11-可靠性配置指导

01-VRRP配置

本章节下载  (464.86 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R9115_ESS8206_ESS9204)-5W103/11/201506/876757_30005_0.htm

01-VRRP配置


1 VRRP

本文所指的路由器及图标代表运行了VRRP协议的防火墙产品。

 

1.1  VRRP简介

通常,同一网段内的所有主机上都存在一个相同的默认网关。主机发往其它网段的报文将通过默认网关进行转发,从而实现主机与外部网络的通信。如图1-1所示,当默认网关发生故障时,本网段内所有主机将无法与外部网络通信。

图1-1 局域网组网方案

 

默认网关为用户的配置操作提供了方便,但是对网关设备提出了很高的稳定性要求。增加网关是提高链路可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。

VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)可以解决这个问题,VRRP功能将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台路由器承担转发任务,局域网内的主机只需将虚拟路由器配置为默认网关。

VRRP在提高可靠性的同时,简化了主机的配置。在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台路由器出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。

设备支持标准协议模式的VRRP,基于RFC实现的VRRP,详细介绍请参见“1.2  VRRP标准协议模式”。

VRRP包括VRRPv2和VRRPv3两个版本,VRRPv2版本只支持IPv4 VRRP,VRRPv3版本支持IPv4 VRRP和IPv6 VRRP。

1.2  VRRP标准协议模式

1.2.1  VRRP备份组

VRRP将局域网内的可以承担网关功能的一组路由器划分在一起,组成一个备份组。备份组由一台Master路由器和多台Backup路由器组成,对外相当于一台虚拟路由器。虚拟路由器具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟路由器的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。

图1-2 VRRP组网示意图

 

图1-2所示,Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器有自己的IP地址,由用户手工指定。局域网内的主机将虚拟路由器设置为默认网关。Router A、Router B和Router C中优先级最高的路由器作为Master路由器,承担网关的功能,其余两台路由器作为Backup路由器,当Master路由器发生故障时,取代Master路由器继续履行网关职责,从而保证局域网内的主机可不间断地与外部网络进行通信。

说明

虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同。接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。在同一个VRRP备份组中,只能存在一个IP地址拥有者。

 

1. 备份组中路由器的优先级

VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器)。优先级越高,则越有可能成为Master路由器。

VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当路由器为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master路由器。

2. 备份组中路由器的工作方式

备份组中的路由器具有以下两种工作方式:

·     非抢占方式:在该方式下只要Master路由器没有出现故障,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。非抢占方式可以避免频繁地切换Master路由器。

·     抢占方式:在该方式下Backup路由器一旦发现自己的优先级比当前Master路由器的优先级高,就会触发Master路由器的重新选举,并最终取代原有的Master路由器。抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器。

3. 备份组中路由器的认证方式

VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的路由器。VRRP提供了两种认证方式:

·     简单字符认证:发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。

·     MD5认证:发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的路由器会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。

在一个安全的网络中,用户也可以不设置认证方式。

说明

VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。

 

1.2.2  VRRP定时器

1. 偏移时间

偏移时间(Skew_Time)用来避免Master路由器出现故障时,备份组中的多个Backup路由器在同一时刻同时转变为Master路由器,导致备份组中存在多台Master路由器。

Skew_Time的值不可配置,其计算方法与使用的VRRP协议版本有关:

·     使用VRRPv2版本(RFC 3768)时,计算方法为:(256-路由器在备份组中的优先级)/256

·     使用VRRPv3版本(RFC 5798)时,计算方法为:((256-路由器在备份组中的优先级)×VRRP通告报文的发送时间间隔)/256

2. VRRP通告报文发送间隔定时器

VRRP备份组中的Master路由器会定时发送VRRP通告报文,通知备份组内的路由器自己工作正常。

用户可以通过命令行来调整Master路由器发送VRRP通告报文的发送间隔。如果Backup路由器在等待了3×发送间隔+Skew_Time后,依然没有收到VRRP通告报文,则认为自己是Master路由器,并向本组其它路由器发送VRRP通告报文,重新进行Master路由器的选举。

3. VRRP抢占延迟定时器

为了避免备份组内的成员频繁进行主备状态转换、让Backup路由器有足够的时间搜集必要的信息(如路由信息),在抢占方式下,Backup路由器接收到优先级低于本地优先级的VRRP通告报文后,不会立即抢占成为Master路由器,而是等待一定时间——抢占延迟时间+Skew_Time后,才会对外发送VRRP通告报文通过Master路由器选举取代原来的Master路由器。

