VRRP協(xié)議詳解課件_第1頁(yè)
VRRP協(xié)議詳解課件_第2頁(yè)
VRRP協(xié)議詳解課件_第3頁(yè)
VRRP協(xié)議詳解課件_第4頁(yè)
VRRP協(xié)議詳解課件_第5頁(yè)
已閱讀5頁(yè),還剩125頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

姓名:邊冬松工號(hào):01023綜合測(cè)試支持部姓名:邊冬松VRRP協(xié)議綜合測(cè)試支持部VRRP協(xié)議綜合測(cè)試支持部理解VRRP的基本概念掌握VRRP的基本工作原理掌握我司設(shè)備VRRP特性解釋使用VRRP過(guò)程中遇到的一些問(wèn)題課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:理解VRRP的基本概念課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄VRRP的產(chǎn)生VRRP的產(chǎn)生對(duì)于局域網(wǎng)中的端主機(jī),存在多種方法可以使其知道它的第一跳路由器地址,其中包括:運(yùn)行某種動(dòng)態(tài)路由協(xié)議,比如運(yùn)行RIP或者OSPF配置ICMPRouterDiscoveryProtocol(IRDP)配置靜態(tài)缺省路由,即配置網(wǎng)關(guān)。VRRP的產(chǎn)生對(duì)于局域網(wǎng)中的端主機(jī),存在多種方法可以使其知道它的第一跳路由采用動(dòng)態(tài)路由協(xié)議,由于管理開(kāi)銷(xiāo)、處理開(kāi)銷(xiāo)、安全原因以及在某些平臺(tái)上不支持等原因而不現(xiàn)實(shí)。設(shè)想:在一個(gè)網(wǎng)絡(luò)上的所有主機(jī)都運(yùn)行鄰居或者路由發(fā)現(xiàn)協(xié)議,往往主機(jī)數(shù)量都非常龐大,這樣就不得不使用較大的定時(shí)器值以減小協(xié)議開(kāi)銷(xiāo),而這又會(huì)給檢測(cè)死亡鄰居過(guò)程帶來(lái)明顯的延遲,最終導(dǎo)致長(zhǎng)得不可接受的“黑洞”時(shí)間。VRRP的產(chǎn)生采用動(dòng)態(tài)路由協(xié)議,由于管理開(kāi)銷(xiāo)、處理開(kāi)銷(xiāo)、安全原因以及在某些VRRP的產(chǎn)生VRRP的產(chǎn)生在實(shí)際應(yīng)用中,使用配置靜態(tài)缺省路由,即在主機(jī)配置網(wǎng)關(guān)的方法相當(dāng)普遍,這種方法具有最小化的配置和運(yùn)行開(kāi)銷(xiāo),并且被所有基于IP的應(yīng)用所支持。但是,這種方法也有缺點(diǎn),即增加了單點(diǎn)故障的可能性。缺省路由器的不可用將帶來(lái)災(zāi)難性的結(jié)果:當(dāng)缺省路由器失效時(shí),所有相連的端主機(jī)將由于不能檢測(cè)到可以替換的其他可用路徑而造成網(wǎng)絡(luò)中斷。VRRP的產(chǎn)生在實(shí)際應(yīng)用中,使用配置靜態(tài)缺省路由,即在主機(jī)配置網(wǎng)關(guān)的方法相綜合以上兩種方法存在的問(wèn)題,設(shè)計(jì)產(chǎn)生了虛擬路由器冗余協(xié)議(VRRP),采用了靜態(tài)缺省路由的方法,并且很好的避免了單點(diǎn)故障。協(xié)議定義的選舉過(guò)程提供了一個(gè)當(dāng)負(fù)責(zé)轉(zhuǎn)發(fā)的主路由器失效時(shí),備份路由器可以接替負(fù)責(zé)轉(zhuǎn)發(fā)的動(dòng)態(tài)容錯(cuò)機(jī)制。VRRP協(xié)議的這一優(yōu)點(diǎn)使得每一個(gè)端主機(jī)不用配置任何動(dòng)態(tài)路由協(xié)議或者路由發(fā)現(xiàn)協(xié)議,就可以獲得更高的可靠性。VRRP的產(chǎn)生綜合以上兩種方法存在的問(wèn)題,設(shè)計(jì)產(chǎn)生了虛擬路由器冗余協(xié)議(VVRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄VRRP全稱(chēng)VirtualRouterRedundancyProtocol(虛擬路由器冗余協(xié)議)。簡(jiǎn)單來(lái)說(shuō),VRRP是一種容錯(cuò)協(xié)議,它保證當(dāng)主機(jī)的下一跳路由器壞掉時(shí),可以及時(shí)的由另一臺(tái)路由器來(lái)代替,從而保持通訊的連續(xù)性和可靠性。

概述VRRP全稱(chēng)VirtualRouterRedundanc虛擬路由器VRRP協(xié)議管理的抽象對(duì)象,可以由虛擬路由器標(biāo)識(shí)(VRID)和一組IP地址來(lái)定義虛擬路由器的主路由器負(fù)責(zé)轉(zhuǎn)發(fā)發(fā)往虛擬路由器IP地址的報(bào)文,響應(yīng)虛擬路由器IP地址ARP請(qǐng)求虛擬路由器的備份路由器當(dāng)主路由器失效時(shí),接替主路由器VRRP基本概念虛擬路由器VRRP基本概念虛擬路由器的IPAddress虛擬路由器使用的IP地址,可以用其接口上的真實(shí)地址作為虛擬路由器的IP地址,也可以單獨(dú)配置一個(gè)IP地址虛擬路由器的MAC地址00-00-5e-00-01-xx,00005E由IANA分配。0001為分配給VRRP協(xié)議的地址塊。xx為VRRP虛擬路由器標(biāo)識(shí)。該映射在一個(gè)網(wǎng)絡(luò)中提供最多255個(gè)VRRP路由器組。VRRP相關(guān)概念虛擬路由器的IPAddressVRRP相關(guān)概念VRRP協(xié)議只有一種報(bào)文,即主路由器定時(shí)向其它成員發(fā)送的組播報(bào)文。

VRRP協(xié)議報(bào)文封裝在IP報(bào)文中,通過(guò)組播方式進(jìn)行發(fā)送。VRRP報(bào)文結(jié)構(gòu)VRRP協(xié)議只有一種報(bào)文,即主路由器定時(shí)向其它成員發(fā)送的組播VRRP報(bào)文結(jié)構(gòu)VRRP報(bào)文結(jié)構(gòu)Version版本號(hào)報(bào)文中的version字段指VRRP協(xié)議版本,目前普遍應(yīng)用的為版本2Type類(lèi)型type字段定義了VRRP報(bào)文的類(lèi)型。本版本的協(xié)議僅定義了一個(gè)報(bào)文類(lèi)型:

