- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-VRRP配置
本章节下载: 01-VRRP配置 (346.5 KB)
VRRP功能中所指的“接口”包括VLAN接口和三层以太网接口。三层以太网接口是指在以太网接口视图下通过port link-mode route命令切换为三层模式的以太网接口,有关以太网接口模式切换的操作,请参见“二层技术-以太网交换配置指导”中的“以太网接口配置”。
通常,同一网段内的所有主机上都存在一个相同的默认网关。主机发往其它网段的报文将通过默认网关进行转发,从而实现主机与外部网络的通信。如图1-1所示,当默认网关发生故障时,本网段内所有主机将无法与外部网络通信。
默认网关为用户的配置操作提供了方便,但是对网关设备提出了很高的稳定性要求。增加网关是提高链路可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)可以解决这个问题,VRRP功能将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台路由器承担转发任务,局域网内的主机只需将虚拟路由器配置为默认网关。
VRRP在提高可靠性的同时,简化了主机的配置。在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台路由器出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。
设备支持标准协议模式的VRRP:即基于RFC实现的VRRP,详细介绍请参见“1.2 VRRP标准协议模式”。
VRRP包括VRRPv2和VRRPv3两个版本,VRRPv2和VRRPv3版本只支持IPv4 VRRP。
VRRP将局域网内的可以承担网关功能的一组路由器划分在一起,组成一个备份组。备份组由一台Master路由器和多台Backup路由器组成,对外相当于一台虚拟路由器。虚拟路由器具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟路由器的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。
图1-2 VRRP组网示意图
如图1-2所示,Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器有自己的IP地址,由用户手工指定。局域网内的主机将虚拟路由器设置为默认网关。Router A、Router B和Router C中优先级最高的路由器作为Master路由器,承担网关的功能,其余两台路由器作为Backup路由器,当Master路由器发生故障时,取代Master路由器继续履行网关职责,从而保证局域网内的主机可不间断地与外部网络进行通信。
虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同。接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。在同一个VRRP备份组中,只能存在一个IP地址拥有者。
VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器)。优先级越高,则越有可能成为Master路由器。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当路由器为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master路由器。
备份组中的路由器具有以下两种工作方式:
· 非抢占方式:在该方式下只要Master路由器没有出现故障,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。非抢占方式可以避免频繁地切换Master路由器。
· 抢占方式:在该方式下Backup路由器一旦发现自己的优先级比当前Master路由器的优先级高,就会触发Master路由器的重新选举,并最终取代原有的Master路由器。抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器。
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的路由器。VRRP提供了两种认证方式:
· 简单字符认证:发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。
· MD5认证:发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的路由器会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。
在一个安全的网络中,用户也可以不设置认证方式。
VRRPv3版本的IPv4 VRRP不支持对VRRP报文进行认证。
偏移时间(Skew_Time)用来避免Master路由器出现故障时,备份组中的多个Backup路由器在同一时刻同时转变为Master路由器,导致备份组中存在多台Master路由器。
Skew_Time的值不可配置,其计算方法与使用的VRRP协议版本有关:
· 使用VRRPv2版本(RFC 3768)时,计算方法为:(256-路由器在备份组中的优先级)/256
· 使用VRRPv3版本(RFC 5798)时,计算方法为:((256-路由器在备份组中的优先级)×VRRP通告报文的发送时间间隔)/256
VRRP备份组中的Master路由器会定时发送VRRP通告报文,通知备份组内的路由器自己工作正常。
用户可以通过命令行来调整Master路由器发送VRRP通告报文的发送间隔。如果Backup路由器在等待了3×发送间隔+Skew_Time后,依然没有收到VRRP通告报文,则认为自己是Master路由器,并向本组其它路由器发送VRRP通告报文,重新进行Master路由器的选举。
为了避免备份组内的成员频繁进行主备状态转换、让Backup路由器有足够的时间搜集必要的信息(如路由信息),在抢占方式下,Backup路由器接收到优先级低于本地优先级的VRRP通告报文后,不会立即抢占成为Master路由器,而是等待一定时间——抢占延迟时间+Skew_Time后,才会对外发送VRRP通告报文通过Master路由器选举取代原来的Master路由器。
备份组中的路由器根据优先级确定自己在备份组中的角色。路由器加入备份组后,初始处于Backup状态:
· 如果等待3×发送间隔+Skew_Time后还没有收到VRRP通告报文,则转换为Master状态;
· 如果在3×发送间隔+Skew_Time内收到优先级大于或等于自己优先级的VRRP通告报文,则保持Backup状态;
· 如果在3×发送间隔+Skew_Time内收到优先级小于自己优先级的VRRP通告报文,且路由器工作在非抢占方式,则保持Backup状态;否则,路由器抢占成为Master路由器。
通过上述步骤选举出的Master路由器启动VRRP通告报文发送间隔定时器,定期向外发送VRRP通告报文,通知备份组内的其它路由器自己工作正常;Backup路由器则启动定时器等待VRRP通告报文的到来。
· 当Backup路由器收到VRRP通告报文后,只会将自己的优先级与通告报文中的优先级进行比较,不会比较IP地址。
