VRRP协议详解课件_第1页
VRRP协议详解课件_第2页
VRRP协议详解课件_第3页
VRRP协议详解课件_第4页
VRRP协议详解课件_第5页
已阅读5页,还剩125页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

姓名:边冬松工号:01023综合测试支持部姓名:边冬松VRRP协议综合测试支持部VRRP协议综合测试支持部理解VRRP的基本概念掌握VRRP的基本工作原理掌握我司设备VRRP特性解释使用VRRP过程中遇到的一些问题课程目标学习完本课程,您应该能够:理解VRRP的基本概念课程目标学习完本课程,您应该能够:VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录VRRP的产生VRRP的产生对于局域网中的端主机,存在多种方法可以使其知道它的第一跳路由器地址,其中包括:运行某种动态路由协议,比如运行RIP或者OSPF配置ICMPRouterDiscoveryProtocol(IRDP)配置静态缺省路由,即配置网关。VRRP的产生对于局域网中的端主机,存在多种方法可以使其知道它的第一跳路由采用动态路由协议,由于管理开销、处理开销、安全原因以及在某些平台上不支持等原因而不现实。设想:在一个网络上的所有主机都运行邻居或者路由发现协议,往往主机数量都非常庞大,这样就不得不使用较大的定时器值以减小协议开销,而这又会给检测死亡邻居过程带来明显的延迟,最终导致长得不可接受的“黑洞”时间。VRRP的产生采用动态路由协议,由于管理开销、处理开销、安全原因以及在某些VRRP的产生VRRP的产生在实际应用中,使用配置静态缺省路由,即在主机配置网关的方法相当普遍,这种方法具有最小化的配置和运行开销,并且被所有基于IP的应用所支持。但是,这种方法也有缺点,即增加了单点故障的可能性。缺省路由器的不可用将带来灾难性的结果:当缺省路由器失效时,所有相连的端主机将由于不能检测到可以替换的其他可用路径而造成网络中断。VRRP的产生在实际应用中,使用配置静态缺省路由,即在主机配置网关的方法相综合以上两种方法存在的问题,设计产生了虚拟路由器冗余协议(VRRP),采用了静态缺省路由的方法,并且很好的避免了单点故障。协议定义的选举过程提供了一个当负责转发的主路由器失效时,备份路由器可以接替负责转发的动态容错机制。VRRP协议的这一优点使得每一个端主机不用配置任何动态路由协议或者路由发现协议,就可以获得更高的可靠性。VRRP的产生综合以上两种方法存在的问题,设计产生了虚拟路由器冗余协议(VVRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录VRRP全称VirtualRouterRedundancyProtocol(虚拟路由器冗余协议)。简单来说,VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。

概述VRRP全称VirtualRouterRedundanc虚拟路由器VRRP协议管理的抽象对象,可以由虚拟路由器标识(VRID)和一组IP地址来定义虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文,响应虚拟路由器IP地址ARP请求虚拟路由器的备份路由器当主路由器失效时,接替主路由器VRRP基本概念虚拟路由器VRRP基本概念虚拟路由器的IPAddress虚拟路由器使用的IP地址,可以用其接口上的真实地址作为虚拟路由器的IP地址,也可以单独配置一个IP地址虚拟路由器的MAC地址00-00-5e-00-01-xx,00005E由IANA分配。0001为分配给VRRP协议的地址块。xx为VRRP虚拟路由器标识。该映射在一个网络中提供最多255个VRRP路由器组。VRRP相关概念虚拟路由器的IPAddressVRRP相关概念VRRP协议只有一种报文,即主路由器定时向其它成员发送的组播报文。

VRRP协议报文封装在IP报文中,通过组播方式进行发送。VRRP报文结构VRRP协议只有一种报文,即主路由器定时向其它成员发送的组播VRRP报文结构VRRP报文结构Version版本号报文中的version字段指VRRP协议版本,目前普遍应用的为版本2Type类型type字段定义了VRRP报文的类型。本版本的协议仅定义了一个报文类型:

1-ADVERTISEMENT通告,带有未知类型的报文将被丢弃VRRP报文Version版本号VRRP报文VirtualRtrID(VRID)虚拟路由器标识(VRID)字段标识了此报文所报告状态的虚拟路由器。可配置的范围是1--255。没有缺省值。PriorityPriority字段申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。该字段为8位无符号整型。缺省的VRRP路由器优先级为100。 注:如果VRRP路由器是虚拟路由器地址的IP地址所有者,那么其优先级必须为255。优先级值0用于指示当前虚拟路由器的主路由器停止参与VRRP组。主要用于触发备用路由器快速地迁移到主路由器,而不用等待当前主路由器超时。