1-ADVERTISEMENT通告,帶有未知類(lèi)型的報(bào)文將被丟棄VRRP報(bào)文Version版本號(hào)VRRP報(bào)文VirtualRtrID(VRID)虛擬路由器標(biāo)識(shí)(VRID)字段標(biāo)識(shí)了此報(bào)文所報(bào)告狀態(tài)的虛擬路由器??膳渲玫姆秶?--255。沒(méi)有缺省值。PriorityPriority字段申明了發(fā)送此報(bào)文的VRRP路由器的優(yōu)先級(jí)。值越高優(yōu)先級(jí)越高。該字段為8位無(wú)符號(hào)整型。缺省的VRRP路由器優(yōu)先級(jí)為100。 注:如果VRRP路由器是虛擬路由器地址的IP地址所有者,那么其優(yōu)先級(jí)必須為255。優(yōu)先級(jí)值0用于指示當(dāng)前虛擬路由器的主路由器停止參與VRRP組。主要用于觸發(fā)備用路由器快速地遷移到主路由器,而不用等待當(dāng)前主路由器超時(shí)。

VRRP報(bào)文VirtualRtrID(VRID)VRRP報(bào)文AuthenticationType認(rèn)證類(lèi)型認(rèn)證類(lèi)型字段用于標(biāo)識(shí)要用到的認(rèn)證方法。在一個(gè)虛擬路由器組內(nèi)認(rèn)證類(lèi)型是唯一的。認(rèn)證類(lèi)型字段是一個(gè)8位無(wú)符號(hào)整型。如果報(bào)文攜帶未知的認(rèn)證類(lèi)型或者該認(rèn)證類(lèi)型和本地配置的認(rèn)證方法不匹配,那么該報(bào)文必須被丟棄。目前定義的認(rèn)證方法有:

0-NoAuthentication不認(rèn)證

1-Reserved保留

2-Reserved保留VRRP報(bào)文AuthenticationType認(rèn)證類(lèi)型VRRPAuthenticationData驗(yàn)證字驗(yàn)證字,目前只有明文認(rèn)證才用到該部分,對(duì)于其它認(rèn)證方式,一律填0。收到未知驗(yàn)證類(lèi)型,或者錯(cuò)誤驗(yàn)證字都會(huì)丟棄VRRP報(bào)文AuthenticationData驗(yàn)證字VRRP報(bào)AdvertisementIntervalVRRP通告間隔時(shí)間,單位為秒。缺省為1秒。這個(gè)字段主要用于錯(cuò)誤配置路由器時(shí)的故障定位和解決。Checksum校驗(yàn)和字段用于檢測(cè)VRRP消息的數(shù)據(jù)是否出錯(cuò)。IPAddressIP地址字段為虛擬路由器的一個(gè)或者多個(gè)IP地址。IP地址的數(shù)量在“CountIPAddrs”字段中說(shuō)明。IP地址字段用于錯(cuò)誤配置路由器時(shí)的故障定位和解決。VRRP報(bào)文AdvertisementIntervalVRRP報(bào)文VRRP報(bào)文的源MAC00-00-5e-00-01-xxVRRP報(bào)文的目的MAC01-00-5e-00-00-12VRRP報(bào)文的二層封裝VRRP報(bào)文的源MAC00-00-5e-00-01源地址報(bào)文被發(fā)出的接口的主IP地址目的地址IANA給VRRP分配的IP組播地址為224.0.0.18。這是一個(gè)本地范圍的組播地址。不論TTL的值是多少,路由器都被禁止轉(zhuǎn)發(fā)以此地址為目標(biāo)地址的報(bào)文。TTLTTL必須為255。當(dāng)VRRP路由器收到TTL不等于255的VRRP協(xié)議報(bào)文后,必須丟棄。協(xié)議號(hào)IANA分配給VRRP的IP協(xié)議號(hào)為112(十進(jìn)制)一般抓包時(shí)顯示0X70(十六進(jìn)制)VRRP報(bào)文的三層封裝源地址VRRP報(bào)文的三層封裝抓包結(jié)果VRRP報(bào)文抓包結(jié)果VRRP報(bào)文VRRP組播報(bào)文的TTL為何是255?一個(gè)問(wèn)題VRRP組播報(bào)文的TTL為何是255?一個(gè)問(wèn)題VRRP組播報(bào)文是用來(lái)在備份組中路由器之間維護(hù)Master/Backup關(guān)系的,只在本網(wǎng)段進(jìn)行傳播,不能被路由器轉(zhuǎn)發(fā)。根據(jù)這些條件,VRRP組播報(bào)文的TTL設(shè)成1就可以了。但是,RFC2338規(guī)定VRRP組播報(bào)文的TTL必須是255,TTL不等于255的報(bào)文將被丟棄。這種設(shè)計(jì)主要是從安全方面考慮的。VRRP可以通過(guò)明文或MD5認(rèn)證來(lái)保證安全,但是無(wú)論哪種認(rèn)證方式都會(huì)消耗一些資源。在本網(wǎng)段的安全可以得到保證的情況下,攻擊主要來(lái)自其它的網(wǎng)段,將TTL設(shè)定為255而不必使用認(rèn)證就可以輕松應(yīng)對(duì)這樣的攻擊。因?yàn)閬?lái)自其它網(wǎng)段的報(bào)文要經(jīng)過(guò)路由器轉(zhuǎn)發(fā),TTL必然小于255。答案VRRP組播報(bào)文是用來(lái)在備份組中路由器之間維護(hù)Master/優(yōu)先級(jí)為255VRRP報(bào)文優(yōu)先級(jí)為0優(yōu)先級(jí)為255VRRP報(bào)文優(yōu)先級(jí)為0多IP地址VRRP報(bào)文明文驗(yàn)證多IP地址VRRP報(bào)文明文驗(yàn)證VRID虛擬路由器標(biāo)識(shí)??膳渲玫姆秶?--255(十進(jìn)制)。沒(méi)有缺省值。

Priority優(yōu)先級(jí)參數(shù)用于在一組VRRP路由器中選舉主路由器。255被保留給擁有虛擬路由器IP地址的IP地址所有者。0被保留給主路由器指示其將放棄虛擬路由器的Master的責(zé)任。虛擬路由器的備用路由器可以使用1--254(十進(jìn)制)的優(yōu)先級(jí)。缺省值為100。IP_Addresses虛擬路由器的IP地址,一個(gè)或者多個(gè),可配置,沒(méi)有缺省值。VRRP的3個(gè)參數(shù)VRIDVRRP的3個(gè)參數(shù)Advertisement_Interval主路由器發(fā)送VRRP組播報(bào)文的時(shí)間間隔,缺省為1秒,用戶(hù)可修改。Master-down-interval間隔時(shí)間是adver-interval的3倍+Skew_Time。Preempt_delay搶占時(shí)間延遲,默認(rèn)為0,即立即搶占。Skew_TimeskewMaster_Down_Interval單位為秒。計(jì)算方法為: (256-優(yōu)先級(jí))/2564個(gè)計(jì)時(shí)器Advertisement_Interval4個(gè)計(jì)時(shí)器Preempt_Mode搶占模式,控制具有更高優(yōu)先級(jí)的備用路由器可否搶占具有較低優(yōu)先級(jí)的主路由器,使自己成為Master。當(dāng)值為真時(shí),允許搶占;當(dāng)值為假時(shí),禁止搶占。缺省值為真。

