• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-可靠性配置指导

目录

07-VRRP配置

本章节下载 07-VRRP配置  (495.35 KB)

07-VRRP配置


1 VRRP

1.1  VRRP简介

通常,同一网段内的所有主机上都存在一个相同的默认网关。主机发往其它网段的报文将通过默认网关进行转发,从而实现主机与外部网络的通信。如图1-1所示,当默认网关发生故障时,本网段内所有主机将无法与外部网络通信。

图1-1 局域网组网方案

 

默认网关为用户的配置操作提供了方便,但是对网关设备提出了很高的稳定性要求。增加网关是提高链路可靠性的常见方法,此时如何在多个出口之间进行选路就成为需要解决的问题。

VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)可以解决这个问题,VRRP功能将可以承担网关功能的一组路由器加入到备份组中,形成一台虚拟路由器,并为该虚拟路由器指定虚拟IP地址。VRRP通过选举机制决定哪台路由器承担转发任务。局域网内的主机仅需要知道这台虚拟路由器的虚拟IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。

VRRP在提高可靠性的同时,简化了主机的配置。在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台路由器出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。

设备只支持一种工作模式的VRRP:

·     标准协议模式:基于RFC实现的VRRP,详细介绍请参见“1.3  VRRP标准协议模式”。

VRRP包括VRRPv2和VRRPv3两个版本,VRRPv2版本只支持IPv4 VRRP,VRRPv3版本支持IPv4 VRRP和IPv6 VRRP。

1.2  VRRP备份组

VRRP将局域网内的可以承担网关功能的一组路由器划分在一起,组成一个备份组。备份组由一台Master路由器和多台Backup路由器组成,对外相当于一台虚拟路由器。虚拟路由器具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟路由器的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。

管理员在路由器的某个三层接口上创建VRRP备份组后,该路由器就可成功添加到VRRP备份组中。

说明

同一台设备的不同接口如果指定了相同备份组编号的VRRP备份组,这些接口仍然属于不同的VRRP备份组。

 

1.3  VRRP标准协议模式

1.3.1  VRRP标准协议模式典型组网

VRRP标准协议模式典型组网如图1-2所示,Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器的虚拟IP地址由用户手工指定,局域网内的主机将虚拟路由器设置为默认网关。Router A、Router B和Router C中优先级最高的路由器作为Master路由器,承担网关的功能,其余两台路由器作为Backup路由器,当Master路由器发生故障时,取代Master路由器继续履行网关职责,从而保证局域网内的主机可不间断地与外部网络进行通信。

图1-2 VRRP组网示意图

 

1.3.2  虚拟IP地址和IP地址拥有者

虚拟路由器的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同。接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。在同一个VRRP备份组中,只能存在一个IP地址拥有者。

1.3.3  备份组中路由器的优先级

VRRP根据优先级来确定备份组中每台路由器的角色(Master路由器或Backup路由器)。优先级越高,则越有可能成为Master路由器。

VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当路由器为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master路由器。

1.3.4  备份组中路由器的工作方式

备份组中的路由器具有以下两种工作方式:

·     非抢占方式:在该方式下只要Master路由器未出现故障,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。非抢占方式可以避免频繁地切换Master路由器。

·     抢占方式:在该方式下Backup路由器一旦发现自己的优先级比当前Master路由器的优先级高,就会触发Master路由器的重新选举,并最终取代原有的Master路由器。抢占方式可以确保承担转发任务的Master路由器始终是备份组中优先级最高的路由器。

1.3.5  备份组中路由器的认证方式

VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的路由器。VRRP提供了两种认证方式:

·     简单字符认证:发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。

·     MD5认证:发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的路由器会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。

在一个安全的网络中,用户也可以不设置认证方式。

说明

VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。

 

1.3.6  VRRP定时器

1. 偏移时间

偏移时间(Skew_Time)用来避免Master路由器出现故障时,备份组中的多个Backup路由器在同一时刻同时转变为Master路由器,导致备份组中存在多台Master路由器。

Skew_Time的值不可配置,其计算方法与使用的VRRP协议版本有关:

·     使用VRRPv2版本(RFC 3768)时,计算方法为:(256-路由器在备份组中的优先级)/256

·     使用VRRPv3版本(RFC 5798)时,计算方法为:((256-路由器在备份组中的优先级)×VRRP通告报文的发送时间间隔)/256

2. VRRP通告报文发送间隔定时器

VRRP备份组中的Master路由器会定时发送VRRP通告报文,通知备份组内的路由器自己工作正常。

用户可以通过命令行来调整Master路由器发送VRRP通告报文的发送间隔。如果Backup路由器在等待了3×发送间隔+Skew_Time后,依然未收到VRRP通告报文,则认为自己是Master路由器,并向本组其它路由器发送VRRP通告报文,重新进行Master路由器的选举。

3. VRRP抢占延迟定时器

为了避免备份组内的成员频繁进行主备状态转换、让Backup路由器有足够的时间搜集必要的信息(如路由信息),在抢占方式下,Backup路由器接收到优先级低于本地优先级的VRRP通告报文后,不会立即抢占成为Master路由器,而是等待一定时间——抢占延迟时间+Skew_Time后,才会对外发送VRRP通告报文通过Master路由器选举取代原来的Master路由器。

1.3.7  Master路由器选举

备份组中的路由器根据优先级确定自己在备份组中的角色。路由器加入备份组后,初始处于Backup状态:

·     如果等待3×发送间隔+Skew_Time后还未收到VRRP通告报文,则转换为Master状态;

·     如果在3×发送间隔+Skew_Time内收到优先级大于或等于自己优先级的VRRP通告报文,则保持Backup状态;