· 由于网络故障原因造成备份组中存在多台Master路由器时,这些Master路由器会根据优先级和IP地址选举出一个Master路由器:优先级高的路由器成为Master路由器;优先级低的成为Backup路由器;如果优先级相同,则IP地址大的成为Master路由器。
VRRP监视功能只能工作在抢占方式下,用以保证只有优先级最高的路由器才能成为Master路由器。
VRRP监视功能通过NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测Master路由器和上行链路的状态,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联:
· 监视上行链路,根据上行链路的状态,改变路由器的优先级。当Master路由器的上行链路出现故障,局域网内的主机无法通过网关访问外部网络时,被监视Track项的状态变为Negative,Master路由器的优先级降低指定的数值。使得当前的Master路由器不是组内优先级最高的路由器,而其它路由器成为Master路由器,保证局域网内主机与外部网络的通信不会中断。
· 在Backup路由器上监视Master路由器的状态。当Master路由器出现故障时,监视Master路由器状态的Backup路由器能够迅速成为Master路由器,以保证通信不会中断。
被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复。Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。
主备备份方式表示转发任务仅由Master路由器承担。当Master路由器出现故障时,才会从其它Backup路由器选举出一个接替工作。主备备份方式仅需要一个备份组,不同路由器在该备份组中拥有不同优先级,优先级最高的路由器将成为Master路由器,如图1-3中所示(以IPv4 VRRP为例)。
初始情况下,Router A为Master路由器并承担转发任务,Router B和Router C是Backup路由器且都处于就绪监听状态。如果Router A发生故障,则备份组内处于Backup状态的Router B和Router C路由器将根据优先级选出一台新的Master路由器,这台新Master路由器继续向网络内的主机提供网关服务。
一台路由器可加入多个备份组,在不同备份组中有不同的优先级,使得该路由器可以在一个备份组中作为Master路由器,在其它的备份组中作为Backup路由器。
负载分担方式是指多台路由器同时承担网关的功能,因此负载分担方式需要两个或者两个以上的备份组,每个备份组都包括一台Master路由器和若干台Backup路由器,各备份组的Master路由器各不相同,如图1-4中所示。
同一台路由器同时加入多个VRRP备份组,在不同备份组中有不同的优先级。
在图1-4中,有三个备份组存在:
· 备份组1:对应虚拟路由器1。Router A作为Master路由器,Router B和Router C作为Backup路由器。
· 备份组2:对应虚拟路由器2。Router B作为Master路由器,Router A和Router C作为Backup路由器。
· 备份组3:对应虚拟路由器3。Router C作为Master路由器,Router A和Router B作为Backup路由器。
为了实现业务流量在Router A、Router B和Router C之间进行负载分担,需要将局域网内的主机的缺省网关分别设置为虚拟路由器1、虚拟路由器2和虚拟路由器3。在配置优先级时,需要确保三个备份组中各路由器的VRRP优先级形成交叉对应。
与VRRP相关的协议规范有:
· RFC 3768:Virtual Router Redundancy Protocol (VRRP)
· RFC 5798:Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6
在备份组内的每台路由器上都需进行如下配置,才能形成一个备份组。
表1-1 IPv4 VRRP配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
配置使用的IPv4 VRRP版本 |
可选 |
|
|
创建备份组并配置备份组的虚拟IP地址 |
必选 |
|
|
配置路由器在备份组中的优先级、抢占方式及监视功能 |
可选 |
|
|
配置IPv4 VRRP报文的相关属性 |
可选 |
|
|
关闭IPv4 VRRP备份组 |
可选 |
IPv4 VRRP备份组中的所有路由器上配置的IPv4 VRRP版本必须一致,否则备份组无法正常工作。
IPv4 VRRP既可以使用VRRPv2版本,也可以使用VRRPv3版本。通过本配置,可以指定接口上IPv4 VRRP使用的版本。
表1-2 配置使用的IPv4 VRRP版本
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置使用的VRRP版本 |
vrrp version version-number |
缺省情况下,IPv4 VRRP使用VRRPv3版本 |
只有创建备份组,并为备份组配置虚拟IP地址后,备份组才能正常工作。如果接口连接多个子网,则可以为一个备份组配置多个虚拟IP地址,以便实现不同子网中路由器的备份。
创建备份组并配置备份组的虚拟IP地址时,需要注意:
· VRRP工作在标准协议模式时,备份组的虚拟IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同。
· 路由器作为IP地址拥有者时,建议不要采用接口的IP地址(即备份组的虚拟IP地址)与相邻的路由器建立OSPF邻居关系,即不要通过network命令在该接口上使能OSPF。network命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“OSPF”。
· 如果没有为备份组配置虚拟IP地址,但为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用。
· 删除IP地址拥有者上的VRRP备份组,将导致地址冲突。建议先修改配置了备份组的接口的IP地址,再删除该接口上的VRRP备份组,以避免地址冲突。
· 建议将备份组的虚拟IP地址和备份组中设备下行接口的IP地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
创建备份组,并配置备份组的虚拟IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
缺省情况下,没有创建备份组 |
配置路由器在备份组中的优先级、抢占方式及监视功能时,需要注意:
· IP地址拥有者的优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式。
· 路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上配置该备份组监视指定的Track项,则该配置不会生效。该路由器不再作为IP地址拥有者后,监视功能的配置才会生效。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置路由器在备份组中的优先级 |
