交換機(jī)VRRP配置

1、 交換機(jī)VRRP配置1. VRRP原理請參考相關(guān)文檔。VRRP協(xié)議將系統(tǒng)中多臺路由器組成VRRP組，該組中擁有一個虛擬默認(rèn)網(wǎng)關(guān)地址。但在任何時刻，一個組內(nèi)只有控制虛擬網(wǎng)關(guān)地址的路由器是活動路由器（Master），由它來轉(zhuǎn)發(fā)數(shù)據(jù)包。如果活動路由器發(fā)生了故障，它將選擇一個優(yōu)先權(quán)最高的冗余備份路由器（Backup） 來替代活動路由器。由于網(wǎng)絡(luò)內(nèi)的終端配置了VRRP虛擬網(wǎng)關(guān)地址，發(fā)生故障時，虛擬路由器沒有改變，主機(jī)仍然保持連接，網(wǎng)絡(luò)將不會受到單點(diǎn)故障的影響，這樣就較好地解決了網(wǎng)絡(luò)中路由器切換的問題。(圖1)一個簡單的冗余交換網(wǎng)絡(luò)如上圖所示，VRRP運(yùn)行在同一局域網(wǎng)的路由器A和路由器B兩個路由器上，分別

2、作為主路由器（端口地址為192.168.1.2/24）和備份路由器（端口地址為192.168.1.3/24）。同時，利用VRRP協(xié)議將上述兩個路由器組成一個虛擬路由器（端口地址為192.168.1.1/24）。在主機(jī)子網(wǎng)上對用戶機(jī)器配置默認(rèn)網(wǎng)關(guān)192.168.1.1/24。由此，對于用戶主機(jī)來說，只需配置一個透明的默認(rèn)網(wǎng)關(guān)，而至于由哪個路由器來負(fù)責(zé)扮演網(wǎng)關(guān)，或者說任意一個路由器發(fā)送故障都不會影響該主機(jī)與該網(wǎng)關(guān)的通信。2. 在交換機(jī)上配置VRRP備份組為了將客戶機(jī)連接到Internet，在連接客戶機(jī)的三層設(shè)備上，還需配置一個端口用以與上層路由器相連，同時在該三層設(shè)備上必須配置一個默認(rèn)路由（def

3、ault route）表，指明該三層設(shè)備的默認(rèn)網(wǎng)關(guān)是上層路由器，以此實(shí)現(xiàn)客戶機(jī)與外部Internet的通信訪問。因此，保障網(wǎng)絡(luò)關(guān)鍵應(yīng)用的首要任務(wù)是保證這些客戶端與上層路由器的通信可靠和冗余?？梢钥闯?，若使用如上圖的簡單的VRRP交換網(wǎng)絡(luò)，雖然能保證客戶機(jī)與網(wǎng)關(guān)的網(wǎng)絡(luò)通信，但無法進(jìn)一步實(shí)現(xiàn)客戶機(jī)與外部網(wǎng)絡(luò)的通信冗余。為此如下圖所示，客戶機(jī)通過二層交換機(jī)分別連接到兩個三層設(shè)備，然后這兩個設(shè)備又通過一個交換機(jī)（DI-7000內(nèi)置）與上層路由器建立連接。（圖2）其中，DES-3828-A上配置兩個端口，分別是192.168.1.1/24，192.168.0.2/24。同時，在DES-3828-B上也相

4、應(yīng)地配置兩端口：192.168.1.2/24，192.168.0.3/24。在兩臺DES-3828 上分別啟動兩個虛擬路由器組VRRP1 和VRRP2，它們都有兩個interface。其中，VRRP1 的interface 分別為192.168.1.1（Master）和192.168.1.2（Backup） ，用于客戶機(jī)的網(wǎng)關(guān)通信；而VRRP2的interface分別為192.168.0.3（Master）和192.168.0.2（Backup），用于與上層路由器通信，保證對外網(wǎng)的通信訪問。與圖1 所示相比，圖2 的網(wǎng)絡(luò)結(jié)構(gòu)除了原有的客戶機(jī)與三層設(shè)備的VRRP 組（VRRP1 ）外，還增加了用