·     如果在3×发送间隔+Skew_Time内收到优先级小于自己优先级的VRRP通告报文,且路由器工作在非抢占方式,则保持Backup状态;否则,路由器抢占成为Master路由器。

通过上述步骤选举出的Master路由器启动VRRP通告报文发送间隔定时器,定期向外发送VRRP通告报文,通知备份组内的其它路由器自己工作正常;Backup路由器则启动定时器等待VRRP通告报文的到来。

由于网络故障原因造成备份组中存在多台Master路由器时,这些Master路由器会根据优先级和IP地址选举出一个Master路由器:优先级高的路由器成为Master路由器;优先级低的成为Backup路由器;如果优先级相同,则IP地址大的成为Master路由器。

1.3.8  VRRP监视功能

VRRP监视功能通过NQA(Network Quality Analyzer,网络质量分析)、BFD(Bidirectional Forwarding Detection,双向转发检测)等监测Master路由器和上行链路的状态,并通过Track功能在VRRP设备状态和NQA/BFD之间建立关联:

·     监视上行链路,根据上行链路的状态,改变路由器的优先级。当Master路由器的上行链路出现故障,局域网内的主机无法通过网关访问外部网络时,被监视Track项的状态变为Negative,Master路由器的优先级降低指定的数值。使得当前的Master路由器不是组内优先级最高的路由器,而其它路由器成为Master路由器,保证局域网内主机与外部网络的通信不会中断。

·     在Backup路由器上监视Master路由器的状态。当Master路由器出现故障时,监视Master路由器状态的Backup路由器能够迅速成为Master路由器,以保证通信不会中断。

被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复。Track项的详细介绍,请参见“可靠性配置指导”中的“Track”。

VRRP监视功能只能工作在抢占方式下,用以保证只有优先级最高的路由器才能成为Master路由器。

1.3.9  VRRP应用

1. 主备备份

主备备份方式表示转发任务仅由Master路由器承担。当Master路由器出现故障时,才会从其它Backup路由器选举出一个接替工作。主备备份方式仅需要一个备份组,不同路由器在该备份组中拥有不同优先级,优先级最高的路由器将成为Master路由器,如图1-3中所示(以IPv4 VRRP为例)。

图1-3 主备备份VRRP

 

初始情况下,Router A为Master路由器并承担转发任务,Router B和Router C是Backup路由器且都处于就绪监听状态。如果Router A发生故障,则备份组内处于Backup状态的Router B和Router C路由器将根据优先级选出一台新的Master路由器,这台新Master路由器继续向网络内的主机提供网关服务。

2. 负载分担

一台路由器可加入多个备份组,在不同备份组中有不同的优先级,使得该路由器可以在一个备份组中作为Master路由器,在其它的备份组中作为Backup路由器。

负载分担方式是指多台路由器同时承担网关的功能,因此负载分担方式需要两个或者两个以上的备份组,每个备份组都包括一台Master路由器和若干台Backup路由器,各备份组的Master路由器各不相同,如图1-4中所示。

图1-4 负载分担VRRP

 

同一台路由器同时加入多个VRRP备份组,在不同备份组中有不同的优先级。

图1-4中,有三个备份组存在:

·     备份组1:对应虚拟路由器1。Router A作为Master路由器,Router B和Router C作为Backup路由器。

·     备份组2:对应虚拟路由器2。Router B作为Master路由器,Router A和Router C作为Backup路由器。

·     备份组3:对应虚拟路由器3。Router C作为Master路由器,Router A和Router B作为Backup路由器。

为了实现业务流量在Router A、Router B和Router C之间进行负载分担,需要将局域网内的主机的缺省网关分别设置为虚拟路由器1、虚拟路由器2和虚拟路由器3。在配置优先级时,需要确保备份组1中,Router A的优先级最高;备份组2中,Router B的优先级最高;备份组3中,Router C的优先级最高。

1.4  协议规范

与VRRP相关的协议规范有:

·     RFC 3768:Virtual Router Redundancy Protocol (VRRP)

·     RFC 5798:Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6

1.5  配置IPv4 VRRP

1.5.1  IPv4 VRRP配置限制和指导

·     在聚合组的成员端口上配置VRRP不生效。

·     每台路由器都需要配置一致的功能,才能形成一个VRRP备份组。

·     VRRP工作在标准协议模式。

1.5.2  IPv4 VRRP配置任务简介

IPv4 VRRP配置任务如下:

(1)     (可选)配置使用的IPv4 VRRP版本

(2)     配置IPv4 VRRP备份组

(3)     (可选)配置IPv4 VRRP报文的相关属性

(4)     (可选)配置IPv4 VRRP Master路由器定时发送免费ARP报文

(5)     (可选)配置IPv4 VRRP成员备份组关联管理备份组功能

(6)     (可选)开启告警功能

1.5.3  配置使用的IPv4 VRRP版本

1. 功能简介

IPv4 VRRP既可以使用VRRPv2版本,也可以使用VRRPv3版本。通过本配置,可以指定接口上IPv4 VRRP使用的版本。

2. 配置限制和指导

IPv4 VRRP备份组中的所有路由器上配置的IPv4 VRRP版本必须一致,否则备份组无法正常工作。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置使用的VRRP版本。

vrrp version version-number

缺省情况下,IPv4 VRRP使用VRRPv3版本。

1.5.4  配置IPv4 VRRP备份组

1. 功能简介

只有创建备份组,并为备份组配置虚拟IP地址后,备份组才能正常工作。如果接口连接多个子网,则可以为一个备份组配置多个虚拟IP地址,以便实现不同子网中路由器的备份。

关闭VRRP备份组功能通常用于暂时禁用备份组,但还需要再次开启该备份组的场景。关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变。在关闭状态下还可以对备份进行配置。备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行。

