- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
22-VRRP操作
本章节下载: 22-VRRP操作 (330.97 KB)
l 本章所指的路由器代表了一般意义下的路由器,以及运行了路由协议的三层交换机。为提高可读性,在手册的描述中将不另行说明。
l S3600-SI系列以太网交换机Release 1702版本新增支持VRRP功能。
如图1-1所示,在一个稳定的网络中,通常情况下会有以下情况出现:
l 网络内的所有主机都设置同一个网关作为报文转发的下一跳,这个网关的IP地址又被称为缺省路由的下一跳地址(如图中的10.100.10.1)。
l 图中Switch作为网络内主机的网关,对主机发往其它网段的报文进行转发,从而实现了主机与外部网络的通信。
l 当Switch发生故障时,本网段内所有以Switch为缺省网关的主机将无法与外部网络进行通信。
图1-1的组网方式对作为缺省网关的设备提出了很高的稳定性要求。增加出口网关是提高系统可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是一种容错协议。通过物理设备和逻辑设备的分离,很好的解决了上述问题。在具有多播或广播能力的局域网(如以太网)中,借助VRRP能在某设备故障时提供高利用度的缺省链路,而无需修改动态路由协议、路由发现协议的配置信息。通过VRRP建立备份链路,提高了网络的安全性、能有效避免单一链路发生故障后网络中断问题出现。
VRRP协议允许用户将局域网内的一组交换机划分在一起,称之为一个备份组。备份组内的交换机分为一个Master交换机和多个Backup交换机,功能上相当于一台虚拟路由器,作为一个网关负责转发报文。
图1-2 VRRP组网示意图
如图1-2所示,备份组具有以下的特点:
l 备份组虚拟路由器必须配有IP地址(图中为10.100.10.1)。
l 备份组内的交换机也可以拥有自己的IP地址(如Master交换机的IP地址为10.100.10.2,Backup交换机的IP地址为10.100.10.3)。
l 局域网内的主机将自己的网关设置为备份组虚拟路由器的IP地址10.100.10.1。
l 局域网内的主机仅仅知道这个备份组虚拟路由器的IP地址10.100.10.1,而不知道具体的Master交换机的IP地址10.100.10.2以及Backup交换机的IP地址10.100.10.3。
当备份组内的Master交换机不能正常工作时,备份组内的Backup交换机需要通过对比优先级,重新选举一个Master交换机。优先级最高的Backup交换机将成为新的Master交换机,继续向网络内的主机提供路由服务,从而实现网络内的主机不间断地与外部网络进行通信。
用户可以配置备份组内成员交换机的优先级,开启了VRRP功能的交换机之间,通过比较VRRP优先级来确定备份组内的Master交换机和Backup交换机,备份组中VRRP优先级最高的交换机将成为Master交换机。
优先级决定交换机在备份组中的地位,优先级越高,越有可能成为Master。VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给“IP地址拥有者”。
当备份组内存在“IP地址拥有者”时,其优先级始终为255,不允许对其进行优先级的配置,即使配置也不会生效。因此,当备份组内存在“IP地址拥有者”时,只要其工作正常,则此交换机为备份组的Master交换机。
当交换机的VRRP优先级一致时,将比较交换机的VLAN接口生效的时间,生效时间早的交换机成为Master交换机。
S3600交换机允许用户设置备份组内成员交换机的抢占方式:
l 在没有设置抢占方式的备份组中,一旦某台交换机成为Master交换机,只要它没有出现故障,即使在备份组中的其他交换机的优先级高于它,也不会成为Master。
l 如果备份组内的所有交换机都设置了抢占方式,一旦备份组内的Buckup交换机发现自己的优先级比当前的Master的优先级高,就会对外发送VRRP通告报文。导致备份组内交换机重新进行Master交换机选举,并最终取代原有的Master交换机。相应地,原来的Master交换机将会变成Backup交换机。
除了可以设置备份组内成员交换机的抢占方式外,S3600以太网交换机还可以设置备份组内成员交换机的抢占延时时间:
l 在性能不够稳定的网络中,Master交换机正常工作时,可能由于网络堵塞导致Backup交换机收不到Master交换机发来的VRRP通告报文,这时Buckup交换机将误认为自己是Master交换机,并对外发送VRRP通告报文,致使备份组内经常性的进行Master交换机选举,影响正常通信。
l 如用户设置了延迟时间,则当Backup交换机没有按时收到来自Master交换机的VRRP通告报文,会等待一段时间后才会转换为Master交换机。如此段时间内收到VRRP通告报文,则Buckup交换机不对外发送VRRP通告报文。
VRRP协议提供了以下两种VRRP认证方式:
l simple:简单字符认证。在一个有可能受到安全威胁的网络中,用户可以将VRRP认证方式设置为simple。将认证方式设置为simple后,发送VRRP报文的交换机会将认证字填入到VRRP报文中。当接收VRRP报文的交换机收到报文后,会将认证字和本地配置的认证字进行比较。如果认证字相同,交换机认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,并将该报文丢弃。
l md5:MD5认证。在一个非常不安全的网络中,用户可以将VRRP认证方式设置为md5。将认证方式设置为md5后,交换机利用Authentication Header提供的认证方式和本地MD5算法来对VRRP报文进行认证。对于没有通过认证的报文,交换机会将其丢弃,并向网管发送Trap报文。
在创建VRRP备份组的过程中,同时需要配置备份组虚拟路由器的IP地址。当为备份组虚拟路由器指定第一个IP地址时,VRRP备份组就自动生成。以后用户再给这个备份组虚拟路由器指定IP地址时,VRRP备份组仅将这个IP地址添加到它的备份组虚拟路由器的IP地址列表中。
备份组虚拟路由器的IP地址具有如下特点:
l 备份组虚拟路由器使用的IP地址可以是成员交换机所在网段未被分配的IP地址。
l 备份组虚拟路由器使用的IP地址也可以是备份组中成员交换机的IP地址。这种情况下,称该接口所在的路由器为IP地址拥有者(IP Address Owner)。
l 备份组虚拟路由器的IP地址必须和备份组中成员交换机使用的接口IP地址在同一网段,如果配置了不在同网段的备份组虚拟路由器的IP地址,该备份组会处于VRRP尚未配置的初始状态,此状态下VRRP不起作用。
l 用户将备份组虚拟路由器的最后一个IP地址删除后,这个备份组也将同时被删除,对这个备份组进行的所有配置都不再有效。
主机IP地址不能配置成备份组虚拟路由器的IP地址。如果用户自己的主机IP地址与备份组虚拟路由器的IP地址相同,则本网段的所有报文都将发送到用户的主机,使本网段的数据不能被正确转发。
通常情况下,用户习惯通过ping命令来检测网络的连通性。但根据VRRP标准协议,当用户通过ping命令来检测当前网络的连通性和备份组虚拟路由器的IP地址是否配置成功时,正常工作的备份组虚拟路由器不会对ping命令进行响应。
S3600系列交换机支持备份组虚拟路由器对ping命令响应操作,用户可以设定备份组的虚拟路由器是否对ping操作进行响应。
用户可以通过设定备份组虚拟路由器IP地址和MAC地址对应关系,使内部网络的主机发出的报文,能够按照本机保存的MAC地址转发表,发送到正确的网关进行三层转发。
备份组虚拟路由器IP地址和MAC地址对应关系分为两种:
l 备份组虚拟路由器IP地址和虚拟MAC地址对应。默认情况下,备份组虚拟路由器IP地址配置后会自动生成与之对应的一个虚拟MAC地址。主机将按照这个MAC地址发送报文给网关进行三层转发。S3600系列以太网交换机允许备份组虚拟路由器的多个IP地址使用同一个虚拟MAC地址。
l 备份组虚拟路由器IP地址和实际MAC地址对应。这种情况多发生在备份组内存在“IP地址拥有者”的情况。由于交换机默认情况下会为备份组虚拟路由器IP地址自动分配一个虚拟MAC地址,因此会造成一个备份组虚拟路由器IP地址对应两个MAC地址。因此用户可以配置备份组虚拟路由器IP地址和实际MAC地址对应,主机发送的报文将按照实际MAC地址转发给“IP地址拥有者”进行三层转发。
l 用户可以在S3600交换机开启VRRP特性之前,设置备份组的MAC地址和IP地址的对应关系。如已开启了VRRP特性,用户不能更改备份组的MAC地址和IP地址的对应关系。
l 备份组虚拟路由器MAC地址能对应的备份组虚拟路由器IP地址个数,取决于构成备份组的交换机芯片的处理能力。
l 单台交换机可以属于多个备份组,但交换机能够支持多少个备份组由它的芯片处理能力决定,具体请参考设备规格。
VRRP定时器分为两种:VRRP通告报文间隔时间定时器、VRRP抢占延迟时间定时器。
l VRRP备份组中的Master交换机会定时发送VRRP通告报文(时间间隔为adver-interval),向组内的成员交换机通知自己工作正常。
l 用户可以通过设置VRRP定时器来调整Master发送VRRP通告报文的间隔时间。如果Backup交换机在等待了3个间隔时间后,依然没有收到VRRP通告报文,则认为自己是Master交换机,并对外发送VRRP通告报文,进行Master交换机重新选举。
l 但是在网络流量过大,或者网络异常波动,可能导致VRRP通告报文等待时间过长,引起异常超时。对于这种情况,用户可以通过设置VRRP抢占延迟时间的方法来解决。
l 如用户在Backup交换机上设置了VRRP抢占延迟时间,则Backup交换机会在等待了3倍的间隔时间以后,再等待VRRP抢占延迟时间。如在此期间还是没有收到VRRP通告报文,则此Backup交换机将认为自己是Master交换机,对外发送VRRP通告报文,触发备份组内交换机进行Master交换机选举。
l 当备份组内存在“IP地址拥有者”时,用户依旧可以配置“IP地址拥有者”的优先级,但由于系统默认“IP地址拥有者”的优先级为255,因此配置的优先级不会生效,交换机依旧为备份组的Master交换机。
