的IP地址列表中。
l 虚拟路由器的IP地址必须和备份组中成员交换机使用的真实IP地址在同一网段,如果配置了不在同网段的虚拟路由器的IP地址,该备份组会处于VRRP尚未配置的初始状态,此状态下,VRRP不起作用。
l 备份组中最后一个虚拟路由器的IP地址被删除后,这个备份组也将同时被删除,对这个备份组进行的所有配置都不再有效。
根据VRRP的标准协议,虚拟路由器的IP地址是无法使用ping命令来ping通的。因此交换机下挂的用户,无法通过ping命令来判断某个IP地址是否已经被备份组使用。如果用户将自己的主机IP地址配置为与备份组的虚拟路由器的IP地址相同的IP地址,则本网段的所有报文都发送到用户的主机,使本网段的数据不能被正确转发。
用户可以在使能S7500交换机的VRRP特性之前,设定备份组内的交换机是否能够使用ping命令来ping通备份组的虚拟路由器的IP地址,从而避免以上情况的发生。
但如用户已使能了VRRP特性,则系统不允许用户再设定虚拟路由器的IP地址是否可ping通。
S7500交换机在保证子网数据正确转发的基础上,还提供如下功能:
l 可以由用户来设置MAC地址和虚拟IP地址的对应关系。用户可以根据需要将备份组的多个虚拟IP地址和一个虚拟MAC地址对应,也可以将对应关系设置为虚拟IP和交换机路由接口的实际MAC地址对应。
l 用户可以在S7500交换机使能VRRP特性之前,设置备份组的MAC地址和IP地址的对应关系。但如用户已使能了VRRP特性,则系统不允许用户再设置备份组的MAC地址和IP地址的对应关系。
缺省情况下,交换机采用备份组的虚拟MAC地址和虚拟IP地址对应。
& 说明:
由于芯片原因,交换机在虚拟MAC和虚拟路由器的IP地址对应时,一个VLAN接口下所能够配置的备份组数由芯片类型决定,具体请参考设备规格。
VRRP将局域网内的一组交换机组织为一个虚拟的路由器,这组交换机称为一个备份组。
S7500交换机允许用户对备份组内的交换机进行以下的配置:
|
配置任务 |
说明 |
详细配置 |
|
配置备份组中交换机的优先级 |
必选 |
|
|
配置备份组中交换机的抢占方式 |
必选 |
|
|
配置备份组中交换机的认证方式以及认证字 |
可选 |
|
|
配置VRRP定时器 |
必选 |
|
|
配置备份组的指定监视接口/以太网端口 |
必选 |
用户可以配置备份组中交换机的优先级,VRRP会根据优先级来确定备份组内的每台交换机的地位,备份组中优先级最高的交换机将成为Master。
优先级的取值范围为0到255(数值越大表明优先级越高),但是可配置的范围是1到254,255是系统保留给“IP地址拥有者”的。缺省情况下,优先级的取值为100。
& 说明:
对于“IP地址拥有者”,其优先级是不可配置的,始终为255。
在没有设置抢占方式的备份组中,一旦某台交换机成为Master,只要它没有出现故障,即使在备份组中的其他交换机的优先级高于它,也不会成为Master。
如果交换机被设置为抢占方式,一旦备份组内的备份交换机发现自己的优先级比当前的Master的优先级高,就会抢占成为Master,相应地,原来的Master将会变成Backup。
S7500交换机允许用户设置备份组内的成员交换机的抢占方式,并且在设置抢占的同时,还可以设置抢占延迟时间,使得优先级较高的Backup延迟一段时间成为Master。设置延迟时间的目的在于:
在性能不够稳定的网络中,Master正常工作时,可能由于网络堵塞导致Backup收不到Master发来的报文,致使备份组内的成员频繁的进行主备状态转换。设置延迟时间后,Backup没有按时收到来自Master的报文,会等待一段时间,只有在这段等待时间过后Backup还没有收到来自Master的报文,Backup才会转换为Master。
VRRP协议提供了以下两种认证方式,分别是:
l simple:简单字符认证
l md5:MD5认证
在一个有可能受到安全威胁的网络中,用户可以将认证方式设置为simple。将认证方式设置为simple后,发送VRRP报文的交换机会将认证字填入到VRRP报文中。而接收VRRP报文的交换机会将接收到的VRRP报文中的认证字和本地配置的认证字进行比较,如果认证字相同,交换机则认为接收到的报文是真实的、合法的VRRP报文,否则认为接收到的报文是一个非法的报文,并将非法的报文丢弃。在这种情况下,用户应当设置长度为不超过8字符的认证字。
在一个非常不安全的网络中,用户可以将认证方式设置为md5。将认证方式设置为md5后,交换机就会利用Authentication Header提供的认证方式和MD5算法来对VRRP报文进行认证。在这种情况下,用户应当设置长度不超过8字符的明文认证字,或者是24位经过加密的密文认证字。
对于没有通过认证的报文,交换机会将其丢弃,并向网管发送Trap报文。
VRRP备份组中的Master交换机会定时发送VRRP报文(时间间隔为adver-interval),向组内的其他交换机通知自己工作正常。如果Backup超过一定时间(时间间隔为master-down-interval)没有收到Master发送来的VRRP报文,则认为它已经无法正常工作,就会自动将自己的状态转变为Master。
用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间adver-interval。而Backup的master-down-interval的间隔时间则是adver-interval的3倍。如果网络流量过大或者不同的交换机上的定时器差异等因素,会导致master-down-interval异常超时而发生状态转换。
对于这种情况,可以通过将adver-interval的间隔时间延长和设置抢占延迟时间的办法来解决。如果用户在Backup交换机上设置了抢占延迟时间,则Backup交换机会在master-down-interval的间隔时间后,再等待设定的抢占延迟时间,如在此期间备份组内没有交换机成为Master,则此Backup交换机将成为Master。
VRRP的监视接口/以太网端口功能更好地扩充了Backup交换机的备份功能,即不仅能在备份组所在的接口出现故障时提供备份功能,而且在交换机的其它接口/以太网端口不可用时,也可以使用备份功能。具体做法是通过设置监视某个接口/以太网端口的命令来实现。