2. 配置限制和指导

限制项

说明

最大备份组及虚拟IP地址数目

标准协议模式下,每个备份组最多只能配置16个虚拟IP地址

备份组的虚拟IP地址

备份组的虚拟IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个路由器的接口IP地址相同

如果没有为备份组配置虚拟IP地址,但为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用

建议将备份组的虚拟IP地址和备份组中设备下行接口的IP地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络

IP地址拥有者

路由器作为IP地址拥有者时,建议不要采用接口的IP地址(即备份组的虚拟IP地址)与相邻的路由器建立OSPF邻居关系,即不要通过network命令在该接口上开启OSPF。network命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“OSPF”

删除IP地址拥有者上的VRRP备份组,将导致地址冲突。建议先修改配置了备份组的接口的IP地址,再删除该接口上的VRRP备份组,以避免地址冲突

IP地址拥有者的优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式

路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上执行vrrp vrid track priority reducedvrrp vrid track switchover命令来配置该备份组监视指定的Track项,则该配置不会生效。该路由器不再作为IP地址拥有者后,监视指定的Track项功能的配置才会生效

VRRP关联Track项状态

被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复或故障恢复后的原Master路由器会重新抢占为Master状态

 

3. 创建备份组,并配置备份组的虚拟IP地址

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     创建备份组,并配置备份组的虚拟IP地址。

vrrp vrid virtual-router-id virtual-ip virtual-address

4. 配置备份组相关参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置路由器在备份组中的优先级。

vrrp vrid virtual-router-id priority priority-value

缺省情况下,路由器在备份组中的优先级为100。

(4)     配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间。

vrrp vrid virtual-router-id preempt-mode [ delay delay-value ]

缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0厘秒。

5. 关闭备份组

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     关闭VRRP备份组。

vrrp vrid virtual-router-id shutdown

1.5.5  配置IPv4 VRRP报文的相关属性

1. 配置限制和指导

·     一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的路由器需要设置相同的认证方式和认证字。

·     使用VRRPv3时,认证方式和认证字的相关配置不会生效。

·     使用VRRPv2时,备份组中的所有路由器必须配置相同的VRRP通告报文发送间隔。

·     使用VRRPv3时,备份组中的路由器上配置的VRRP通告报文发送间隔可以不同。Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master路由器通告报文发送间隔,如果在3×发送间隔+Skew_Time内未收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置备份组发送和接收VRRP报文的认证方式和认证字。

vrrp vrid virtual-router-id authentication-mode { md5 | simple } { cipher | plain } string

缺省情况下,不进行认证。

(4)     配置备份组中Master路由器发送VRRP通告报文的发送间隔。

vrrp vrid virtual-router-id timer advertise adver-interval

缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒。

建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。

(5)     为VRRP备份组指定源接口,该源接口用来代替IPv4 VRRP备份组所在接口进行该备份组VRRP报文的收发。

vrrp vrid virtual-router-id source-interface interface-type interface-number

缺省情况下,未指定备份组的源接口,VRRP报文通过VRRP备份组所在接口进行收发。

(6)     启动对VRRP报文TTL域的检查。

vrrp check-ttl enable

缺省情况下,检查VRRP报文的TTL域。

(7)     退回系统视图。

quit

(8)     配置VRRP报文的DSCP优先级。

vrrp dscp dscp-value

缺省情况下,VRRP报文的DSCP优先级为48。

DSCP用来体现报文自身的优先等级,决定报文传输的优先程度。

1.5.6  配置IPv4 VRRP Master路由器定时发送免费ARP报文

1. 功能简介

配置本功能后,Master路由器定时发送免费ARP报文用来保证下游设备的MAC地址表项能够定时刷新。

2. 配置限制和指导

·     该命令只在VRRP标准模式下生效。

·     重复执行本命令修改免费ARP报文的发送时间间隔,修改后的时间间隔在下一个发送时间间隔生效。

·     为了防止设备在同一时间发送大量免费ARP报文,当设备同时作为多个VRRP备份组的Master路由器时,在这些VRRP备份组中Master路由器会在执行本命令后的interval/2到interval时间内随机发送第一个免费ARP报文。

·     如果设备上配置了大量的VRRP备份组,同时又配置了很小的免费ARP报文发送时间间隔,那么免费ARP报文的实际发送时间间隔可能会远远高于用户配置的时间间隔。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置IPv4 VRRP Master路由器定时发送免费ARP。

vrrp send-gratuitous-arp [ interval interval ]

缺省情况下,IPv4 VRRP Master路由器不会定时发送免费ARP功能报文。

1.5.7  配置IPv4 VRRP成员备份组关联管理备份组功能

1. 功能简介

设备上配置多个VRRP备份组承担流量转发时,因为每个VRRP备份组都需要单独维护自己的状态机,所以会产生大量VRRP报文,对网络和CPU性能都造成大量负荷。通过将VRRP备份组分为管理备份组和成员备份组,当成员备份组关联管理备份组后,成员备份组就不再发送VRRP通告报文进行设备间的主备协商,其设备主备状态与管理备份组保持一致,从而大大减少了VRRP通告报文对网络带宽和CPU处理性能的影响。

2. 配置限制和指导

·     VRRP管理备份组需要配置路由器在备份组中的优先级、抢占方式等功能,保证可以正常选举出Master设备,VRRP成员备份组不需要配置上述功能。

·     VRRP备份组无法同时作为管理备份组和成员备份组。

·     如果VRRP备份组所关联的管理备份组不存在,则该VRRP备份组始终处于Inactive状态。

·     如果VRRP备份组在关联管理备份组前处于Inactive或Initialize状态,关联的管理备份组处于除Inactive状态的其他状态,则关联之后该VRRP备份组状态保持不变。