5、于三層設(shè)備與上層路由器相聯(lián)的VRRP 組（VRRP2），以此保證客戶機(jī)與上層路由器的通信冗余。其中，針對不同的網(wǎng)絡(luò)情況，具體的通信分析如下：1、在正常（即Master 處于工作狀態(tài)）情況下，客戶機(jī)是通過Mater 與外網(wǎng)進(jìn)行網(wǎng)絡(luò)通信，通信鏈路是：客戶機(jī)<> 交換機(jī)<>Master<> 交換機(jī)（DI-7000 內(nèi)置）<> 上層路由器<>INTERNET 。2、當(dāng)Master 發(fā)生故障時，Backup 則會通過VRRP 接管網(wǎng)關(guān)，此時的通信鏈路為：客戶機(jī)<> 交換機(jī)<>Backup<> 交換機(jī)（DI-7

6、000 內(nèi)置）<> 上層路由器<>INTERNET 。如上所述，在如圖2 的網(wǎng)絡(luò)設(shè)計中，任意一個三層設(shè)備的故障或者是物理鏈接的失敗，都可以通過VRRP 協(xié)議來快速地恢復(fù)通信，由此保障客戶機(jī)與外網(wǎng)的通信訪問，實(shí)現(xiàn)網(wǎng)絡(luò)關(guān)鍵應(yīng)用的高可靠性3. DES-3828-A配置# VLAN，建立2 個VLAN，并添加接口config vlan default delete 1-28 create vlan v10 tag 10 config vlan v10 add untagged 13-24 create vlan v20 tag 20 config vlan v20 add un

7、tagged 1-12 # IP，配置兩個接口IP 地址create ipif if10 192.168.0.2/24 v10 state enable create ipif if20 192.168.1.1/24 v20 state enable # ROUTE，建立到上層路由器的默認(rèn)路由create iproute default 192.168.0.1 # VRRP，建立兩個VRRP 組create vrrp vrid 1 ipif if20 ipaddress 192.168.1.254 state enable priority 120 /建立VRRP1,設(shè)置虛擬IP地址為192.

8、168.1.254，并將此路由器設(shè)置為VRRP1中的Master.vrid <vrid 1-255> -輸入一個1到255之間的數(shù)值來對交換機(jī)上的VRRP組進(jìn)行唯一性識別。所有加入該組的路由器必須被分配相同的VRID值，該值必須與交換機(jī)上設(shè)置的其他VRRP組的值不同。ipif <ipif_name 12> -輸入之前配置的想要創(chuàng)建VRRP條目的IP接口名，該IP接口必須被分配到交換機(jī)上的一個VLAN。ipaddress <ipaddr> -輸入將要分配給VRRP路由器的虛擬IP地址。該虛擬IP地址也是將被靜態(tài)分配給終端主機(jī)。state enable | di

9、sable -用于在交換機(jī)上啟用和禁用VRRP路由器。priority <int 1-254> -輸入一個1到254之間的數(shù)值來表示路由器的優(yōu)先級，較高優(yōu)先級將增加該路由器變?yōu)榻M中主路由器的可能性。較低的優(yōu)先級將增加該路由器變成備份路由器的可能性。兩個VRRP路由器的優(yōu)先級相同，物理IP地址最高的路由器作為主路由器。優(yōu)先級默認(rèn)值為100。0優(yōu)先級保留為特殊用途使用，當(dāng)虛擬IP地址被設(shè)置為路由器接口的真實(shí)IP地址時，此VRRP路由器將被設(shè)置為擁有最高的優(yōu)先級255.create vrrp vrid 2 ipif if10 ipaddress 192.168.0.254 state e

10、nable priority 100 /建立VRRP2,設(shè)置虛擬IP地址為192.168.0.254，并將此路由器設(shè)置為VRRP2中的Backup.enable vrrp/啟用交換機(jī)的全局VRRP功能DES-3828-B配置# VLAN config vlan default delete 1-28 create vlan v10 tag 10 config vlan v10 add untagged 1-12 create vlan v20 tag 20 config vlan v20 add untagged 13-24 # IP create ipif if10 192.168.0.3/

11、24 v10 state enable create ipif if20 192.168.1.2/24 v20 state enable # ROUTE create iproute default 192.168.0.1 # VRRP create vrrp vrid 1 ipif if20 ipaddress 192.168.1.254 state enable priority 100 /建立VRRP1,設(shè)置虛擬IP地址為192.168.1.254，并將此路由器設(shè)置為VRRP1中的Backup.create vrrp vrid 2 ipif if10 ipaddress 192.168.