注意:存在的例外情況是,虛擬路由器IP地址擁有者的路由器總是搶占的,并且獨(dú)立于該標(biāo)志位的設(shè)置。

1個(gè)模式Preempt_Mode1個(gè)模式組成虛擬路由器的路由器會(huì)有三種狀態(tài)機(jī),分別是:InitializeMasterBackupVRRP的狀態(tài)機(jī)組成虛擬路由器的路由器會(huì)有三種狀態(tài)機(jī),分別是:VRRP的狀態(tài)VRRP的狀態(tài)機(jī)INITIALIZEMASTERBACKUP收到一個(gè)比自己本地的優(yōu)先級(jí)大的ADVERTISEMENT報(bào)文MASTER_DOWN_TIMER到時(shí)收到ShutDown消息收到Startup,且優(yōu)先級(jí)為255收到Startup,且優(yōu)先級(jí)小于255收到ShutDown消息VRRP的狀態(tài)機(jī)INITIALIZEMASTERBACKUPInitialize系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài),當(dāng)收到接口startup的消息,將轉(zhuǎn)入Backup或Master狀態(tài)(優(yōu)先級(jí)為255時(shí))。在此狀態(tài)時(shí),不會(huì)對(duì)VRRP報(bào)文做任何處理。VRRP的狀態(tài)機(jī)InitializeVRRP的狀態(tài)機(jī)Master定期發(fā)送VRRP通告消息。響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求,并且響應(yīng)的是虛擬MAC地址,而不是接口的真實(shí)MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報(bào)文。如果它是這個(gè)虛擬IP地址的擁有者(IPAddressOwner),則接收目的IP地址為這個(gè)虛擬IP地址的IP報(bào)文。否則,丟棄這個(gè)IP報(bào)文。在Master狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的VRRP報(bào)文時(shí),才會(huì)轉(zhuǎn)為Backup,當(dāng)接收到接口的Shutdown事件時(shí),轉(zhuǎn)為Initialize。VRRP的狀態(tài)機(jī)MasterVRRP的狀態(tài)機(jī)Backup當(dāng)路由器處于BACKUP狀態(tài)時(shí),它將會(huì)做下列工作:接收Master發(fā)送的VRRP廣播報(bào)文,從中了解Master。對(duì)虛擬IP地址的ARP請(qǐng)求,不做響應(yīng)。丟棄目的MAC地址為虛擬MAC地址的IP報(bào)文。丟棄目的IP地址為虛擬IP地址的IP報(bào)文。接收到VRRP報(bào)文后:如果收到報(bào)文的優(yōu)先級(jí)為0

將狀態(tài)設(shè)置為Master,開(kāi)始發(fā)送報(bào)文如果收到報(bào)文優(yōu)先級(jí)小于本地優(yōu)先級(jí)而且本地設(shè)置了搶占方式,一段時(shí)間后轉(zhuǎn)為Master狀態(tài)VRRP的狀態(tài)機(jī)BackupVRRP的狀態(tài)機(jī)Backup否則正常接收,對(duì)定時(shí)器進(jìn)行重置處于Backup狀態(tài)的設(shè)備,當(dāng)3×adver_interval+(256-Priority)/256時(shí)間沒(méi)有收到Master發(fā)來(lái)的VRRP報(bào)文,則認(rèn)為當(dāng)前的Master已經(jīng)Down掉,將自己轉(zhuǎn)為Master狀態(tài),發(fā)送VRRP報(bào)文VRRP的狀態(tài)機(jī)BackupVRRP的狀態(tài)機(jī)根據(jù)優(yōu)先級(jí)的大小挑選主路由器,優(yōu)先級(jí)最大的為主路由器,若優(yōu)先級(jí)相同,則比較接口的主IP地址,主IP地址大的就成為主路由器,由它提供實(shí)際的路由服務(wù)。其它路由器作為備份路由器,隨時(shí)監(jiān)測(cè)主路由器的狀態(tài)。當(dāng)主路由器正常工作時(shí),它會(huì)每隔一段時(shí)間(Advertisement_Interval)發(fā)送一個(gè)VRRP組播報(bào)文,以通知組內(nèi)的備份路由器,主路由器處于正常工作狀態(tài)。當(dāng)組內(nèi)的備份路由器長(zhǎng)時(shí)間(Master_Down_Interval)沒(méi)有接收到來(lái)自主路由器的報(bào)文,則將自己轉(zhuǎn)為主路由器。當(dāng)組內(nèi)有多臺(tái)備份路由器時(shí),將有可能產(chǎn)生多個(gè)主路由器。這時(shí)每一個(gè)主路由器就會(huì)比較VRRP報(bào)文中的優(yōu)先級(jí)(priority)和自己本地的優(yōu)先級(jí),如果本地的優(yōu)先級(jí)小于VRRP中的優(yōu)先級(jí),則將自己的狀態(tài)轉(zhuǎn)為備份路由器,否則保持自己的狀態(tài)不變。通過(guò)這樣一個(gè)過(guò)程,就會(huì)將優(yōu)先級(jí)最大的路由器選成新的主路由器,完成VRRP的備份功能。VRRP的工作過(guò)程根據(jù)優(yōu)先級(jí)的大小挑選主路由器,優(yōu)先級(jí)最大的為主路由器,若優(yōu)先ARP查詢(xún)處理當(dāng)內(nèi)部主機(jī)通過(guò)ARP查詢(xún)虛擬路由器IP地址對(duì)應(yīng)的MAC地址時(shí),MASTER路由器回復(fù)的MAC地址為虛擬的VRRP的MAC地址,而不是實(shí)際網(wǎng)卡的MAC地址,這樣在路由器切換時(shí)讓內(nèi)網(wǎng)機(jī)器覺(jué)察不到;而在路由器重新啟動(dòng)時(shí),不能主動(dòng)發(fā)送本機(jī)網(wǎng)卡的實(shí)際MAC地址。如果虛擬路由器開(kāi)啟的ARP代理(proxy_arp)功能,代理的ARP回應(yīng)也回應(yīng)VRRP虛擬MAC地址。VRRP的一些問(wèn)題處理ARP查詢(xún)處理VRRP的一些問(wèn)題處理ICMP重定向處理

