路由器自己的ip

i目录1VRRP·1-11.
1VRRP简介·1-11.
2VRRP标准协议模式·1-21.
2.
1VRRP备份组·1-21.
2.
2VRRP定时器·1-31.
2.
3Master路由器选举·1-41.
2.
4VRRP监视功能1-51.
2.
5VRRP应用1-51.
3协议规范·1-61.
4配置IPv4VRRP·1-71.
4.
1IPv4VRRP配置任务简介·1-71.
4.
2配置使用的IPv4VRRP版本·1-71.
4.
3创建备份组并配置备份组的虚拟IP地址1-71.
4.
4配置路由器在备份组中的优先级、抢占方式及监视功能·1-81.
4.
5配置IPv4VRRP报文的相关属性·1-91.
4.
6开启告警功能·1-91.
4.
7关闭IPv4VRRP备份组1-101.
4.
8IPv4VRRP显示和维护1-101.
5IPv4VRRP典型配置举例1-111.
5.
1VRRP单备份组配置举例·1-111.
5.
2多个VLAN中的VRRP备份组配置举例1-131.
6VRRP常见错误配置举例1-161.
6.
1出现配置错误的提示1-161.
6.
2同一个备份组内出现多个Master路由器·1-171.
6.
3VRRP的状态频繁转换1-171-11VRRPVRRP功能中所指的"接口"包括VLAN接口、三层以太网接口、三层聚合接口、三层以太网子接口、三层聚合子接口.
三层以太网接口是指在以太网接口视图下通过portlink-moderoute命令切换为三层模式的以太网接口,有关以太网接口模式切换的操作,请参见"二层技术-以太网交换配置指导"中的"以太网接口配置".
1.
1VRRP简介通常,同一网段内的所有主机上都存在一个相同的默认网关.
主机发往其它网段的报文将通过默认网关进行转发,从而实现主机与外部网络的通信.
如图1-1所示,当默认网关发生故障时,本网段内所有主机将无法与外部网络通信.
图1-1局域网组网方案默认网关为用户的配置操作提供了方便,但是对网关设备提出了很高的稳定性要求.
增加网关是提高链路可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题.
VRRP(VirtualRouterRedundancyProtocol,虚拟路由器冗余协议)可以解决这个问题,VRRP功能将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,由VRRP的选举机制决定哪台路由器承担转发任务,局域网内的主机只需将虚拟路由器配置为默认网关.
VRRP在提高可靠性的同时,简化了主机的配置.
在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台路由器出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题.
1-2设备支持标准协议模式的VRRP:即基于RFC实现的VRRP,详细介绍请参见"1.
2VRRP标准协议模式".
VRRP包括VRRPv2和VRRPv3两个版本,VRRPv2和VRRPv3版本只支持IPv4VRRP.
1.
2VRRP标准协议模式1.
2.
1VRRP备份组VRRP将局域网内的可以承担网关功能的一组路由器划分在一起,组成一个备份组.
备份组由一台Master路由器和多台Backup路由器组成,对外相当于一台虚拟路由器.
虚拟路由器具有IP地址,称为虚拟IP地址.
局域网内的主机仅需要知道这台虚拟路由器的IP地址,并将其设置为网关的IP地址即可.
局域网内的主机通过这台虚拟路由器与外部网络进行通信.
图1-2VRRP组网示意图如图1-2所示,RouterA、RouterB和RouterC组成一台虚拟路由器.
此虚拟路由器有自己的IP地址,由用户手工指定.
局域网内的主机将虚拟路由器设置为默认网关.
RouterA、RouterB和RouterC中优先级最高的路由器作为Master路由器,承担网关的功能,其余两台路由器作为Backup路由器,当Master路由器发生故障时,取代Master路由器继续履行网关职责,从而保证局域网内的主机可不间断地与外部网络进行通信.
虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同.
接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者.
在同一个VRRP备份组中,只能存在一个IP地址拥有者.
HostAHostBHostCRouterAMasterRouterBBackupRouterCBackupVirtualrouterVirtualIPaddress:10.
1.
1.
1/24Network1-31.
备份组中路由器的优先级VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器).
优先级越高,则越有可能成为Master路由器.
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者.
当路由器为IP地址拥有者时,其优先级始终为255.
因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master路由器.
2.
