02-VRRP
本章节下载: 02-VRRP (344.19 KB)
本帮助主要介绍以下内容:
· 特性简介
¡ VRRP备份组
¡ 联动高可靠性
在具有组播或广播能力的局域网(如以太网)中,借助VRRP能在某台设备出现故障时仍然提供高可靠的链路,有效避免单一链路发生故障后网络中断的问题。
VRRP将可以承担网关功能的一组设备加入到备份组中,形成一台虚拟设备。VRRP通过选举机制决定哪台设备承担转发任务,局域网内的主机只需将虚拟设备配置为默认网关即可。因此,VRRP在提高可靠性的同时,简化了主机的配置。
VRRP将局域网内的可以承担网关功能的一组设备划分在一起,组成一个备份组。备份组由一台Master设备和多台Backup设备组成,对外相当于一台虚拟设备。
在HA与VRRP联动的组网环境中,HA将会控制设备在多个VRRP备份组中Master和Backup状态的统一切换。此功能可以使设备的上下行流量同时切换到新的主设备,保证业务不中断。
此处以主备模式,介绍HA与VRRP的联动组网情况,具体如下。
· 如图-1的左图所示,在仅有VRRP的组网环境中,当VRRP链路故障时会导致上、下行VRRP备份组中的Master设备不是同一台设备,造成流量中断。
· 如图-1的右图所示,将HA和VRRP关联后可以解决以上问题。HA控制通道建立后,VRRP备份组内的设备状态将由HA决定,VRRP自身的主备选择机制不再生效。当HA的控制通道断开后,VRRP自身的主备选择机制将会重新生效。
图-1 HA联动VRRP示意图
VRRP active组和VRRP standby组:用于将HA与VRRP进行关联,实现HA对多个VRRP备份组状态进行统一管理的目的。
VRRP active/standby组分别有两种状态:Master和Backup。VRRP成员设备在VRRP备份组中的状态与所属VRRP active/standby组的状态保持一致。例如,VRRP active备份组的状态是Master,则该组中所有设备在VRRP备份组中的状态均为Master。
VRRP active/standby组初始状态的实现机制如下:
· 主备模式下:主管理设备上VRRP active组和VRRP standby组的初始状态均为Master;从管理设备上VRRP active组和VRRP standby组的初始状态均为Backup。
· 双主模式下:此种模式下VRRP active/standby组的状态与主从管理设备角色无关,VRRP active组的初始状态为Master;VRRP standby组的初始状态均为Backup。
如图-1的右图所示,将HA与VRRP关联成功后,VRRP备份组中Master/Backup状态的变化机制如下:
1. 正常情况下,Device A(假设其是主管理设备)上VRRP active组的状态是Master,所以Device A在VRRP备份组1和VRRP备份组2中的状态是Master设备。Device B(假设其是从管理设备)上VRRP standby组的状态是Backup,所以Device B在VRRP备份组1和VRRP备份组2中的状态是Backup设备。
2. 当Device A的下行接口Interface A2故障后,HA会收到接口故障事件。然后HA发送VRRP active/standby组状态信息变更报文给Device B,通知Device B将其VRRP standby组的状态变更为Master。
3. Device B收到VRRP active/standby组状态信息变更报文后,会将自身VRRP standby组的状态变更为Master,同时将Device B在VRRP备份组1和VRRP备份组2中的状态变为Master设备。变更完成后给Device A发送应答报文。
4. Device A收到Device B的VRRP standby组状态变更成功应答报文后,将自己VRRP active组的状态变更为Backup,同时将Device A在VRRP备份组1和VRRP备份组2中的状态变更为Backup。
当Device A的下行接口Interface A2故障恢复后,流量会进行回切,VRRP备份组中Master/Backup状态的变化与接口故障时的变化过程类似,不再重复介绍。
当VRRP备份组中的设备接收到虚拟IP地址的ARP请求报文后,只能由Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求,与此同时ARP报文传输路径上的二层设备也就学习到了此虚拟MAC地址的MAC地址表项。
备份组具有IP地址,称为虚拟IP地址。局域网内的主机仅需要知道这台虚拟设备的IP地址,并将其设置为网关的IP地址即可。局域网内的主机通过这台虚拟设备与外部网络进行通信。
虚拟设备的IP地址可以是备份组所在网段中未被分配的IP地址,也可以和备份组内的某个设备的接口IP地址相同。接口IP地址与虚拟IP地址相同的设备被称为IP地址拥有者。