l 当备份组内存在“IP地址拥有者”时,“IP地址拥有者”上配置的VRRP备份组的监视接口功能不生效。
l 当备份组内存在“IP地址拥有者”时,“IP地址拥有者”上配置的VRRP备份组的监视端口功能不生效。
当Master交换机的VLAN接口发生故障Down掉时,用户希望指定的Buckup交换机成为新的Master交换机。此时用户可以通过启动VRRP备份组的监视接口功能来实现上述需求:
l 当被监视的Master交换机接口Down掉时,该交换机的VRRP优先级会自动降低一个数值。
l VRRP优先级的变化,导致监视这个接口的Buckup交换机的VRRP优先级高于Master交换机,Buckup交换机成为新的Master交换机。
当Master交换机的物理端口发生故障Down掉时,用户希望指定的Buckup交换机成为新的Master交换机。此时用户可以通过启动VRRP备份组的监视端口功能来实现上述需求:
l 当被监视的Master交换机物理端口Down掉时,该交换机的VRRP优先级会自动降低一个数值。
l VRRP优先级的变化,导致监视这个端口的Buckup交换机的VRRP优先级高于Master交换机,Buckup交换机成为新的Master交换机。
S3600系列以太网交换机还支持在VRRP中应用自动侦测功能。用户可以在交换机上创建自动侦测组对Master交换机的上行链路状态进行侦测,并将侦测结果与VRRP进行联动,当侦测组不可达时,Master交换机的优先级自动降低指定的数额,从而实现主备切换。具体请参见本手册“自动侦测”中VRRP应用部分的介绍。
l 交换机开启了VRRP功能后,会根据自己的VRRP备份组优先级确定在备份组中的角色,VRRP备份组优先级高的交换机成为备份组中的Master交换机,负责向外部网络转发报文。VRRP备份组优先级低的为Backup交换机。Master定期向内部网络发送VRRP通告报文,通知备份组内的Backup交换机自己工作正常。
l 当Backup交换机收到VRRP通告报文后,会将自己的VRRP优先级与通告报文中的VRRP优先级进行比较。如果自身优先级小于通告报文中的优先级,则维持Backup交换机角色不变;否则将成为Master交换机。
l Backup交换机收到VRRP通告报文以后,启动通告报文定时器等待下一个通告报文的到来。如果Backup交换机的定时器超时后仍未收到Master交换机发送来的VRRP通告报文,则认为Master交换机已经无法正常工作,此时Buckup交换机会将自身角色更改为Master交换机,并对外发送VRRP通告报文。备份组内的交换机将收到的VRRP通告报文重新进行比较,根据VRRP优先级重新选举出Master交换机,承担对外转发报文的功能。
当网络中存在VRRP备份组时,需要由VRRP备份组的Master交换机周期性的向网络内的主机发送免费ARP报文,使主机更新本地ARP地址表,确保网络中不会存在与VRRP虚拟路由器IP地址相同的设备。
由于用户可以设定VRRP虚拟路由器IP地址和MAC地址对应关系,因此有以下两种情况:
l 如果当前VRRP虚拟路由器的IP地址和虚拟MAC地址对应,则免费ARP报文中的源MAC地址为VRRP虚拟路由器对应的虚拟MAC地址。
l 如果当前VRRP虚拟路由器的IP地址和实际MAC地址对应,则免费ARP报文中的源MAC地址为VRRP备份组中Master交换机VLAN接口的MAC地址。
具体介绍可参见本手册“ARP-MFF”中ARP部分的介绍。
表1-1 VRRP基本功能的配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
启用备份组虚拟路由器对ping操作的响应 |
vrrp ping-enable |
可选 缺省情况下,备份组虚拟路由器的IP地址不能被ping通 |
|
配置备份组虚拟路由器的IP地址和MAC地址的对应关系 |
vrrp method { real-mac | virtual-mac } |
可选 缺省情况下,交换机采用备份组的虚拟MAC地址和备份组虚拟路由器的IP地址对应 |
|
创建VLAN |
vlan vlan-id |
- 创建备份组对应VLAN,vlan-id为VLAN接口的VLAN ID |
|
退回系统视图 |
quit |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
创建备份组或添加备份组虚拟IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
必选 |
|
配置备份组的优先级 |
vrrp vrid virtual-router-id priority priority |
可选 缺省情况下,备份组的优先级为100 |
建议用户不要在远程镜像VLAN(Remote-probe VLAN)的三层接口上,进行VRRP备份组相关特性的配置,否则可能影响报文镜像效果。
表1-2 VRRP高级功能配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
|