VRRP报文VirtualRtrID(VRID)VRRP报文AuthenticationType认证类型认证类型字段用于标识要用到的认证方法。在一个虚拟路由器组内认证类型是唯一的。认证类型字段是一个8位无符号整型。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配,那么该报文必须被丢弃。目前定义的认证方法有:

0-NoAuthentication不认证

1-Reserved保留

2-Reserved保留VRRP报文AuthenticationType认证类型VRRPAuthenticationData验证字验证字,目前只有明文认证才用到该部分,对于其它认证方式,一律填0。收到未知验证类型,或者错误验证字都会丢弃VRRP报文AuthenticationData验证字VRRP报AdvertisementIntervalVRRP通告间隔时间,单位为秒。缺省为1秒。这个字段主要用于错误配置路由器时的故障定位和解决。Checksum校验和字段用于检测VRRP消息的数据是否出错。IPAddressIP地址字段为虚拟路由器的一个或者多个IP地址。IP地址的数量在“CountIPAddrs”字段中说明。IP地址字段用于错误配置路由器时的故障定位和解决。VRRP报文AdvertisementIntervalVRRP报文VRRP报文的源MAC00-00-5e-00-01-xxVRRP报文的目的MAC01-00-5e-00-00-12VRRP报文的二层封装VRRP报文的源MAC00-00-5e-00-01源地址报文被发出的接口的主IP地址目的地址IANA给VRRP分配的IP组播地址为224.0.0.18。这是一个本地范围的组播地址。不论TTL的值是多少,路由器都被禁止转发以此地址为目标地址的报文。TTLTTL必须为255。当VRRP路由器收到TTL不等于255的VRRP协议报文后,必须丢弃。协议号IANA分配给VRRP的IP协议号为112(十进制)一般抓包时显示0X70(十六进制)VRRP报文的三层封装源地址VRRP报文的三层封装抓包结果VRRP报文抓包结果VRRP报文VRRP组播报文的TTL为何是255?一个问题VRRP组播报文的TTL为何是255?一个问题VRRP组播报文是用来在备份组中路由器之间维护Master/Backup关系的,只在本网段进行传播,不能被路由器转发。根据这些条件,VRRP组播报文的TTL设成1就可以了。但是,RFC2338规定VRRP组播报文的TTL必须是255,TTL不等于255的报文将被丢弃。这种设计主要是从安全方面考虑的。VRRP可以通过明文或MD5认证来保证安全,但是无论哪种认证方式都会消耗一些资源。在本网段的安全可以得到保证的情况下,攻击主要来自其它的网段,将TTL设定为255而不必使用认证就可以轻松应对这样的攻击。因为来自其它网段的报文要经过路由器转发,TTL必然小于255。答案VRRP组播报文是用来在备份组中路由器之间维护Master/优先级为255VRRP报文优先级为0优先级为255VRRP报文优先级为0多IP地址VRRP报文明文验证多IP地址VRRP报文明文验证VRID虚拟路由器标识。可配置的范围在1--255(十进制)。没有缺省值。

Priority优先级参数用于在一组VRRP路由器中选举主路由器。255被保留给拥有虚拟路由器IP地址的IP地址所有者。0被保留给主路由器指示其将放弃虚拟路由器的Master的责任。虚拟路由器的备用路由器可以使用1--254(十进制)的优先级。缺省值为100。IP_Addresses虚拟路由器的IP地址,一个或者多个,可配置,没有缺省值。VRRP的3个参数VRIDVRRP的3个参数Advertisement_Interval主路由器发送VRRP组播报文的时间间隔,缺省为1秒,用户可修改。Master-down-interval间隔时间是adver-interval的3倍+Skew_Time。Preempt_delay抢占时间延迟,默认为0,即立即抢占。Skew_TimeskewMaster_Down_Interval单位为秒。计算方法为: (256-优先级)/2564个计时器Advertisement_Interval4个计时器Preempt_Mode抢占模式,控制具有更高优先级的备用路由器可否抢占具有较低优先级的主路由器,使自己成为Master。当值为真时,允许抢占;当值为假时,禁止抢占。缺省值为真。