·     由于成员备份组不主动发送VRRP报文,可能导致下游设备上的MAC表项不正确,建议同时配置vrrp send-gratuitous-arp命令配置IPv4 VRRP Master路由器定时发送免费ARP报。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置IPv4 VRRP管理备份组。

vrrp vrid virtual-router-id name name

缺省情况下,未配置VRRP管理备份组。

(4)     退回系统视图。

quit

(5)     进入接口视图。

interface interface-type interface-number

(6)     配置IPv4 VRRP成员备份组关联管理备份组。

vrrp vrid virtual-router-id follow name

缺省情况下,未配置IPv4 VRRP成员备份组关联的管理备份组。

1.5.8  开启告警功能

1. 功能简介

开启VRRP的告警功能后,该模块会生成告警信息,用于报告该模块的重要事件。生成的告警信息将发送到设备的SNMP模块,通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关属性。

有关告警信息的详细介绍,请参见“网络管理和监控配置指导”中的“SNMP”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启VRRP的告警功能。

snmp-agent trap enable vrrp [ auth-failure | new-master ]

缺省情况下,VRRP的告警功能处于开启状态。

1.5.9  IPv4 VRRP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示IPv4 VRRP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除IPv4 VRRP统计信息。

表1-1 IPv4 VRRP显示和维护

操作

命令

显示IPv4 VRRP备份组的状态信息

display vrrp [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ]

显示IPv4 VRRP管理备份组及成员备份组关联信息

display vrrp binding [ interface interface-type interface-number [ vrid virtual-router-id ] | name name ]

显示IPv4 VRRP备份组的统计信息

display vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

清除IPv4 VRRP备份组的统计信息

reset vrrp statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

 

1.6  配置IPv6 VRRP

1.6.1  IPv6 VRRP配置限制和指导

·     在聚合组的成员端口上配置IPv6 VRRP不生效。

·     每台路由器都需要配置一致的功能,才能形成一个IPv6 VRRP备份组。

·     VRRP工作在标准协议模式。

1.6.2  IPv6 VRRP配置任务简介

IPv6 VRRP配置任务如下:

(1)     配置IPv6 VRRP备份组

(2)     (可选)配置IPv6 VRRP报文的相关属性

(3)     (可选)配置IPv6 VRRP Master路由器定时发送ND报文

(4)     (可选)配置IPv6 VRRP成员备份组关联管理备份组功能

1.6.3  配置IPv6 VRRP备份组

1. 功能简介

只有创建备份组,并为备份组配置虚拟IPv6地址后,备份组才能正常工作。可以为一个备份组配置多个虚拟IPv6地址。

关闭IPv6 VRRP备份组功能通常用于暂时禁用备份组,但还需要再次开启该备份组的场景。关闭备份组后,该备份组的状态为Initialize,并且该备份组所有已存在的配置保持不变。在关闭状态下还可以对备份进行配置。备份组再次被开启后,基于最新的配置,从Initialize状态重新开始运行。

2. 配置限制和指导

限制项

说明

最大备份组及虚拟IP地址数目

每个备份组最多只能配置16个虚拟IP地址

备份组的虚拟IP地址

如果没有为备份组配置虚拟IPv6地址,但是为备份组进行了其它配置(如优先级、抢占方式等),则该备份组会存在于设备上,并处于Inactive状态,此时备份组不起作用

建议将备份组虚拟IPv6地址和备份组中设备下行接口的IPv6地址配置为同一网段,否则可能导致局域网内的主机无法访问外部网络

IP地址拥有者

路由器作为IP地址拥有者时,建议不要采用接口的IPv6地址(即备份组的虚拟IPv6地址)与相邻的路由器建立OSPFv3邻居关系,即不要通过ospfv3 area命令在该接口上开启OSPF。ospfv3 area命令的详细介绍,请参见“三层技术-IP路由命令参考”中的“OSPFv3”

删除IP地址拥有者上的VRRP备份组,将导致地址冲突。建议先修改IP地址拥有者的接口IPv6地址,再删除该接口上的VRRP备份组,以避免地址冲突

IP地址拥有者的运行优先级始终为255,无需用户配置;IP地址拥有者始终工作在抢占方式

路由器在某个备份组中作为IP地址拥有者时,如果在该路由器上执行vrrp ipv6 vrid track priority reducedvrrp ipv6 vrid track switchover命令,则该配置不会生效。该路由器不再作为IP地址拥有者后,之前的配置才会生效

路由器作为IP地址拥有者时,需要在配置VRRP功能的接口上配置ipv6 nd dad attempts 0命令关闭重复地址检测功能。ipv6 nd dad attempts 命令的详细描述,请参见“三层技术-IP业务命令参考”中的“IPv6基础”

VRRP关联Track项状态

被监视Track项的状态由Negative变为Positive或Notready后,对应的路由器优先级会自动恢复或故障恢复后的原Master路由器会重新抢占为Master状态

 

3. 创建备份组,并配置备份组的虚拟IPv6地址

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     创建备份组,并配置备份组的虚拟IPv6地址,该虚拟IPv6地址为链路本地地址。

vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address link-local

备份组的第一个虚拟IPv6地址必须是链路本地地址,并且每个备份组只允许有一个链路本地地址,该地址必须最后一个删除。

4. 配置备份组的相关参数

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置备份组的虚拟IPv6地址,该虚拟IPv6地址为全球单播地址。

vrrp ipv6 vrid virtual-router-id virtual-ip virtual-address

缺省情况下,没有为备份组指定全球单播地址类型的虚拟IPv6地址。

(4)     配置路由器在备份组中的优先级。

vrrp ipv6 vrid virtual-router-id priority priority-value

缺省情况下,路由器在备份组中的优先级为100。

(5)     配置备份组中的路由器工作在抢占方式,并配置抢占延迟时间。

vrrp ipv6 vrid virtual-router-id preempt-mode [ delay delay-value ]