VRRP高级功能配置 |
配置备份组中成员交换机抢占方式和抢占延时时间 |
可选 |
|
|
配置备份组中成员交换机的VRRP认证方式以及认证字 |
可选 |
||
|
配置VRRP定时器 |
可选 |
||
|
配置VRRP监视功能 |
可选 |
||
表1-3 备份组中成员交换机抢占方式和抢占延时时间的配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
添加备份组虚拟路由器的IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
必选 |
|
设置备份组中当前交换机的抢占方式和延迟时间 |
vrrp vrid virtual-router-id preempt-mode [ timer delay delay-value ] |
必选 缺省情况下,备份组被设置为抢占方式,延迟时间为0秒 |
表1-4 备份组中成员交换机的VRRP认证方式以及认证字的配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
添加备份组虚拟路由器的IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
必选 |
|
设置备份组中当前交换机的认证方式和认证字 |
vrrp vrid virtual-router-id authentication-mode authentication-type authentication-key |
可选 缺省情况下,备份组认证方式关闭 |
表1-5 VRRP定时器的配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
添加备份组虚拟路由器的IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
必选 |
|
设置备份组中当前交换机的VRRP定时器 |
vrrp vrid virtual-router-id timer advertise adver-interval |
可选 缺省情况下,备份组中的Master发送VRRP报文的时间间隔为1秒 |
表1-6 VRRP监视功能的配置过程
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入VLAN接口视图 |
interface Vlan-interface vlan-id |
- |
|
添加备份组虚拟路由器的IP地址 |
vrrp vrid virtual-router-id virtual-ip virtual-address |
必选 |
|
使能VRRP备份组接口监视功能 |
vrrp vrid virtual-router-id track interface vlan-interface vlan-id [ reduced value-reduced ] |
可选 缺省情况下,VLAN接口优先级降低的数额为10 |
|
退出 |
quit |
- |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
使能VRRP备份组端口监视功能 |
vrrp vlan-interface vlan-id vrid virtual-router-id track [ reduced value-reduced ] |
必选 缺省情况下,以太网端口优先级降低的数额为10 |
l VRRP备份组端口监视功能,最多支持对8个端口进行监控。
l VRRP备份组端口监视功能,该端口可以与备份组的VLAN接口属于同一个VLAN。
l S3600系列以太网交换机还支持在VRRP中应用自动侦测功能。用户可以在交换机上创建自动侦测组对Master交换机的上行链路状态进行侦测,并将侦测结果与VRRP进行联动,当侦测组不可达时,Master交换机的优先级自动降低指定的数额,从而实现主备切换。具体请参见本手册“自动侦测”中VRRP应用部分的介绍。
完成上述配置后,在任意视图下执行display命令,可以显示配置VRRP后的运行情况。通过查看显示信息,用户可以验证配置的效果。
在用户视图下执行reset命令可以清除VRRP的统计信息。
表1-7 VRRP的显示和维护
|
操作 |
命令 |
说明 |
|
显示VRRP的统计信息 |
display vrrp statistics [ interface vlan-interface vlan-id [ vrid virtual-router-id ] ] |
display命令可以在任意视图下执行 |
|
显示VRRP的状态信息 |
display vrrp [ verbose ] [ interface vlan-interface vlan-id [ vrid virtual-router-id ] ] |
|
|
清除VRRP的统计信息 |
reset vrrp statistics [ interface vlan-interface vlan-id [ vrid virtual-router-id ] ] |