备份组中路由器的工作方式备份组中的路由器具有以下两种工作方式:非抢占方式:在该方式下只要Master路由器没有出现故障,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器.
非抢占方式可以避免频繁地切换Master路由器.
抢占方式:在该方式下Backup路由器一旦发现自己的优先级比当前Master路由器的优先级高,就会触发Master路由器的重新选举,并最终取代原有的Master路由器.
抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器.
3.
备份组中路由器的认证方式VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的路由器.
VRRP提供了两种认证方式:简单字符认证:发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较.
如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃.
MD5认证:发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中.
收到VRRP报文的路由器会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较.
如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃.
在一个安全的网络中,用户也可以不设置认证方式.
VRRPv3版本的IPv4VRRP不支持对VRRP报文进行认证.
1.
2.
2VRRP定时器1.
偏移时间偏移时间(Skew_Time)用来避免Master路由器出现故障时,备份组中的多个Backup路由器在同一时刻同时转变为Master路由器,导致备份组中存在多台Master路由器.
Skew_Time的值不可配置,其计算方法与使用的VRRP协议版本有关:使用VRRPv2版本(RFC3768)时,计算方法为:(256-路由器在备份组中的优先级)/2561-4使用VRRPv3版本(RFC5798)时,计算方法为:((256-路由器在备份组中的优先级)*VRRP通告报文的发送时间间隔)/2562.
VRRP通告报文发送间隔定时器VRRP备份组中的Master路由器会定时发送VRRP通告报文,通知备份组内的路由器自己工作正常.
用户可以通过命令行来调整Master路由器发送VRRP通告报文的发送间隔.
如果Backup路由器在等待了3*发送间隔+Skew_Time后,依然没有收到VRRP通告报文,则认为自己是Master路由器,并向本组其它路由器发送VRRP通告报文,重新进行Master路由器的选举.
3.
VRRP抢占延迟定时器为了避免备份组内的成员频繁进行主备状态转换、让Backup路由器有足够的时间搜集必要的信息(如路由信息),在抢占方式下,Backup路由器接收到优先级低于本地优先级的VRRP通告报文后,不会立即抢占成为Master路由器,而是等待一定时间——抢占延迟时间+Skew_Time后,才会对外发送VRRP通告报文通过Master路由器选举取代原来的Master路由器.
1.
2.
3Master路由器选举备份组中的路由器根据优先级确定自己在备份组中的角色.
路由器加入备份组后,初始处于Backup状态:如果等待3*发送间隔+Skew_Time后还没有收到VRRP通告报文,则转换为Master状态;如果在3*发送间隔+Skew_Time内收到优先级大于或等于自己优先级的VRRP通告报文,则保持Backup状态;如果在3*发送间隔+Skew_Time内收到优先级小于自己优先级的VRRP通告报文,且路由器工作在非抢占方式,则保持Backup状态;否则,路由器抢占成为Master路由器.
通过上述步骤选举出的Master路由器启动VRRP通告报文发送间隔定时器,定期向外发送VRRP通告报文,通知备份组内的其它路由器自己工作正常;Backup路由器则启动定时器等待VRRP通告报文的到来.
当Backup路由器收到VRRP通告报文后,只会将自己的优先级与通告报文中的优先级进行比较,不会比较IP地址.
由于网络故障原因造成备份组中存在多台Master路由器时,这些Master路由器会根据优先级和IP地址选举出一个Master路由器:优先级高的路由器成为Master路由器;优先级低的成为Backup路由器;如果优先级相同,则IP地址大的成为Master路由器.
1-51.
2.
4VRRP监视功能VRRP监视功能只能工作在抢占方式下,用以保证只有优先级最高的路由器才能成为Master路由器.
VRRP监视功能通过NQA(NetworkQualityAnalyzer,网络质量分析)、BFD(BidirectionalForwardingDetection,双向转发检测)等监测Master路由器和上行链路的状态,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联:监视上行链路,根据上行链路的状态,改变路由器的优先级.
当Master路由器的上行链路出现故障,局域网内的主机无法通过网关访问外部网络时,被监视Track项的状态变为Negative,Master路由器的优先级降低指定的数值.
使得当前的Master路由器不是组内优先级最高的路由器,而其它路由器成为Master路由器,保证局域网内主机与外部网络的通信不会中断.