vrrp vrid virtual-router-id priority priority-value |
缺省情况下,路由器在备份组中的优先级为100 |
|
配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间 |
vrrp vrid virtual-router-id preempt-mode [ delay delay-value ] |
缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0秒 |
|
配置监视指定的Track项 |
vrrp vrid virtual-router-id track track-entry-number [ reduced priority-reduced | switchover ] |
缺省情况下,没有指定被监视的Track项 |
配置IPv4 VRRP报文的相关属性时,需要注意:
· 一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的路由器需要设置相同的认证方式和认证字。
· 使用VRRPv3时,认证方式和认证字的相关配置不会生效。
· 使用VRRPv2时,备份组中的所有路由器必须配置相同的VRRP通告报文发送间隔。
· 使用VRRPv3时,备份组中的路由器上配置的VRRP通告报文发送间隔可以不同。Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master路由器通告报文发送间隔,如果在3×发送间隔+Skew_Time内没有收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器。
表1-5 配置IPv4 VRRP报文的相关属性
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置备份组发送和接收VRRP报文的认证方式和认证字 |
vrrp vrid virtual-router-id authentication-mode { md5 | simple } { cipher | plain } key |
缺省情况下,不进行认证 |
|
配置备份组中Master路由器发送VRRP通告报文的发送间隔 |
vrrp vrid virtual-router-id timer advertise adver-interval |
缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒 建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响 |
|
为VRRP备份组指定源接口,该源接口用来代替IPv4 VRRP备份组所在接口进行该备份组VRRP报文的收发 |
vrrp vrid virtual-router-id source-interface interface-type interface-number |
缺省情况下,没有指定备份组的源接口,VRRP报文通过VRRP备份组所在接口进行收发。 |
|
启动对VRRP报文TTL域的检查 |
vrrp check-ttl enable |
缺省情况下,检查VRRP报文的TTL域 |
|
退回系统视图 |
quit |
- |
|
配置VRRP报文的DSCP优先级 |
vrrp dscp dscp-value |
DSCP用来体现报文自身的优先等级,决定报文传输的优先程度。 缺省情况下,VRRP报文的DSCP优先级为48 |
开启VRRP的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。
有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。
表1-6 开启告警功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
开启VRRP的告警功能 |
snmp-agent trap enable vrrp [ auth-failure | new-master ] |
缺省情况下,VRRP的告警功能处于开启状态 |
关闭VRRP备份组功能通常用于暂时禁用备份组,但还需要再次启用该备份组的场景。关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变。在关闭状态下还可以对备份进行配置。备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行。
表1-7 关闭IPv4 VRRP备份组
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
关闭VRRP备份组 |
vrrp vrid virtual-router-id shutdown |
缺省情况下,VRRP备份组处于开启状态 |
在完成上述配置后,在任意视图下执行display命令可以显示IPv4 VRRP配置后的运行情况,通过查看显示信息验证配置的效果。
在用户视图下执行reset命令可以清除IPv4 VRRP统计信息。
表1-8 IPv4 VRRP显示和维护
|
操作 |
命令 |
|
显示IPv4 VRRP备份组的状态信息 |
display vrrp [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ] |
|
显示IPv4 VRRP备份组的统计信息 |
display vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
|
清除IPv4 VRRP备份组的统计信息 |
reset vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ] |
· Host A需要访问Internet上的Host B,Host A的缺省网关为10.1.1.111/24;
· 当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。
图1-5 VRRP单备份组配置组网图
(1) 配置Switch A
# 配置VLAN2。
<SwitchA> system-view
[SwitchA] vlan 2
[SwitchA-vlan2] port fortygige 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.1 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。
[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.111
# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110
# 设置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Switch A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。
[SwitchA-Vlan-interface2] vrrp vrid 1 preempt-mode delay 5