注意:存在的例外情况是,虚拟路由器IP地址拥有者的路由器总是抢占的,并且独立于该标志位的设置。

1个模式Preempt_Mode1个模式组成虚拟路由器的路由器会有三种状态机,分别是:InitializeMasterBackupVRRP的状态机组成虚拟路由器的路由器会有三种状态机,分别是:VRRP的状态VRRP的状态机INITIALIZEMASTERBACKUP收到一个比自己本地的优先级大的ADVERTISEMENT报文MASTER_DOWN_TIMER到时收到ShutDown消息收到Startup,且优先级为255收到Startup,且优先级小于255收到ShutDown消息VRRP的状态机INITIALIZEMASTERBACKUPInitialize系统启动后进入此状态,当收到接口startup的消息,将转入Backup或Master状态(优先级为255时)。在此状态时,不会对VRRP报文做任何处理。VRRP的状态机InitializeVRRP的状态机Master定期发送VRRP通告消息。响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文。如果它是这个虚拟IP地址的拥有者(IPAddressOwner),则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup,当接收到接口的Shutdown事件时,转为Initialize。VRRP的状态机MasterVRRP的状态机Backup当路由器处于BACKUP状态时,它将会做下列工作:接收Master发送的VRRP广播报文,从中了解Master。对虚拟IP地址的ARP请求,不做响应。丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文。接收到VRRP报文后:如果收到报文的优先级为0

将状态设置为Master,开始发送报文如果收到报文优先级小于本地优先级而且本地设置了抢占方式,一段时间后转为Master状态VRRP的状态机BackupVRRP的状态机Backup否则正常接收,对定时器进行重置处于Backup状态的设备,当3×adver_interval+(256-Priority)/256时间没有收到Master发来的VRRP报文,则认为当前的Master已经Down掉,将自己转为Master状态,发送VRRP报文VRRP的状态机BackupVRRP的状态机根据优先级的大小挑选主路由器,优先级最大的为主路由器,若优先级相同,则比较接口的主IP地址,主IP地址大的就成为主路由器,由它提供实际的路由服务。其它路由器作为备份路由器,随时监测主路由器的状态。当主路由器正常工作时,它会每隔一段时间(Advertisement_Interval)发送一个VRRP组播报文,以通知组内的备份路由器,主路由器处于正常工作状态。当组内的备份路由器长时间(Master_Down_Interval)没有接收到来自主路由器的报文,则将自己转为主路由器。当组内有多台备份路由器时,将有可能产生多个主路由器。这时每一个主路由器就会比较VRRP报文中的优先级(priority)和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转为备份路由器,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的路由器选成新的主路由器,完成VRRP的备份功能。VRRP的工作过程根据优先级的大小挑选主路由器,优先级最大的为主路由器,若优先ARP查询处理当内部主机通过ARP查询虚拟路由器IP地址对应的MAC地址时,MASTER路由器回复的MAC地址为虚拟的VRRP的MAC地址,而不是实际网卡的MAC地址,这样在路由器切换时让内网机器觉察不到;而在路由器重新启动时,不能主动发送本机网卡的实际MAC地址。如果虚拟路由器开启的ARP代理(proxy_arp)功能,代理的ARP回应也回应VRRP虚拟MAC地址。VRRP的一些问题处理ARP查询处理VRRP的一些问题处理ICMP重定向处理