ICMP重定向會(huì)導(dǎo)致將路由器的真實(shí)接口IP地址通過(guò)重定向報(bào)文通知給網(wǎng)絡(luò)內(nèi)的主機(jī)如果重定向報(bào)文中的目的地址的下一跳是一個(gè)備份組的MASTER,就將這個(gè)備份組的虛擬IP地址填充到ICMP重定向報(bào)文中的下一跳。如果重定向報(bào)文中的目的地址地下一跳是一個(gè)備份組的BACKUP,就不發(fā)送ICMP重定向報(bào)文。如果重定向報(bào)文中的目的地址地下一跳是一個(gè)沒(méi)有運(yùn)行VRRP的路由器,就將這個(gè)路由器的真實(shí)接口IP地址填充到ICMP重定向報(bào)文中的下一跳。VRRP的一些問(wèn)題處理ICMP重定向處理VRRP的一些問(wèn)題處理VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄虛擬IP地址應(yīng)不應(yīng)該能夠ping通?RFC2338并沒(méi)有規(guī)定虛擬IP地址應(yīng)不應(yīng)該ping通。目前在我司和C公司的設(shè)備上都提供了切換ping通虛擬IP地址的開(kāi)關(guān)命令。RFC2338沒(méi)有對(duì)這一行為作出規(guī)定,如果能夠ping通虛擬IP地址,可以比較方便的監(jiān)控虛擬路由器的工作情況,但是這樣也帶來(lái)了可能遭到ICMP攻擊的隱患,同時(shí)也不能分辨當(dāng)前虛擬路由器中是否存在IP地址擁有者。而如果虛擬IP地址不能ping通,會(huì)給監(jiān)控虛擬路由器的工作情況帶來(lái)一定的麻煩。兩種實(shí)現(xiàn)方法應(yīng)該說(shuō)是各有利弊。我司產(chǎn)品VRRP特性虛擬IP地址應(yīng)不應(yīng)該能夠ping通?RFC2338并沒(méi)有規(guī)虛擬IP地址應(yīng)不應(yīng)該能夠ping通?如果在一個(gè)備份組中,有的路由器對(duì)應(yīng)的虛地址配置了可以PING通,有的不能被PING通,這時(shí)在主備切換過(guò)程中,如果Master當(dāng)前對(duì)應(yīng)到配置了可以PING通的設(shè)備上,則虛地址能夠PING通,否則PING不通。地址擁有者任何時(shí)候都可PING通。我司產(chǎn)品VRRP特性虛擬IP地址應(yīng)不應(yīng)該能夠ping通?如果在一個(gè)備份組中,有圖中3處故障,哪幾處可以引起VRRP的切換,此處故障是否能夠引起VRRP的切換我司產(chǎn)品VRRP特性圖中3處故障,哪幾處可以引起VRRP的切換,此處故障是否能夠vlan接口或以太網(wǎng)接口狀態(tài)改變對(duì)虛擬路由器優(yōu)先級(jí)的影響[H3C-Vlan-interface10]vrrpvrid1track?EthernetEthernetinterfaceGigabitEthernetGigabitEthernetinterfaceVlan-interfaceVLANinterfacedetect-grouptrackdetect-groupifmtrackIFM某些vlan接口或以太網(wǎng)接口狀態(tài)改變時(shí)將虛擬路由器優(yōu)先級(jí)降低,當(dāng)接口狀態(tài)恢復(fù),虛擬路由器優(yōu)先級(jí)也恢復(fù)優(yōu)先級(jí),缺省減10,例如:[H3C-Vlan-interface10]vrrpvrrpvrid1trackGigabitEthernet1/1[H3C-Vlan-interface10]vrrpvrrpvrid1trackEthernet0/17reduce20[H3C-Vlan-interface10]vrrpvrrpvrid1trackVlan-interface120我司產(chǎn)品VRRP特性vlan接口或以太網(wǎng)接口狀態(tài)改變對(duì)虛擬路由器優(yōu)先級(jí)的影響我司免費(fèi)ARP的發(fā)送,使主機(jī)刷新MAC地址表我司設(shè)備虛MAC、實(shí)MAC都可以發(fā)送免費(fèi)ARP。如果是虛實(shí)混合方式,則視Master對(duì)應(yīng)設(shè)備選擇的方式,來(lái)確定是以虛MAC還是實(shí)MAC方式發(fā)送。我司產(chǎn)品VRRP特性免費(fèi)ARP的發(fā)送,使主機(jī)刷新MAC地址表我司產(chǎn)品VRRP特性VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄我司設(shè)備與其他廠家設(shè)備認(rèn)證不通過(guò)使用不認(rèn)證和simple方式,VRRP能夠正?;ネ?。使用MD5認(rèn)證出現(xiàn)多個(gè)Master。我司設(shè)備之間使用MD5認(rèn)證能夠通過(guò),但是抓包顯示錯(cuò)誤。另外:在當(dāng)前的備份組當(dāng)中各臺(tái)設(shè)備認(rèn)證方式不一致,也會(huì)出現(xiàn)多個(gè)Master的情況。MD5認(rèn)證問(wèn)題我司設(shè)備與其他廠家設(shè)備認(rèn)證不通過(guò)MD5認(rèn)證問(wèn)題在2004年,IETF將RFC2338作廢,新版本RFC3768較RFC2338的改進(jìn)新版的VRRP較老版簡(jiǎn)化了認(rèn)證處理,實(shí)際不再進(jìn)行數(shù)據(jù)的認(rèn)證,這是因?yàn)樵趯?shí)際應(yīng)用中經(jīng)常出現(xiàn)認(rèn)證成為造成多個(gè)MASTER同時(shí)使用的異常情況。AuthType:認(rèn)證類(lèi)型,8位,RFC3768中認(rèn)證功能已經(jīng)取消,此字段值定義0(不認(rèn)證),為1,2只作為對(duì)老版本的兼容;AuthenticationData:RFC3768中定義該字段只是為了和老版本兼容,必須置0。RFC2338和3768的區(qū)別在2004年,IETF將RFC2338作廢,新版本RFC37優(yōu)先級(jí)相同的時(shí)候比較IP地址大小在網(wǎng)絡(luò)穩(wěn)定時(shí),各臺(tái)設(shè)備配置了搶占模式,新加入的設(shè)備優(yōu)先級(jí)和其他設(shè)備相同,即使IP地址大,也不會(huì)搶占。只有網(wǎng)絡(luò)中同時(shí)出現(xiàn)多個(gè)Master,并且各個(gè)Master的優(yōu)先級(jí)相同,這個(gè)時(shí)候才會(huì)迫不得已進(jìn)行比較IP地址大小。什么時(shí)候會(huì)比較IP地址大小優(yōu)先級(jí)相同的時(shí)候比較IP地址大小什么時(shí)候會(huì)比較IP地址大小優(yōu)先級(jí)為0的報(bào)文,表示路由器停止參與VRRP,用來(lái)使備份路由器盡快成為主路由器,而不必等到計(jì)時(shí)器超時(shí)接口shutdown刪除備份組什么時(shí)候會(huì)出現(xiàn)優(yōu)先級(jí)為0的報(bào)文優(yōu)先級(jí)為0的報(bào)文,表示路由器停止參與VRRP,用來(lái)使備份路由免費(fèi)ARP的發(fā)送,使端主機(jī)刷新MAC地址表在進(jìn)行了主備倒換之后,新的Master會(huì)主動(dòng)發(fā)送免費(fèi)ARP。什么時(shí)候發(fā)送免費(fèi)ARPMaster免費(fèi)ARP的發(fā)送,使端主機(jī)刷新MAC地址表什么時(shí)候發(fā)送免費(fèi)A什么時(shí)候發(fā)送免費(fèi)ARP在新的Master出現(xiàn)后,會(huì)發(fā)送免費(fèi)ARP消息什么時(shí)候發(fā)送免費(fèi)ARP在新的Master出現(xiàn)后,會(huì)發(fā)送免費(fèi)A設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxyVirt:1.1.1.10/16Real:1.1.1.1/161.2.1.2/161.2.1.1/161.1.1.2/8Virt:1.1.1.10/16設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxyVir設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxy設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxy設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxy設(shè)備會(huì)以自己的虛MAC地址回給主機(jī)Arp-proxy設(shè)備在發(fā)送ICMPredirct時(shí)會(huì)填備份組的虛MACICMPredirectVirt:1.1.1.10/16Real:1.1.1.1/161.1.1.2/8Route:30.30.30.1/24eth0/01.1.1.111.1.1.1130.30.30.30/24設(shè)備在發(fā)送ICMPredirct時(shí)會(huì)填備份組的虛MACIC設(shè)備會(huì)以虛MAC回復(fù)ICMPredirctICMPredirect設(shè)備會(huì)以虛MAC回復(fù)ICMPredirctICMPred設(shè)備會(huì)以虛MAC回復(fù)ICMPredirctICMPredirect設(shè)備會(huì)以虛MAC回復(fù)ICMPredirctICMPred多IP的使用:同一個(gè)備份組也可以實(shí)現(xiàn)負(fù)載分擔(dān)同一個(gè)備份組也可以實(shí)現(xiàn)負(fù)載分擔(dān)MasterBackupVRID=1Vir:10.10.10.1010.10.10.11VRID=1Vir:10.10.10.1010.10.10.11Gateway:10.10.10.10Gateway:10.10.10.11VRID=2Vir:10.10.10.122.2.2.1Gateway:10.10.10.12Gateway:2.2.2.1多IP的使用:同一個(gè)備份組也可以實(shí)現(xiàn)負(fù)載分擔(dān)同一個(gè)備份組也可在IPv6環(huán)境中,VRRPv3的使用(draft-ietf-vrrp-ipv6-spec07)VRRPv3簡(jiǎn)介MasterBackupVRID=1Rea:FE80::2Vir:FE80::1VRID=1Rea:FE80::3Vir:FE80::1自動(dòng)獲取在IPv6環(huán)境中,VRRPv3的使用(draft-ietf-在IPv6環(huán)境中,VRRPv3VRRPv3簡(jiǎn)介在IPv6環(huán)境中,VRRPv3VRRPv3簡(jiǎn)介在IPv6環(huán)境中,VRRPv3VRRPv3簡(jiǎn)介在IPv6環(huán)境中,VRRPv3VRRPv3簡(jiǎn)介VRRP實(shí)現(xiàn)了對(duì)路由器IP地址的冗余功能,防止了單點(diǎn)故障造成的網(wǎng)絡(luò)失效,VRRP本身是熱備形式的,但是可以通過(guò)互相熱備實(shí)現(xiàn)路由器的均衡處理。在RFC3768中對(duì)VRRP進(jìn)行了改進(jìn),簡(jiǎn)化了認(rèn)證處理。本章總結(jié)VRRP實(shí)現(xiàn)了對(duì)路由器IP地址的冗余功能,防止了單點(diǎn)故障造成VRRP協(xié)議詳解課件姓名:邊冬松工號(hào):01023綜合測(cè)試支持部姓名:邊冬松VRRP協(xié)議綜合測(cè)試支持部VRRP協(xié)議綜合測(cè)試支持部理解VRRP的基本概念掌握VRRP的基本工作原理掌握我司設(shè)備VRRP特性解釋使用VRRP過(guò)程中遇到的一些問(wèn)題課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:理解VRRP的基本概念課程目標(biāo)學(xué)習(xí)完本課程,您應(yīng)該能夠:VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄VRRP的產(chǎn)生VRRP的產(chǎn)生對(duì)于局域網(wǎng)中的端主機(jī),存在多種方法可以使其知道它的第一跳路由器地址,其中包括:運(yùn)行某種動(dòng)態(tài)路由協(xié)議,比如運(yùn)行RIP或者OSPF配置ICMPRouterDiscoveryProtocol(IRDP)配置靜態(tài)缺省路由,即配置網(wǎng)關(guān)。VRRP的產(chǎn)生對(duì)于局域網(wǎng)中的端主機(jī),存在多種方法可以使其知道它的第一跳路由采用動(dòng)態(tài)路由協(xié)議,由于管理開(kāi)銷(xiāo)、處理開(kāi)銷(xiāo)、安全原因以及在某些平臺(tái)上不支持等原因而不現(xiàn)實(shí)。設(shè)想:在一個(gè)網(wǎng)絡(luò)上的所有主機(jī)都運(yùn)行鄰居或者路由發(fā)現(xiàn)協(xié)議,往往主機(jī)數(shù)量都非常龐大,這樣就不得不使用較大的定時(shí)器值以減小協(xié)議開(kāi)銷(xiāo),而這又會(huì)給檢測(cè)死亡鄰居過(guò)程帶來(lái)明顯的延遲,最終導(dǎo)致長(zhǎng)得不可接受的“黑洞”時(shí)間。VRRP的產(chǎn)生采用動(dòng)態(tài)路由協(xié)議,由于管理開(kāi)銷(xiāo)、處理開(kāi)銷(xiāo)、安全原因以及在某些VRRP的產(chǎn)生VRRP的產(chǎn)生在實(shí)際應(yīng)用中,使用配置靜態(tài)缺省路由,即在主機(jī)配置網(wǎng)關(guān)的方法相當(dāng)普遍,這種方法具有最小化的配置和運(yùn)行開(kāi)銷(xiāo),并且被所有基于IP的應(yīng)用所支持。但是,這種方法也有缺點(diǎn),即增加了單點(diǎn)故障的可能性。缺省路由器的不可用將帶來(lái)災(zāi)難性的結(jié)果:當(dāng)缺省路由器失效時(shí),所有相連的端主機(jī)將由于不能檢測(cè)到可以替換的其他可用路徑而造成網(wǎng)絡(luò)中斷。VRRP的產(chǎn)生在實(shí)際應(yīng)用中,使用配置靜態(tài)缺省路由,即在主機(jī)配置網(wǎng)關(guān)的方法相綜合以上兩種方法存在的問(wèn)題,設(shè)計(jì)產(chǎn)生了虛擬路由器冗余協(xié)議(VRRP),采用了靜態(tài)缺省路由的方法,并且很好的避免了單點(diǎn)故障。協(xié)議定義的選舉過(guò)程提供了一個(gè)當(dāng)負(fù)責(zé)轉(zhuǎn)發(fā)的主路由器失效時(shí),備份路由器可以接替負(fù)責(zé)轉(zhuǎn)發(fā)的動(dòng)態(tài)容錯(cuò)機(jī)制。VRRP協(xié)議的這一優(yōu)點(diǎn)使得每一個(gè)端主機(jī)不用配置任何動(dòng)態(tài)路由協(xié)議或者路由發(fā)現(xiàn)協(xié)議,就可以獲得更高的可靠性。VRRP的產(chǎn)生綜合以上兩種方法存在的問(wèn)題,設(shè)計(jì)產(chǎn)生了虛擬路由器冗余協(xié)議(VVRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄VRRP全稱(chēng)VirtualRouterRedundancyProtocol(虛擬路由器冗余協(xié)議)。簡(jiǎn)單來(lái)說(shuō),VRRP是一種容錯(cuò)協(xié)議,它保證當(dāng)主機(jī)的下一跳路由器壞掉時(shí),可以及時(shí)的由另一臺(tái)路由器來(lái)代替,從而保持通訊的連續(xù)性和可靠性。