在Backup路由器上监视Master路由器的状态.
当Master路由器出现故障时,监视Master路由器状态的Backup路由器能够迅速成为Master路由器,以保证通信不会中断.
被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复.
Track项的详细介绍,请参见"可靠性配置指导"中的"Track".
1.
2.
5VRRP应用1.
主备备份主备备份方式表示转发任务仅由Master路由器承担.
当Master路由器出现故障时,才会从其它Backup路由器选举出一个接替工作.
主备备份方式仅需要一个备份组,不同路由器在该备份组中拥有不同优先级,优先级最高的路由器将成为Master路由器,如图1-3中所示(以IPv4VRRP为例).
图1-3主备备份VRRP初始情况下,RouterA为Master路由器并承担转发任务,RouterB和RouterC是Backup路由器且都处于就绪监听状态.
如果RouterA发生故障,则备份组内处于Backup状态的RouterB和1-6RouterC路由器将根据优先级选出一台新的Master路由器,这台新Master路由器继续向网络内的主机提供网关服务.
2.
负载分担一台路由器可加入多个备份组,在不同备份组中有不同的优先级,使得该路由器可以在一个备份组中作为Master路由器,在其它的备份组中作为Backup路由器.
负载分担方式是指多台路由器同时承担网关的功能,因此负载分担方式需要两个或者两个以上的备份组,每个备份组都包括一台Master路由器和若干台Backup路由器,各备份组的Master路由器各不相同,如图1-4中所示.
图1-4负载分担VRRP同一台路由器同时加入多个VRRP备份组,在不同备份组中有不同的优先级.
在图1-4中,有三个备份组存在:备份组1:对应虚拟路由器1.
RouterA作为Master路由器,RouterB和RouterC作为Backup路由器.
备份组2:对应虚拟路由器2.
RouterB作为Master路由器,RouterA和RouterC作为Backup路由器.
备份组3:对应虚拟路由器3.
RouterC作为Master路由器,RouterA和RouterB作为Backup路由器.
为了实现业务流量在RouterA、RouterB和RouterC之间进行负载分担,需要将局域网内的主机的缺省网关分别设置为虚拟路由器1、虚拟路由器2和虚拟路由器3.
在配置优先级时,需要确保三个备份组中各路由器的VRRP优先级形成交叉对应.
1.
3协议规范与VRRP相关的协议规范有:1-7RFC3768:VirtualRouterRedundancyProtocol(VRRP)RFC5798:VirtualRouterRedundancyProtocol(VRRP)Version3forIPv4andIPv61.
4配置IPv4VRRP1.
4.
1IPv4VRRP配置任务简介在备份组内的每台路由器上都需进行如下配置,才能形成一个备份组.
表1-1IPv4VRRP配置任务简介配置任务说明详细配置配置使用的IPv4VRRP版本可选1.
4.
2创建备份组并配置备份组的虚拟IP地址必选1.
4.
3配置路由器在备份组中的优先级、抢占方式及监视功能可选1.
4.
4配置IPv4VRRP报文的相关属性可选1.
4.
5关闭IPv4VRRP备份组可选1.
4.
71.
4.
2配置使用的IPv4VRRP版本IPv4VRRP备份组中的所有路由器上配置的IPv4VRRP版本必须一致,否则备份组无法正常工作.
IPv4VRRP既可以使用VRRPv2版本,也可以使用VRRPv3版本.
通过本配置,可以指定接口上IPv4VRRP使用的版本.
表1-2配置使用的IPv4VRRP版本操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置使用的VRRP版本vrrpversionversion-number缺省情况下,IPv4VRRP使用VRRPv3版本1.
4.
3创建备份组并配置备份组的虚拟IP地址只有创建备份组,并为备份组配置虚拟IP地址后,备份组才能正常工作.
如果接口连接多个子网,则可以为一个备份组配置多个虚拟IP地址,以便实现不同子网中路由器的备份.
创建备份组并配置备份组的虚拟IP地址时,需要注意:1-8VRRP工作在标准协议模式时,备份组的虚拟IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同.
路由器作为IP地址拥有者时,建议不要采用接口的IP地址(即备份组的虚拟IP地址)与相邻的路由器建立OSPF邻居关系,即不要通过network命令在该接口上使能OSPF.
network命令的详细介绍,请参见"三层技术-IP路由命令参考"中的"OSPF".