ICMP重定向会导致将路由器的真实接口IP地址通过重定向报文通知给网络内的主机如果重定向报文中的目的地址的下一跳是一个备份组的MASTER,就将这个备份组的虚拟IP地址填充到ICMP重定向报文中的下一跳。如果重定向报文中的目的地址地下一跳是一个备份组的BACKUP,就不发送ICMP重定向报文。如果重定向报文中的目的地址地下一跳是一个没有运行VRRP的路由器,就将这个路由器的真实接口IP地址填充到ICMP重定向报文中的下一跳。VRRP的一些问题处理ICMP重定向处理VRRP的一些问题处理VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录虚拟IP地址应不应该能够ping通?RFC2338并没有规定虚拟IP地址应不应该ping通。目前在我司和C公司的设备上都提供了切换ping通虚拟IP地址的开关命令。RFC2338没有对这一行为作出规定,如果能够ping通虚拟IP地址,可以比较方便的监控虚拟路由器的工作情况,但是这样也带来了可能遭到ICMP攻击的隐患,同时也不能分辨当前虚拟路由器中是否存在IP地址拥有者。而如果虚拟IP地址不能ping通,会给监控虚拟路由器的工作情况带来一定的麻烦。两种实现方法应该说是各有利弊。我司产品VRRP特性虚拟IP地址应不应该能够ping通?RFC2338并没有规虚拟IP地址应不应该能够ping通?如果在一个备份组中,有的路由器对应的虚地址配置了可以PING通,有的不能被PING通,这时在主备切换过程中,如果Master当前对应到配置了可以PING通的设备上,则虚地址能够PING通,否则PING不通。地址拥有者任何时候都可PING通。我司产品VRRP特性虚拟IP地址应不应该能够ping通?如果在一个备份组中,有图中3处故障,哪几处可以引起VRRP的切换,此处故障是否能够引起VRRP的切换我司产品VRRP特性图中3处故障,哪几处可以引起VRRP的切换,此处故障是否能够vlan接口或以太网接口状态改变对虚拟路由器优先级的影响[H3C-Vlan-interface10]vrrpvrid1track?EthernetEthernetinterfaceGigabitEthernetGigabitEthernetinterfaceVlan-interfaceVLANinterfacedetect-grouptrackdetect-groupifmtrackIFM某些vlan接口或以太网接口状态改变时将虚拟路由器优先级降低,当接口状态恢复,虚拟路由器优先级也恢复优先级,缺省减10,例如:[H3C-Vlan-interface10]vrrpvrrpvrid1trackGigabitEthernet1/1[H3C-Vlan-interface10]vrrpvrrpvrid1trackEthernet0/17reduce20[H3C-Vlan-interface10]vrrpvrrpvrid1trackVlan-interface120我司产品VRRP特性vlan接口或以太网接口状态改变对虚拟路由器优先级的影响我司免费ARP的发送,使主机刷新MAC地址表我司设备虚MAC、实MAC都可以发送免费ARP。如果是虚实混合方式,则视Master对应设备选择的方式,来确定是以虚MAC还是实MAC方式发送。我司产品VRRP特性免费ARP的发送,使主机刷新MAC地址表我司产品VRRP特性VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录我司设备与其他厂家设备认证不通过使用不认证和simple方式,VRRP能够正常互通。使用MD5认证出现多个Master。我司设备之间使用MD5认证能够通过,但是抓包显示错误。另外:在当前的备份组当中各台设备认证方式不一致,也会出现多个Master的情况。MD5认证问题我司设备与其他厂家设备认证不通过MD5认证问题在2004年,IETF将RFC2338作废,新版本RFC3768较RFC2338的改进新版的VRRP较老版简化了认证处理,实际不再进行数据的认证,这是因为在实际应用中经常出现认证成为造成多个MASTER同时使用的异常情况。AuthType:认证类型,8位,RFC3768中认证功能已经取消,此字段值定义0(不认证),为1,2只作为对老版本的兼容;AuthenticationData:RFC3768中定义该字段只是为了和老版本兼容,必须置0。RFC2338和3768的区别在2004年,IETF将RFC2338作废,新版本RFC37优先级相同的时候比较IP地址大小在网络稳定时,各台设备配置了抢占模式,新加入的设备优先级和其他设备相同,即使IP地址大,也不会抢占。只有网络中同时出现多个Master,并且各个Master的优先级相同,这个时候才会迫不得已进行比较IP地址大小。什么时候会比较IP地址大小优先级相同的时候比较IP地址大小什么时候会比较IP地址大小优先级为0的报文,表示路由器停止参与VRRP,用来使备份路由器尽快成为主路由器,而不必等到计时器超时接口shutdown删除备份组什么时候会出现优先级为0的报文优先级为0的报文,表示路由器停止参与VRRP,用来使备份路由免费ARP的发送,使端主机刷新MAC地址表在进行了主备倒换之后,新的Master会主动发送免费ARP。