概述VRRP全稱(chēng)VirtualRouterRedundanc虛擬路由器VRRP協(xié)議管理的抽象對(duì)象,可以由虛擬路由器標(biāo)識(shí)(VRID)和一組IP地址來(lái)定義虛擬路由器的主路由器負(fù)責(zé)轉(zhuǎn)發(fā)發(fā)往虛擬路由器IP地址的報(bào)文,響應(yīng)虛擬路由器IP地址ARP請(qǐng)求虛擬路由器的備份路由器當(dāng)主路由器失效時(shí),接替主路由器VRRP基本概念虛擬路由器VRRP基本概念虛擬路由器的IPAddress虛擬路由器使用的IP地址,可以用其接口上的真實(shí)地址作為虛擬路由器的IP地址,也可以單獨(dú)配置一個(gè)IP地址虛擬路由器的MAC地址00-00-5e-00-01-xx,00005E由IANA分配。0001為分配給VRRP協(xié)議的地址塊。xx為VRRP虛擬路由器標(biāo)識(shí)。該映射在一個(gè)網(wǎng)絡(luò)中提供最多255個(gè)VRRP路由器組。VRRP相關(guān)概念虛擬路由器的IPAddressVRRP相關(guān)概念VRRP協(xié)議只有一種報(bào)文,即主路由器定時(shí)向其它成員發(fā)送的組播報(bào)文。