reset命令可以在用户视图下执行 |
主机A把交换机A和交换机B组成的VRRP备份组作为自己的缺省网关,访问Internet上的主机B。
VRRP备份组构成:
l 备份组号为1
l 备份组虚拟路由器的IP地址为202.38.160.111/24
l 交换机A做Master
l 交换机B做备份交换机,允许抢占
|
交换机 |
与Host A相连的以太网端口 |
VLAN接口IP地址 |
交换机在备份组中的优先级 |
抢占方式 |
|
LSW-A |
Ethernet 1/0/6 |
202.38.160.1/24 |
110 |
允许抢占 |
|
LSW-B |
Ethernet 1/0/5 |
202.38.160.2/24 |
100(缺省值) |
允许抢占 |
图1-3 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN3。
<LSW-A> system-view
[LSW-A] vlan 3
[LSW-A-vlan3] port Ethernet1/0/10
[LSW-A-vlan3] quit
[LSW-A] interface Vlan-interface 3
[LSW-A-Vlan-interface3] ip address 10.100.10.2 255.255.255.0
[LSW-A-Vlan-interface3] quit
# 配置VLAN2。
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet1/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
[LSW-A-Vlan-interface2] quit
# 使备份组虚拟路由器的IP地址可以被ping通。
[LSW-A] vrrp ping-enable
# 创建一个备份组。
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置交换机A在备份组中的优先级。
[LSW-A-Vlan-interface2] vrrp vrid 1 priority 110
# 设置备份组的抢占方式。
[LSW-A-Vlan-interface2] vrrp vrid 1 preempt-mode
缺省情况下,备份组采用抢占方式。
(2) 配置交换机B:
# 配置VLAN3。
<LSW-B> system-view
[LSW-B] vlan 3
[LSW-B-vlan3] port Ethernet1/0/10
[LSW-B-vlan3] quit
[LSW-B] interface Vlan-interface 3
[LSW-B-Vlan-interface3] ip address 10.100.10.3 255.255.255.0
[LSW-B-Vlan-interface3] quit
# 配置VLAN2。
[LSW-B] vlan 2
[LSW-B-Vlan2] port Ethernet1/0/5
[LSW-B-vlan2] quit
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
[LSW-B-Vlan-interface2] quit
# 使备份组虚拟路由器的IP地址可以被ping通。
[LSW-B] vrrp ping-enable
# 创建一个备份组。
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的抢占方式。
[LSW-B-Vlan-interface2] vrrp vrid 1 preempt-mode
主机A缺省网关设为202.38.160.111。
正常情况下,交换机A行使网关的职能,当交换机A关机或出现故障,交换机B将接替行使网关的职能。
设置抢占方式的目的是当交换机A恢复工作后,能够继续成为Master行使网关的职能。
通过配置监视接口来实现:即使交换机A仍然工作,但当其连接Internet的接口不可用时,由交换机B(具备另外一条链路和外界相连)来行使网关的职能。
为了便于说明,设备备份组号为1,并增加授权字和计时器的配置。
图1-4 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN3。
<LSW-A> system-view
[LSW-A] vlan 3
[LSW-A-vlan3] port Ethernet1/0/10
[LSW-A-vlan3] quit
[LSW-A] interface Vlan-interface 3
[LSW-A-Vlan-interface3] ip address 10.100.10.2 255.255.255.0
[LSW-A-Vlan-interface3] quit
# 配置VLAN2。
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet1/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