什么时候发送免费ARPMaster免费ARP的发送,使端主机刷新MAC地址表什么时候发送免费A什么时候发送免费ARP在新的Master出现后,会发送免费ARP消息什么时候发送免费ARP在新的Master出现后,会发送免费A设备会以自己的虚MAC地址回给主机Arp-proxyVirt:1.1.1.10/16Real:1.1.1.1/161.2.1.2/161.2.1.1/161.1.1.2/8Virt:1.1.1.10/16设备会以自己的虚MAC地址回给主机Arp-proxyVir设备会以自己的虚MAC地址回给主机Arp-proxy设备会以自己的虚MAC地址回给主机Arp-proxy设备会以自己的虚MAC地址回给主机Arp-proxy设备会以自己的虚MAC地址回给主机Arp-proxy设备在发送ICMPredirct时会填备份组的虚MACICMPredirectVirt:1.1.1.10/16Real:1.1.1.1/161.1.1.2/8Route:30.30.30.1/24eth0/01.1.1.111.1.1.1130.30.30.30/24设备在发送ICMPredirct时会填备份组的虚MACIC设备会以虚MAC回复ICMPredirctICMPredirect设备会以虚MAC回复ICMPredirctICMPred设备会以虚MAC回复ICMPredirctICMPredirect设备会以虚MAC回复ICMPredirctICMPred多IP的使用:同一个备份组也可以实现负载分担同一个备份组也可以实现负载分担MasterBackupVRID=1Vir:10.10.10.1010.10.10.11VRID=1Vir:10.10.10.1010.10.10.11Gateway:10.10.10.10Gateway:10.10.10.11VRID=2Vir:10.10.10.122.2.2.1Gateway:10.10.10.12Gateway:2.2.2.1多IP的使用:同一个备份组也可以实现负载分担同一个备份组也可在IPv6环境中,VRRPv3的使用(draft-ietf-vrrp-ipv6-spec07)VRRPv3简介MasterBackupVRID=1Rea:FE80::2Vir:FE80::1VRID=1Rea:FE80::3Vir:FE80::1自动获取在IPv6环境中,VRRPv3的使用(draft-ietf-在IPv6环境中,VRRPv3VRRPv3简介在IPv6环境中,VRRPv3VRRPv3简介在IPv6环境中,VRRPv3VRRPv3简介在IPv6环境中,VRRPv3VRRPv3简介VRRP实现了对路由器IP地址的冗余功能,防止了单点故障造成的网络失效,VRRP本身是热备形式的,但是可以通过互相热备实现路由器的均衡处理。在RFC3768中对VRRP进行了改进,简化了认证处理。本章总结VRRP实现了对路由器IP地址的冗余功能,防止了单点故障造成VRRP协议详解课件姓名:边冬松工号:01023综合测试支持部姓名:边冬松VRRP协议综合测试支持部VRRP协议综合测试支持部理解VRRP的基本概念掌握VRRP的基本工作原理掌握我司设备VRRP特性解释使用VRRP过程中遇到的一些问题课程目标学习完本课程,您应该能够:理解VRRP的基本概念课程目标学习完本课程,您应该能够:VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录VRRP的产生VRRP的产生对于局域网中的端主机,存在多种方法可以使其知道它的第一跳路由器地址,其中包括:运行某种动态路由协议,比如运行RIP或者OSPF配置ICMPRouterDiscoveryProtocol(IRDP)配置静态缺省路由,即配置网关。VRRP的产生对于局域网中的端主机,存在多种方法可以使其知道它的第一跳路由采用动态路由协议,由于管理开销、处理开销、安全原因以及在某些平台上不支持等原因而不现实。设想:在一个网络上的所有主机都运行邻居或者路由发现协议,往往主机数量都非常庞大,这样就不得不使用较大的定时器值以减小协议开销,而这又会给检测死亡邻居过程带来明显的延迟,最终导致长得不可接受的“黑洞”时间。VRRP的产生采用动态路由协议,由于管理开销、处理开销、安全原因以及在某些VRRP的产生VRRP的产生在实际应用中,使用配置静态缺省路由,即在主机配置网关的方法相当普遍,这种方法具有最小化的配置和运行开销,并且被所有基于IP的应用所支持。但是,这种方法也有缺点,即增加了单点故障的可能性。缺省路由器的不可用将带来灾难性的结果:当缺省路由器失效时,所有相连的端主机将由于不能检测到可以替换的其他可用路径而造成网络中断。VRRP的产生在实际应用中,使用配置静态缺省路由,即在主机配置网关的方法相综合以上两种方法存在的问题,设计产生了虚拟路由器冗余协议(VRRP),采用了静态缺省路由的方法,并且很好的避免了单点故障。协议定义的选举过程提供了一个当负责转发的主路由器失效时,备份路由器可以接替负责转发的动态容错机制。VRRP协议的这一优点使得每一个端主机不用配置任何动态路由协议或者路由发现协议,就可以获得更高的可靠性。VRRP的产生综合以上两种方法存在的问题,设计产生了虚拟路由器冗余协议(VVRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录VRRP全称VirtualRouterRedundancyProtocol(虚拟路由器冗余协议)。简单来说,VRRP是一种容错协议,它保证当主机的下一跳路由器坏掉时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。