缺省情况下,备份组中的路由器工作在抢占方式,抢占延迟时间为0厘秒。

5. 关闭备份组

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     关闭IPv6 VRRP备份组。

vrrp ipv6 vrid virtual-router-id shutdown

缺省情况下,IPv6 VRRP备份组处于开启状态。

1.6.4  配置IPv6 VRRP报文的相关属性

1. 配置限制和指导

·     IPv6 VRRP备份组中的路由器上配置的VRRP通告报文发送间隔可以不同。Master路由器根据自身配置的报文发送间隔定时发送通告报文,并在通告报文中携带Master路由器上配置的发送间隔;Backup路由器接收到Master路由器发送的通告报文后,记录报文中携带的Master通告报文发送间隔,如果在3×发送间隔+Skew_Time内未收到Master路由器发送的VRRP通告报文,则认为Master路由器出现故障,重新选举Master路由器。

·     网络流量过大可能会导致Backup路由器在指定时间内未收到Master路由器的VRRP通告报文,而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置备份组中Master路由器发送VRRP通告报文的发送间隔。

vrrp ipv6 vrid virtual-router-id timer advertise adver-interval

缺省情况下,备份组中Master路由器发送VRRP通告报文的发送间隔为100厘秒。

建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。

(4)     退回系统视图。

quit

(5)     配置IPv6 VRRP报文的DSCP优先级。

vrrp ipv6 dscp dscp-value

缺省情况下,IPv6 VRRP报文的DSCP优先级为56。

DSCP用来体现报文自身的优先等级,决定报文传输的优先程度。

1.6.5  配置IPv6 VRRP Master路由器定时发送ND报文

1. 功能简介

开启本功能后,Master路由器定时发送ND报文用来保证下游设备的MAC地址表项能够定时刷新。

2. 配置限制和指导

·     该命令只在VRRP标准模式下生效。

·     重复执行本命令修改ND报文的发送时间间隔,修改后的时间间隔在下一个发送时间间隔生效。

·     为了防止设备在同一时间发送大量ND报文,当设备同时作为多个IPv6 VRRP备份组的Master路由器时,在这些IPv6 VRRP备份组中Master路由器会在执行本命令后的interval/2到interval时间内随机发送第一个ND报文。

·     如果设备上配置了大量的IPv6 VRRP备份组,同时又配置了很小的ND报文发送时间间隔,那么ND报文的实际发送时间间隔可能会远远高于用户配置的时间间隔。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置IPv6 VRRP Master路由器定时发送ND报文。

vrrp ipv6 send-nd [ interval interval ]

缺省情况下,IPv6 VRRP Master路由器不会定时发送ND报文。

1.6.6  配置IPv6 VRRP成员备份组关联管理备份组功能

1. 功能简介

设备上配置多个IPv6 VRRP备份组承担流量转发时,因为每个IPv6 VRRP备份组都需要单独维护自己的状态机,所以会产生大量IPv6 VRRP通告报文,对网络和CPU性能都造成大量负荷。通过将IPv6 VRRP备份组分为管理备份组和成员备份组,当成员备份组关联管理备份组后,成员备份组就不再发送IPv6 VRRP通告报文进行设备间的主备协商,其设备主备状态与管理备份组保持一致,从而大大减少了IPv6 VRRP通告报文对网络带宽和CPU处理性能的影响。

2. 配置限制和指导

·     IPv6 VRRP管理备份组需要配置路由器在备份组中的优先级、抢占方式等功能,保证可以正常选举出Master设备,IPv6 VRRP成员备份组不需要配置上述功能。

·     IPv6 VRRP备份组无法同时作为管理备份组和成员备份组。

·     如果IPv6 VRRP备份组所关联的管理备份组不存在,则该IPv6 VRRP备份组始终处于Inactive状态。

·     如果IPv6 VRRP备份组在关联管理备份组前处于Inactive或Initialize状态,关联的管理备份组处于除Inactive状态的其他状态,则关联之后该IPv6 VRRP备份组状态保持不变。

·     由于成员备份组不主动发送IPv6 VRRP通告报文,可能导致下游设备上的MAC表项不正确,建议同时配置vrrp ipv6 send-nd命令开启IPv6 VRRP Master路由器定时发送ND报文。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入接口视图。

interface interface-type interface-number

(3)     配置IPv6 VRRP管理备份组。

vrrp ipv6 vrid virtual-router-id name name

缺省情况下,未配置IPv6 VRRP管理备份组。

(4)     退回系统视图。

quit

(5)     进入接口视图。

interface interface-type interface-number

(6)     配置IPv6 VRRP成员备份组关联IPv6 VRRP管理备份组。

vrrp ipv6 vrid virtual-router-id follow name

缺省情况下,未配置IPv6 VRRP成员备份组关联IPv6 VRRP管理备份组。

1.6.7  IPv6 VRRP显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示IPv6 VRRP配置后的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除IPv6 VRRP统计信息。

表1-2 IPv6 VRRP显示和维护

操作

命令

显示IPv6 VRRP备份组的状态信息

display vrrp ipv6 [ interface interface-type interface-number [ vrid virtual-router-id ] ] [ verbose ]

显示IPv6 VRRP管理备份组及成员备份组关联信息

display vrrp ipv6 binding [ interface interface-type interface-number [ vrid virtual-router-id ] | name name ]

