VRRP

VRRP是用于在不能使用动态路由控制的环境中进行多个路由器备份的协议。

VRRP中存在虚拟的IP地址和具有MAC地址的虚拟路由器。VRRP运行着的多个路由器中,作为主控设备的一台路由器使用虚拟路由器的IP地址/MAC地址进行工作。其他的路由器作为备份工作,在主控设备停机时迅速继承虚拟IP地址/MAC 地址,使虚拟路由器保持存在继续工作。通过将其设为默认网关、从而使主控设备停机时,主机也能够通过备份路由继续通信。

                       +-----+      +-----+
                       | MR1 |      | BR1 |
                       |     |      |     |
                       |     |      |     |
          VRID=1       +-----+      +-----+
          IP A ---------->*            *<--------- IP B
                          |            |
                          |            |
                          |            |
        ------------------+------------+-----+--------+--------+--------+--
                                             ^        ^        ^        ^
                                             |        |        |        |
                                           (IP A)   (IP A)   (IP A)   (IP A)
                                             |        |        |        |
                                          +--+--+  +--+--+  +--+--+  +--+--+
                                          |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                          +-----+  +-----+  +--+--+  +--+--+
 
  • VRID=1的VRRP中有2台VRRP路由器,虚拟路由器的IP地址为(IP A)
  • 主机Hx将全部(IP A)设为默认网关
  • 通常,主控设备路由器的MR1处理来自主机的流量
  • MR1关机时,BR1作为备份工作,继续通信

术语

VRRP路由器
支持VRRP协议并使用其发挥作用的路由器

虚拟路由器
根据VRRP协议实现的虚拟的路由器。在运行VRRP 的环境中,这个虚拟路由器指定为默认网关

主控设备路由器
发挥虚拟路由器作用的多个VRRP路由器中,实际进行数据包传送 的路由器

备份路由器
发挥虚拟路由器作用的多个VRRP路由器中,主控设备停机时 成为其备份的路由器

VRRP组
VRRP路由器的组。一个VRRP组为一台虚拟路由器

VRID
VRRP组的标识符,为1~255的整数

VRRP通告
主控设备路由器向LAN发送的VRRP数据。备份路由器通过 接收这个数据而知道主控设备路由器正在工作

关机
主控设备路由器停止发送VRRP通告

VRRP组

VRRP中,通过VRID识别VRRP路由器的组。VRID相同的VRRP路由器属于同一个组,其中只有一台作为主控设备进行数据包的传送。其他的路由器作为备份,当主控设备关机时,立即继承工作。

VRID不同则视为不同的VRRP组。同一个LAN中可以存才多个VRRP组,相互之间独立工作。并且,一个路由器也能属于多个VRRP组。例如,可以进行如下设置:有2台路由器a、b和2个VRRP组A、B,a、b均属于A、B,A的主控设备为a、B的主控设备为b。这种情况下,A、B任何一个虚拟路由器均可设为PC的默认网关,2台VRRP路由器兼作对方的备份,负载均衡流量并进行处理。

                       +-----+      +-----+
                       | MR1 |      | MR2 |
                       |  &  |      |  &  |
                       | BR2 |      | BR1 |
          VRID=1       +-----+      +-----+         VRID=2
          IP A ---------->*            *<---------- IP B
                          |            |
                          |            |
                          |            |
        ------------------+------------+-----+--------+--------+--------+--
                                             ^        ^        ^        ^
                                             |        |        |        |
                                           (IP A)   (IP A)   (IP B)   (IP B)
                                             |        |        |        |
                                          +--+--+  +--+--+  +--+--+  +--+--+
                                          |  H1 |  |  H2 |  |  H3 |  |  H4 |
                                          +-----+  +-----+  +--+--+  +--+--+
  • VRRP路由器的2台路由器属于VRID=1、2的两个VRRP组, 虚拟路由器的IP地址分别为(IP A)、(IP B)
  • 主机也分成两个组,H1/H2设置(IP A)为默认网关, H3/H4设置(IP B)为默认网关
  • 通常MR1/MR2处理来自主机的通信,分散负载
  • MR1停机时BR1作为备份工作,MR2停机时 BR2作为备份工作

虚拟路由器

虚拟路由器的IP地址能够自由设置,因此可以设想下述两种情况。

  1. 使用属于VRRP组的VRRP路由器之中的1台IP地址作为虚拟路由器的IP地址。
    这种情况下,具有虚拟路由器IP地址的VRRP路由器肯定是主控设备,其他的路由器为备份。
  2. 使用完全不同的IP地址作为虚拟路由器的IP地址。
    这种情况下,主控设备路由器将根据VRRP路由器中预先设置的优先级自动决定。优先级为1~254的整数,数字大的优先。优先级相同的VRRP路由器之间,IP地址大的优先。

虚拟路由器的MAC地址使用每个VRRP组中决定的单播地址。

主控设备路由器的关机

主控设备路由器从LAN中掉线或者电源关闭时,肯定会关机,线路端的通信因某种原因不可进行时,也可主动地关机而切换至备份路由器。

优先级

VRRP路由器具有不同的优先级,优先级高的路由器为主控设备路由器,其他的路由器为备份。优先级用1~255的数值设置,不过,为了主控设备/备份顺利切换,最好尽可能地拉大优先级的差距。