VRRP協(xié)議報(bào)文封裝在IP報(bào)文中,通過(guò)組播方式進(jìn)行發(fā)送。VRRP報(bào)文結(jié)構(gòu)VRRP協(xié)議只有一種報(bào)文,即主路由器定時(shí)向其它成員發(fā)送的組播VRRP報(bào)文結(jié)構(gòu)VRRP報(bào)文結(jié)構(gòu)Version版本號(hào)報(bào)文中的version字段指VRRP協(xié)議版本,目前普遍應(yīng)用的為版本2Type類(lèi)型type字段定義了VRRP報(bào)文的類(lèi)型。本版本的協(xié)議僅定義了一個(gè)報(bào)文類(lèi)型:

1-ADVERTISEMENT通告,帶有未知類(lèi)型的報(bào)文將被丟棄VRRP報(bào)文Version版本號(hào)VRRP報(bào)文VirtualRtrID(VRID)虛擬路由器標(biāo)識(shí)(VRID)字段標(biāo)識(shí)了此報(bào)文所報(bào)告狀態(tài)的虛擬路由器。可配置的范圍是1--255。沒(méi)有缺省值。PriorityPriority字段申明了發(fā)送此報(bào)文的VRRP路由器的優(yōu)先級(jí)。值越高優(yōu)先級(jí)越高。該字段為8位無(wú)符號(hào)整型。缺省的VRRP路由器優(yōu)先級(jí)為100。 注:如果VRRP路由器是虛擬路由器地址的IP地址所有者,那么其優(yōu)先級(jí)必須為255。優(yōu)先級(jí)值0用于指示當(dāng)前虛擬路由器的主路由器停止參與VRRP組。主要用于觸發(fā)備用路由器快速地遷移到主路由器,而不用等待當(dāng)前主路由器超時(shí)。

VRRP報(bào)文VirtualRtrID(VRID)VRRP報(bào)文AuthenticationType認(rèn)證類(lèi)型認(rèn)證類(lèi)型字段用于標(biāo)識(shí)要用到的認(rèn)證方法。在一個(gè)虛擬路由器組內(nèi)認(rèn)證類(lèi)型是唯一的。認(rèn)證類(lèi)型字段是一個(gè)8位無(wú)符號(hào)整型。如果報(bào)文攜帶未知的認(rèn)證類(lèi)型或者該認(rèn)證類(lèi)型和本地配置的認(rèn)證方法不匹配,那么該報(bào)文必須被丟棄。目前定義的認(rèn)證方法有:

0-NoAuthentication不認(rèn)證

1-Reserved保留

2-Reserved保留VRRP報(bào)文AuthenticationType認(rèn)證類(lèi)型VRRPAuthenticationData驗(yàn)證字驗(yàn)證字,目前只有明文認(rèn)證才用到該部分,對(duì)于其它認(rèn)證方式,一律填0。收到未知驗(yàn)證類(lèi)型,或者錯(cuò)誤驗(yàn)證字都會(huì)丟棄VRRP報(bào)文AuthenticationData驗(yàn)證字VRRP報(bào)AdvertisementIntervalVRRP通告間隔時(shí)間,單位為秒。缺省為1秒。這個(gè)字段主要用于錯(cuò)誤配置路由器時(shí)的故障定位和解決。Checksum校驗(yàn)和字段用于檢測(cè)VRRP消息的數(shù)據(jù)是否出錯(cuò)。IPAddressIP地址字段為虛擬路由器的一個(gè)或者多個(gè)IP地址。IP地址的數(shù)量在“CountIPAddrs”字段中說(shuō)明。IP地址字段用于錯(cuò)誤配置路由器時(shí)的故障定位和解決。VRRP報(bào)文AdvertisementIntervalVRRP報(bào)文VRRP報(bào)文的源MAC00-00-5e-00-01-xxVRRP報(bào)文的目的MAC01-00-5e-00-00-12VRRP報(bào)文的二層封裝VRRP報(bào)文的源MAC00-00-5e-00-01源地址報(bào)文被發(fā)出的接口的主IP地址目的地址IANA給VRRP分配的IP組播地址為224.0.0.18。這是一個(gè)本地范圍的組播地址。不論TTL的值是多少,路由器都被禁止轉(zhuǎn)發(fā)以此地址為目標(biāo)地址的報(bào)文。TTLTTL必須為255。當(dāng)VRRP路由器收到TTL不等于255的VRRP協(xié)議報(bào)文后,必須丟棄。協(xié)議號(hào)IANA分配給VRRP的IP協(xié)議號(hào)為112(十進(jìn)制)一般抓包時(shí)顯示0X70(十六進(jìn)制)VRRP報(bào)文的三層封裝源地址VRRP報(bào)文的三層封裝抓包結(jié)果VRRP報(bào)文抓包結(jié)果VRRP報(bào)文VRRP組播報(bào)文的TTL為何是255?一個(gè)問(wèn)題VRRP組播報(bào)文的TTL為何是255?一個(gè)問(wèn)題VRRP組播報(bào)文是用來(lái)在備份組中路由器之間維護(hù)Master/Backup關(guān)系的,只在本網(wǎng)段進(jìn)行傳播,不能被路由器轉(zhuǎn)發(fā)。根據(jù)這些條件,VRRP組播報(bào)文的TTL設(shè)成1就可以了。但是,RFC2338規(guī)定VRRP組播報(bào)文的TTL必須是255,TTL不等于255的報(bào)文將被丟棄。這種設(shè)計(jì)主要是從安全方面考慮的。VRRP可以通過(guò)明文或MD5認(rèn)證來(lái)保證安全,但是無(wú)論哪種認(rèn)證方式都會(huì)消耗一些資源。在本網(wǎng)段的安全可以得到保證的情況下,攻擊主要來(lái)自其它的網(wǎng)段,將TTL設(shè)定為255而不必使用認(rèn)證就可以輕松應(yīng)對(duì)這樣的攻擊。因?yàn)閬?lái)自其它網(wǎng)段的報(bào)文要經(jīng)過(guò)路由器轉(zhuǎn)發(fā),TTL必然小于255。答案VRRP組播報(bào)文是用來(lái)在備份組中路由器之間維護(hù)Master/優(yōu)先級(jí)為255VRRP報(bào)文優(yōu)先級(jí)為0優(yōu)先級(jí)為255VRRP報(bào)文優(yōu)先級(jí)為0多IP地址VRRP報(bào)文明文驗(yàn)證多IP地址VRRP報(bào)文明文驗(yàn)證VRID虛擬路由器標(biāo)識(shí)??膳渲玫姆秶?--255(十進(jìn)制)。沒(méi)有缺省值。

