虛擬路由器冗余協(xié)議(VRRP)設(shè)計與配置

1、河南理工大學課程設(shè)計論文（2014-2015第二學年） 論文題目：虛擬路由器冗余協(xié)議（VRRP）設(shè)計與配置學 院： 計算機科學與技術(shù) 專業(yè)班級： 學 號： 姓 名： 指導(dǎo)老師： 日 期： 2015.7.5 目錄摘要1一、基礎(chǔ)知識.21.1VRRP簡介21.2路由冗余31.3、網(wǎng)關(guān)負載均衡協(xié)議5二、VRRP工作原理6三、VRRP典型拓撲83.2 對稱VRRP配置83.3 多備份VRRP配置網(wǎng)絡(luò)拓撲圖8四、 應(yīng)用實例10五、VRRP實驗105.1實驗?zāi)康?05.2實驗配置105.3拓撲圖12摘要VRRP協(xié)議使一組路由器組成一臺虛擬路由器，網(wǎng)絡(luò)終端設(shè)備將訪問外部網(wǎng)絡(luò)的數(shù)據(jù)發(fā)送給虛擬路由器，而數(shù)據(jù)的實

2、際轉(zhuǎn)發(fā)則由VRRP備用組的活動路由器（Master）完成，一旦Master出現(xiàn)故障，備用組的備用路由器就按優(yōu)先級選舉產(chǎn)生新的Master接替故障設(shè)備承擔的工作，利用VRRP協(xié)議定義的這種機制就能實現(xiàn)網(wǎng)絡(luò)的路由冗余和負載均衡，保證網(wǎng)絡(luò)運行的可靠性。 關(guān)鍵詞：VRRP協(xié)議；虛擬路由器；活動路由器；路由冗余；負載均衡一、基礎(chǔ)知識1.1VRRP簡介VRRP是一種選擇協(xié)議，它可以把一個虛擬路由器的責任動態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負責轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬 IP 地址。1 一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機

3、制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器。是一種LAN接入設(shè)備備份協(xié)議。一個局域網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置缺省網(wǎng)關(guān)，這樣主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省網(wǎng)關(guān)發(fā)往三層交換機，從而實現(xiàn)了主機和外部網(wǎng)絡(luò)的通信。VRRP是一種路由容錯協(xié)議，也可以叫做備份路由協(xié)議。一個局域網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置缺省路由，當網(wǎng)內(nèi)主機發(fā)出的目的地址不在本網(wǎng)段時，報文將被通過缺省路由發(fā)往外部路由器，從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當缺省路由器down掉（即端口關(guān)閉）之后，內(nèi)部主機將無法與外部通信，如果路由器設(shè)置了VRRP時，那么這時，虛擬路由將啟用備份路由器，從而實現(xiàn)全網(wǎng)通信。VRRP（V

4、irtual Router Redundancy Protocol，虛擬路由冗余協(xié)議）是一種容錯協(xié)議。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA，從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當路由器RouterA 壞掉時，本網(wǎng)段內(nèi)所有以RouterA 為缺省路由下一跳的主機將斷掉與外部的通信產(chǎn)生單點故障。VRRP 就是為解決上述問題而提出的，它為具有多播組播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計。VRRP 將局域網(wǎng)的一組路由器（包括一個Master 即活動路由器和若干個Backup 即備份路由器）組織成一個虛擬路由器，稱之為

5、一個備份組。這個虛擬的路由器擁有自己的IP 地址10.100.10.1（這個IP 地址可以和備份組內(nèi)的某個路由器的接口地址相同，相同的則稱為ip擁有者），備份組內(nèi)的路由器也有自己的IP 地址（如Master的IP 地址為10.100.10.2，Backup 的IP 地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP 地址10.100.10.1，而并不知道具體的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3。1 它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP 地址10.100.10.1。

6、于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。如果備份組內(nèi)的Master 路由器壞掉，Backup 路由器將會通過選舉策略選出一個新的Master 路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。1.2路由冗余中心交換機是整個網(wǎng)絡(luò)的核心和心臟，如果發(fā)生致命的故障，將導(dǎo)致本地網(wǎng)絡(luò)的癱瘓，所造成的損失也是難以估計的。因此，對堿層路由采用熱備份是提高網(wǎng)絡(luò)可靠性的必然選擇。利HSRP、VRRP、GLBP協(xié)議保證核心設(shè)備的負荷分擔和熱備份，在中心交換機和雙匯聚交換機中某臺交換機出現(xiàn)故障時，應(yīng)能夠迅速切換三層路由設(shè)備和虛擬網(wǎng)關(guān)，實現(xiàn)雙線路的冗余備份，

