和VRRP路由器冗余协议的应用原理

核心提示:(1)原则1。Preface VRRP(虚拟路由器冗余协议)协议是用来实现路由冗余。最新协议中定义的rfc3768,最初的定义rfc23。

(1)原则

1。前言

VRRP(虚拟路由器冗余协议)协议是用来实现路由冗余。最新协议中定义的rfc3768,最初的定义rfc2338废止,以及新协议简化了一些功能。

2。协议描述

2.1协议

VRRP协议主要是待机模式协议旨在消除由静态默认路由的默认路由器下的失效,一个单点故障的网络,以便在设备功能的开关发生故障时不影响数据通信,不需要修改内部网络参数和网络。VRRP协议需要有IP地址备份优先级路由,减少路由器之间不必要的沟通。

VRRP协议将两个或两个以上的路由器连接到虚拟设备、虚拟路由器的IP外(一个或多个),并在路由器组,如果外国IP路由器的实际占有如果单词的正常工作是主人,或通过选举算法,掌握实现的虚拟路由器的IP视图各种网络功能,如ICMP、ARP请求和数据转发;其他设备没有IP的状态备份,除了VRRP状态通知信息接收的主人,不是外国的网络功能的实现。当主机出现故障时,备份将接管原来掌握网络功能。

ID的虚拟路由器配置VRRP协议来配置路由器(虚拟路由器标识符)和优先级值,使用VRID路由器的数据包,对同一组路由器相同的虚拟路由器标识符值,虚拟路由器标识符是一个从0到255的正整数;在路由器同一集团通过优先权重的选举掌握使用。大优先级的优先级也是0到255个正整数的优先级。

VRRP协议采用组播数据的备份数据的传输,使用一种特殊的虚拟源MAC地址发送数据而不是自己的MAC地址,网卡的VRRP数据,VRRP运行时只有主路由器定期发送VRRP通告信息,说大师的作品和虚拟路由器的IP(组),备份只接收VRRP数据,不发送数据,如果一定时间内没有收到主信息公告,备份将宣布自己是个主人,发送通知的信息,重新掌握国家选举。

2.2掌握选举

如果IP虚拟路由器是一个路由器本身以外的IP地址的配置,路由器总是主;如果你没有一个虚拟IP,主人将选举,每个路由器宣告自己是主人,VRRP发送通知消息,如果他收到机器发送的通知信息的优先级比他将回到备份较高的状态,如果同样的事情,实际的IP比较高优先级的路由器,IP的价值。但是,如果外部的虚拟路由器的IP是路由器本身的IP,路由器将永远是主人,与优先级255。

2.3协议状态机

VRRP协议相对简单,有三个州,初始化,主机和备份机。

--------------- + +

+ --------- gt;| | | |

|大师| |备份|

| |

初始化uff1a

如果路由器路由器启动时,优先考虑的是255(最高优先级的路由器,路由器地址),发送VRRP通告信息,并发送ARP报文广播通告路由器的IP地址和MAC地址的路由虚拟MAC,设置定时器定时发送通知信息准备VRRP通告掌握到备份状态;否则设置定时器的定时检查,检查是否收到通知信息的掌握。

主持人uff1a

>
主机状态中的路由器需要执行以下功能:

设置时间通知定时器;

一个ARP请求响应路由器的IP地址和一个虚拟MAC地址。

转发目的MAC是一包VRRP虚拟MAC;

如果它是虚拟路由器IP的所有者,目的地址是虚拟路由器IP的包,否则丢弃。

当接收到关机事件时,将删除定时通知计时器,并发送具有优先级0的通知包来初始化状态。

如果定时器在时间宣布,VRRP通知信息发送。

VRRP收到通知信息,如果优先级0、VRRP发送的通知信息;或确定数据的优先级高于或等于机器,和实际的IP地址大于当地实际IP,设置定时器通知定时器复位主机超时定时器,备份状态;否则,通知包丢弃;

备用机:

备用状态下的路由器应该实现以下功能:

设置主机的超时计时器;

无法响应虚拟路由器IP的ARP请求信息;

所有MAC地址都被丢弃为虚拟路由器的MAC地址包;

无法接受的目标是虚拟路由器IP的所有数据包;

当接收到关机事件时,将删除主机超时计时器,并初始化状态。

当超时定时器超时时,VRRP报文发送,ARP地址信息的广播,和主人的状态转移。

当接收VRRP通知信息,如果优先级为0,这意味着进入主选举。否则,数据的优先级高于机器的优先级。如果主控器有效,则主机超时定时器被重置。否则,宣告包将被丢弃。

2.4 ARP查询处理

当内部主机通过ARP查询虚拟路由器的IP地址和MAC地址,为虚拟路由器的MAC地址回复VRRP主MAC地址,而不是网卡的MAC地址,使网络意识的机器时,切换到路由器;当路由器重新启动时,不能主动发送该卡的实际MAC地址。如果虚拟路由器开启ARP代理(proxy_arp)功能,代理ARP回应VRRP虚拟MAC地址响应;

2.5 VRRP应用实例

+ + + + ----------- -----------

| rtr1 | | rtr2 |

|(MR虚拟路由器标识符= 1)| |(BR虚拟路由器标识符= 1)|

|(BR虚拟路由器标识符= 2)| |(MR虚拟路由器标识符= 2)|

虚拟路由器标识符= 1 + + + + ----------- -----------虚拟路由器标识符= 2

IP ---------- gt;*

这是通常的VRRP拓扑结构,两个路由器运行VRRP路由器相互备份1组虚拟路由器标识符1大师,IP。一、2备份虚拟路由器标识符组,2组2主路由器虚拟路由器标识符,IP。B、1备份虚拟路由器标识符组,内部网络的机器地址的默认网关是一个IP地址,IP地址的一部分是B,正常情况下,一个为网关的数据将去B为1路由器,路由器的网关数据会到2,如果一个路由器故障,所有数据将是另一个路由器。

三.协议的定义

3.1醚头

源MAC地址必须虚拟MAC地址:00-00-5e-00-01 - {虚拟路由器标识符},VRID作为虚拟路由器的ID值,16的二进制格式,所以有255个VRRP路由器在同一网段,和目的MAC MAC组播型。

3.2 ip头参数

VRRP协议包的源地址是本地地址,目的地地址必须224.0.0.18,组播地址;IP协议号是112;的IP包的TTL值必须是255。

3.3 VRRP协议数据格式

0123

0123456789 0123456789 0123456789 01

+ + + + + + + + + + + + + + + + +

|版|型虚拟RTR ID |优先| | IP Addrs伯爵|

+ + + + + + + + + + + + + + + + +

|授权类型广告int校验| | |

+ + + + + + + + + + + + + + + + +

| IP地址(1)|

+ + + + + + + + + + + + + + + + +

| |。

| |。

| |。

+ + + + + + + + + + + + + + + + +

| IP地址(N)|

+ + + + + + + + + + + + + + + + +

|认证数据(1)|

+ + + + + + + + + + + + + + + + +

|认证数据(2)|

+ + + + + + + + + + + + + + + + +

其中:

版本:版本4位,定义为2 rfc3768;

类型:4位,目前只有一种类型定义:通知数据,值为1;

虚拟技术:虚拟路由器的ID,ID 8位

优先级:优先级为8位,具有一个优先级为255的设备的冗余IP地址;

在算IP地址的IP地址数量:VRRP分组,8位;

授权类型:身份验证类型,8位,在rfc3768认证功能已被取消,该字段值定义0(未验证),1, 2只为兼容旧版本;

int:广告的通知数据包的发送间隔为8位,单位是秒,默认是1秒。

校验:校验和,16位,检查数据范围只有VRRP数据,即从VRRP的版本字段的数据,不包括IP头;