(2) 配置Switch B
# 配置VLAN2。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-Vlan2] port fortygige 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 10.1.1.2 255.255.255.0
# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。
[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.111
# 设置Switch B在备份组1中的优先级为100。
[SwitchB-Vlan-interface2] vrrp vrid 1 priority 100
# 设置Switch B工作在抢占方式,抢占延迟时间为5秒。
[SwitchB-Vlan-interface2] vrrp vrid 1 preempt-mode delay 5
配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。
# 显示Switch A上备份组1的详细信息。
[SwitchA-Vlan-interface2] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 1
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Master
Config Pri : 110 Running Pri : 110
Preempt Mode : Yes Delay Time : 5
Auth Type : None
Virtual IP : 10.1.1.111
Virtual MAC : 0000-5e00-0101
Master IP : 10.1.1.1
# 显示Switch B上备份组1的详细信息。
[SwitchB-Vlan-interface2] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 1
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Backup
Config Pri : 100 Running Pri : 100
Preempt Mode : Yes Delay Time : 5
Become Master : 401ms left
Auth Type : None
Virtual IP : 10.1.1.111
Master IP : 10.1.1.1
以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,Host A发送给Host B的报文通过Switch A转发。
Switch A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看Switch B上备份组的详细信息。
# Switch A出现故障后,显示Switch B上备份组1的详细信息。
[SwitchB-Vlan-interface2] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 1
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Master
Config Pri : 100 Running Pri : 100
Preempt Mode : Yes Delay Time : 5
Auth Type : None
Virtual IP : 10.1.1.111
Virtual MAC : 0000-5e00-0101
Master IP : 10.1.1.2
以上显示信息表示Switch A出现故障后,Switch B成为Master,Host A发送给Host B的报文通过Switch B转发。
# Switch A故障恢复后,显示Switch A上备份组1的详细信息。
[SwitchA-Vlan-interface2] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 1
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Master
Config Pri : 110 Running Pri : 110
Preempt Mode : Yes Delay Time : 5
Auth Type : None
Virtual IP : 10.1.1.111
Virtual MAC : 0000-5e00-0101
Master IP : 10.1.1.1
以上显示信息表示Switch A故障恢复后,Switch A会抢占成为Master,Host A发送给Host B的报文仍然通过Switch A转发。
· VLAN 2内主机的缺省网关为10.1.1.100/25;VLAN 3内主机的缺省网关为10.1.1.200/25;
· Switch A和Switch B同时属于虚拟IP地址为10.1.1.100/25的备份组1和虚拟IP地址为10.1.1.200/25的备份组2;
· 在备份组1中Switch A的优先级高于Switch B,在备份组2中Switch B的优先级高于Switch A,从而保证VLAN 2和VLAN 3内的主机分别通过Switch A和Switch B通信,当Switch A或Switch B出现故障时,主机可以通过另一台设备继续通信,避免通信中断。
图1-6 多个VLAN中的VRRP备份组配置组网图
(1) 配置Switch A
# 配置VLAN 2。
<SwitchA> system-view
[SwitchA] vlan 2
[SwitchA-vlan2] port fortygige 1/0/5
[SwitchA-vlan2] quit
[SwitchA] interface vlan-interface 2
[SwitchA-Vlan-interface2] ip address 10.1.1.1 255.255.255.128
# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。
[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.100
# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证在备份组1中Switch A成为Master负责转发流量。
[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110
[SwitchA-Vlan-interface2] quit
# 配置VLAN 3。
[SwitchA] vlan 3
[SwitchA-vlan3] port fortygige 1/0/6
[SwitchA-vlan3] quit
[SwitchA] interface vlan-interface 3