概述VRRP全称VirtualRouterRedundanc虚拟路由器VRRP协议管理的抽象对象,可以由虚拟路由器标识(VRID)和一组IP地址来定义虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文,响应虚拟路由器IP地址ARP请求虚拟路由器的备份路由器当主路由器失效时,接替主路由器VRRP基本概念虚拟路由器VRRP基本概念虚拟路由器的IPAddress虚拟路由器使用的IP地址,可以用其接口上的真实地址作为虚拟路由器的IP地址,也可以单独配置一个IP地址虚拟路由器的MAC地址00-00-5e-00-01-xx,00005E由IANA分配。0001为分配给VRRP协议的地址块。xx为VRRP虚拟路由器标识。该映射在一个网络中提供最多255个VRRP路由器组。VRRP相关概念虚拟路由器的IPAddressVRRP相关概念VRRP协议只有一种报文,即主路由器定时向其它成员发送的组播报文。

VRRP协议报文封装在IP报文中,通过组播方式进行发送。VRRP报文结构VRRP协议只有一种报文,即主路由器定时向其它成员发送的组播VRRP报文结构VRRP报文结构Version版本号报文中的version字段指VRRP协议版本,目前普遍应用的为版本2Type类型type字段定义了VRRP报文的类型。本版本的协议仅定义了一个报文类型:

1-ADVERTISEMENT通告,带有未知类型的报文将被丢弃VRRP报文Version版本号VRRP报文VirtualRtrID(VRID)虚拟路由器标识(VRID)字段标识了此报文所报告状态的虚拟路由器。可配置的范围是1--255。没有缺省值。PriorityPriority字段申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。该字段为8位无符号整型。缺省的VRRP路由器优先级为100。 注:如果VRRP路由器是虚拟路由器地址的IP地址所有者,那么其优先级必须为255。优先级值0用于指示当前虚拟路由器的主路由器停止参与VRRP组。主要用于触发备用路由器快速地迁移到主路由器,而不用等待当前主路由器超时。

VRRP报文VirtualRtrID(VRID)VRRP报文AuthenticationType认证类型认证类型字段用于标识要用到的认证方法。在一个虚拟路由器组内认证类型是唯一的。认证类型字段是一个8位无符号整型。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配,那么该报文必须被丢弃。目前定义的认证方法有:

0-NoAuthentication不认证

1-Reserved保留

2-Reserved保留VRRP报文AuthenticationType认证类型VRRPAuthenticationData验证字验证字,目前只有明文认证才用到该部分,对于其它认证方式,一律填0。收到未知验证类型,或者错误验证字都会丢弃VRRP报文AuthenticationData验证字VRRP报AdvertisementIntervalVRRP通告间隔时间,单位为秒。缺省为1秒。这个字段主要用于错误配置路由器时的故障定位和解决。Checksum校验和字段用于检测VRRP消息的数据是否出错。IPAddressIP地址字段为虚拟路由器的一个或者多个IP地址。IP地址的数量在“CountIPAddrs”字段中说明。IP地址字段用于错误配置路由器时的故障定位和解决。VRRP报文AdvertisementIntervalVRRP报文VRRP报文的源MAC00-00-5e-00-01-xxVRRP报文的目的MAC01-00-5e-00-00-12VRRP报文的二层封装VRRP报文的源MAC00-00-5e-00-01源地址报文被发出的接口的主IP地址目的地址IANA给VRRP分配的IP组播地址为224.0.0.18。这是一个本地范围的组播地址。不论TTL的值是多少,路由器都被禁止转发以此地址为目标地址的报文。TTLTTL必须为255。当VRRP路由器收到TTL不等于255的VRRP协议报文后,必须丢弃。协议号IANA分配给VRRP的IP协议号为112(十进制)一般抓包时显示0X70(十六进制)VRRP报文的三层封装源地址VRRP报文的三层封装抓包结果VRRP报文抓包结果VRRP报文VRRP组播报文的TTL为何是255?一个问题VRRP组播报文的TTL为何是255?一个问题VRRP组播报文是用来在备份组中路由器之间维护Master/Backup关系的,只在本网段进行传播,不能被路由器转发。根据这些条件,VRRP组播报文的TTL设成1就可以了。但是,RFC2338规定VRRP组播报文的TTL必须是255,TTL不等于255的报文将被丢弃。这种设计主要是从安全方面考虑的。VRRP可以通过明文或MD5认证来保证安全,但是无论哪种认证方式都会消耗一些资源。在本网段的安全可以得到保证的情况下,攻击主要来自其它的网段,将TTL设定为255而不必使用认证就可以轻松应对这样的攻击。因为来自其它网段的报文要经过路由器转发,TTL必然小于255。答案VRRP组播报文是用来在备份组中路由器之间维护Master/优先级为255VRRP报文优先级为0优先级为255VRRP报文优先级为0多IP地址VRRP报文明文验证多IP地址VRRP报文明文验证VRID虚拟路由器标识。可配置的范围在1--255(十进制)。没有缺省值。