7、保證整網(wǎng)的穩(wěn)定性。 1、熱備份路由器協(xié)議熱備份路由器協(xié)議（Hot Standby Router Protocol,HSRP）的設(shè)計目標是支持特定情況下IP流量失敗轉(zhuǎn)移而不會引起混亂，并允許主機使用單路由器，以及即使在實際第一跳路由器使用失敗的情況下，仍能維護路由器間的連通性。換句話說，當源主機不能動態(tài)知道第一跳路由器的IP地址時，HSRP協(xié)議能夠保護第一跳路由器不出故障。該協(xié)議中含有多種路由器，對應(yīng)一個虛擬路由器。HSRRP協(xié)議只支持一個路由器代表虛擬路由器實現(xiàn)數(shù)據(jù)包轉(zhuǎn) 發(fā)過程。終端主機將它們各自的數(shù)據(jù)包轉(zhuǎn)發(fā)到該虛擬路由器上。負責轉(zhuǎn)發(fā)數(shù)據(jù)包的路由器稱之為主動路由器（Active Router）

8、。一旦主動路由器出現(xiàn)故障，HSRP將激活備份路由器（Standby Routers）取代主動路由器（如圖）HSRP協(xié)議提供了一種決定使用主動路由器還是備份路由器的機制，并指定一個虛擬的IP地址作為網(wǎng)絡(luò)系統(tǒng)的默認網(wǎng)關(guān)地址。如果主動路由器出現(xiàn)故障，備份路由器將承接主動路由器的所有任務(wù)，并且不會導(dǎo)致主機連通中斷現(xiàn)象。2、虛擬路由冗余協(xié)議在網(wǎng)絡(luò)中，一般給終端設(shè)備指定一個或者多默認網(wǎng)關(guān)（Default Gateway）.如果作為默認網(wǎng)關(guān)的三層設(shè)備損壞。那么所使用該網(wǎng)關(guān)主機的通信必然要中斷。即便配置了多個默認網(wǎng)關(guān)，如不重新啟動終端設(shè)備，也不能切換到新的網(wǎng)關(guān)。采用虛擬路由冗余協(xié)議（Virtual Route

9、r Redundancy Protocol,VRRP）可以很發(fā)地避免靜態(tài)指定網(wǎng)關(guān)的缺陷。一組VRRP路由器協(xié)同工作，共同構(gòu)成一臺虛擬路由器（如下圖）該虛擬路由器對外表現(xiàn)為一個具有唯一固定IP地址和MAC地址的邏輯路由器。同一VRRP組的路由器有兩種角色。即主控路由器和備份路由器。一個VRRP組中有且只有一臺主控路由器，一臺或多能備份路由器。VRRP協(xié)議使用選擇策略選出一臺作為主控，負責ARP相應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包，組中的其他路由器作為備份的角色，處于待命狀態(tài)。當主控路由器發(fā)生故障時，備份路由器能在幾秒鐘的時延后升級為主控路由器，由于切換迅速且無改變IP地址和MAC地址，所以，對網(wǎng)絡(luò)用戶而言一切都

10、是透明的。1.3、網(wǎng)關(guān)負載均衡協(xié)議網(wǎng)關(guān)負載均衡協(xié)議（Gateway Load Balancing Protocol,GLBP）不僅提供冗余網(wǎng)關(guān)，還在各網(wǎng)關(guān)之間提供負載均衡，而HRSP、VRRP都必須選定一個活動路由器，而備份路由器則處于閑置閑置狀態(tài)。GLBP可以綁定多個MAC地址到虛擬IP，從而允許客戶端選擇不同的路由器作為其默認網(wǎng)關(guān)，而網(wǎng)產(chǎn)地址仍使用相同的虛擬IP，從而實現(xiàn)一定的冗余。優(yōu)先級最高的路由器成為活動路由器，稱作活動虛擬網(wǎng)關(guān)（Active Virtual Gateway）其他非AVG路由器提供冗余。某路由器被推舉為AVG后，和HRSP不同的工作開始了，AVG分配虛擬的MAC地址給其