Priority優(yōu)先級(jí)參數(shù)用于在一組VRRP路由器中選舉主路由器。255被保留給擁有虛擬路由器IP地址的IP地址所有者。0被保留給主路由器指示其將放棄虛擬路由器的Master的責(zé)任。虛擬路由器的備用路由器可以使用1--254(十進(jìn)制)的優(yōu)先級(jí)。缺省值為100。IP_Addresses虛擬路由器的IP地址,一個(gè)或者多個(gè),可配置,沒(méi)有缺省值。VRRP的3個(gè)參數(shù)VRIDVRRP的3個(gè)參數(shù)Advertisement_Interval主路由器發(fā)送VRRP組播報(bào)文的時(shí)間間隔,缺省為1秒,用戶(hù)可修改。Master-down-interval間隔時(shí)間是adver-interval的3倍+Skew_Time。Preempt_delay搶占時(shí)間延遲,默認(rèn)為0,即立即搶占。Skew_TimeskewMaster_Down_Interval單位為秒。計(jì)算方法為: (256-優(yōu)先級(jí))/2564個(gè)計(jì)時(shí)器Advertisement_Interval4個(gè)計(jì)時(shí)器Preempt_Mode搶占模式,控制具有更高優(yōu)先級(jí)的備用路由器可否搶占具有較低優(yōu)先級(jí)的主路由器,使自己成為Master。當(dāng)值為真時(shí),允許搶占;當(dāng)值為假時(shí),禁止搶占。缺省值為真。

注意:存在的例外情況是,虛擬路由器IP地址擁有者的路由器總是搶占的,并且獨(dú)立于該標(biāo)志位的設(shè)置。

1個(gè)模式Preempt_Mode1個(gè)模式組成虛擬路由器的路由器會(huì)有三種狀態(tài)機(jī),分別是:InitializeMasterBackupVRRP的狀態(tài)機(jī)組成虛擬路由器的路由器會(huì)有三種狀態(tài)機(jī),分別是:VRRP的狀態(tài)VRRP的狀態(tài)機(jī)INITIALIZEMASTERBACKUP收到一個(gè)比自己本地的優(yōu)先級(jí)大的ADVERTISEMENT報(bào)文MASTER_DOWN_TIMER到時(shí)收到ShutDown消息收到Startup,且優(yōu)先級(jí)為255收到Startup,且優(yōu)先級(jí)小于255收到ShutDown消息VRRP的狀態(tài)機(jī)INITIALIZEMASTERBACKUPInitialize系統(tǒng)啟動(dòng)后進(jìn)入此狀態(tài),當(dāng)收到接口startup的消息,將轉(zhuǎn)入Backup或Master狀態(tài)(優(yōu)先級(jí)為255時(shí))。在此狀態(tài)時(shí),不會(huì)對(duì)VRRP報(bào)文做任何處理。VRRP的狀態(tài)機(jī)InitializeVRRP的狀態(tài)機(jī)Master定期發(fā)送VRRP通告消息。響應(yīng)對(duì)虛擬IP地址的ARP請(qǐng)求,并且響應(yīng)的是虛擬MAC地址,而不是接口的真實(shí)MAC地址。轉(zhuǎn)發(fā)目的MAC地址為虛擬MAC地址的IP報(bào)文。如果它是這個(gè)虛擬IP地址的擁有者(IPAddressOwner),則接收目的IP地址為這個(gè)虛擬IP地址的IP報(bào)文。否則,丟棄這個(gè)IP報(bào)文。在Master狀態(tài)中只有接收到比自己的優(yōu)先級(jí)大的VRRP報(bào)文時(shí),才會(huì)轉(zhuǎn)為Backup,當(dāng)接收到接口的Shutdown事件時(shí),轉(zhuǎn)為Initialize。VRRP的狀態(tài)機(jī)MasterVRRP的狀態(tài)機(jī)Backup當(dāng)路由器處于BACKUP狀態(tài)時(shí),它將會(huì)做下列工作:接收Master發(fā)送的VRRP廣播報(bào)文,從中了解Master。對(duì)虛擬IP地址的ARP請(qǐng)求,不做響應(yīng)。丟棄目的MAC地址為虛擬MAC地址的IP報(bào)文。丟棄目的IP地址為虛擬IP地址的IP報(bào)文。接收到VRRP報(bào)文后:如果收到報(bào)文的優(yōu)先級(jí)為0

將狀態(tài)設(shè)置為Master,開(kāi)始發(fā)送報(bào)文如果收到報(bào)文優(yōu)先級(jí)小于本地優(yōu)先級(jí)而且本地設(shè)置了搶占方式,一段時(shí)間后轉(zhuǎn)為Master狀態(tài)VRRP的狀態(tài)機(jī)BackupVRRP的狀態(tài)機(jī)Backup否則正常接收,對(duì)定時(shí)器進(jìn)行重置處于Backup狀態(tài)的設(shè)備,當(dāng)3×adver_interval+(256-Priority)/256時(shí)間沒(méi)有收到Master發(fā)來(lái)的VRRP報(bào)文,則認(rèn)為當(dāng)前的Master已經(jīng)Down掉,將自己轉(zhuǎn)為Master狀態(tài),發(fā)送VRRP報(bào)文VRRP的狀態(tài)機(jī)BackupVRRP的狀態(tài)機(jī)根據(jù)優(yōu)先級(jí)的大小挑選主路由器,優(yōu)先級(jí)最大的為主路由器,若優(yōu)先級(jí)相同,則比較接口的主IP地址,主IP地址大的就成為主路由器,由它提供實(shí)際的路由服務(wù)。其它路由器作為備份路由器,隨時(shí)監(jiān)測(cè)主路由器的狀態(tài)。當(dāng)主路由器正常工作時(shí),它會(huì)每隔一段時(shí)間(Advertisement_Interval)發(fā)送一個(gè)VRRP組播報(bào)文,以通知組內(nèi)的備份路由器,主路由器處于正常工作狀態(tài)。當(dāng)組內(nèi)的備份路由器長(zhǎng)時(shí)間(Master_Down_Interval)沒(méi)有接收到來(lái)自主路由器的報(bào)文,則將自己轉(zhuǎn)為主路由器。當(dāng)組內(nèi)有多臺(tái)備份路由器時(shí),將有可能產(chǎn)生多個(gè)主路由器。這時(shí)每一個(gè)主路由器就會(huì)比較VRRP報(bào)文中的優(yōu)先級(jí)(priority)和自己本地的優(yōu)先級(jí),如果本地的優(yōu)先級(jí)小于VRRP中的優(yōu)先級(jí),則將自己的狀態(tài)轉(zhuǎn)為備份路由器,否則保持自己的狀態(tài)不變。通過(guò)這樣一個(gè)過(guò)程,就會(huì)將優(yōu)先級(jí)最大的路由器選成新的主路由器,完成VRRP的備份功能。VRRP的工作過(guò)程根據(jù)優(yōu)先級(jí)的大小挑選主路由器,優(yōu)先級(jí)最大的為主路由器,若優(yōu)先ARP查詢(xún)處理當(dāng)內(nèi)部主機(jī)通過(guò)ARP查詢(xún)虛擬路由器IP地址對(duì)應(yīng)的MAC地址時(shí),MASTER路由器回復(fù)的MAC地址為虛擬的VRRP的MAC地址,而不是實(shí)際網(wǎng)卡的MAC地址,這樣在路由器切換時(shí)讓內(nèi)網(wǎng)機(jī)器覺(jué)察不到;而在路由器重新啟動(dòng)時(shí),不能主動(dòng)發(fā)送本機(jī)網(wǎng)卡的實(shí)際MAC地址。如果虛擬路由器開(kāi)啟的ARP代理(proxy_arp)功能,代理的ARP回應(yīng)也回應(yīng)VRRP虛擬MAC地址。VRRP的一些問(wèn)題處理ARP查詢(xún)處理VRRP的一些問(wèn)題處理ICMP重定向處理

