- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
04-VRRP
本章节下载: 04-VRRP (243.50 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ VRRP备份组
在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台设备出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。
VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟设备。VRRP通过选举机制决定哪台设备承担转发任务,局域网内的主机只需将虚拟设备配置为默认网关即可。因此,VRRP在提高可靠性的同时,简化了主机的配置。
VRRP将局域网内的可以承担网关功能的一组设备划分在一起,组成一个备份组。备份组由一台Master设备和多台Backup设备组成,对外相当于一台虚拟设备。
备份组具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟设备的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟设备与外部网络进行通信。
虚拟设备的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个设备的接口IP地址相同。接口IP地址与虚拟IP地址相同的设备被称为IP地址拥有者。
VRRP根据优先级来确定备份组中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当设备为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master设备。在同一个VRRP备份组中,只能存在一个IP地址拥有者。
备份组中的设备具有以下两种方式:
· 抢占方式:在该方式下Backup设备一旦发现自己的优先级比当前Master设备的优先级高,就会触发Master设备的重新选举,并最终取代原有的Master设备。抢占方式可以确保承担转发任务的Master设备始终是备份组中优先级最高的设备。
· 非抢占方式:在该方式下只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。非抢占方式可以避免频繁地切换Master设备。
在抢占方式下,为了避免备份组内的成员频繁进行主备状态转换,让Backup设备有足够的时间搜集必要的信息(如路由信息),Backup设备接收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master设备,而是等待抢占延迟时间后,才会重新选举新的Master设备。
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了三种认证方式:
· 无认证:发送VRRP报文的设备与接收报文的设备之间不进行报文合法性认证。
· 简单字符认证:发送VRRP报文的设备将认证字填入到VRRP报文中,而收到VRRP报文的设备会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。
· MD5认证:发送VRRP报文的设备利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的设备会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。
VRRP备份组中的Master设备会定时发送VRRP通告报文,通知备份组内的设备自己工作正常。需要注意的是:
· 建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。
· 使用VRRPv2版本时,IPv4 VRRP备份组中的所有设备必须配置相同的VRRP通告报文时间间隔。
· 使用VRRPv3版本时,VRRP备份组中的设备上配置的VRRP通告报文时间间隔可以不同。Master设备根据自身配置的报文时间间隔定时发送通告报文,并在通告报文中携带Master设备上配置的时间间隔;Backup设备接收到Master设备发送的通告报文后,记录报文中携带的Master设备通告报文时间间隔,如果在3×记录的时间间隔+Skew_Time内没有收到Master设备发送的VRRP通告报文,则认为Master设备出现故障,重新选举Master设备。
· 网络流量过大可能会导致Backup设备在指定时间内没有收到Master设备的VRRP通告报文,从而发生状态转换。可以通过将VRRP通告报文的发送时间间隔延长的办法来解决该问题。
缺省情况下,在Master的三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。为了保证Master可以周期性地向Backup发送VRRP通告报文(组播报文),需要在Master的三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。
配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master设备仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。
VRRP的控制VLAN分为两种:
· 只指定一层VLAN Tag:配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN;
· 指定两层VLAN Tag:配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN。
· VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。
· 一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的设备需要设置相同的认证方式和认证字。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