显示IPv6 VRRP备份组的统计信息

display vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

清除IPv6 VRRP备份组的统计信息

reset vrrp ipv6 statistics [ interface interface-type interface-number [ vrid virtual-router-id ] ]

 

1.7  IPv4 VRRP典型配置举例

1.7.1  VRRP单备份组配置举例

1. 组网需求

·     Host A需要访问Internet上的Host B,Host A的缺省网关为10.1.1.111/24;

·     当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。

2. 组网图

图1-5 VRRP单备份组配置组网图

3. 配置步骤

 

(1)     配置Switch A

# 配置VLAN2。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port gigabitethernet 1/0/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 10.1.1.1 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.111

# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。

[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110

# 设置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Switch A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5000厘秒。

[SwitchA-Vlan-interface2] vrrp vrid 1 preempt-mode delay 5000

(2)     配置Switch B

# 配置VLAN2。

<SwitchB> system-view

[SwitchB] vlan 2

[SwitchB-Vlan2] port gigabitethernet 1/0/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 10.1.1.2 255.255.255.0

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.111。

[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.111

# 设置Switch B在备份组1中的优先级为100。

[SwitchB-Vlan-interface2] vrrp vrid 1 priority 100

# 设置Switch B工作在抢占方式,抢占延迟时间为5000厘秒。

[SwitchB-Vlan-interface2] vrrp vrid 1 preempt-mode delay 5000

4. 验证配置

配置完成后,在Host A上可以ping通Host B。通过display vrrp verbose命令查看配置后的结果。

# 显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.111

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.1

# 显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 5000

     Become Master    : 401ms left

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.111

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.1

以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,Host A发送给Host B的报文通过Switch A转发。

Switch A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp verbose命令查看Switch B上备份组的详细信息。

# Switch A出现故障后,显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.111

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.2

以上显示信息表示Switch A出现故障后,Switch B成为Master,Host A发送给Host B的报文通过Switch B转发。

# Switch A故障恢复后,显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.111

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.1

以上显示信息表示Switch A故障恢复后,Switch A会抢占成为Master,Host A发送给Host B的报文仍然通过Switch A转发。

1.7.2  多个VLAN中的VRRP备份组配置举例

1. 组网需求

·     VLAN 2内主机的缺省网关为10.1.1.100/25;VLAN 3内主机的缺省网关为10.1.1.200/25;

·     Switch A和Switch B同时属于虚拟IP地址为10.1.1.100/25的备份组1和虚拟IP地址为10.1.1.200/25的备份组2;

·     在备份组1中Switch A的优先级高于Switch B,在备份组2中Switch B的优先级高于Switch A,从而保证VLAN 2和VLAN 3内的主机分别通过Switch A和Switch B通信,当Switch A或Switch B出现故障时,主机可以通过另一台设备继续通信,避免通信中断。

2. 组网图

图1-6 多个VLAN中的VRRP备份组配置组网图

3. 配置步骤

 

(1)     配置Switch A

# 配置VLAN 2。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port gigabitethernet 1/0/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ip address 10.1.1.1 255.255.255.128

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。

[SwitchA-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.100

# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证在备份组1中Switch A成为Master负责转发流量。

[SwitchA-Vlan-interface2] vrrp vrid 1 priority 110

[SwitchA-Vlan-interface2] quit

# 配置VLAN 3。

[SwitchA] vlan 3

[SwitchA-vlan3] port gigabitethernet 1/0/6

[SwitchA-vlan3] quit

[SwitchA] interface vlan-interface 3

[SwitchA-Vlan-interface3] ip address 10.1.1.130 255.255.255.128

# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.200。

[SwitchA-Vlan-interface3] vrrp vrid 2 virtual-ip 10.1.1.200

(2)     配置Switch B

# 配置VLAN 2。

<SwitchB> system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ip address 10.1.1.2 255.255.255.128

# 创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。

[SwitchB-Vlan-interface2] vrrp vrid 1 virtual-ip 10.1.1.100

[SwitchB-Vlan-interface2] quit

# 配置VLAN 3。

[SwitchB] vlan 3

[SwitchB-vlan3] port gigabitethernet 1/0/6

[SwitchB-vlan3] quit

[SwitchB] interface vlan-interface 3

[SwitchB-Vlan-interface3] ip address 10.1.1.131 255.255.255.128

# 创建备份组2,并配置备份组2的虚拟IP地址为10.1.1.200。

[SwitchB-Vlan-interface3] vrrp vrid 2 virtual-ip 10.1.1.200

# 设置Switch B在备份组2中的优先级为110,高于Switch A的优先级100,以保证在备份组2中Switch B成为Master负责转发流量。

[SwitchB-Vlan-interface3] vrrp vrid 2 priority 110

4. 验证配置

可以通过display vrrp verbose命令查看配置后的结果。

# 显示Switch A上备份组的详细信息。

[SwitchA-Vlan-interface3] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status    : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 0

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.100

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.1

 

   Interface Vlan-interface3

     VRID             : 2                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 0

     Become Master    : 203ms left

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.200

     Virtual MAC      : 0000-5e00-0102

     Master IP        : 10.1.1.131

# 显示Switch B上备份组的详细信息。

[SwitchB-Vlan-interface3] display vrrp verbose

IPv4 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 0

     Become Master    : 211ms left

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.100

     Virtual MAC      : 0000-5e00-0101

     Master IP        : 10.1.1.1

 

   Interface Vlan-interface3

     VRID             : 2                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 0

     Auth Type        : Not supported

     Version          : 3

     Virtual IP       : 10.1.1.200

     Virtual MAC      : 0000-5e00-0102

     Master IP        : 10.1.1.131

以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,缺省网关为10.1.1.100/25的主机通过Switch A访问Internet;备份组2中Switch A为Backup,Switch B为Master,缺省网关为10.1.1.200/25的主机通过Switch B访问Internet。