Priority优先级参数用于在一组VRRP路由器中选举主路由器。255被保留给拥有虚拟路由器IP地址的IP地址所有者。0被保留给主路由器指示其将放弃虚拟路由器的Master的责任。虚拟路由器的备用路由器可以使用1--254(十进制)的优先级。缺省值为100。IP_Addresses虚拟路由器的IP地址,一个或者多个,可配置,没有缺省值。VRRP的3个参数VRIDVRRP的3个参数Advertisement_Interval主路由器发送VRRP组播报文的时间间隔,缺省为1秒,用户可修改。Master-down-interval间隔时间是adver-interval的3倍+Skew_Time。Preempt_delay抢占时间延迟,默认为0,即立即抢占。Skew_TimeskewMaster_Down_Interval单位为秒。计算方法为: (256-优先级)/2564个计时器Advertisement_Interval4个计时器Preempt_Mode抢占模式,控制具有更高优先级的备用路由器可否抢占具有较低优先级的主路由器,使自己成为Master。当值为真时,允许抢占;当值为假时,禁止抢占。缺省值为真。

注意:存在的例外情况是,虚拟路由器IP地址拥有者的路由器总是抢占的,并且独立于该标志位的设置。

1个模式Preempt_Mode1个模式组成虚拟路由器的路由器会有三种状态机,分别是:InitializeMasterBackupVRRP的状态机组成虚拟路由器的路由器会有三种状态机,分别是:VRRP的状态VRRP的状态机INITIALIZEMASTERBACKUP收到一个比自己本地的优先级大的ADVERTISEMENT报文MASTER_DOWN_TIMER到时收到ShutDown消息收到Startup,且优先级为255收到Startup,且优先级小于255收到ShutDown消息VRRP的状态机INITIALIZEMASTERBACKUPInitialize系统启动后进入此状态,当收到接口startup的消息,将转入Backup或Master状态(优先级为255时)。在此状态时,不会对VRRP报文做任何处理。VRRP的状态机InitializeVRRP的状态机Master定期发送VRRP通告消息。响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文。如果它是这个虚拟IP地址的拥有者(IPAddressOwner),则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup,当接收到接口的Shutdown事件时,转为Initialize。VRRP的状态机MasterVRRP的状态机Backup当路由器处于BACKUP状态时,它将会做下列工作:接收Master发送的VRRP广播报文,从中了解Master。对虚拟IP地址的ARP请求,不做响应。丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文。接收到VRRP报文后:如果收到报文的优先级为0

将状态设置为Master,开始发送报文如果收到报文优先级小于本地优先级而且本地设置了抢占方式,一段时间后转为Master状态VRRP的状态机BackupVRRP的状态机Backup否则正常接收,对定时器进行重置处于Backup状态的设备,当3×adver_interval+(256-Priority)/256时间没有收到Master发来的VRRP报文,则认为当前的Master已经Down掉,将自己转为Master状态,发送VRRP报文VRRP的状态机BackupVRRP的状态机根据优先级的大小挑选主路由器,优先级最大的为主路由器,若优先级相同,则比较接口的主IP地址,主IP地址大的就成为主路由器,由它提供实际的路由服务。其它路由器作为备份路由器,随时监测主路由器的状态。当主路由器正常工作时,它会每隔一段时间(Advertisement_Interval)发送一个VRRP组播报文,以通知组内的备份路由器,主路由器处于正常工作状态。当组内的备份路由器长时间(Master_Down_Interval)没有接收到来自主路由器的报文,则将自己转为主路由器。当组内有多台备份路由器时,将有可能产生多个主路由器。这时每一个主路由器就会比较VRRP报文中的优先级(priority)和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转为备份路由器,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的路由器选成新的主路由器,完成VRRP的备份功能。VRRP的工作过程根据优先级的大小挑选主路由器,优先级最大的为主路由器,若优先ARP查询处理当内部主机通过ARP查询虚拟路由器IP地址对应的MAC地址时,MASTER路由器回复的MAC地址为虚拟的VRRP的MAC地址,而不是实际网卡的MAC地址,这样在路由器切换时让内网机器觉察不到;而在路由器重新启动时,不能主动发送本机网卡的实际MAC地址。如果虚拟路由器开启的ARP代理(proxy_arp)功能,代理的ARP回应也回应VRRP虚拟MAC地址。VRRP的一些问题处理ARP查询处理VRRP的一些问题处理ICMP重定向处理