[SwitchA-Vlan-interface3] ip address 10.1.1.130 255.255.255.128
# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.200。
[SwitchA-Vlan-interface3] vrrp vrid 2 virtual-ip 10.1.1.200
(2) 配置Switch B
# 配置VLAN 2。
<SwitchB> system-view
[SwitchB] vlan 2
[SwitchB-vlan2] port fortygige 1/0/5
[SwitchB-vlan2] quit
[SwitchB] interface vlan-interface 2
[SwitchB-Vlan-interface2] ip address 10.1.1.2 255.255.255.128
# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。
[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.100
[SwitchB-Vlan-interface2] quit
# 配置VLAN 3。
[SwitchB] vlan 3
[SwitchB-vlan3] port fortygige 1/0/6
[SwitchB-vlan3] quit
[SwitchB] interface vlan-interface 3
[SwitchB-Vlan-interface3] ip address 10.1.1.131 255.255.255.128
# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.200。
[SwitchB-Vlan-interface3] vrrp vrid 2 virtual-ip 10.1.1.200
# 设置Switch B在备份组2中的优先级为110,高于Switch A的优先级100,以保证在备份组2中Switch B成为Master负责转发流量。
[SwitchB-Vlan-interface3] vrrp vrid 2 priority 110
可以通过display vrrp verbose命令查看配置后的结果。
# 显示Switch A上备份组的详细信息。
[SwitchA-Vlan-interface3] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 2
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Master
Config Pri : 110 Running Pri : 110
Preempt Mode : Yes Delay Time : 0
Auth Type : None
Virtual IP : 10.1.1.100
Virtual MAC : 0000-5e00-0101
Master IP : 10.1.1.1
Interface Vlan-interface3
VRID : 2 Adver Timer : 100
Admin Status : Up State : Backup
Config Pri : 100 Running Pri : 100
Preempt Mode : Yes Delay Time : 0
Become Master : 203ms left
Auth Type : None
Virtual IP : 10.1.1.200
Master IP : 10.1.1.131
# 显示Switch B上备份组的详细信息。
[SwitchB-Vlan-interface3] display vrrp verbose
IPv4 Virtual Router Information:
Running Mode : Standard
Total number of virtual routers : 2
Interface Vlan-interface2
VRID : 1 Adver Timer : 100
Admin Status : Up State : Backup
Config Pri : 100 Running Pri : 100
Preempt Mode : Yes Delay Time : 0
Become Master : 211ms left
Auth Type : None
Virtual IP : 10.1.1.100
Master IP : 10.1.1.1
Interface Vlan-interface3
VRID : 2 Adver Timer : 100
Admin Status : Up State : Master
Config Pri : 110 Running Pri : 110
Preempt Mode : Yes Delay Time : 0
Auth Type : None
Virtual IP : 10.1.1.200
Virtual MAC : 0000-5e00-0102
Master IP : 10.1.1.131
以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,缺省网关为10.1.1.100/25的主机通过Switch A访问Internet;备份组2中Switch A为Backup,Switch B为Master,缺省网关为10.1.1.200/25的主机通过Switch B访问Internet。
在配置过程中出现配置错误的提示,提示内容如下:"The virtual router detected a VRRP configuration error.”。
· 可能是备份组内的设备配置不一致造成的,具体包括以下几种情况:
¡ 报文携带的通告报文发送间隔与当前备份组不一致。
¡ 报文携带的虚拟IP地址个数与当前备份组不一致。
¡ 报文携带的虚拟IP地址列表与当前备份组不一致。
· 可能是备份组内的设备收到攻击者发送的非法VRRP报文,如IP地址拥有者收到优先级为255的VRRP报文。
· 对于第一种情况,可以通过修改配置来解决。
· 对于第二种情况,则是有些攻击者有不良企图,应当通过定位和防止攻击来解决。
同一个备份组内出现多台Master路由器。
· 若短时间内存在多台Master路由器,属于正常情况,无需进行人工干预。
· 若多台Master路由器长时间共存,这很有可能是由于Master路由器之间收不到VRRP报文,或者收到的报文不合法造成的。
先在多台Master路由器之间执行ping操作。如果ping不通,则检查网络连接是否正确;如果能ping通,则检查VRRP的配置是否一致。对于同一个VRRP备份组的配置,必须要保证虚拟IP地址个数、每个虚拟IP地址和认证方式完全一样。如果使用的是IPv4 VRRP,还需保证IPv4 VRRP使用的版本一致。如果是VRRPv2版本,还要求VRRP通告发送间隔一致。
在运行过程中VRRP的状态频繁转换。
这种情况一般是由于VRRP通告报文发送间隔太短造成的。
增加通告报文的发送间隔或者设置抢占延迟都可以解决这种故障。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