1.8  IPv6 VRRP典型配置举例

1.8.1  VRRP单备份组配置举例

1. 组网需求

·     Host A需要访问Internet上的Host B;Host A通过交换机发送的RA消息学习到缺省网关地址为1::10/64;

·     当Switch A正常工作时,Host A发送给Host B的报文通过Switch A转发;当Switch A出现故障时,Host A发送给Host B的报文通过Switch B转发。

2. 组网图

图1-7 VRRP单备份组配置组网图

3. 配置步骤

 

(1)     配置Switch A

# 配置VLAN 2。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port gigabitethernet 1/0/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ipv6 address fe80::1 link-local

[SwitchA-Vlan-interface2] ipv6 address 1::1 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10

# 配置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证Switch A成为Master负责转发流量。

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 priority 110

# 配置Switch A工作在抢占方式,以保证Switch A故障恢复后,能再次抢占成为Master,即只要Router A正常工作,就由Switch A负责转发流量。为了避免频繁地进行状态切换,配置抢占延迟时间为5000厘秒。

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode delay 5000

# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。

[SwitchA-Vlan-interface2] undo ipv6 nd ra halt

(2)     配置Switch B

# 配置VLAN 2。

<SwitchB> system-view

[SwitchB] vlan 2

[SwitchB-vlan2] port gigabitethernet 1/0/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ipv6 address fe80::2 link-local

[SwitchB-Vlan-interface2] ipv6 address 1::2 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10

# 配置Switch B工作在抢占方式,抢占延迟时间为5000厘秒。

[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 preempt-mode delay 5000

# 配置允许发布RA消息,以便Host A通过RA消息学习到缺省网关地址。

[SwitchB-Vlan-interface2] undo ipv6 nd ra halt

4. 验证配置

配置完成后,在Host A上可以ping通Host B。通过display vrrp ipv6 verbose命令查看配置后的结果。

# 显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::1

# 显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode        : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 5000

     Become Master    : 403ms left

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::1

以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,Host A发送给Host B的报文通过Switch A转发。

Switch A出现故障后,在Host A上仍然可以ping通Host B。通过display vrrp ipv6 verbose命令查看Switch B上备份组的信息。

# Switch A出现故障后,显示Switch B上备份组1的详细信息。

[SwitchB-Vlan-interface2] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::2

以上显示信息表示Switch A出现故障后,Switch B成为Master,Host A发送给Host B的报文通过Switch B转发。

# Switch A故障恢复后,显示Switch A上备份组1的详细信息。

[SwitchA-Vlan-interface2] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 1

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 5000

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::1

以上显示信息表示Switch A故障恢复后,Switch A会抢占成为Master,Host A发送给Host B的报文仍然通过Switch A转发。

1.8.2  多个VLAN中的VRRP备份组配置举例

1. 组网需求

·     Switch A和Switch B同时属于虚拟IPv6地址为1::10/64、FE80::10的备份组1和虚拟IPv6地址为2::10/64、FE90::10的备份组2;

·     VLAN 2内主机通过交换机发送的RA消息学习到缺省网关地址为1::10/64;VLAN 3内主机通过路由器发送的RA消息学习到缺省网关地址为2::10/64;

·     在备份组1中Switch A的优先级高于Switch B,在备份组2中Switch B的优先级高于Switch A,从而保证VLAN 2和VLAN 3内的主机分别通过Switch A和Switch B通信,当Switch A或Switch B出现故障时,主机可以通过另一台设备继续通信,避免通信中断。

2. 组网图

图1-8 多个VLAN中的VRRP备份组配置组网图

3. 配置步骤

 

(1)     配置Switch A

# 配置VLAN 2。

<SwitchA> system-view

[SwitchA] vlan 2

[SwitchA-vlan2] port gigabitethernet 1/0/5

[SwitchA-vlan2] quit

[SwitchA] interface vlan-interface 2

[SwitchA-Vlan-interface2] ipv6 address fe80::1 link-local

[SwitchA-Vlan-interface2] ipv6 address 1::1 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10