1.2.3  Master路由器选举

备份组中的路由器根据优先级确定自己在备份组中的角色。路由器加入备份组后,初始处于Backup状态:

·     如果等待3×发送间隔+Skew_Time后还没有收到VRRP通告报文,则转换为Master状态;

·     如果在3×发送间隔+Skew_Time内收到优先级大于或等于自己优先级的VRRP通告报文,则保持Backup状态;

·     如果在3×发送间隔+Skew_Time内收到优先级小于自己优先级的VRRP通告报文,且路由器工作在非抢占方式,则保持Backup状态;否则,路由器抢占成为Master路由器。

通过上述步骤选举出的Master路由器启动VRRP通告报文发送间隔定时器,定期向外发送VRRP通告报文,通知备份组内的其它路由器自己工作正常;Backup路由器则启动定时器等待VRRP通告报文的到来。

说明

·     当Backup路由器收到VRRP通告报文后,只会将自己的优先级与通告报文中的优先级进行比较,不会比较IP地址。

·     由于网络故障原因造成备份组中存在多台Master路由器时,这些Master路由器会根据优先级和IP地址选举出一个Master路由器:优先级高的路由器成为Master路由器;优先级低的成为Backup路由器;如果优先级相同,则IP地址大的成为Master路由器。

 

1.2.4  VRRP监视功能

提示

VRRP监视功能只能工作在抢占方式下,用以保证只有优先级最高的路由器才能成为Master路由器。

 

VRRP监视功能通过NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测Master路由器和上行链路的状态,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联:

·     监视上行链路,根据上行链路的状态,改变路由器的优先级。当Master路由器的上行链路出现故障,局域网内的主机无法通过网关访问外部网络时,被监视Track项的状态变为Negative,Master路由器的优先级降低指定的数值。使得当前的Master路由器不是组内优先级最高的路由器,而其它路由器成为Master路由器,保证局域网内主机与外部网络的通信不会中断。

·     在Backup路由器上监视Master路由器的状态。当Master路由器出现故障时,监视Master路由器状态的Backup路由器能够迅速成为Master路由器,以保证通信不会中断。

被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复。Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。

1.2.5  VRRP应用

1. 主备备份

主备备份方式表示转发任务仅由Master路由器承担。当Master路由器出现故障时,才会从其它Backup路由器选举出一个接替工作。主备备份方式仅需要一个备份组,不同路由器在该备份组中拥有不同优先级,优先级最高的路由器将成为Master路由器,如图1-3中所示(以IPv4 VRRP为例)。

图1-3 主备备份VRRP

 

初始情况下,Router A为Master路由器并承担转发任务,Router B和Router C是Backup路由器且都处于就绪监听状态。如果Router A发生故障,则备份组内处于Backup状态的Router B和Router C路由器将根据优先级选出一台新的Master路由器,这台新Master路由器继续向网络内的主机提供网关服务。

2. 负载分担

一台路由器可加入多个备份组,在不同备份组中有不同的优先级,使得该路由器可以在一个备份组中作为Master路由器,在其它的备份组中作为Backup路由器。

负载分担方式是指多台路由器同时承担网关的功能,因此负载分担方式需要两个或者两个以上的备份组,每个备份组都包括一台Master路由器和若干台Backup路由器,各备份组的Master路由器各不相同,如图1-4中所示。

图1-4 负载分担VRRP

 

同一台路由器同时加入多个VRRP备份组,在不同备份组中有不同的优先级。

图1-4中,有三个备份组存在:

·     备份组1:对应虚拟路由器1。Router A作为Master路由器,Router B和Router C作为Backup路由器。

·     备份组2:对应虚拟路由器2。Router B作为Master路由器,Router A和Router C作为Backup路由器。

·     备份组3:对应虚拟路由器3。Router C作为Master路由器,Router A和Router B作为Backup路由器。

为了实现业务流量在Router A、Router B和Router C之间进行负载分担,需要将局域网内的主机的缺省网关分别设置为虚拟路由器1、虚拟路由器2和虚拟路由器3。在配置优先级时,需要确保备份组1中,Router A的优先级最高;备份组2中,Router B的优先级最高;备份组3中,Router C的优先级最高。

1.3  协议规范

与VRRP相关的协议规范有:

·     RFC 3768:Virtual Router Redundancy Protocol (VRRP)