11、他GLBP組成員。所有的GLBP組中的路器都轉(zhuǎn)發(fā)包，但是，各路由器只負責轉(zhuǎn)發(fā)與自己的虛擬MAC地址的相關(guān)的數(shù)據(jù)包。每個GLBP組中最多有4個虛擬MAC地址，非AVG路由器由AV序分配虛擬MAC地址，非AVG路由器也稱作活動虛擬轉(zhuǎn)發(fā)者（Active Virtual Forwarder (AVF)）.AVF分為兩類，即主虛擬轉(zhuǎn)發(fā)者（Primary Virtual Forwarder）和次虛擬轉(zhuǎn)發(fā)者（Secondary virtual Forwarder）。直接由AVG分配虛擬MAC地址的路由器稱作主虛擬轉(zhuǎn)發(fā)者，后續(xù)不知道AVG真實IP地址的組成員，只能使用hellos包來識別其身份，然后被分配虛擬

12、MAC地址，此類被稱作次虛擬轉(zhuǎn)發(fā)者。如果AVG失效，則推舉就會發(fā)生，決定哪人AVF替代AVG來分配MAC地址，推舉機制依賴于優(yōu)先級。最多可配置1024個GLBP組，不同的用戶組可以配置成使用不同的組AVG作為其他網(wǎng)關(guān)二、VRRP工作原理VRRP的工作過程如下：路由器開啟VRRP功能后，會根據(jù)優(yōu)先級確定自己在備份組中的角色。優(yōu)先級高的路由器成為主用路由器，優(yōu)先級低的成為備用路由器。主用路由器定期發(fā)送VRRP通告報文，通知備份組內(nèi)的其他路由器自己工作正常；備用路由器則啟動定時器等待通告報文的到來。VRRP在不同的主用搶占方式下，主用角色的替換方式不同：1 在搶占方式下，當主用路由器收到VRRP通告

13、報文后，會將自己的優(yōu)先級與通告報文中的優(yōu)先級進行比較。如果大于通告報文中的優(yōu)先級，則成為主用路由器；否則將保持備用狀態(tài)。2 在非搶占方式下，只要主用路由器沒有出現(xiàn)故障，備份組中的路由器始終保持主用或備用狀態(tài)，備份組中的路由器即使隨后被配置了更高的優(yōu)先級也不會成為主用路由器。如果備用路由器的定時器超時后仍未收到主用路由器發(fā)送來的VRRP通告報文，則認為主用路由器已經(jīng)無法正常工作，此時備用路由器會認為自己是主用路由器，并對外發(fā)送VRRP通告報文。備份組內(nèi)的路由器根據(jù)優(yōu)先級選舉出主用路由器，承擔報文的轉(zhuǎn)發(fā)功能。在實際組網(wǎng)中一般會進行VRRP負載分擔方式的設(shè)置。負載分擔方式是指多臺路由器同時承擔業(yè)務(wù)，

14、避免設(shè)備閑置，因此需要建立兩個或更多的備份組實現(xiàn)負載分擔。VRRP負載分擔方式具有以下特點：每個備份組都包括一個主用路由器和若干個備用路由器。各備份組的主用路由器可以不相同。同一臺路由器可以加入多個備份組，在不同備份組中有不同的優(yōu)先級，使得該路由器可以在一個備份組中作為主用路由器，在其他的備份組中作為備用路由器。VRRP在提高可靠性的同時，簡化了主機的配置。在具有多播或廣播能力的局域網(wǎng)中，借助VRRP能在某臺路由器出現(xiàn)故障時仍然提供高可靠的缺省鏈路，有效避免單一鏈路發(fā)生故障后網(wǎng)絡(luò)中斷的問題，而無需修改動態(tài)路由協(xié)議、路由發(fā)現(xiàn)協(xié)議等配置信息。一個VRRP路由器有唯一的標識：VRID，范圍為0255

15、該路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-VRID主控路由器負責對ARP請求用該MAC地址做應(yīng)答這樣,無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對終端設(shè)備的影響VRRP控制報文只有一種：VRRP通告(advertisement)它使用IP多播數(shù)據(jù)包進行封裝，組地址為224.0.0.18，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報文備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉在VRRP路由器組

16、中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0255若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則該VRRP路由器被稱為該IP地址的所有者；IP地址所有者自動具有最高優(yōu)先級：255優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時使用可配置的優(yōu)先級范圍為1254優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本路由器性能和可靠性以及其它管理策略設(shè)定主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路

17、由器便會剝奪當前低優(yōu)先級的主控路由器而成為新的主控路由器3 為了保證VRRP協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊3 三、VRRP典型拓撲3.1 基本VRRP配置拓撲圖如圖2所示，DUT1和DUT2之間運行VRRP協(xié)議。VRRP虛擬地址選DUT1的接口地址20.1.1.1，DUT1將作為主用路由器。3.2 對稱VRRP配置網(wǎng)絡(luò)拓撲圖如圖3所示，