# 设置Switch A在备份组1中的优先级为110,高于Switch B的优先级100,以保证在备份组1中Switch A成为Master负责转发流量。

[SwitchA-Vlan-interface2] vrrp ipv6 vrid 1 priority 110

# 配置允许发布RA消息,以便VLAN 2内主机通过RA消息学习到缺省网关地址。

[SwitchA-Vlan-interface2] undo ipv6 nd ra halt

[SwitchA-Vlan-interface2] quit

# 配置VLAN 3。

[SwitchA] vlan 3

[SwitchA-vlan3] port gigabitethernet 1/0/6

[SwitchA-vlan3] quit

[SwitchA] interface vlan-interface 3

[SwitchA-Vlan-interface3] ipv6 address fe90::1 link-local

[SwitchA-Vlan-interface3] ipv6 address 2::1 64

# 创建备份组2,并配置备份组2的虚拟IPv6地址为FE90::10和2::10。

[SwitchA-Vlan-interface3] vrrp ipv6 vrid 2 virtual-ip fe90::10 link-local

[SwitchA-Vlan-interface3] vrrp ipv6 vrid 2 virtual-ip 2::10

# 配置允许发布RA消息,以便VLAN 3内主机通过RA消息学习到缺省网关地址。

[SwitchA-Vlan-interface3] undo ipv6 nd ra halt

(2)     配置Switch B

# 配置VLAN 2。

<SwitchB> system-view

[SwitchB-vlan2] port gigabitethernet 1/0/5

[SwitchB-vlan2] quit

[SwitchB] interface vlan-interface 2

[SwitchB-Vlan-interface2] ipv6 address fe80::2 link-local

[SwitchB-Vlan-interface2] ipv6 address 1::2 64

# 创建备份组1,并配置备份组1的虚拟IPv6地址为FE80::10和1::10。

[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip fe80::10 link-local

[SwitchB-Vlan-interface2] vrrp ipv6 vrid 1 virtual-ip 1::10

# 配置允许发布RA消息,以便VLAN 2内主机通过RA消息学习到缺省网关地址。

[SwitchB-Vlan-interface2] undo ipv6 nd ra halt

[SwitchB-Vlan-interface2] quit

# 配置VLAN 3。

[SwitchB] vlan 3

[SwitchB-vlan3] port gigabitethernet 1/0/6

[SwitchB-vlan3] quit

[SwitchB] interface vlan-interface 3

[SwitchB-Vlan-interface3] ipv6 address fe90::2 link-local

[SwitchB-Vlan-interface3] ipv6 address 2::2 64

# 创建备份组2,并配置备份组2的虚拟IPv6地址为FE90::10和2::10。

[SwitchB-Vlan-interface3] vrrp ipv6 vrid 2 virtual-ip fe90::10 link-local

[SwitchB-Vlan-interface3] vrrp ipv6 vrid 2 virtual-ip 2::10

# 设置Switch B在备份组2中的优先级为110,高于Switch A的优先级100,以保证在备份组2中Switch B成为Master负责转发流量。

[SwitchB-Vlan-interface3] vrrp ipv6 vrid 2 priority 110

# 配置允许发布RA消息,以便VLAN 3内主机通过RA消息学习到缺省网关地址。

[SwitchB-Vlan-interface3] undo ipv6 nd ra halt

4. 验证配置

可以通过display vrrp ipv6 verbose命令查看配置后的结果。

# 显示Switch A上备份组的详细信息。

[SwitchA-Vlan-interface3] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 0

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::1

 

   Interface Vlan-interface3

     VRID             : 2                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 0

     Become Master    : 402ms left

     Auth Type        : None

     Virtual IP       : FE90::10

                        2::10

     Virtual MAC      : 0000-5e00-0202

     Master IP        : FE90::2

# 显示Switch B上备份组的详细信息。

[SwitchB-Vlan-interface3] display vrrp ipv6 verbose

IPv6 Virtual Router Information:

 Running Mode      : Standard

 Total number of virtual routers : 2

   Interface Vlan-interface2

     VRID             : 1                    Adver Timer  : 100

     Admin Status     : Up                   State        : Backup

     Config Pri       : 100                  Running Pri  : 100

     Preempt Mode     : Yes                  Delay Time   : 0

     Become Master    : 401ms left

     Auth Type        : None

     Virtual IP       : FE80::10

                        1::10

     Virtual MAC      : 0000-5e00-0201

     Master IP        : FE80::1

 

   Interface Vlan-interface3

     VRID             : 2                    Adver Timer  : 100

     Admin Status     : Up                   State        : Master

     Config Pri       : 110                  Running Pri  : 110

     Preempt Mode     : Yes                  Delay Time   : 0

     Auth Type        : None

     Virtual IP       : FE90::10

                        2::10

     Virtual MAC      : 0000-5e00-0202

     Master IP        : FE90::2

以上显示信息表示在备份组1中Switch A为Master,Switch B为Backup,缺省网关为1::10/64的主机通过Switch A访问Internet;备份组2中Switch A为Backup,Switch B为Master,缺省网关为2::10/64的主机通过Switch B访问Internet。

1.9  VRRP常见故障处理

1.9.1  出现配置错误的提示

1. 故障现象

在配置过程中出现配置错误的提示,提示内容如下:"The virtual router detected a VRRP configuration error.”。

2. 故障分析

·     可能是备份组内的设备配置不一致造成的,具体包括以下几种情况:

¡     备份组运行的是VRRPv2版本时,报文携带的通告报文发送间隔与当前备份组不一致,VRRPv3版本不受此限制。

¡     报文携带的虚拟IP地址个数与当前备份组不一致。

¡     报文携带的虚拟IP地址列表与当前备份组不一致。

·     可能是备份组内的设备收到攻击者发送的非法VRRP报文,如IP地址拥有者收到优先级为255的VRRP报文。

3. 故障处理

·     对于第一种情况,可以通过修改配置来解决。

·     对于第二种情况,则是有些攻击者有不良企图,应当通过定位和防止攻击来解决。

1.9.2  同一个备份组内出现多个Master路由器

1. 故障现象

同一个备份组内出现多台Master路由器。

2. 故障分析

·     若短时间内存在多台Master路由器,属于正常情况,无需进行人工干预。

·     若多台Master路由器长时间共存,这很有可能是由于Master路由器之间收不到VRRP报文,或者收到的报文不合法造成的。

3. 故障处理

先在多台Master路由器之间执行ping操作。如果ping不通,则检查网络连接是否正确;如果能ping通,则检查VRRP的配置是否一致。对于同一个VRRP备份组的配置,必须要保证虚拟IP地址个数、每个虚拟IP地址和认证方式完全一样。如果使用的是IPv4 VRRP,还需保证IPv4 VRRP使用的版本一致。如果是VRRPv2版本,还要求VRRP通告发送间隔一致。

1.9.3  VRRP的状态频繁转换

1. 故障现象

在运行过程中VRRP的状态频繁转换。

2. 故障分析

这种情况一般是由于VRRP通告报文发送间隔太短造成的。

3. 故障处理

增加通告报文的发送间隔或者设置抢占延迟都可以解决这种故障。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们