[LSW-A-Vlan-interface2] quit
# 使备份组虚拟路由器的IP地址可以被ping通。
[LSW-A] vrrp ping-enable
# 创建一个备份组。
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[LSW-A-Vlan-interface2] vrrp vrid 1 priority 110
# 设置备份组的认证密码为MD5认证,密码为abc123。
[LSW-A-Vlan-interface2] vrrp vrid 1 authentication-mode md5 abc123
# 设置Master发送VRRP报文的间隔时间为5秒。
[LSW-A-Vlan-interface2] vrrp vrid 1 timer advertise 5
# 设置监视接口。
[LSW-A-Vlan-interface2] vrrp vrid 1 track interface Vlan-interface 3 reduced 30
(2) 配置交换机B:
# 配置VLAN3。
<LSW-B> system-view
[LSW-B] vlan 3
[LSW-B-vlan3] port Ethernet1/0/10
[LSW-B-vlan3] quit
[LSW-B] interface Vlan-interface 3
[LSW-B-Vlan-interface3] ip address 10.100.10.3 255.255.255.0
[LSW-B-Vlan-interface3] quit
# 配置VLAN2。
[LSW-B] vlan 2
[LSW-B-vlan2] port Ethernet1/0/5
[LSW-B-vlan2] quit
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
[LSW-B-Vlan-interface2] quit
# 使备份组虚拟路由器的IP地址可以被ping通。
[LSW-B] vrrp ping-enable
# 创建一个备份组。
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的认证字。
[LSW-B-Vlan-interface2] vrrp vrid 1 authentication-mode md5 abc123
# 设置Master发送VRRP报文的间隔时间为5秒。
[LSW-B-Vlan-interface2] vrrp vrid 1 timer advertise 5
正常情况下,交换机A行使网关的职能,当交换机A的接口Vlan-interface 3不可用时,交换机A的优先级降低30,低于交换机B优先级,交换机B将抢占成为Master行使网关的职能。
当交换机A的接口Vlan-interface3恢复工作后,交换机A能够继续成为Master行使网关的职能。
请用户在配置监视接口功能时,建议在上行Trunk端口禁止VRRP备份组监视接口所对应的VLAN通过。
允许一台交换机为多个备份组作备份。
通过多备份组设置可以实现负荷分担。如交换机A作为备份组1的Master,同时又兼职备份组2的备份交换机,而交换机B正相反,作为备份组2的Master,并兼职备份组1的备份交换机。一部分主机使用备份组1作网关,另一部分主机使用备份组2作为网关。这样,以达到分担数据流,而又相互备份的目的。
图1-5 VRRP配置组网图
(1) 配置交换机A:
# 配置VLAN3。
<LSW-A> system-view
[LSW-A] vlan 3
[LSW-A-vlan3] port Ethernet1/0/10
[LSW-A-vlan3] quit
[LSW-A] interface Vlan-interface 3
[LSW-A-Vlan-interface3] ip address 10.100.10.2 255.255.255.0
[LSW-A-Vlan-interface3] quit
# 配置VLAN2。
[LSW-A] vlan 2
[LSW-A-vlan2] port Ethernet1/0/6
[LSW-A-vlan2] quit
[LSW-A] interface Vlan-interface 2
[LSW-A-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
# 创建一个备份组1。
[LSW-A-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 设置备份组的优先级。
[LSW-A-Vlan-interface2] vrrp vrid 1 priority 150
# 创建一个备份组2。
[LSW-A-Vlan-interface2] vrrp vrid 2 virtual-ip 202.38.160.112
(2) 配置交换机B:
# 配置VLAN3。
<LSW-B> system-view
[LSW-B] vlan 3