18、本例中啟動兩個VRRP組，其中PC1和PC2使用組1的虛擬路由器作為默認網(wǎng)關(guān)，地址為20.1.1.1；而PC3和PC4則使用組2的虛擬路由器作為默認網(wǎng)關(guān)，地址為20.1.1.2。路由器DUT1和DUT2互為備份，只有當兩臺路由器全部失效時四臺主機與外界的通信才會中斷。3.3 多備份VRRP配置網(wǎng)絡(luò)拓撲圖如圖4所示，在多備份VRRP配置中，每臺路由器配置為一個虛擬路由器的主用路由器，同時又作為其它虛擬路由器的備用路由器，一旦主用路由器出故障，其中一臺備用路由器將接管該虛擬路由器的IP地址。在這種VRRP配置中，每臺主用路由器均有一個以上的備用路由器，因此，需要對這些備用路由器定義優(yōu)先級，以便當主

19、用路由器出故障時，擁有次最高優(yōu)先級的路由器接替工作。如果擁有次最高優(yōu)先級的路由器不止一個，則擁有最高IP地址號碼的路由器成為主用路由器。4、 應(yīng)用實例最典型的VRRP應(yīng)用：RTA、RTB組成一個VRRP路由器組，假設(shè)RTB的處理能力高于RTA，則將RTB配置成IP地址所有者，H1、H2、H3的默認網(wǎng)關(guān)設(shè)定為RTB。則RTB成為主控路由器，負責ICMP重定向、ARP應(yīng)答和IP報文的轉(zhuǎn)發(fā)；一旦RTB失敗，RTA立即啟動切換，成為主控，從而保證了對客戶透明的安全切換。 在VRRP應(yīng)用中，RTA在線時RTB只是作為后備，不參與轉(zhuǎn)發(fā)工作，閑置了路由器RTA和鏈路L1。通過合理的網(wǎng)絡(luò)設(shè)計，可以到達備份和負

20、載分擔雙重效果。讓RTA、RTB同時屬于互為備份的兩個VRRP組：在組1中RTA為IP地址所有者；組2中RTB為IP地址所有者。將H1的默認網(wǎng)關(guān)設(shè)定為RTA；H2、H3的默認網(wǎng)關(guān)設(shè)定為RTB。這樣，既分擔了設(shè)備負載和網(wǎng)絡(luò)流量，又提高了網(wǎng)絡(luò)可靠性。 VRRP協(xié)議的工作機理與CISCO公司的HSRP（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區(qū)別是在CISCO的HSRP中，需要單獨配置一個IP地址作為虛擬路由器對外體現(xiàn)的地址，這個地址不能是組中任何一個成員的接口地址。 使用VRRP協(xié)議，不用改造目前的網(wǎng)絡(luò)結(jié)構(gòu)，最大限度保護了當前投資，只需最少的管理費用，

21、卻大大提升了網(wǎng)絡(luò)性能，具有重大的應(yīng)用價值。五、VRRP實驗5.1實驗?zāi)康膶嶒灥哪康氖瞧鸬揭粋€接口備份的效果,當R2的S1/0接口段開時虛擬網(wǎng)關(guān)為192.168.0.3的數(shù)據(jù)可通過R3的S2/0接口出去.當R2的接口恢復(fù)正常時又從R2的S1/0接口出去,因為我們配置時將R2配置為主路由器.5.2實驗配置R1配置interface s1/0      ip add 12.0.0.1 255.0.0.0clock rate 64000      (DCE端要配置時鐘頻率)no shutdowninte

22、rface s2/0ip add 13.0.0.1 255.0.0.0clock rate 64000no shutdowninterface loo 0ip add 1.1.1.1 255.255.255.255R2配置interface s1/0ip add 12.0.0.2 255.0.0.0no shutin fa0/0ip add 192.168.0.1 255.255.255.0no shutvrrp 1 ip 192.168.0.3   （配置虛擬網(wǎng)關(guān)）vrrp 1 priority 150      （設(shè)置優(yōu)

23、先級為150，默認為100）vrrp 1 preempt           （開啟搶占模式）vrrp 1 track s1/0 60      （設(shè)置當S1/0段開時優(yōu)先級下降60）vrrp 2 ip 192.168.0.4      （配置虛擬網(wǎng)關(guān)）vrrp 2 preempt            （開啟搶占模式）access-list 1 permit any    （建立訪問控制列表，允許所有內(nèi)部主機出去）ip nat inside source list 1 interface s1/0 overload     （建立可復(fù)用NAT，將內(nèi)部地址轉(zhuǎn)換為S1/0的地址出去）ip route 0.0.0.0 0.0.0.0 12.0.0.1   R3配置