VRRP根据优先级来确定备份组中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。
VRRP优先级的取值范围为0到255(数值越大表明优先级越高),可配置的范围是1到254,优先级0为系统保留给特殊用途来使用,255则是系统保留给IP地址拥有者。当设备为IP地址拥有者时,其优先级始终为255。因此,当备份组内存在IP地址拥有者时,只要其工作正常,则为Master设备。在同一个VRRP备份组中,只能存在一个IP地址拥有者。
备份组中的设备具有以下两种方式:
· 抢占方式:在该方式下Backup设备一旦发现自己的优先级比当前Master设备的优先级高,就会触发Master设备的重新选举,并最终取代原有的Master设备。抢占方式可以确保承担转发任务的Master设备始终是备份组中优先级最高的设备。
· 非抢占方式:在该方式下只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。非抢占方式可以避免频繁地切换Master设备。
在抢占方式下,为了避免备份组内的成员频繁进行主备状态转换,让Backup设备有足够的时间搜集必要的信息(如路由信息),Backup设备接收到优先级低于本地优先级的通告报文后,不会立即抢占成为Master设备,而是等待抢占延迟时间后,才会重新选举新的Master设备。
Backup设备抢占成为Master设备时,需要等待指定延迟时间后,才会抢占为Master设备。0表示立刻抢占为Master设备。
VRRP备份组中的Master设备会定时发送VRRP通告报文,通知备份组内的设备自己工作正常。需要注意的是:
· 建议配置VRRP通告报文的发送间隔大于100厘秒,否则会对系统的稳定性产生影响。
· 使用VRRPv2版本时,IPv4 VRRP备份组中的所有设备必须配置相同的VRRP通告报文间隔。
· 使用VRRPv3版本时,VRRP备份组中的设备上配置的VRRP通告报文间隔可以不同。Master设备根据自身配置的报文间隔定时发送通告报文,并在通告报文中携带Master设备上配置的间隔;Backup设备接收到Master设备发送的通告报文后,记录报文中携带的Master设备通告报文间隔,如果在3×记录的间隔+Skew_Time内没有收到Master设备发送的VRRP通告报文,则认为Master设备出现故障,重新选举Master设备。
· 网络流量过大可能会导致Backup设备在指定时间内没有收到Master设备的VRRP通告报文,从而发生状态转换。可以通过将VRRP通告报文的发送间隔延长的办法来解决该问题。
VRRP通过在VRRP报文中增加认证字的方式,验证接收到的VRRP报文,防止非法用户构造报文攻击备份组内的设备。VRRP提供了三种认证方式:
· 无认证:发送VRRP报文的设备与接收报文的设备之间不进行报文合法性认证。
· 简单字符认证:发送VRRP报文的设备将认证字填入到VRRP报文中,而收到VRRP报文的设备会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是真实、合法的VRRP报文;否则认为接收到的报文是一个非法报文,将其丢弃。
· MD5认证:发送VRRP报文的设备利用认证字和MD5算法对VRRP报文进行摘要运算,运算结果保存在VRRP报文中。收到VRRP报文的设备会利用本地配置的认证字和MD5算法进行同样的运算,并将运算结果与认证头的内容进行比较。如果相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文,然后将其丢弃。
缺省情况下,在Master的三层以太网子接口上配置模糊VLAN终结后,该接口不支持发送广播和组播报文。为了保证Master可以周期性地向Backup发送VRRP通告报文(组播报文),需要在Master的三层以太网子接口上启用VLAN终结支持广播/组播报文功能。启用该功能后,VRRP通告报文将发送给所有终结的VLAN。三层以太网子接口上模糊终结的VLAN较多时,会导致发送的VRRP通告报文数量过多,严重影响设备的性能。
配置VRRP的控制VLAN能够解决上述问题。关闭VLAN终结支持广播/组播功能,并配置VRRP的控制VLAN后,可以使得Master设备仅在控制VLAN内发送VRRP通告报文,避免发送过多的VRRP通告报文。
VRRP的控制VLAN分为两种:
· 只指定一层VLAN Tag:配置了模糊Dot1q终结的子接口上,需要指定此类控制VLAN;
· 指定两层VLAN Tag:配置了模糊QinQ终结的子接口上,需要指定此类控制VLAN。
· VRRPv3版本的IPv4 VRRP和IPv6 VRRP均不支持对VRRP报文进行认证。
· 一个接口上的不同备份组可以设置不同的认证方式和认证字;加入同一备份组的设备需要设置相同的认证方式和认证字。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!