·     RFC 5798:Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6

1.4  配置IPv4 VRRP

1.4.1  IPv4 VRRP配置任务简介

提示

在聚合组的成员端口上配置VRRP不生效。

 

在备份组内的每台路由器上都需进行如下配置,才能形成一个备份组。

表1-1 IPv4 VRRP配置任务简介

配置任务

说明

详细配置

配置使用的IPv4 VRRP版本

可选

1.4.2 

创建备份组并配置备份组的虚拟IP地址

必选

1.4.3 

配置路由器在备份组中的优先级、抢占方式及监视功能

可选

1.4.4 

配置IPv4 VRRP的控制VLAN

可选

1.4.5 

配置IPv4 VRRP报文的相关属性

可选

1.4.6 

开启告警功能

可选

1.4.7 

关闭IPv4 VRRP备份组

可选

1.4.8 

 

1.4.2  配置使用的IPv4 VRRP版本

提示

IPv4 VRRP备份组中的所有路由器上配置的IPv4 VRRP版本必须一致,否则备份组无法正常工作。

 

IPv4 VRRP既可以使用VRRPv2版本,也可以使用VRRPv3版本。通过本配置,可以指定接口上IPv4 VRRP使用的版本。

表1-2 配置使用的IPv4 VRRP版本

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置使用的VRRP版本

vrrp version version-number

缺省情况下,IPv4 VRRP使用VRRPv3版本

 

1.4.3  创建备份组并配置备份组的虚拟IP地址

只有创建备份组,并为备份组配置虚拟IP地址后,备份组才能正常工作。如果接口连接多个子网,则可以为一个备份组配置多个虚拟IP地址,以便实现不同子网中路由器的备份。

创建备份组并配置备份组的虚拟IP地址时,需要注意:

·     一个接口上能够创建的最大备份组数目为32个,以及一个备份组最多可以配置的虚拟IP地址数目为16个。

·     VRRP工作在标准协议模式时,备份组的虚拟IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同。

·     路由器作为IP地址拥有者时,建议不要采用接口的IP地址(即备份组的虚拟IP地址)与相邻的路由器建立OSPF邻居关系,即不要通过network命令在该接口上使能OSPF。network命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“OSPF”。

·     如果没有为备份组配置虚拟IP地址,但为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用。

·     删除IP地址拥有者上的VRRP备份组,将导致地址冲突。建议先修改配置了备份组的接口的IP地址,再删除该接口上的VRRP备份组,以避免地址冲突。

·     建议将备份组的虚拟IP地址和备份组中设备下行接口的IP地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络。

表1-3 创建备份组并配置备份组的虚拟IP地址

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

创建备份组,并配置备份组的虚拟IP地址

vrrp vrid virtual-router-id virtual-ip virtual-address

缺省情况下,没有创建备份组

 

1.4.4  配置路由器在备份组中的优先级、抢占方式及监视功能

配置路由器在备份组中的优先级、抢占方式及监视功能时,需要注意:

·     IP地址拥有者的优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式。

·     路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上配置该备份组监视指定的Track项,则该配置不会生效。该路由器不再作为IP地址拥有者后,监视功能的配置才会生效。

表1-4 配置路由器在备份组中的优先级、抢占方式及监视功能

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置路由器在备份组中的优先级

vrrp vrid virtual-router-id priority priority-value

缺省情况下,路由器在备份组中的优先级为100

配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间

vrrp vrid virtual-router-id preempt-mode [ delay delay-value ]

缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0厘秒

配置监视指定的Track项

vrrp vrid virtual-router-id track track-entry-number { priority reduced [ priority-reduced ] | switchover }

缺省情况下,没有指定被监视的Track项

 

1.4.5  配置IPv4 VRRP的控制VLAN

1. 功能简介

VLAN终结是指设备接收到VLAN报文后,去掉报文中的VLAN Tag,进行三层转发或其它处理。VLAN终结分为:

·     明确终结:只允许接收最外层VLAN ID为指定值的VLAN报文,其他VLAN报文则不允许通过该子接口。收到报文后,将报文最外层VLAN Tag剥离。发送报文时,给报文添加一层VLAN Tag,VLAN ID为指定值。

·     模糊终结:只允许接收最外层VLAN ID在指定范围内的VLAN报文,不属于该范围的VLAN报文则不允许通过该子接口。收到报文后,将报文最外层VLAN Tag剥离。发送报文时,会给报文添加一层VLAN Tag。

缺省情况下,三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。只有启用了VLAN终结支持广播/组播报文功能,该接口才可以正常发送广播/组播报文,且广播/组播报文需要在所有终结的VLAN内发送。