[LSW-B-vlan3] port Ethernet1/0/10
[LSW-B-vlan3] quit
[LSW-B] interface Vlan-interface 3
[LSW-B-Vlan-interface3] ip address 10.100.10.3 255.255.255.0
[LSW-B-Vlan-interface3] quit
# 配置VLAN2。
[LSW-B] vlan 2
[LSW-B-vlan2] port Ethernet1/0/6
[LSW-B-vlan2] quit
[LSW-B] interface Vlan-interface 2
[LSW-B-Vlan-interface2] ip address 202.38.160.2 255.255.255.0
# 创建一个备份组1。
[LSW-B-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 创建一个备份组2。
[LSW-B-Vlan-interface2] vrrp vrid 2 virtual-ip 202.38.160.112
# 设置备份组的优先级。
[LSW-B-Vlan-interface2] vrrp vrid 2 priority 110
在实际组网应用中,一般都使用多备份组。
l 备份组1内有Master和Backup交换机各一台;
l Master交换机和Backup交换机的实际IP地址分别为202.38.160.1和202.38.160.2;
l Master交换机通过属于VLAN 3的端口Ethernet1/0/1与上游网络相连,通过属于VLAN 2的端口Ethernet1/0/2与Layer 2 Switch相连;
l 备份组的虚拟路由器的IP地址为202.38.160.111;
l 配置Master交换机的Ethernet1/0/1端口上的端口监视功能,当端口发生故障断开后,Master交换机优先级降低50,从而使备份组1内重新选举Master;
l Backup交换机与上下游设备的相关配置,以及虚拟备份组的相关配置已经完成,下面的配置过程省略。
图1-6 VRRP备份组端口监视典型组网图
(1) 配置Master交换机:
# 进入系统视图
<Sysname> system-view
# 建立VLAN 3
[Sysname] vlan 3
[Sysname-vlan3] port Ethernet1/0/1
[Sysname-vlan3] quit
# 配置VLAN 3接口
[Sysname] interface Vlan-interface 3
[Sysname-Vlan-interface3] ip address 10.100.10.2 255.255.255.0
[Sysname-Vlan-interface3] quit
# 建立VLAN 2
[Sysname] vlan 2
[Sysname-vlan2] port Ethernet1/0/2
[Sysname-vlan2] quit
# 配置VLAN 2接口
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 202.38.160.1 255.255.255.0
[Sysname-Vlan-interface2] quit
# 创建一个备份组。
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] vrrp vrid 1 virtual-ip 202.38.160.111
# 进入Ethernet 1/0/1,并使能VRRP TRACK特性
[Sysname] interface Ethernet1/0/1
[Sysname-Ethernet1/0/1] vrrp Vlan-interface 2 vrid 1 track reduced 50
VRRP配置不是很复杂,如果功能不正常,基本可以通过查看配置以及调试信息来定位。以下就如何排除常见的故障加以说明。
这表明交换机收到了错误的VRRP报文。一种可能是备份组内的另一台交换机配置不一致,另一种可能是有的设备试图发送非法的VRRP报文。
l 对于第一种可能,可以通过修改配置来解决。
l 对于第二种可能,则是有些设备有不良企图,应当通过非技术手段来解决。
这分为两种情况,一种是多个Master并存时间较短,属于正常情况,无需进行人工干预;另一种是多个Master长时间共存,有可能是备份组内成员之间收不到VRRP报文,或者收到的报文不合法。
解决方法:
l 在多个Master之间互相执行ping操作。
l 如果ping不通,请先检查设备连通性。
l 如果能ping通,请检查VRRP的配置。
l 对于同一个VRRP备份组的配置,必须保证备份组虚拟路由器的IP地址个数、每个备份组虚拟路由器的IP地址、定时器间隔时间和认证方式完全一样。
这种情况一般是由于备份组的定时器间隔时间设置太短造成的,加大这个时间间隔或者设置抢占延迟都可以解决这种故障。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
