HCSE认证——HM-028 VRRP原理和配置(V5.0)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,HM-028 VRRP,原理及配置,ISSUE 5.0,学习目标,掌握,VRRP,的应用,熟悉,VRRP,的工作原理,掌握,VRRP,的基本配置,熟悉,VRRP,的基本维护,学习完本课程，您应该能够：,2,课程内容,第一章,VRRP,应用,第二章,VRRP,原理,第三章,VRRP,配置,第四章,VRRP,实例及维护,3,普通网络存在的问题,在如下局域网络中，终端用户存在被孤立的可能 。一旦交换机的三层虚接口故障，局域网用户就被孤立，不能实现与外部网络的通信。,VRRP,（,Virtual Router Redundancy Protocol,）正是为了解决此问题而诞生。,10.0.0.1,10.0.0.9,10.0.0.8,10.0.0.7,10.0.0.6,IP,网,4,VRRP,的应用（一）,VRRP,以虚拟路由器的形式为终端用户提供服务，而实际负责数据转发的路由器由一组运行,VRRP,协议的路由器选举产生，从而实现三层网关的备份。,10.0.0.1,10.0.0.9,10.0.0.8,10.0.0.7,10.0.0.6,10.0.0.2,10.0.0.3,IP,网,5,VRRP,的应用（二）,在同一,VLAN,虚接口下提供多组,VRRP,组，不同,VRRP,选择不同的路由器或三层交换机担当,Master,，相互实现备份。同时通过,VLAN,内主机设置不同的,Virtual IP,为网关地址实现负载分担。,10.0.0.1,10.0.0.9,10.0.0.8,10.0.0.7,10.0.0.6,10.0.0.2,10.0.0.3,10.0.0.4,IP,网,6,课程内容,第一章,VRRP,应用,第二章,VRRP,原理,第三章,VRRP,配置,第四章,VRRP,实例及维护,7,VRRP,协议概述,VRRP,使用,IP,报文作为传输协议进行协议报文的传送。其协议号为,112,。,VRRP,协议报文使用固定的组播地址,224.0.0.18,进行发送。,VRRP,通过协议报文选举,Master,，除,Maser,外，其它路由器作为,Backup,对,Master,进行备份。,Master,充当,Virtual Router,完成网关的所有功能。,Virtual Router,由,LAN,上唯一的,Virtual Router ID,标识。并具有如下的,MAC,地址：,00-00-5E-00-01-vrid.,8,VRRP,协议报文格式,VRRP,目前只有,Advertisement,报文，其格式如下：,version,type,VRID,Priority,Count IP,Addrs,Auth Type,Adver,Int,Checksum,IP address (1),IP address (n),Authentication Data (1),Authentication Data (2),0 4 8 16 24 32,9,VRRP,的选举,在,VRRP,组内，可以分别指定各路由器的选举优先级。,当,VRRP,进行选举时，首先比较选举优先级，优先级高者获胜成为该,VRRP,组的,Master,，失败者成为,Backup,。,如果两个,VRRP Router,具有相同的优先级，,IP,地址大者获胜成为,Master,。,Master,周期性发送,Advertisement,，,Backup,接收,Advertisement,。,Backup,如果一定时间内未收到,Advertisement,，认为,Master Down,，进行新一轮的,Master,选举。,10,VRRP,的状态迁移,VRRP Router,在备份组内除,Master,和,Backup,状态外，还可能处于,Initial,状态，其状态迁移如下图所示：,Initial,Master,Backup,Startup& priority=255,Startup& priority!=255,Shutdown,Master_down_timer,expire |,Priority=0 in received packet | Priority in received packet Own priority,1,2,3,3,5,4,11,课程内容,第一章,VRRP,应用,第二章,VRRP,原理,第三章,VRRP,配置,第四章,VRRP,实例及维护,12,Quidway,系列交换机的,VRRP,Quidway,系列交换机提供的,VRRP,可以实现如下配置：,设定虚拟,IP,地址是否可以使用,ping,命令,ping,通,设置虚拟,IP,地址和,MAC,地址的对应形式,添加或删除虚拟,IP,地址,设置备份组的优先级,设置备份组的抢占方式和延迟时间,设置备份组的认证方式和认证字,设置备份组的定时器,设置监视指定接口,13,VRRP,配置,设定虚拟,IP,地址是否可以使用,ping,命令,ping,通,vrrp,ping-enable,注意：请在备份组建立之前进行设定，否则系统不允许再使用此命令来设定虚拟,IP,地址是否可以使用,ping,命令,ping,通 。,设置虚拟,IP,地址和,MAC,地址的对应形式,vrrp,method,real-,mac,|,virtual-,mac,Real-,mac,表示使用以太网交换机接口的实际,MAC,地址和虚拟,IP,地址映射,Virtual-,mac,表示使用虚拟,MAC,地址和虚拟,IP,地址映射,注意：备份组的,IP,地址和,MAC,地址的对应形式需要在配置备份组之前就设定。如果在交换机上已经创建了备份组，系统将不允许在设置备份组的,IP,地址,MAC,地址的对应关系。,14,VRRP,配置,添加或删除虚拟,IP,地址,vrrp,vrid,virtual-router-ID,virtual-,ip,virtual-address,undo,vrrp,vrid,virtual-router-ID,virtual-,ip,virtual-address,设置备份组的优先级,vrrp,vrid,vrid,priority,priority,优先级取值范围为,0,255,，供用户配置使用的为,1,254,，,0,保留给特殊用途使用，,255,保留给虚拟,IP,地址拥有者使用。