图1-5 VRRP的控制VLAN示意图

 

图1-5所示,在路由器的三层以太网子接口上配置VLAN模糊终结,终结VLAN 10和VLAN 20。为了保证Master路由器可以周期性地向Backup发送VRRP通告报文(组播报文),需要在三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。

配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master路由器仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。

如果只指定一层VLAN Tag,配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN。

只有配置了VLAN模糊终结的三层以太网子接口和三层聚合子接口上需要指定VRRP的控制VLAN。VLAN终结的详细介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN终结”。

2. 配置限制和指导

配置IPv4 VRRP的控制VLAN时,需要注意的是配置VRRP的控制VLAN后,建议通过arp send-gratuitous-arp命令配置备份组中的路由器周期性发送免费ARP报文,以便及时刷新各个模糊终结VLAN内设备上的MAC地址表项。arp send-gratuitous-arp命令的详细介绍,请参见“三层技术-IP业务命令参考”中的“免费ARP”。

3. 配置步骤

表1-5 配置IPv4 VRRP的控制VLAN

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

三层以太网子接口视图

interface interface-type interface-number.subnumber

 

三层聚合子接口视图

interface route-aggregation interface-number.subnumber

在配置了模糊Dot1q终结的子接口上,指定VRRP的控制VLAN

vrrp dot1q vid vlan-id

缺省情况下,没有指定VRRP的控制VLAN,即Master路由器在所有模糊终结的VLAN内发送VRRP通告报文

 

1.4.6  配置IPv4 VRRP报文的相关属性

配置IPv4 VRRP报文的相关属性时,需要注意:

·     一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的路由器需要设置相同的认证方式和认证字。

·     使用VRRPv3时,认证方式和认证字的相关配置不会生效。

·     使用VRRPv2时,备份组中的所有路由器必须配置相同的VRRP通告报文发送间隔。

·     使用VRRPv3时,备份组中的路由器上配置的VRRP通告报文发送间隔可以不同。Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master路由器通告报文发送间隔,如果在3×发送间隔+Skew_Time内没有收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器。

表1-6 配置IPv4 VRRP报文的相关属性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置备份组发送和接收VRRP报文的认证方式和认证字

vrrp vrid virtual-router-id authentication-mode { md5 | simple } { cipher | plain } key

缺省情况下,不进行认证

配置备份组中Master路由器发送VRRP通告报文的发送间隔

vrrp vrid virtual-router-id timer advertise adver-interval

缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒

建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响

为VRRP备份组指定源接口,该源接口用来代替IPv4 VRRP备份组所在接口进行该备份组VRRP报文的收发

vrrp vrid virtual-router-id source-interface interface-type interface-number

缺省情况下,没有指定备份组的源接口,VRRP报文通过VRRP备份组所在接口进行收发。

启动对VRRP报文TTL域的检查

vrrp check-ttl enable

缺省情况下,检查VRRP报文的TTL域

退回系统视图

quit

-

配置VRRP报文的DSCP优先级

vrrp dscp dscp-value

DSCP用来体现报文自身的优先等级,决定报文传输的优先程度。

缺省情况下,VRRP报文的DSCP优先级为48

 

1.4.7  开启告警功能

开启VRRP的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。

有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。

表1-7 开启告警功能

操作

命令

说明

进入系统视图

system-view

-

开启VRRP的告警功能

snmp-agent trap enable vrrp [ auth-failure | new-master ]

缺省情况下,VRRP的告警功能处于开启状态

 

1.4.8  关闭IPv4 VRRP备份组

关闭VRRP备份组功能通常用于暂时禁用备份组,但还需要再次启用该备份组的场景。关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变。在关闭状态下还可以对备份进行配置。备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行。

表1-8 关闭IPv4 VRRP备份组

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

关闭VRRP备份组

vrrp vrid virtual-router-id shutdown

缺省情况下,VRRP备份组处于开启状态

 

1.4.9  IPv4 VRRP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示IPv4 VRRP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除IPv4 VRRP统计信息。

表1-9 IPv4 VRRP显示和维护

操作

命令

显示IPv4 VRRP备份组的状态信息

display vrrp [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ]

显示IPv4 VRRP备份组的统计信息

display vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

清除IPv4 VRRP备份组的统计信息

reset vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

 