12、0.254 state enable priority 120 /建立VRRP2,設(shè)置虛擬IP地址為192.168.0.254，并將此路由器設(shè)置為VRRP2中的Master.enable vrrp 注：建立VRRP組的步驟也可分為2步：1 1. create vrrp vrid 1 ipif if20 ipaddress 192.168.1.254 state enable 2 2. config vrrp vrid 1 ipif if20 state enable priority 120 為了使故障切換時間更快，可以將Master、Backup的優(yōu)先級設(shè)置為253、254給VRRP組配置c

13、ritical_ip 該IP地址為虛擬路由器連接互聯(lián)網(wǎng)和其他關(guān)鍵網(wǎng)絡(luò)連接提供最直接的路由。這必須是網(wǎng)絡(luò)上真實(shí)設(shè)備的真實(shí)IP地址。如果虛擬路由器與該IP地址的連接出現(xiàn)故障，虛擬路由器將被自動禁用。將從VRRP組備份路由器中選擇一臺備份路由器作為新的主路由器。例如：create vrrp vrid 1 ipif if20 ipaddress 192.168.1.254 state enable priority 120 advertisement_interval 1 preempt true critical_ip 192.168.0.1 critical_ip_state enable adv

14、ertisement_interval<int 1-255> -輸入一個時間間隔值，單位為秒，以便發(fā)送VRRP 信息數(shù)據(jù)包。該值必須與參加了同一個VRRP組的所有路由器一致。默認(rèn)為1秒。preempttruefalse 在VRRP 運(yùn)行過程中，Master 定期發(fā)送VRRP 通告信息，Backup 將偵聽Master 的通告信息。當(dāng)Backup 在Master 失效間隔時間內(nèi)沒有接收到通告消息時，Backup 認(rèn)為Master 失效，并接替后者角色。VRRP preempt 模式指原先的Master 從故障中恢復(fù)并接入到網(wǎng)絡(luò)中，它將奪回自己的角色，否則仍然保持Backup 狀態(tài)。在

15、該設(shè)置必須與所有參與同一個VRRP 組的所有路由器一致。默認(rèn)設(shè)置為true 。DI-7000路由器配置：客戶端IP地址信息配置：VRRP信息檢測：DES-3800-A:admin#show vrrpCommand: show vrrpGlobal VRRP : EnabledNon-owner response PING: DisabledInterface Name : if10 Authentication type : No Authentication VRID : 2 Virtual IP Address : 192.168.0.254 Virtual MAC Address : 0

16、0-00-5E-00-01-02 Virtual Router State : Backup State : Enabled Priority : 100 Master IP Address : 192.168.0.3 Critical IP Address : 0.0.0.0 Checking Critical IP : Disabled Advertisement Interval : 1 secs Preempt Mode : True Virtual Router Up Time : 3457 centi-secsInterface Name : if20 Authentication

17、 type : No Authentication VRID : 1 Virtual IP Address : 192.168.1.254 Virtual MAC Address : 00-00-5E-00-01-01 Virtual Router State : Master State : Enabled Priority : 120 Master IP Address : 192.168.1.1 Critical IP Address : 0.0.0.0 Checking Critical IP : Disabled Advertisement Interval : 1 secs Pre

18、empt Mode : True Virtual Router Up Time : 3457 centi-secsTotal Entries: 2DES-3800-B:admin#show vrrpCommand: show vrrp Global VRRP : Enabled Non-owner response Ping: Disabled Interface Name : if10 Authentication type : No Authentication VRID : 2 Virtual IP Address : 192.168.0.254 Virtual MAC Address

19、: 00-00-5E-00-01-02 Virtual Router State : Master State : Enabled Priority : 120 Master IP Address : 192.168.0.3 Critical IP Address : 0.0.0.0 Checking Critical IP : Disabled Advertisement Interval : 1 secsPreempt Mode : True Virtual Router Up Time : 2396 centi-secs Interface Name : if20 Authenticat

20、ion type : No Authentication VRID : 1 Virtual IP Address : 192.168.1.254 Virtual MAC Address : 00-00-5E-00-01-01 Virtual Router State : Backup State : Enabled Priority : 100 Master IP Address : 192.168.1.1 Critical IP Address : 0.0.0.0 Checking Critical IP : Disabled Advertisement Interval : 1 secs

21、Preempt Mode : True Virtual Router Up Time : 2607 centi-secs Total Entries: 2當(dāng)DES-3828-B宕機(jī)后DES-3828-A信息輸出如下：DES-3800:admin#show vrrp Command: show vrrp Global VRRP : EnabledNon-owner response PING: DisabledInterface Name : if10Authentication type : No Authentication VRID : 2 Virtual IP Address : 192.168.0.254 Virtual MAC Address : 00-00-5E-00-01