当被监视的接口DOWN掉时,拥有这个接口的交换机的优先级会自动降低一个数值(value-reduced),可能导致备份组内其它交换机的优先级高于这个交换机的优先级,从而使得其它优先级高的交换机转变为Master。
& 说明:
l 监视以太网端口时,该端口可以包含,也可以不包含在备份组所在VLAN接口的VLAN中。
l 当交换机为IP地址拥有者时,不允许使用监视指定接口/以太网端口的功能。
l DOWN掉的被监视的接口/以太网端口重新UP之后,对应的交换机的优先级数会自动恢复。
l 每个备份组可以监视的接口/以太网端口数目最多为8。
表1-2 VRRP配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置虚拟路由器IP地址 |
必选 |
|
|
配置备份组参数 |
必选 |
对虚拟路由器的IP地址,用户可以进行以下的配置(假设用户已经正确配置了端口和VLAN的配置关系):
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置虚拟路由器的IP地址可以使用ping命令ping通 |
vrrp ping-enabale |
可选 缺省情况下备份组的虚拟路由器的IP地址不能被ping通 |
|
配置虚拟路由器的IP地址和MAC地址的对应关系 |
vrrp method { real-mac | virtual-mac } |
可选 缺省情况下,交换机采用备份组的虚拟MAC地址和虚拟路由器的IP地址对应 |
|
创建VLAN |
vlan vlan-id |
- 创建备份组对应VLAN,vlan-id为VLAN接口的VLAN ID |
|
退回系统视图 |
quit |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
添加虚拟路由器的IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
可选 |
对备份组内的交换机,用户可以进行如下配置:
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建VLAN |
vlan vlan-id |
- |
|
退回系统视图 |
quit |
- |
|
进入VLAN接口视图 |
Interface Vlan-interface vlan-id |
- |
|
配置备份组的优先级 |
vrrp vrid virtual-router-id priority priority |
可选 缺省情况下,备份组的优先级为100 |
|
设置备份组的抢占方式和延迟时间 |
vrrp vrid virtual-router-id preempt-mode [ timer delay delay-value ] |
可选 缺省情况下,备份组被设置为抢占方式 |
|
设置认证方式和认证字 |
vrrp authentication-mode authentication-type authentication-key |
可选 缺省情况下,备份组不设置认证 |
|
设置VRRP定时器 |
vrrp vrid virtual-router-id timer advertise adver-interval |
可选 缺省情况下,备份组中的Master发送VRRP报文的时间间隔为1秒 |
|
设置监视指定接口/以太网端口 |
vrrp vrid virtual-router-id track interface-type interface-number [ reduced value-reduced ] |
可选 缺省情况下,VLAN接口优先级降低的数额为10 |
完成上述配置后,在任意视图下执行display命令,可以显示配置VRRP后的运行情况。通过查看显示信息,用户可以验证配置的效果。在用户视图下,用户可以执行reset命令清除VRRP的统计信息。在用户视图下,用户可以执行debugging命令对VRRP进行调试。
表1-5 VRRP的显示和维护
|
命令 |
说明 |
|
|
显示VRRP的状态信息和统计信息 |
display vrrp [ interface vlan-interface vlan-id | statistics [ vlan-interface vlan-id ] ] [ virtual-router-id ] |
display命令可以在任意视图下执行 |
|
清除VRRP的统计信息 |
reset vrrp statistics [ vlan-interface vlan-id ] [ virtual-router-id ] |
reset命令可以在用户视图下执行 |
|
打开VRRP调试开关 |
debugging vrrp { state | packet } |
debugging命令可以在用户视图下执行 |
主机A把交换机A和交换机B组成的VRRP备份组作为自己的缺省网关,访问Internet上的主机B。
VRRP备份组构成:
l 备份组号为1
l 虚拟路由器的IP地址为202.38.160.111
l 交换机A做Master
l 交换机B做备份交换机,允许抢占
|
交换机 |
与Host A相连的以太网端口 |
VLAN接口IP地址 |
交换机在备份组中的优先级 |
抢占方式 |
|
LSW-A |
Ethernet 2/0/6 |
202.38.160.1/24 |
110 |
允许抢占 |
|
LSW-B |
Ethernet 2/0/5 |
202.38.160.2/24 |
100(缺省值) |
允许抢占 |
图1-3 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN2。
<LSW-A> system-view
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet 2/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
[LSW-A-Vlan-interface2] quit