1.5  配置IPv6 VRRP

1.5.1  IPv6 VRRP配置任务简介

在备份组内的每台路由器上都需进行配置,才能形成一个备份组。

表1-10 IPv6 VRRP配置任务简介

配置任务

说明

详细配置

创建备份组并配置备份组的虚拟IPv6地址

必选

1.5.2 

配置路由器在备份组中的优先级、抢占方式及监视功能

可选

1.5.3 

配置IPv6 VRRP报文的相关属性

可选

1.5.4 

关闭IPv6 VRRP备份组

可选

1.5.5 

 

1.5.2  创建备份组并配置备份组的虚拟IPv6地址

只有创建备份组,并为备份组配置虚拟IPv6地址后,备份组才能正常工作。可以为一个备份组配置多个虚拟IPv6地址。

创建备份组并配置备份组的虚拟IPv6地址时,需要注意:

·     路由器作为IP地址拥有者时,建议不要采用接口的IPv6地址(即备份组的虚拟IPv6地址)与相邻的路由器建立OSPFv3邻居关系,即不要通过ospfv3 area命令在该接口上启用OSPFv3协议。ospfv3 area命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“OSPFv3”。

·     一个接口上能够创建的最大备份组数目为32个,一个备份组最多可以配置的虚拟IPv6地址数目为16个。

·     如果没有为备份组配置虚拟IPv6地址,但是为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用。

·     删除IP地址拥有者上的VRRP备份组,将导致地址冲突。建议先修改IP地址拥有者的接口IPv6地址,再删除该接口上的VRRP备份组,以避免地址冲突。

·     建议将备份组虚拟IPv6地址和备份组中设备下行接口的IPv6地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络。

表1-11 创建备份组并配置备份组的虚拟IPv6地址

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

创建备份组,并配置备份组的虚拟IPv6地址,该虚拟IPv6地址为链路本地地址

vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address link-local

缺省情况下,没有创建备份组

备份组的第一个虚拟IPv6地址必须是链路本地地址,并且每个备份组只允许有一个链路本地地址,该地址必须最后一个删除

(可选)配置备份组的虚拟IPv6地址,该虚拟IPv6地址为全球单播地址

vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address

缺省情况下,没有为备份组指定全球单播地址类型的虚拟IPv6地址

 

1.5.3  配置路由器在备份组中的优先级、抢占方式及监视功能

配置路由器在备份组中的优先级、抢占方式及监视功能时,需要注意:

·     IP地址拥有者的运行优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式。

·     路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上配置该备份组监视指定的Track项,则该配置不会生效。该路由器不再作为IP地址拥有者后,之前的配置才会生效。

·     被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复。

下面这些配置是可选的,可以根据实际需要进行配置。

表1-12 配置路由器在备份组中的优先级、抢占方式及监视指定接口

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置路由器在备份组中的优先级

vrrp ipv6 vrid virtual-router-id priority priority-value

缺省情况下,路由器在备份组中的优先级为100

配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间

vrrp ipv6 vrid virtual-router-id preempt-mode [ delay delay-value ]

缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0厘秒

配置监视指定的Track项

vrrp ipv6 vrid virtual-router-id track track-entry-number { priority reduced [ priority- reduced ] | switchover }

缺省情况下,没有指定被监视的Track项

 

1.5.4  配置IPv6 VRRP报文的相关属性

配置IPv6 VRRP通告报文的发送间隔时,需要注意:

·     IPv6 VRRP备份组中的路由器上配置的VRRP通告报文发送间隔可以不同。Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master通告报文发送间隔,如果在3×发送间隔+Skew_Time内没有收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器。

·     网络流量过大可能会导致Backup路由器在指定时间内没有收到Master路由器的VRRP通告报文,而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。

表1-13 配置IPv6 VRRP报文的相关属性

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

配置备份组中Master路由器发送VRRP通告报文的发送间隔

vrrp ipv6 vrid virtual-router-id timer advertise adver-interval

缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒

建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响

退回系统视图

quit

-

配置IPv6 VRRP报文的DSCP优先级

vrrp ipv6 dscp dscp-value

DSCP用来体现报文自身的优先等级,决定报文传输的优先程度。

缺省情况下,IPv6 VRRP报文的DSCP优先级为56

 

1.5.5  关闭IPv6 VRRP备份组

关闭IPv6 VRRP备份组功能通常用于暂时禁用备份组,但还需要再次启用该备份组的场景。关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变。在关闭状态下还可以对备份进行配置。备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行。