缺省优先级为,100,IP,地址拥有者的优先级不可配置,15,VRRP,配置（续）,设置备份组的抢占方式和延迟时间,vrrp,vrid,virtual-router-ID,preempt-mode,timer delay,delay-value,缺省方式是抢占模式，延迟时间为,0,设置备份组的认证方式和认证字,vrrp,authentication-mode,authentication-type authentication-key,VRRP,提供三种认证方式：,NONE,：不进行认证，仅用于安全的网络,SIMPLE,：简单字符认证，用于可能收到安全威胁的网络，认证字符长度不超过,8,字符,MD5,：利用,Authentication Header,提供的认证方式和,MD5,算法来认证，通常用于安全要求较高，但网络本身存在安全隐患的网络,16,VRRP,配置（续）,设置备份组的定时器,vrrp,vrid,virtual-router-ID,timer advertise,adver,-interval,Master-down-interval,为,3,倍,advertise-interval,设置监视指定接口,vrrp,vrid,virtual-router-ID,track,vlan,-interface,interface-num,reduced,value-reduced,Quidway,系列交换机还可以通过监听接口状况实现备份功能，当监视接口出现故障时，自动降低交换机所在备份组的优先级，从而实现备份,17,VRRP,显示和调试,显示,VRRP,的状态信息,display,vrrp,interface,vlan,-interface,interface-num,virtual-router-ID,display,vrrp,vlan,-interface 20,vlan-interface20|Virtual Router 10,State:backup,Virtual IP :10.10.10.2,Priority :100,Preempt :YES Delay Time : 0,Timer :3,Auth Type :NONE,打开,/,关闭,VRRP,调试开关,debugging,vrrp,state | packet,undo debugging,vrrp,state | packet,18,课程内容,第一章,VRRP,应用,第二章,VRRP,原理,第三章,VRRP,配置,第四章,VRRP,实例及维护,19,VRRP,配置举例,网络结构图,两个三层交换机运行,VRRP,协议,10.0.0.9,10.0.0.8,10.0.0.7,10.0.0.6,10.0.0.2,10.0.0.3,Switch_A,Switch_B,IP,网,20,单备份组的实现,在上述网络结构中，配置一个备份组，虚拟路由器,ID,为,1,，虚拟,IP,地址为,10.0.0.1,配置,Switch_A,：,Switch_A-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,Switch_A-vlan-interface2,vrrp,vrid,1 priority 100,配置,Switch B,：,Switch_B-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,其它配置如路由，虚接口等配置请参见相关部分,21,多备份组实现负荷分担,同一网络结构图，配置两个备份组，其,ID,为,1,和,2,，虚拟网关分别为,10.0.0.1,和,10.0.0.4,正常情况下，,Switch_A,为,1,组的,Master,，,Switch_B,为,2,组的,Master,。局域网内部分用户以,10.0.0.1,为缺省网关，部分用户以,10.0.0.4,为缺省网关。,配置,Switch_A,：,Switch_A-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,Switch_A-vlan-interface2,vrrp,vrid,1 priority 120,Switch_A-vlan-interface2,vrrp,vrid,2 virtual-,ip,10.0.0.4,配置,Switch_B,：,Switch_B-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,Switch_B-vlan-interface2,vrrp,vrid,2 virtual-,ip,10.0.0.4,Switch_B-vlan-interface2,vrrp,vrid,2 priority 120,22,监视接口实现备份,监视交换机的网络出接口状态，实现备份,配置,Switch A,：,Switch_A-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,Switch_A-vlan-interface2,vrrp,vrid,1 priority 120,Switch_A-vlan-interface2,vrrp,authentication-mode md5 switch,Switch_A-vlan-interface2,vrrp,vrid,1 track,vlan,-interface 3 reduced 30,配置,Switch B,：,Switch_B-vlan-interface2,vrrp,vrid,1 virtual-,ip,10.0.0.1,Switch_B-vlan-interface2,vrrp,vrid,1 priority 100,Switch_B-vlan-interface2,vrrp,authentication-mode md5 switch,23,VRRP,故障诊断与排错,VRRP,配置比较简单，通常通过查看配置文件和调试信息即可完成故障排除,故障之一：控制台上频频给出配置错误的提示,这表明交换机收到了错误的,VRRP,报文,故障之二：同一个备份组出现多个,Master,交换机,多个,Master,并存时间较短，属于正常情况,多个,Master,长时间共存，有可能是,Master,之间收不到,VRRP,报文，或者收到的报文不合法,故障之三：,VRRP,的状态频繁转换,备份组的定时器时间间隔设置太小,加大定时器时间间隔,设置抢占延迟时间,24,小结,VRRP,的产生和应用,VRRP,的原理,VRRP,协议基础,VRRP,选举,VRRP,状态迁移,VRRP,的配置,VRRP,单网关备份,VRRP,负载分担,VRRP,接口状态监控,25,华为,3Com,技术有限公司,华为,3Com,公司网址,:,www.huawei-,华为,3Com,技术论坛网址,:,forum.huawei-,26,