ICMP重定向會(huì)導(dǎo)致將路由器的真實(shí)接口IP地址通過(guò)重定向報(bào)文通知給網(wǎng)絡(luò)內(nèi)的主機(jī)如果重定向報(bào)文中的目的地址的下一跳是一個(gè)備份組的MASTER,就將這個(gè)備份組的虛擬IP地址填充到ICMP重定向報(bào)文中的下一跳。如果重定向報(bào)文中的目的地址地下一跳是一個(gè)備份組的BACKUP,就不發(fā)送ICMP重定向報(bào)文。如果重定向報(bào)文中的目的地址地下一跳是一個(gè)沒(méi)有運(yùn)行VRRP的路由器,就將這個(gè)路由器的真實(shí)接口IP地址填充到ICMP重定向報(bào)文中的下一跳。VRRP的一些問(wèn)題處理ICMP重定向處理VRRP的一些問(wèn)題處理VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄虛擬IP地址應(yīng)不應(yīng)該能夠ping通?RFC2338并沒(méi)有規(guī)定虛擬IP地址應(yīng)不應(yīng)該ping通。目前在我司和C公司的設(shè)備上都提供了切換ping通虛擬IP地址的開(kāi)關(guān)命令。RFC2338沒(méi)有對(duì)這一行為作出規(guī)定,如果能夠ping通虛擬IP地址,可以比較方便的監(jiān)控虛擬路由器的工作情況,但是這樣也帶來(lái)了可能遭到ICMP攻擊的隱患,同時(shí)也不能分辨當(dāng)前虛擬路由器中是否存在IP地址擁有者。而如果虛擬IP地址不能ping通,會(huì)給監(jiān)控虛擬路由器的工作情況帶來(lái)一定的麻煩。兩種實(shí)現(xiàn)方法應(yīng)該說(shuō)是各有利弊。我司產(chǎn)品VRRP特性虛擬IP地址應(yīng)不應(yīng)該能夠ping通?RFC2338并沒(méi)有規(guī)虛擬IP地址應(yīng)不應(yīng)該能夠ping通?如果在一個(gè)備份組中,有的路由器對(duì)應(yīng)的虛地址配置了可以PING通,有的不能被PING通,這時(shí)在主備切換過(guò)程中,如果Master當(dāng)前對(duì)應(yīng)到配置了可以PING通的設(shè)備上,則虛地址能夠PING通,否則PING不通。地址擁有者任何時(shí)候都可PING通。我司產(chǎn)品VRRP特性虛擬IP地址應(yīng)不應(yīng)該能夠ping通?如果在一個(gè)備份組中,有圖中3處故障,哪幾處可以引起VRRP的切換,此處故障是否能夠引起VRRP的切換我司產(chǎn)品VRRP特性圖中3處故障,哪幾處可以引起VRRP的切換,此處故障是否能夠vlan接口或以太網(wǎng)接口狀態(tài)改變對(duì)虛擬路由器優(yōu)先級(jí)的影響[H3C-Vlan-interface10]vrrpvrid1track?EthernetEthernetinterfaceGigabitEthernetGigabitEthernetinterfaceVlan-interfaceVLANinterfacedetect-grouptrackdetect-groupifmtrackIFM某些vlan接口或以太網(wǎng)接口狀態(tài)改變時(shí)將虛擬路由器優(yōu)先級(jí)降低,當(dāng)接口狀態(tài)恢復(fù),虛擬路由器優(yōu)先級(jí)也恢復(fù)優(yōu)先級(jí),缺省減10,例如:[H3C-Vlan-interface10]vrrpvrrpvrid1trackGigabitEthernet1/1[H3C-Vlan-interface10]vrrpvrrpvrid1trackEthernet0/17reduce20[H3C-Vlan-interface10]vrrpvrrpvrid1trackVlan-interface120我司產(chǎn)品VRRP特性vlan接口或以太網(wǎng)接口狀態(tài)改變對(duì)虛擬路由器優(yōu)先級(jí)的影響我司免費(fèi)ARP的發(fā)送,使主機(jī)刷新MAC地址表我司設(shè)備虛MAC、實(shí)MAC都可以發(fā)送免費(fèi)ARP。如果是虛實(shí)混合方式,則視Master對(duì)應(yīng)設(shè)備選擇的方式,來(lái)確定是以虛MAC還是實(shí)MAC方式發(fā)送。我司產(chǎn)品VRRP特性免費(fèi)ARP的發(fā)送,使主機(jī)刷新MAC地址表我司產(chǎn)品VRRP特性VRRP的產(chǎn)生VRRP的原理我司VRRP的特性使用VRRP時(shí)的常見(jiàn)問(wèn)題目錄VRRP的產(chǎn)生目錄我司設(shè)備與其他廠家設(shè)備認(rèn)證不通過(guò)使用不認(rèn)證和simple方式,VRRP能夠正?;ネ?。使用MD5認(rèn)證出現(xiàn)多個(gè)Master。我司設(shè)備之間使用MD5認(rèn)證能夠通過(guò),但是抓包顯示錯(cuò)誤。另外:在當(dāng)前的備份組當(dāng)中各臺(tái)設(shè)備認(rèn)證方式不一致,也會(huì)出現(xiàn)多個(gè)Master的情況。MD5認(rèn)證問(wèn)題我司設(shè)備與其他廠家設(shè)備認(rèn)證不通過(guò)MD5認(rèn)證問(wèn)題在2004年,

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論