表1-14 关闭IPv6 VRRP备份组

操作

命令

说明

进入系统视图

system-view

-

进入接口视图

interface interface-type interface-number

-

关闭IPv6 VRRP备份组

vrrp ipv6 vrid virtual-router-id shutdown

缺省情况下,IPv6 VRRP备份组处于开启状态

 

1.5.6  IPv6 VRRP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示IPv6 VRRP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除IPv6 VRRP统计信息。

表1-15 IPv6 VRRP显示和维护

操作

命令

显示IPv6 VRRP备份组的状态信息

display vrrp ipv6 [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ]

显示IPv6 VRRP备份组的统计信息

display vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

清除IPv6 VRRP备份组的统计信息

reset vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

 

1.6  IPv4 VRRP典型配置举例

1.6.1  IPv4 VRRP单备份组配置举例

1. 组网需求

·     Host A需要访问Internet上的Host B,Host A的缺省网关为10.1.1.111/24;

·     当Device A正常工作时,Host A发送给Host B的报文通过Device A转发;当Device A出现故障时,Host A发送给Host B的报文通过Device B转发。

Device A工作在抢占模式,以保证Device A故障恢复后,能再次抢占成为Master,即只要Device A正常工作,就由Device A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5秒。

2. 组网图

图1-6 IPv4 VRRP单备份组配置组网图

 

3. 配置步骤

(1)     配置Device A

# 配置接口IP地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.1.1.111

# 配置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证Device A成为Master负责转发流量。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 priority 110

# 配置Device A工作在抢占方式,以保证Device A故障恢复后,能再次抢占成为Master,即只要Device A正常工作,就由Device A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为500厘秒。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 500

(2)     配置Device B

# 配置接口IP地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 10.1.1.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.1.1.111

# 配置Device B在备份组1中的优先级为100。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 priority 100

# 配置Device B工作在抢占方式,抢占延迟时间为5秒。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 preempt-mode delay 500

4. 验证配置

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示Device A上备份组1的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Virtual MAC    : 0000-5e00-0101

     Master IP      : 10.1.1.1

# 显示Device B上备份组1的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 500

     Become Master  : 412ms left

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Master IP      : 10.1.1.1

以上显示信息表示在备份组1中Device A为Master路由器,Device B为Backup路由器,Host A发送给Host B的报文通过Device A转发。

Device A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看Device B上备份组的详细信息。

# Device A出现故障后,显示Device B上备份组1的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Virtual MAC    : 0000-5e00-0101

     Master IP      : 10.1.1.2

以上显示信息表示Device A出现故障后,Device B成为Master路由器,Host A发送给Host B的报文通过Device B转发。

# Device A故障恢复后,显示Device A上备份组1的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Virtual MAC    : 0000-5e00-0101

     Master IP      : 10.1.1.1

以上显示信息表示Device A故障恢复后,Device A会抢占成为Master,Host A发送给Host B的报文仍然通过Device A转发。

1.6.2  VRRP多备份组配置举例

说明

为了实现VRRP备份组的负载分担功能,需要在10.1.1.0/24网段内的主机上手动配置默认网关为10.1.1.111或10.1.1.112。

 

1. 组网需求

·     利用VRRP备份组实现缺省网关间的负载分担和相互备份。

·     采用了负载分担之后,可以将部分主机缺省网关配置为10.1.1.111/24,部分配置为10.1.1.112/24。

2. 组网图

图1-7 VRRP多备份组配置组网图

 

3. 配置步骤

(1)     配置Device A

# 配置接口IP地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 10.1.1.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.1.1.111

# 设置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证在备份组1中Device A成为Master负责转发流量。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 1 priority 110

# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.112。

[DeviceA-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 10.1.1.112

(2)     配置Device B

# 配置接口IP地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 10.1.1.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 10.1.1.111

# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.112。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 virtual-ip 10.1.1.112

# 设置Device B在备份组2中的优先级为110,高于Device A的优先级100,以保证在备份组2中Device B成为Master负责转发流量。

[DeviceB-GigabitEthernet1/0/1] vrrp vrid 2 priority 110

4. 验证配置

可以通过display vrrp verbose命令查看配置后的结果。

# 显示Device A上备份组的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 0

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Virtual MAC    : 0000-5e00-0101

     Master IP      : 10.1.1.1

 

   Interface GigabitEthernet1/0/1

     VRID           : 2                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 0

     Become Master  : 201ms left

     Auth Type      : None

     Virtual IP     : 10.1.1.112

     Master IP      : 10.1.1.2

# 显示Device B上备份组的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 0

     Become Master  : 185ms left

     Auth Type      : None

     Virtual IP     : 10.1.1.111

     Master IP      : 10.1.1.1

 