IP地址(ES):对虚拟路由器相关的IP地址,通过IP地址确定的数

在这一领域的认证数据的定义:rfc3768只与旧版本兼容,0必须设置。

当接收到数据时,必须检查3.4。

下面的验证时需要报文的接收,和不满的包将被丢弃。

- TTL必须是255;

- VRRP版本号必须为2;

-包中的数据字段必须完整;

-检查,必须正确;

-这是必要的验证,VRID值配置在该接收到的网络卡,和本地路由器的路由的IP地址是不是主人

要验证的vvrp认证类型和配置的一致性;

4。结论

VRRP实现冗余路由器IP地址的功能,以防止单点网络故障带来的故障,VRRP本身是一个热备份的形式,但可以通过热备份路由器彼此平衡,VRRP协议新版本比旧版本简化了认证过程,根据没有认证的实际数量,这是因为在实际应用中经常出现的异常情况造成认证已成为更多的主人同时使用

(二)案件

1,案例一思科

1)拓扑结构






2)配置:

R1:

界面加入 / 0.10

封装dot1q 10

IP地址192.168.10.1 255.255.255.0

内网ip

VRRP 1 IP 192.168.10.1

界面加入 / 0.20

封装dot1q 20

IP地址192.168.20.1 255.255.255.0

内网ip

2 192.168.20.254 VRRP IP

接口fastethernet2 / 0

IP地址10.10.10.1 255.255.255.252

NAT外



ip route 0.0.0.0 0.0.0.0 10.10.10.2



访问列表20允许192.168.0.0 0.0.255.255

内网ip源列表20接口fastethernet2 / 0过载



R2:

界面加入 / 0.10

封装dot1q 10

IP地址192.168.10.254 255.255.255.0

内网ip

IP虚拟组装

VRRP 1 IP 192.168.10.1



轨道1接口配置2 / 0线协议建立跟踪组

界面加入 / 0.20

封装dot1q 20

IP地址192.168.20.254 255.255.255.0

内网ip

IP虚拟组装

2 192.168.20.254 VRRP IP

VRRP 2轨道1德160应用跟踪组和使动作



fastethernet2 / 0接口

IP地址20.20.20.1 255.255.255.252

NAT外



ip route 0.0.0.0 0.0.0.0 20.20.20.2



访问列表20允许192.168.0.0 0.0.255.255

内网ip源列表20接口fastethernet2 / 0过载





R3:

在界面

IP地址100.100.100.100 255.255.255.0



界面加入 / 0

IP地址20.20.20.2 255.255.255.252

fastethernet2 / 0接口

IP地址10.10.10.2 255.255.255.252





SW1:

接口fastethernet1 / 1 - 2

switchport mode trunk

通道组1模式



接口fastethernet1 / 3 - 5

交换机接入VLAN 20

接口范围fastethernet1 / 6 - 8

交换机接入VLAN 10

接口fastethernet1 / 11

switchport mode trunk



接口VLAN1

没有IP地址

接口vlan10

IP地址192.168.10.100 255.255.255.0

ip route 0.0.0.0 0.0.0.0 192.168.10.1



SW2:

接口范围fastethernet1 / 1 - 2

switchport mode trunk

通道组1模式



接口范围fastethernet1 / 3 - 5

交换机接入VLAN 10

接口范围fastethernet1 / 6 - 8

交换机接入VLAN 20



接口fastethernet1 / 12

switchport mode trunk

2,案例二

1)拓扑:






2)实验要求:

1运行VRRP、R14、和R5允许vlan10访问R14的外部网络,使vlan20访问外部网络的R5

2运行NAT,R14和R5实现内网用户访问外部网络

三.单臂路由配置在R14和R5实现VLAN间通信

4、SW4和SW6有vlan10和vlan20,F0 / 1和F0 / 2链路聚合

3)配置:

R5:

以太网接口

IP地址192.168.101.5 255.255.255.0



接口ethernet1.10

VLAN型dot1q VID 10

IP地址192.168.10.254 255.255.255.0

VRRP虚拟路由器标识符10虚拟IP 192.168.10.1



接口ethernet1.20

VLAN型dot1q VID 20

IP地址192.168.20.254 255.255.255.0

20虚拟IP 192.168.20.254 VRRP虚拟路由器标识符

VRRP虚拟路由器标识符20轨道serial1减少160



ACL 2000匹配命令自动

规则正常许可证源

串口1接口配置

IP地址20.20.20.1 255.255.255.0

NAT出站2000接口



R14

接口ethernet1.10

VLAN型dot1q VID 10

IP地址192.168.10.1 255.255.255.0

VRRP虚拟路由器标识符10虚拟IP 192.168.10.1

VRRP路由器虚拟路由器标识符10轨道减少200



接口ethernet1.20

VLAN型dot1q VID 20

IP地址192.168.20.1 255.255.255.0

20虚拟IP 192.168.20.254 VRRP虚拟路由器标识符

{ r14-ethernet1.20 } VRRP虚拟路由器标识符20虚拟IP 192.168.20.254

检测,如果网络端口,自我

{ 10 } VRRP虚拟路由器标识符r14-ethernet1.10轨道S0减少200





路由器

IP地址10.10.10.1 255.255.255.0

{ 2000 } r14-serial0 NAT输出接口

{ R14 }静态路由0.0.0.0 0.0.0.0 10.10.10.2



ISP路由配置

路由器

IP地址10.10.10.2 255.255.255.0



串口1接口配置

IP地址20.20.20.2 255.255.255.0



在界面

IP地址192.168.100.100 255.255.255.0



S4:

VLAN 10

VLAN 20



接口vlan-interface1

IP地址192.168.101.24 255.255.255.0



链路聚合组1模式手册

接口功能 / 0 / 1

端口链接型中继线

端口中继许可VLAN全部

端口链路聚合组1



接口功能 / 0 / 2

端口链接型中继线

端口中继许可VLAN全部

链路聚合组端口1



接口功能 / 0 / 3

端口链接型中继线

端口中继许可VLAN全部



接口功能 / 0 / 4

端口访问VLAN 10



接口功能 / 0 / 5

端口访问VLAN 10



接口功能 / 0 / 6

访问VLAN端口10



接口功能 / 0 / 7

端口访问VLAN 10



接口功能 / 0 / 8

端口访问VLAN 10



接口功能 / 0 / 9

端口访问VLAN 10



接口功能 / 0 / 10

端口访问VLAN 10



接口功能 / 0 / 11

端口访问VLAN 20



接口功能 / 0 / 12

端口访问VLAN 20



接口功能 / 0 / 13

端口访问VLAN 20



接口功能 / 0 / 14

端口访问VLAN 20



接口功能 / 0 / 15

端口访问VLAN 20



S6:

链路聚合组1模式手册



VLAN 10

VLAN 20



接口vlan-interface1

IP地址192.168.101.26 255.255.255.0



AUX1 / 0 / 0接口



接口功能 / 0 / 1

端口链接型中继线

端口中继许可VLAN全部

端口链路聚合组1



接口功能 / 0 / 2

端口链接型中继线

端口中继许可VLAN全部

端口链路聚合组1



接口功能 / 0 / 3

端口链接型中继线

端口中继许可VLAN全部



接口功能 / 0 / 4

访问VLAN端口10



接口功能 / 0 / 5

访问VLAN端口10



接口功能 / 0 / 6

端口访问VLAN 10



接口功能 / 0 / 7

访问VLAN端口10



接口功能 / 0 / 8

端口访问VLAN 10



接口功能 / 0 / 9

端口访问VLAN 10



接口功能 / 0 / 10

访问VLAN端口10



接口功能 / 0 / 11

端口访问VLAN 20



接口功能 / 0 / 12

端口访问VLAN 20



接口功能 / 0 / 13

端口访问VLAN 20



接口功能 / 0 / 14

端口访问VLAN 20



接口功能 / 0 / 15

端口访问VLAN 20