如果没有为备份组配置虚拟IP地址,但为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用.
删除IP地址拥有者上的VRRP备份组,将导致地址冲突.
建议先修改配置了备份组的接口的IP地址,再删除该接口上的VRRP备份组,以避免地址冲突.
建议将备份组的虚拟IP地址和备份组中设备下行接口的IP地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络.
表1-3创建备份组并配置备份组的虚拟IP地址操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-创建备份组,并配置备份组的虚拟IP地址vrrpvridvirtual-router-idvirtual-ipvirtual-address缺省情况下,没有创建备份组1.
4.
4配置路由器在备份组中的优先级、抢占方式及监视功能配置路由器在备份组中的优先级、抢占方式及监视功能时,需要注意:IP地址拥有者的优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式.
路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上配置该备份组监视指定的Track项,则该配置不会生效.
该路由器不再作为IP地址拥有者后,监视功能的配置才会生效.
表1-4配置路由器在备份组中的优先级、抢占方式及监视功能操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置路由器在备份组中的优先级vrrpvridvirtual-router-idprioritypriority-value缺省情况下,路由器在备份组中的优先级为100配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间vrrpvridvirtual-router-idpreempt-mode[delaydelay-value]缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0秒配置监视指定的Track项vrrpvridvirtual-router-idtracktrack-entry-number[reducedpriority-reduced|switchover]缺省情况下,没有指定被监视的Track项1-91.
4.
5配置IPv4VRRP报文的相关属性配置IPv4VRRP报文的相关属性时,需要注意:一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的路由器需要设置相同的认证方式和认证字.
使用VRRPv3时,认证方式和认证字的相关配置不会生效.
使用VRRPv2时,备份组中的所有路由器必须配置相同的VRRP通告报文发送间隔.
使用VRRPv3时,备份组中的路由器上配置的VRRP通告报文发送间隔可以不同.
Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master路由器通告报文发送间隔,如果在3*发送间隔+Skew_Time内没有收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器.
表1-5配置IPv4VRRP报文的相关属性操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-配置备份组发送和接收VRRP报文的认证方式和认证字vrrpvridvirtual-router-idauthentication-mode{md5|simple}{cipher|plain}key缺省情况下,不进行认证配置备份组中Master路由器发送VRRP通告报文的发送间隔vrrpvridvirtual-router-idtimeradvertiseadver-interval缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响为VRRP备份组指定源接口,该源接口用来代替IPv4VRRP备份组所在接口进行该备份组VRRP报文的收发vrrpvridvirtual-router-idsource-interfaceinterface-typeinterface-number缺省情况下,没有指定备份组的源接口,VRRP报文通过VRRP备份组所在接口进行收发.
启动对VRRP报文TTL域的检查vrrpcheck-ttlenable缺省情况下,检查VRRP报文的TTL域退回系统视图quit-配置VRRP报文的DSCP优先级vrrpdscpdscp-valueDSCP用来体现报文自身的优先等级,决定报文传输的优先程度.
缺省情况下,VRRP报文的DSCP优先级为481.
4.
6开启告警功能开启VRRP的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件.
生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性.
1-10有关告警信息的详细介绍,请参见"网络管理和监控配置指导"中的"SNMP".
表1-6开启告警功能操作命令说明进入系统视图system-view-开启VRRP的告警功能snmp-agenttrapenablevrrp[auth-failure|new-master]缺省情况下,VRRP的告警功能处于开启状态1.
4.
7关闭IPv4VRRP备份组关闭VRRP备份组功能通常用于暂时禁用备份组,但还需要再次启用该备份组的场景.
关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变.
在关闭状态下还可以对备份进行配置.
备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行.
表1-7关闭IPv4VRRP备份组操作命令说明进入系统视图system-view-进入接口视图interfaceinterface-typeinterface-number-关闭VRRP备份组vrrpvridvirtual-router-idshutdown缺省情况下,VRRP备份组处于开启状态1.
4.
8IPv4VRRP显示和维护在完成上述配置后,在任意视图下执行display命令可以显示IPv4VRRP配置后的运行情况,通过查看显示信息验证配置的效果.
在用户视图下执行reset命令可以清除IPv4VRRP统计信息.