   Interface GigabitEthernet1/0/1

     VRID           : 2                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 0

     Auth Type      : None

     Virtual IP     : 10.1.1.112

     Virtual MAC    : 0000-5e00-0102

     Master IP      : 10.1.1.2

以上显示信息表示在备份组1中Device A为Master路由器,Device B为Backup路由器,缺省网关为10.1.1.111/24的主机通过Device A访问Internet;备份组2中Device A为Backup路由器,Device B为Master路由器,缺省网关为10.1.1.112/24的主机通过Device B访问Internet。

1.7  IPv6 VRRP典型配置举例

1.7.1  IPv6 VRRP单备份组配置举例

1. 组网需求

·     Device A和Device B属于虚拟IPv6地址为1::10/64和FE80::10的备份组1;

·     Host A需要访问Internet上的Host B;Host A通过路由器发送的RA消息学习到缺省网关地址为1::10/64;

·     当Device A正常工作时,Host A发送给Host B的报文通过Device A转发;当Device A出现故障时,Host A发送给Host B的报文通过Device B转发。

2. 组网图

图1-8 IPv6 VRRP单备份组配置组网图

 

3. 配置步骤

(1)     配置Device A

# 配置接口IPv6地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address fe80::1 link-local

[DeviceA-GigabitEthernet1/0/1] ipv6 address 1::1 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 1::10

# 配置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证Device A成为Master负责转发流量。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 priority 110

# 配置Device A工作在抢占方式,以保证Device A故障恢复后,能再次抢占成为Master,即只要Device A正常工作,就由Device A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为500厘秒。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 preempt-mode delay 500

# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。

[DeviceA-GigabitEthernet1/0/1] undo ipv6 nd ra halt

(2)     配置Device B

# 配置接口IPv6地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address fe80::2 link-local

[DeviceB-GigabitEthernet1/0/1] ipv6 address 1::2 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 1::10

# 配置Device B工作在抢占方式,抢占延迟时间为5秒。

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 preempt-mode delay 500

# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。

[DeviceB-GigabitEthernet1/0/1] undo ipv6 nd ra halt

4. 验证配置

配置完成后,在Host A上可以ping通Host B。通过display vrrp ipv6 verbose命令查看配置后的结果。

# 显示Device A上备份组1的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Virtual MAC    : 0000-5e00-0201

     Master IP      : FE80::1

# 显示Device B上备份组1的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 500

     Become Master  : 411ms left

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Master IP      : FE80::1

以上显示信息表示在备份组1中Device A为Master路由器,Device B为Backup路由器,Host A发送给Host B的报文通过Device A转发。

Device A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp ipv6 verbose命令查看Device B上备份组的信息。

# Device A出现故障后,显示Device B上备份组1的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Virtual MAC    : 0000-5e00-0201

     Master IP      : FE80::2

以上显示信息表示Device A出现故障后,Device B成为Master路由器,Host A发送给Host B的报文通过Device B转发。

# Device A故障恢复后,显示Device A上备份组1的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 500

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Virtual MAC    : 0000-5e00-0201

     Master IP      : FE80::1

以上显示信息表示Device A故障恢复后,Device A会抢占成为Master路由器,Host A发送给Host B的报文仍然通过Device A转发。

1.7.2  VRRP多备份组配置举例

说明

为了实现VRRP备份组的负载分担功能,需要在1::/64网段内的主机上手动配置默认网关为1::10或1::20。

 

1. 组网需求

·     1::/64网络内部分主机的缺省网关为1::10/64,部分主机的缺省网关为1::20/64;

·     利用VRRP备份组实现缺省网关间的负载分担和相互备份。

2. 组网图

图1-9 VRRP多备份组配置组网图

 

3. 配置步骤

(1)     配置Device A

# 配置接口IPv6地址。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ipv6 address fe80::1 link-local

[DeviceA-GigabitEthernet1/0/1] ipv6 address 1::1 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 1::10

# 设置Device A在备份组1中的优先级为110,高于Device B的优先级100,以保证在备份组1中Device A成为Master负责转发流量。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 priority 110

# 创建备份组2,并配置备份组2的虚拟IPv6地址为FE80::20和1::20。

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 2 virtual-ip fe80::20 link-local