# 使备份组的虚拟路由器的IP地址可以被ping通。
[LSW-A] vrrp ping-enable
# 创建一个备份组。
[LSW-A] interface vlan 2
[LSW-A-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[LSW-A-Vlan-interface2] vrrp vrid 1 priority 110
# 设置备份组的抢占方式。
[LSW-A-Vlan-interface2] vrrp vrid 1 preempt-mode
(2) 配置交换机B:
# 配置VLAN2。
<LSW-B> system-view
System View: return to User View with Ctrl+Z.
[LSW-B] vlan 2
[LSW-B-Vlan2] port Ethernet 2/0/5
[LSW-B-vlan2] quit
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
[LSW-B-Vlan-interface2] quit
# 使备份组的虚拟路由器的IP地址可以被ping通。
[LSW-B] vrrp ping-enable
# 创建一个备份组。
[LSW-B] interface vlan 2
[LSW-B-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的抢占方式。
[LSW-B-Vlan-interface2] vrrp vrid 1 preempt-mode
主机A可将缺省网关设为202.38.160.111。
正常情况下,交换机A行使网关的职能,当交换机A关机或出现故障,交换机B将接替行使网关的职能。
设置抢占方式的目的是当交换机A恢复工作后,能够继续成为Master行使网关的职能。
通过配置监视接口来实现:即使交换机A仍然工作,但当其连接Internet的接口不可用时,由交换机B(具备另外一条链路和外界相连)来行使网关的职能。
为了便于说明,设备份组号为1,并增加授权字和计时器的配置。
图1-4 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN2。
<LSW-A> system-view
System View: return to User View with Ctrl+Z.
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet 2/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
[LSW-A-Vlan-interface2] quit
# 使备份组的虚拟路由器的IP地址可以被ping通。
[LSW-A] vrrp ping-enable
# 创建一个备份组。
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[LSW-A-Vlan-interface2] vrrp vrid 1 priority 110
# 设置备份组的认证密码为MD5认证,密码为abc123。
[LSW-A-Vlan-interface2] vrrp authentication-mode md5 abc123
# 设置Master发送VRRP报文的间隔时间为5秒。
[LSW-A-Vlan-interface2] vrrp vrid 1 timer advertise 5
# 设置监视接口。
[LSW-A-Vlan-interface2] vrrp vrid 1 track Vlan-interface 3 reduced 30
(2) 配置交换机B:
# 配置VLAN2。
<LSW-B> system-view
System View: return to User View with Ctrl+Z.
[LSW-B] vlan 2
[LSW-B-vlan2] port Ethernet 2/0/5
[LSW-B-vlan2] quit
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
[LSW-B-Vlan-interface2] quit
# 使备份组的虚拟路由器的IP地址可以被ping通。
[LSW-B] vrrp ping-enable
# 创建一个备份组。
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的认证字。
[LSW-B-Vlan-interface2] vrrp authentication-mode md5 abc123
# 设置Master发送VRRP报文的间隔时间为5秒。
[LSW-B-Vlan-interface2] vrrp vrid 1 timer advertise 5
正常情况下,交换机A行使网关的职能,当交换机A的接口vlan-interface 3不可用时,交换机A的优先级降低30,低于交换机B优先级,交换机B将抢占成为Master行使网关的职能。
当交换机A的接口vlan-interface3恢复工作后,交换机A能够继续成为Master行使网关的职能。
允许一台交换机为多个备份组作备份。
通过多备份组设置可以实现负荷分担。如交换机A作为备份组1的Master,同时又兼职备份组2的备份交换机,而交换机B正相反,作为备份组2的Master,并兼职备份组1的备份交换机。一部分主机使用备份组1作网关,另一部分主机使用备份组2作为网关。这样,以达到分担数据流,而又相互备份的目的。
图1-5 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN2。
<LSW-A> system-view
System View: return to User View with Ctrl+Z.
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet 2/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
# 创建一个备份组1。