表1-8IPv4VRRP显示和维护操作命令显示IPv4VRRP备份组的状态信息displayvrrp[interfaceinterface-typeinterface-number[vridvirtual-router-id]][verbose]显示IPv4VRRP备份组的统计信息displayvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]清除IPv4VRRP备份组的统计信息resetvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]1-111.
5IPv4VRRP典型配置举例1.
5.
1VRRP单备份组配置举例1.
组网需求HostA需要访问Internet上的HostB,HostA的缺省网关为10.
1.
1.
111/24;当SwitchA正常工作时,HostA发送给HostB的报文通过SwitchA转发;当SwitchA出现故障时,HostA发送给HostB的报文通过SwitchB转发.
2.
组网图图1-5VRRP单备份组配置组网图3.
配置步骤(1)配置SwitchA#配置VLAN2.
system-view[SwitchA]vlan2[SwitchA-vlan2]portfortygige1/0/5[SwitchA-vlan2]quit[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress10.
1.
1.
1255.
255.
255.
0#创建备份组1,并配置备份组1的虚拟IP地址为10.
1.
1.
111.
[SwitchA-Vlan-interface2]vrrpvrid1virtual-ip10.
1.
1.
111#设置SwitchA在备份组1中的优先级为110,高于SwitchB的优先级100,以保证SwitchA成为Master负责转发流量.
[SwitchA-Vlan-interface2]vrrpvrid1priority110#设置SwitchA工作在抢占方式,以保证SwitchA故障恢复后,能再次抢占成为Master,即只要SwitchA正常工作,就由SwitchA负责转发流量.
为了避免频繁地进行状态切换,配置抢占延迟时间为5秒.
[SwitchA-Vlan-interface2]vrrpvrid1preempt-modedelay5(2)配置SwitchB1-12#配置VLAN2.
system-view[SwitchB]vlan2[SwitchB-Vlan2]portfortygige1/0/5[SwitchB-vlan2]quit[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress10.
1.
1.
2255.
255.
255.
0#创建备份组1,并配置备份组1的虚拟IP地址为10.
1.
1.
111.
[SwitchB-Vlan-interface2]vrrpvrid1virtual-ip10.
1.
1.
111#设置SwitchB在备份组1中的优先级为100.
[SwitchB-Vlan-interface2]vrrpvrid1priority100#设置SwitchB工作在抢占方式,抢占延迟时间为5秒.
[SwitchB-Vlan-interface2]vrrpvrid1preempt-modedelay54.
验证配置配置完成后,在HostA上可以ping通HostB.
通过displayvrrpverbose命令查看配置后的结果.
#显示SwitchA上备份组1的详细信息.
[SwitchA-Vlan-interface2]displayvrrpverboseIPv4VirtualRouterInformation:RunningMode:StandardTotalnumberofvirtualrouters:1InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:MasterConfigPri:110RunningPri:110PreemptMode:YesDelayTime:5AuthType:NoneVirtualIP:10.
1.
1.
111VirtualMAC:0000-5e00-0101MasterIP:10.
1.
1.
1#显示SwitchB上备份组1的详细信息.
[SwitchB-Vlan-interface2]displayvrrpverboseIPv4VirtualRouterInformation:RunningMode:StandardTotalnumberofvirtualrouters:1InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:BackupConfigPri:100RunningPri:100PreemptMode:YesDelayTime:5BecomeMaster:401msleftAuthType:NoneVirtualIP:10.
1.
1.
111MasterIP:10.
1.
1.
1以上显示信息表示在备份组1中SwitchA为Master,SwitchB为Backup,HostA发送给HostB的报文通过SwitchA转发.
1-13SwitchA出现故障后,在HostA上仍然可以ping通HostB.
通过displayvrrpverbose命令查看SwitchB上备份组的详细信息.
#SwitchA出现故障后,显示SwitchB上备份组1的详细信息.
[SwitchB-Vlan-interface2]displayvrrpverboseIPv4VirtualRouterInformation:RunningMode:StandardTotalnumberofvirtualrouters:1InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:MasterConfigPri:100RunningPri:100PreemptMode:YesDelayTime:5AuthType:NoneVirtualIP:10.
1.
1.
111VirtualMAC:0000-5e00-0101MasterIP:10.
1.
1.