[DeviceA-GigabitEthernet1/0/1] vrrp ipv6 vrid 2 virtual-ip 1::20

(2)     配置Device B

# 配置接口IPv6地址。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ipv6 address fe80::2 link-local

[DeviceB-GigabitEthernet1/0/1] ipv6 address 1::2 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 1 virtual-ip 1::10

# 创建备份组2,并配置备份组2的虚拟IPv6地址为FE80::20和1::20。

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 2 virtual-ip fe80::20 link-local

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 2 virtual-ip 1::20

# 设置Device B在备份组2中的优先级为110,高于Device A的优先级100,以保证在备份组2中Device B成为Master负责转发流量。

[DeviceB-GigabitEthernet1/0/1] vrrp ipv6 vrid 2 priority 110

4. 验证配置

可以通过display vrrp ipv6 verbose命令查看配置后的结果。

# 显示Device A上备份组的详细信息。

[DeviceA-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 0

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Virtual MAC    : 0000-5e00-0201

     Master IP      : FE80::1

 

   Interface GigabitEthernet1/0/1

     VRID           : 2                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 0

     Become Master  : 410ms left

     Auth Type      : None

     Virtual IP     : FE80::20

                      1::20

     Master IP      : FE80::2

# 显示Device B上备份组的详细信息。

[DeviceB-GigabitEthernet1/0/1] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface GigabitEthernet1/0/1

     VRID           : 1                    Adver Timer  : 100

     Admin Status   : Up                   State        : Backup

     Config Pri     : 100                  Running Pri  : 100

     Preempt Mode   : Yes                  Delay Time   : 0

     Become Master  : 407ms left

     Auth Type      : None

     Virtual IP     : FE80::10

                      1::10

     Master IP      : FE80::1

 

   Interface GigabitEthernet1/0/1

     VRID           : 2                    Adver Timer  : 100

     Admin Status   : Up                   State        : Master

     Config Pri     : 110                  Running Pri  : 110

     Preempt Mode   : Yes                  Delay Time   : 0

     Auth Type      : None

     Virtual IP     : FE80::20

                      1::20

     Virtual MAC    : 0000-5e00-0202

     Master IP      : FE80::2

以上显示信息表示在备份组1中Device A为Master路由器,Device B为Backup路由器,缺省网关为1::10/64的主机通过Device A访问Internet;备份组2中Device A为Backup路由器,Device B为Master路由器,缺省网关为1::20/64的主机通过Device B访问Internet。

1.8  VRRP常见错误配置举例

1.8.1  出现配置错误的提示

1. 故障现象

在配置过程中出现配置错误的提示,提示内容如下:"The virtual router detected a VRRP configuration error.”。

2. 故障分析

·     可能是备份组内的设备配置不一致造成的,具体包括以下几种情况:

¡     备份组运行的是VRRPv2版本时,报文携带的通告报文发送间隔与当前备份组不一致,VRRPv3版本不受此限制。

¡     报文携带的虚拟IP地址个数与当前备份组不一致。

¡     报文携带的虚拟IP地址列表与当前备份组不一致。

·     可能是备份组内的设备收到攻击者发送的非法VRRP报文,如IP地址拥有者收到优先级为255的VRRP报文。

3. 故障处理

·     对于第一种情况,可以通过修改配置来解决。

·     对于第二种情况,则是有些攻击者有不良企图,应当通过定位和防止攻击来解决。

1.8.2  同一个备份组内出现多个Master路由器

1. 故障现象

同一个备份组内出现多台Master路由器。

2. 故障分析

·     若短时间内存在多台Master路由器,属于正常情况,无需进行人工干预。

·     若多台Master路由器长时间共存,这很有可能是由于Master路由器之间收不到VRRP报文,或者收到的报文不合法造成的。

3. 故障处理

先在多台Master路由器之间执行ping操作。如果ping不通,则检查网络连接是否正确;如果能ping通,则检查VRRP的配置是否一致。对于同一个VRRP备份组的配置,必须要保证虚拟IP地址个数、每个虚拟IP地址和认证方式完全一样。如果使用的是IPv4 VRRP,还需保证IPv4 VRRP使用的版本一致。如果是VRRPv2版本,还要求VRRP通告发送间隔一致。

1.8.3  VRRP的状态频繁转换

1. 故障现象

在运行过程中VRRP的状态频繁转换。

2. 故障分析

这种情况一般是由于VRRP通告报文发送间隔太短造成的。

3. 故障处理

增加通告报文的发送间隔或者设置抢占延迟都可以解决这种故障。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!