并且,优先级也可设为完全相同的值,这种情况下,根据各个VRRP路由器的LAN接口的IP地址大小决定应该优先的VRRP路由器,但是,多个路由器要同时成为主控设备路由器,可能由于这中间的调整造成主控设备路由器紧张繁忙。还是应该尽量拉大优先级的差距。

抢占模式

VRRP的动作模式之一为抢占模式。主控设备路由器的选择方法根据是否为抢占模式而改变。

非抢占模式下,优先级低的VRRP路由器先为主控设备路由器时,即使后来加入了优先级高的VRRP路由器也不会进行主控设备路由器的切换,仍然由原来的主控设备路由器作为主控设备继续工作。然而,以抢占模式运行时,加入了优先级高的VRRP路由器后肯定会将其切换为主控设备路由器。

通常以抢占模式运用。非抢占模式可以在主控设备路由器频繁停机的情况下使用。

动态路由控制

在设置了VRRP的LAN接口中,最好不要启用动态路由控制。但是,在未设置VRRP的接口中启用动态路由控制,能够根据其状态切换主控设备路由器。

命令

使用VRRP

[输入格式]
ip INTERFACE vrrp VRID IP-ADDRESS [priority=PRIORITY] [preempt=PREEMPT] [auth=AUTH]
no ip INTERFACE vrrp VRID [...]
[参数]
  • INTERFACE ...LAN接口名称
  • VRID ...VRRP组ID、1~255
  • IP-ADDRESS ...虚拟路由器的IP地址
  • PRIORITY ...优先级、1~254
  • PREEMPT ...抢占模式、'on'或者'off'
  • AUTH ...8个字符以内的文本认证字符串
[说明]

设置为使用指定的VRRP组。
属于相同VRRP组的路由器之间,必须事先使VRID以及虚拟路由器的IP地址一致。无法预测它们不一致时的动作情况。
不指定"auth="参数时,无认证地运行

[解说]

将赋予自己的LAN接口的地址指定为虚拟路由器的IP地址时,将忽视指定的PRIORITY以及PREEMPT。这时,优先级为最高的255,总是以抢占模式运行。

[默认]
PRIORITY=100
PREEMPT=on
AUTH: 无认证

设置主控设备路由器运行时的关机触发器

[输入格式]
ip INTERFACE vrrp shutdown trigger VRID LAN-INTERFACE
ip INTERFACE vrrp shutdown trigger VRID pp PP-NUMBER [dlci=DLCI]
ip INTERFACE vrrp shutdown trigger VRID route NETWORK [NEXTHOP]
no ip INTERFACE vrrp shutdown trigger VRID LAN-INTERFACE
no ip INTERFACE vrrp shutdown trigger VRID pp PP-NUMBER [...]
no ip INTERFACE vrrp shutdown trigger VRID route NETWORK
[参数]
  • INTERFACE ...LAN接口名称
  • VRID ...VRRP组ID、1~255
  • LAN-INTERFACE ...LAN接口名称
  • PP-NUMBER ...PP号码
  • DLCI ...DLCI号码
  • NETWORK ...网络地址、“IP地址/屏蔽长度”或者‘default’
  • NEXTHOP ...接口名称、或者IP地址
[说明]

在指定的VRRP组中作为主控设备路由器运行时,根据指定的条件设置关机。

  • LAN接口格式

    指定LAN接口的链接掉线就关机。

  • pp格式

    指定的PP号码相应的线路中无法通信时关机。无法通信是指电缆脱落等layer1掉线的情况和下述情况。

    • 线路为ISDN线路时,呼叫未被连接时
    • 线路为专线时,根据LCP持久连接(keep-alive)判断通信对方已断线时
    • 线路为FR且指定了dlci=DLCI时,根据PVC状态确认步骤,判断指定的DLCI号码无法通信时
  • route格式

    指定的路由在路由表中不存在或者不指向NEXTHOP中指定的接口或者IP地址中指定的网关时,关机。省略NEXTHOP时,无论路由指向何处,只要存在就不关机。

本地安全・网关的IP地址的设置

[输入格式]
ipsec ike local address GATEWAY_ID IP_ADDRESS
ipsec ike local address GATEWAY_ID vrrp INTERFACE VRID
no ipsec ike local address GATEWAY_ID [...]
[参数]
  • GATEWAY_ID ...安全・网关的标识符为1以上的数值
  • IP_ADDRESS ...本地安全网关的IP地址
    • any ... 自动选择
  • INTERFACE ...LAN接口名称
  • VRID ...VRRP组ID、1~255
[说明]

设置本地安全・网关地址的IP地址。

vrrp类型的指定方式中,仅在作为VRRP主控设备工作时,将指定的LAN接口/VRRP组ID的虚拟IP地址用作本地安全・网关地址。不是RRP主控设备时不进行键交换

显示VRRP的信息

[输入格式]
show status vrrp [INTERFACE [VRID]]
[参数]
  • INTERFACE ...LAN接口名称
  • VRID ...VRRP组ID、1~255
[说明]

显示VRRP的信息。

与NAT的协作

雅马哈路由器的规格为:如果VRRP的虚拟IP地址与NAT的外部地址相同,则进行协作(仅在屏蔽状态下相应ARP)。静态NAT也是一样,具有相同于VRRP的虚拟IP地址的外部地址的仅一个条目与VRRP协作。与VRRP的虚拟IP地址不一致的静态NAT的外部地址不能使其与VRRP协作。

返回顶部Return to Top