2以上显示信息表示SwitchA出现故障后,SwitchB成为Master,HostA发送给HostB的报文通过SwitchB转发.
#SwitchA故障恢复后,显示SwitchA上备份组1的详细信息.
[SwitchA-Vlan-interface2]displayvrrpverboseIPv4VirtualRouterInformation:RunningMode:StandardTotalnumberofvirtualrouters:1InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:MasterConfigPri:110RunningPri:110PreemptMode:YesDelayTime:5AuthType:NoneVirtualIP:10.
1.
1.
111VirtualMAC:0000-5e00-0101MasterIP:10.
1.
1.
1以上显示信息表示SwitchA故障恢复后,SwitchA会抢占成为Master,HostA发送给HostB的报文仍然通过SwitchA转发.
1.
5.
2多个VLAN中的VRRP备份组配置举例1.
组网需求VLAN2内主机的缺省网关为10.
1.
1.
100/25;VLAN3内主机的缺省网关为10.
1.
1.
200/25;SwitchA和SwitchB同时属于虚拟IP地址为10.
1.
1.
100/25的备份组1和虚拟IP地址为10.
1.
1.
200/25的备份组2;在备份组1中SwitchA的优先级高于SwitchB,在备份组2中SwitchB的优先级高于SwitchA,从而保证VLAN2和VLAN3内的主机分别通过SwitchA和SwitchB通信,当SwitchA或SwitchB出现故障时,主机可以通过另一台设备继续通信,避免通信中断.
1-142.
组网图图1-6多个VLAN中的VRRP备份组配置组网图3.
配置步骤(1)配置SwitchA#配置VLAN2.
system-view[SwitchA]vlan2[SwitchA-vlan2]portfortygige1/0/5[SwitchA-vlan2]quit[SwitchA]interfacevlan-interface2[SwitchA-Vlan-interface2]ipaddress10.
1.
1.
1255.
255.
255.
128#创建备份组1,并配置备份组1的虚拟IP地址为10.
1.
1.
100.
[SwitchA-Vlan-interface2]vrrpvrid1virtual-ip10.
1.
1.
100#设置SwitchA在备份组1中的优先级为110,高于SwitchB的优先级100,以保证在备份组1中SwitchA成为Master负责转发流量.
[SwitchA-Vlan-interface2]vrrpvrid1priority110[SwitchA-Vlan-interface2]quit#配置VLAN3.
[SwitchA]vlan3[SwitchA-vlan3]portfortygige1/0/6[SwitchA-vlan3]quit[SwitchA]interfacevlan-interface3[SwitchA-Vlan-interface3]ipaddress10.
1.
1.
130255.
255.
255.
128#创建备份组2,并配置备份组2的虚拟IP地址为10.
1.
1.
200.
[SwitchA-Vlan-interface3]vrrpvrid2virtual-ip10.
1.
1.
200(2)配置SwitchB#配置VLAN2.
system-view[SwitchB]vlan2[SwitchB-vlan2]portfortygige1/0/5SwitchASwitchBVirtualIPaddress1:10.
1.
1.
100/25VirtualIPaddress2:10.
1.
1.
200/25FGE1/0/5Vlan-int210.
1.
1.
1/25FGE1/0/5Vlan-int210.
1.
1.
2/25InternetVLAN2Gateway:10.
1.
1.
100/25VLAN3Gateway:10.
1.
1.
200/25FGE1/0/6Vlan-int310.
1.
1.
130/25FGE1/0/6Vlan-int310.
1.
1.
131/251-15[SwitchB-vlan2]quit[SwitchB]interfacevlan-interface2[SwitchB-Vlan-interface2]ipaddress10.
1.
1.
2255.
255.
255.
128#创建备份组1,并配置备份组1的虚拟IP地址为10.
1.
1.
100.
[SwitchB-Vlan-interface2]vrrpvrid1virtual-ip10.
1.
1.
100[SwitchB-Vlan-interface2]quit#配置VLAN3.
[SwitchB]vlan3[SwitchB-vlan3]portfortygige1/0/6[SwitchB-vlan3]quit[SwitchB]interfacevlan-interface3[SwitchB-Vlan-interface3]ipaddress10.
1.
1.
131255.
255.
255.
128#创建备份组2,并配置备份组2的虚拟IP地址为10.
1.
1.
200.
