• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

07-系统

目录

02-VRRP

本章节下载 02-VRRP  (388.69 KB)

02-VRRP

VRRP

 

本帮助主要介绍以下内容:

·     特性简介

     VRRP备份组

     联动双机热备

     备份组的虚拟IP地址

     备份组中设备的优先级

     备份组中设备的抢占/非抢占方式

     VRRP通告报文发送间隔

     备份组中设备的认证方式

     VRRP控制VLAN

·     使用限制和注意事项

·     配置指南

     VRRP基本配置

     VRRP高级配置

特性简介

在具有组播或广播能力的局域网(如以太网)中,借助VRRPVirtual Router Redundancy Protocol,虚拟路由器冗余协议)能在某台设备出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。

VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟设备。VRRP通过选举机制决定哪台设备承担转发任务,局域网内的主机只需将虚拟设备配置为默认网关即可。因此,VRRP在提高可靠性的同时,简化了主机的配置。

VRRP备份组

VRRP将局域网内的可以承担网关功能的一组设备划分在一起,组成一个备份组。备份组由一台Master设备和多台Backup设备组成,对外相当于一台虚拟设备。

联动双机热备

简介

-1的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。如-1的右图所示,将双机热备技术和VRRP技术关联,使用双机热备功能管理设备在VRRP备份组中的MasterBackup状态的统一切换,可以解决以上问题。

创建VRRP备份组时,通过把设备加入VRRP active组和VRRP standby组可以实现将VRRP与双机热备进行关联。当RBM的控制通道建立后,VRRP备份组内的设备状态将由双机热备决定,VRRP自身的主备选择机制不再生效;当RBM的控制通道断开后,VRRP自身的主备选择机制将会重新生效。

图-1 双机热备管理VRRP备份组示意图

 

VRRP active/standby

VRRP active/standby组分别有两种状态:MasterBackupVRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master

VRRP active/standby组初始状态的实现机制如下:

·     主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup

·     双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为MasterVRRP standby组的初始状态均为Backup

VRRP在双机热备环境中Master设备的选举机制

-1的右图所示,将双机热备与VRRP成功关联后,VRRP备份组中Master/Backup状态的变化机制如下:

1.     正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device AVRRP备份组1VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device BVRRP备份组1VRRP备份组2中的状态是Backup设备。

2.     Device A的下行接口Interface A2故障后,双机热备会收到接口故障事件。然后双机热备发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master

3.     Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device BVRRP备份组1VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。

4.     Device A收到Device BVRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device AVRRP备份组1VRRP备份组2中的状态变更为Backup

Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。

备份组的虚拟IP地址

备份组具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟设备的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟设备与外部网络进行通信。

虚拟设备的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个设备的接口IP地址相同。接口IP地址与虚拟IP地址相同的设备被称为IP地址拥有者。

备份组中设备的优先级

VRRP根据优先级来确定备份组中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。

VRRP优先级的取值范围为0255(数值越大表明优先级越高),可配置的范围是1254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当设备为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master设备。在同一个VRRP备份组中,只能存在一个IP地址拥有者。

备份组中设备的抢占/非抢占方式

备份组中的设备具有以下两种方式:

·     抢占方式:在该方式下Backup设备一旦发现自己的优先级比当前Master设备的优先级高,就会触发Master设备的重新选举,并最终取代原有的Master设备。抢占方式可以确保承担转发任务的Master设备始终是备份组中优先级最高的设备。

·     非抢占方式:在该方式下只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。非抢占方式可以避免频繁地切换Master设备。

在抢占方式下,为了避免备份组内的成员频繁进行主备状态转换,让Backup设备有足够的时间搜集必要的信息(如路由信息),Backup设备接收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master设备,而是等待抢占延迟时间后,才会重新选举新的Master设备。

延迟时间

Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备。

VRRP通告报文发送间隔

VRRP备份组中的Master设备会定时发送VRRP通告报文,通知备份组内的设备自己工作正常。需要注意的是:

·     建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。

·     使用VRRPv2版本时,IPv4 VRRP备份组中的所有设备必须配置相同的VRRP通告报文间隔。

·     使用VRRPv3版本时,VRRP备份组中的设备上配置的VRRP通告报文间隔可以不同。Master设备根据自身配置的报文间隔定时发送通告报文,并在通告报文中携带Master设备上配置的间隔;Backup设备接收到Master设备发送的通告报文后,记录报文中携带的Master设备通告报文间隔,如果在3×记录的间隔+Skew_Time内没有收到Master设备发送的VRRP通告报文,则认为Master设备出现故障,重新选举Master设备。

·     网络流量过大可能会导致Backup设备在指定时间内没有收到Master设备的VRRP通告报文,从而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。

备份组中设备的认证方式

VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了三种认证方式:

·     无认证:发送VRRP报文的设备与接收报文的设备之间不进行报文合法性认证。

·     简单字符认证:发送VRRP报文的设备将认证字填入到VRRP报文中,而收到VRRP报文的设备会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。

·     MD5认证:发送VRRP报文的设备利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的设备会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。

VRRP控制VLAN

缺省情况下,在Master的三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。为了保证Master可以周期性地向Backup发送VRRP通告报文(组播报文),需要在Master的三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。

配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master设备仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。

VRRP的控制VLAN分为两种:

·     控制VLAN:配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN

·     内层VLAN:配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN

使用限制和注意事项

·     VRRPv3版本的IPv4 VRRPIPv6 VRRP均不支持对VRRP报文进行认证。

·     一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的设备需要设置相同的认证方式和认证字。

·     VRRP负载均衡模式备份组不支持与双机热备关联。

·     关联双机热备的VRRP备份组中不能存在IP地址拥有者。

配置指南

VRRP基本配置

VRRP基本配置的具体配置步骤如下:

1.     选择“系统 > 高可靠性 > VRRP”。

2.     在“VRRP”页面单击<新建>按钮,进入“新建VRRP备份组”页面。

3.     新建VRRP备份组,具体配置内容如下表所示:

表-1 VRRP备份组配置参数表

参数

说明

备份组所在的接口

VRRP功能基于接口实现,指定VRRP备份组所属的接口

备份组号

VRRP备份组的编号,是其唯一的标识。不同设备上编号相同的备份组形成一个VRRP备份组

类型

支持IPv4IPv6两种类型

联动双机热备

在双机热备与VRRP配合使用的高可靠性组网中必须配置此功能,使不同VRRP备份组之间进行联动

虚拟IP地址

局域网内的主机使用这个虚拟IP地址作为网关地址与外部网络进行通信

优先级

优先级越高,则越有可能成为Master设备,数值越大优先级越高

抢占模式

支持抢占模式和非抢占模式两种

延迟时间

Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备

通告报文发送间隔

Master设备根据配置的此时间定时发送VRRP通告报文,通知备份组内的路由器自己工作正常。使用VRRPv2版本时,该参数的实际生效值只能是100的整倍数,例如,配置该参数取值在1010010120040014095范围内时,实际生效值分别为1002004100;使用VRRPv3版本时,该参数的实际生效值与所配置数值相同

认证类型

VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了无认证、简单字符认证和MD5认证三种认证方式

 

VRRP高级配置

VRRP高级配置的具体配置步骤如下:

1.     选择“系统 > 高可靠性 > VRRP高级设置”。

2.     在“VRRP高级设置”页面,单击目标接口右侧的<编辑>按钮,进入“VRRP高级设置”页面。

3.     在“VRRP高级设置”页面进行配置,具体配置内容如下表所示:

表-2 VRRP高级设置配置参数表

参数

说明

接口

VRRP备份组绑定的接口编号

VRRP版本

VRRP包括VRRPv2VRRPv3两个版本,VRRPv2版本只支持IPv4 VRRPVRRPv3版本支持IPv4 VRRPIPv6 VRRP

IPv4 VRRP备份组中的所有路由器上配置的IPv4 VRRP版本必须一致

控制VLAN

配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN

内层VLAN

配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们