ICMP重定向会导致将路由器的真实接口IP地址通过重定向报文通知给网络内的主机如果重定向报文中的目的地址的下一跳是一个备份组的MASTER,就将这个备份组的虚拟IP地址填充到ICMP重定向报文中的下一跳。如果重定向报文中的目的地址地下一跳是一个备份组的BACKUP,就不发送ICMP重定向报文。如果重定向报文中的目的地址地下一跳是一个没有运行VRRP的路由器,就将这个路由器的真实接口IP地址填充到ICMP重定向报文中的下一跳。VRRP的一些问题处理ICMP重定向处理VRRP的一些问题处理VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录虚拟IP地址应不应该能够ping通?RFC2338并没有规定虚拟IP地址应不应该ping通。目前在我司和C公司的设备上都提供了切换ping通虚拟IP地址的开关命令。RFC2338没有对这一行为作出规定,如果能够ping通虚拟IP地址,可以比较方便的监控虚拟路由器的工作情况,但是这样也带来了可能遭到ICMP攻击的隐患,同时也不能分辨当前虚拟路由器中是否存在IP地址拥有者。而如果虚拟IP地址不能ping通,会给监控虚拟路由器的工作情况带来一定的麻烦。两种实现方法应该说是各有利弊。我司产品VRRP特性虚拟IP地址应不应该能够ping通?RFC2338并没有规虚拟IP地址应不应该能够ping通?如果在一个备份组中,有的路由器对应的虚地址配置了可以PING通,有的不能被PING通,这时在主备切换过程中,如果Master当前对应到配置了可以PING通的设备上,则虚地址能够PING通,否则PING不通。地址拥有者任何时候都可PING通。我司产品VRRP特性虚拟IP地址应不应该能够ping通?如果在一个备份组中,有图中3处故障,哪几处可以引起VRRP的切换,此处故障是否能够引起VRRP的切换我司产品VRRP特性图中3处故障,哪几处可以引起VRRP的切换,此处故障是否能够vlan接口或以太网接口状态改变对虚拟路由器优先级的影响[H3C-Vlan-interface10]vrrpvrid1track?EthernetEthernetinterfaceGigabitEthernetGigabitEthernetinterfaceVlan-interfaceVLANinterfacedetect-grouptrackdetect-groupifmtrackIFM某些vlan接口或以太网接口状态改变时将虚拟路由器优先级降低,当接口状态恢复,虚拟路由器优先级也恢复优先级,缺省减10,例如:[H3C-Vlan-interface10]vrrpvrrpvrid1trackGigabitEthernet1/1[H3C-Vlan-interface10]vrrpvrrpvrid1trackEthernet0/17reduce20[H3C-Vlan-interface10]vrrpvrrpvrid1trackVlan-interface120我司产品VRRP特性vlan接口或以太网接口状态改变对虚拟路由器优先级的影响我司免费ARP的发送,使主机刷新MAC地址表我司设备虚MAC、实MAC都可以发送免费ARP。如果是虚实混合方式,则视Master对应设备选择的方式,来确定是以虚MAC还是实MAC方式发送。我司产品VRRP特性免费ARP的发送,使主机刷新MAC地址表我司产品VRRP特性VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题目录VRRP的产生目录我司设备与其他厂家设备认证不通过使用不认证和simple方式,VRRP能够正常互通。使用MD5认证出现多个Master。我司设备之间使用MD5认证能够通过,但是抓包显示错误。另外:在当前的备份组当中各台设备认证方式不一致,也会出现多个Master的情况。MD5认证问题我司设备与其他厂家设备认证不通过MD5认证问题在2004年,

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论