[SwitchB-Vlan-interface3]vrrpvrid2virtual-ip10.
1.
1.
200#设置SwitchB在备份组2中的优先级为110,高于SwitchA的优先级100,以保证在备份组2中SwitchB成为Master负责转发流量.
[SwitchB-Vlan-interface3]vrrpvrid2priority1104.
验证配置可以通过displayvrrpverbose命令查看配置后的结果.
#显示SwitchA上备份组的详细信息.
[SwitchA-Vlan-interface3]displayvrrpverboseIPv4VirtualRouterInformation:RunningMode:StandardTotalnumberofvirtualrouters:2InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:MasterConfigPri:110RunningPri:110PreemptMode:YesDelayTime:0AuthType:NoneVirtualIP:10.
1.
1.
100VirtualMAC:0000-5e00-0101MasterIP:10.
1.
1.
1InterfaceVlan-interface3VRID:2AdverTimer:100AdminStatus:UpState:BackupConfigPri:100RunningPri:100PreemptMode:YesDelayTime:0BecomeMaster:203msleftAuthType:NoneVirtualIP:10.
1.
1.
200MasterIP:10.
1.
1.
131#显示SwitchB上备份组的详细信息.
[SwitchB-Vlan-interface3]displayvrrpverboseIPv4VirtualRouterInformation:1-16RunningMode:StandardTotalnumberofvirtualrouters:2InterfaceVlan-interface2VRID:1AdverTimer:100AdminStatus:UpState:BackupConfigPri:100RunningPri:100PreemptMode:YesDelayTime:0BecomeMaster:211msleftAuthType:NoneVirtualIP:10.
1.
1.
100MasterIP:10.
1.
1.
1InterfaceVlan-interface3VRID:2AdverTimer:100AdminStatus:UpState:MasterConfigPri:110RunningPri:110PreemptMode:YesDelayTime:0AuthType:NoneVirtualIP:10.
1.
1.
200VirtualMAC:0000-5e00-0102MasterIP:10.
1.
1.
131以上显示信息表示在备份组1中SwitchA为Master,SwitchB为Backup,缺省网关为10.
1.
1.
100/25的主机通过SwitchA访问Internet;备份组2中SwitchA为Backup,SwitchB为Master,缺省网关为10.
1.
1.
200/25的主机通过SwitchB访问Internet.
1.
6VRRP常见错误配置举例1.
6.
1出现配置错误的提示1.
故障现象在配置过程中出现配置错误的提示,提示内容如下:"ThevirtualrouterdetectedaVRRPconfigurationerror.
".
2.
故障分析可能是备份组内的设备配置不一致造成的,具体包括以下几种情况:{报文携带的通告报文发送间隔与当前备份组不一致.
{报文携带的虚拟IP地址个数与当前备份组不一致.
{报文携带的虚拟IP地址列表与当前备份组不一致.
可能是备份组内的设备收到攻击者发送的非法VRRP报文,如IP地址拥有者收到优先级为255的VRRP报文.
3.
故障处理对于第一种情况,可以通过修改配置来解决.
对于第二种情况,则是有些攻击者有不良企图,应当通过定位和防止攻击来解决.
1-171.
6.
2同一个备份组内出现多个Master路由器1.
故障现象同一个备份组内出现多台Master路由器.
2.
故障分析若短时间内存在多台Master路由器,属于正常情况,无需进行人工干预.
若多台Master路由器长时间共存,这很有可能是由于Master路由器之间收不到VRRP报文,或者收到的报文不合法造成的.
3.
故障处理先在多台Master路由器之间执行ping操作.
如果ping不通,则检查网络连接是否正确;如果能ping通,则检查VRRP的配置是否一致.
对于同一个VRRP备份组的配置,必须要保证虚拟IP地址个数、每个虚拟IP地址和认证方式完全一样.
如果使用的是IPv4VRRP,还需保证IPv4VRRP使用的版本一致.
如果是VRRPv2版本,还要求VRRP通告发送间隔一致.
1.
6.
3VRRP的状态频繁转换1.
故障现象在运行过程中VRRP的状态频繁转换.
2.
故障分析这种情况一般是由于VRRP通告报文发送间隔太短造成的.
3.
故障处理增加通告报文的发送间隔或者设置抢占延迟都可以解决这种故障.