企业组网vrrp模拟实验演练:
1.VRRP的作用
●提供了局域网上的设备备份机制,VRRP是一种容错协议,它们保证当主机的下一跳路由器换掉时,可以及时有另一台路由器来代替,从而保证通讯的连续性和可靠性。
●解释:当Master路由器线路(包括上行线路,路由器本身,下行线路)出现异常时,优先级降低,以前Backup路由器将会抢占Master路由器,pc端将从新的Master路由器完成数据转发。
2、VRRP的作用
●提供了局域网上的设备备份机制,VRRP是一种容错协议,它们保证当主机的下一跳路由器换掉时,可以及时有另一台路由器来代替,从而保证通讯的连续性和可靠性。
3、VRRP工作原理
●VRRP为虚拟路由器冗余协议,多个路由器都会使用虚拟ip,且有一个和多个的热备组(备份的路由器)。
●以优先级的方式,确认主从关系,同时VIP(虚拟ip)会作用在优先级最高的一个设备上。主设备称为“Master”,从设备称为“Backup”
●主设备会周期性向从设备发送vrrp报文(心跳检测),来告知从设备自己的存活情况。
●当主设备遇到故障时,VRRP对VIP所在的主设备进行降级低于从设备路由器,然后VIP会作用在热备组设备中优先级最高的设备上。继续提供流量传输。
●源Master设备故障恢复时,若该设备IP地址拥有者(则优先级为255),直接切换Master,如果低于255,则还是为Backup状态,由Backup设备的工作方式(抢占方式和非抢占方式)决定是否重新选举。
4、VRRP名词解释(术语解释)
①VRRP路由器
运行VRRP的路由器,一台VRRP路由器(的接口)可以同时参与到多个VRRP组中,在不同的组中,一台VRRP路由器可以充当不同的角色。
②VRRP组
一个VRRP组由多个VRRP路由器组成,使用相同的VRID进行标识,属于同一VRRP路由器相互交换信息,每一个VRRP组只能有一个Master。
③虚拟路由器
对于每一个VRRP组,抽象出来的一个逻辑路由器,该路由器充当网络用户的网关,该路由器并非真实存在,事实上对于用户而言,只需要知道虚拟路由器的IP,至于具体的虚拟路由器的角色由谁来承担,数据转发任务由谁来承担,Master故障谁来接替,这是VRRP的工作。
④虚拟ip地址、虚拟MAC地址
●虚拟IP地址就是虚拟路由器的IP地址,该地址实际上就是用户的网关地址。
●就是虚拟路由器根据VRID(虚拟路由器id)生成的MAC地址,一个虚拟路由器拥有一个虚拟MAC地址,格式为:00-00-5E-00-01-{VRID}.
⑤Master、Backup路由器
●Master路由器:VRRP组中实际转发数据包的路由器,在每一个VRRP组中,仅有Master响应对虚拟IP地址的ARP请求,Master路由器同时以一定的时间间隔发送VRRP消息,以便通知Backup路由器自己的存活情况。
●Backup路由器:处于监听状态的路由器,一旦Master路由器出现故障,Baskup路由器就开始接替工作。
●选举比较:先比较接口VRRP优先级(比大)大的成为Master路由器,如果相等,则比较IP地址(比大)。
拓扑图如下:
AR1配置
[AR1]dis cu
#
sysname AR1
#
acl number 2000
rule 5 permit source 192.168.0.0 0.0.0.255
#
interface GigabitEthernet0/0/0
ip address 192.168.0.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.0.1
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 60
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
vrrp vrid 1 authentication-mode md5 %$%$-4Rx4sI5O)T)P057q4!D4C*o%$%$
#
interface GigabitEthernet0/0/1
ip address 12.2.2.1 255.255.255.0
nat outbound 2000
#
ip route-static 0.0.0.0 0.0.0.0 12.2.2.2
AR2配置
[AR2]dis cu
#
sysname AR2
#
acl number 2000
rule 5 permit source 192.168.0.0 0.0.0.255
#
interface GigabitEthernet0/0/0
ip address 192.168.0.3 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.0.1
vrrp vrid 1 authentication-mode md5 %$%$Q}W<0OsJ1/BQ+LNW-*Y%4DzR%$%$
#
interface GigabitEthernet0/0/1
ip address 14.2.2.1 255.255.255.0
nat outbound 2000
#
ip route-static 0.0.0.0 0.0.0.0 14.2.2.2
AR3配置
[AR3]dis cu
#
sysname AR3
#
interface GigabitEthernet0/0/0
ip address 12.2.2.2 255.255.255.0
#
interface GigabitEthernet0/0/1
ip address 14.2.2.2 255.255.255.0
#
interface GigabitEthernet0/0/2
ip address 15.2.2.1 255.255.255.0
pc1电脑的地址如下:
vrrp配置实现的思路:
1.先规划好ip,然后各个接口配置好ip。保证直连通。
2.由于要上外网所以需要做acl和nat地址转换。
3.添加默认路由,目标指向互联网。
4.分别在AR1和AR2上配置vrrp,将虚拟ip:192.168.0.1分别配置在AR1和AR2上作为电脑pc1和pc2的默认网关,这样可以实现高可用,当其中的一台AR1或AR2挂掉,那么可以切换到另外一台路由器充当网关,可以保障网络正常运行,这个就是vrrp。
各配置参数详解:
vrrp vrid 1 virtual-ip 192.168.0.1 这个代表vrrp虚拟的ip作为电脑pc1和pc2的网关。
vrrp vrid 1 priority 120 这个代表优先级,当两个路由器优先级高的优先转发
vrrp vrid 1 preempt-mode timer delay 60 这个代表抢占时间,当该路线恢复,那么在恢复网络的60s后切换到当前路由器作为主路由器。
vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30 这个是监测上行的路由器出口链路,当上行链路中断,那么就切换到下一个路由设备。
vrrp vrid 1 authentication-mode md5 %$%$-4Rx4sI5O)T)P057q4!D4C*o%$%$ 这个是两个路由器进行vrrp加密验证采用md5加密,防止有人胡乱添加新的路由器设置vrrp导致网不通。
下来我们模拟一下当AR1的下行链路一个口宕掉,我们还能不能正常访问外网进行上网。
我们在AR1上用命令shutdown让这个口宕掉。
我们继续通过pc1ping外网15.2.2.2,发现还是可以通,代表vrrp起到了作用。说明两台路由器充当网关起到了主备切换的作用。
我们发现当路由器AR1挂了后,主设备立马变为了路由器AR2通过当前的masterIP:192.168.0.3可以看出
那么我们之前设置了当AR1恢复后,主设备会不会又变为了AR1呢,看下图。
我们顺便看看AR1的状态是不是切换到备用路由器了
vrrp通信下行链路互相发包通信
然而当上行链路断了,那么就需要监测上行链路状态,否则可能数据包到了网关就出不去了。所以我们需要补一条命令:vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30
reduced 30 代表优先级从原来的120减少30变为了90,那么就会切换到AR2这个设备。
当游人胡乱添加新的路由器配置vrrp可能会因为未配置默认路由可能就会导致网络不通,那么这个时候就会需要验证,在AR1和AR2上设置验证,从而保障网络安全,命令为:vrrp vrid 1 authentication-mode md5 %$%$-4Rx4sI5O)T)P057q4!D4C*o%$%$ 这个是两个路由器进行vrrp加密验证采用md5加密,防止有人胡乱添加新的路由器设置vrrp导致网不通。
至此实验完美完成。理解一下vrrp工作原理