一、VRRP技术
1. 课程目标
- 掌握内容:VRRP基本概念和工作原理、VRRP报文和状态机、VRRP的配置方法
2. 什么是VRRP
1)VRRP的定义与功能
-
-
协议全称:Virtual Router Redundancy Protocol(虚拟路由器冗余协议)
-
标准依据:RFC 3768定义的容错协议
-
核心功能:将多个物理路由器组成备份组,形成一台虚拟路由器承担网关功能
2)VRRP的工作逻辑
-
组网方式:将两个三层交换机/路由器加入备份组形成逻辑设备
-
地址关系:
-
虚拟路由器拥有独立IP地址
-
虚拟IP与物理设备接口地址不同
-
-
终端配置:终端只需将网关设置为虚拟路由器的IP地址
3)VRRP的网关功能承担方式
-
主备机制:同一时间仅由主设备承担网关转发功能
-
故障切换:主设备故障时备份设备自动接管虚拟IP
-
高可用性:只要组内有一台设备正常工作,网关功能就能持续
4)VRRP对用户透明性
-
用户感知:终端无需关注具体由哪个物理设备提供网关服务
-
协议特点:与DHCP、STP等协议类似,均对终端透明
-
类比说明:类似班级学委工作交接,只要有人负责即可,不需通知全体同学
3. VRRP负载分担
1)VRRP主备备份概念
-
-
典型场景:单一网段(如10.100.10.0/24)的网关备份
-
工作特点:
-
主设备处理所有流量
-
备份设备处于待命状态
-
-
可靠性:避免单点故障导致全网中断
2)VRRP负载分担原理
-
-
实现条件:需要至少两个不同网段(如VLAN10和VLAN11)
-
工作模式:
-
设备A作为VLAN10的主网关/VLAN11的备份网关
-
设备B作为VLAN11的主网关/VLAN10的备份网关
-
-
流量分布:不同网段的流量通过不同主网关转发
3)单网段与多网段的负载分担区别
-
单网段限制:只能实现主备备份,无法真正负载分担
-
多网段优势:
-
不同VLAN流量通过不同主网关
-
物理设备资源利用率提高
-
-
配置要点:每个网段需要独立的VRRP组和虚拟IP
4. VRRP的相关概念
1)VRRP基本介绍
-
-
组网方式: 由多个路由器组成VRRP组(VRID),同一组内的路由器通过交互报文实现协同工作
-
虚拟路由器架构: 包含一个Master路由器和若干Backup路由器,主机将虚拟路由器设置为默认网关
-
独立组特性: 不同VRRP组完全独立,组ID互不重复(如示例中的组10和组11)
2)虚拟路由器的组成
-
-
虚拟IP: 作为主机的网关地址(如10.100.10.1),与实际物理接口IP不同
-
虚拟MAC: 固定格式为0000-5E00-01XX(XX对应VRID),用于响应ARP请求
-
主备角色:
-
Master: 实际转发数据包的路由器
-
Backup: 监听状态,当Master故障时接替工作
-
-
负载分担: 可创建多个虚拟路由器组(如VRID1和VRID2),同时承担业务流量
3)VRRP优先级
-
-
优先级范围: 8位数值,默认100,最高255(特殊值)
-
选举规则:
-
优先级高的成为Master
-
优先级相同时,比较接口IP大小(如10.10.10.3 > 10.10.10.2)
-
-
组内限制: 每个VRRP组只能有一个Master,但可配置多个Backup
-
配置示例:
4)特殊的优先级255
-
-
触发条件: 当物理接口IP与虚拟IP完全相同时(如都是10.1.1.254)
-
特性:
-
自动获得255优先级(不可修改)
-
称为"IP地址拥有者"
-
强制成为Master路由器
-
-
设计原因: 避免网络中出现重复IP地址的情况
-
优先级限制: 普通设备最高只能配置到254,无法达到255
5. VRRP协议报文格式
-
-
协议特性:
-
网络层协议,协议号为112
-
无传输层封装,报文直接封装在IP包头后
-
-
报文发送:
-
由Master路由器以组播方式定时发送
-
使用固定组播地址224.0.0.18
-
-
报文结构:
-
版本号: 当前通用版本为v2
-
类型: 仅定义一种报文类型(通报报文)
-
虚拟路由器ID: LAN上唯一的组标识符
-
优先级: 当前设备在组内的优先级(0-255)
-
认证字段: 支持认证机制,未通过认证设备无法加入组
-
通告周期: 默认为1秒
-
IP地址列表: 记录当前设备维护的IP地址数量及具体地址
-
-
虚拟MAC地址:
-
格式为
00−00−5E−00−01−XX00-00-5E-00-01-XX00−00−5E−00−01−XX
(XX对应VRID)
-
用于响应虚拟IP的ARP请求
-
6. VRRP工作过程
-
-
选举机制:
-
主路由器选举: 优先级高者当选,优先级相同时比较接口IP大小
-
虚拟资源激活: 主路由器激活虚拟IP并承担数据转发
-
-
状态维护:
-
主路由器: 每1秒发送组播通告(地址224.0.0.18)
-
备份路由器: 仅接收报文,不主动发送
-
-
故障切换:
-
检测机制: 备份路由器在MASTER_DOWN_TIMER(3个通告周期,即3秒)内未收到主路由器报文则触发切换
-
抢占模式: 支持优先级高的备份路由器主动抢占主角色
-
-
配置示例:
7. VRRP协议状态机
-
状态类型:
-
Initialize: 端口关闭时进入的初始状态
-
Master: 实际转发数据的状态
-
Backup: 监听状态的备用角色
-
-
状态转换规则:
-
Initialize→Backup: 端口开启后,优先级<255时进入
-
Backup→Master: 通过选举机制(优先级/IP比较)或主设备故障(3秒超时)触发
-
Master→Initialize: 端口关闭时立即转换
-
-
特殊优先级:
-
255优先级: 拥有虚拟IP真实地址的设备直接成为Master
-
优先级比较: 新设备加入时比较优先级和接口IP决定角色
-
-
重要考点:
-
状态转换条件和时间参数(1秒通告周期,3秒超时)
-
255优先级的特殊处理规则
-
接口状态变化对VRRP角色的影响
-
8. VRRP选举之后
-
-
主路由器功能:选举为主路由器后,会激活虚拟IP地址及其对应的虚拟MAC地址。当主机发送虚拟IP地址的ARP请求时,主路由器使用虚拟MAC地址进行响应。
-
备份路由器行为:备份路由器不会激活虚拟IP地址和虚拟MAC地址,也不会响应虚拟IP的ARP请求,同时不会接收目的MAC是虚拟MAC的报文。
-
配置示例:
9. VRRP跟踪接口功能
-
-
接口跟踪原理:当Master路由器连接上行链路的接口处于Down状态时,会主动降低自己的优先级,触发备份组内重新选举Master。
-
应用场景:网关设备需要同时处理上行(外网)和下行(局域网)流量,任一接口故障都需要切换主备角色。
-
优先级调整:优先级降低到比备份路由器更低时,备份路由器会接管Master角色。
10. VRRP抢占
-
-
抢占模式:
-
启用抢占:当主路由器优先级恢复后,会重新抢占Master角色。
-
非抢占模式:即使主路由器优先级更高,也不会主动抢占Master角色。
-
-
默认配置:设备通常默认启用抢占模式,以确保主备切换的及时性。
-
状态确定:路由器启用VRRP功能后,根据优先级确定角色,优先级变化后根据VRRP模式确认状态。
11. 刷新MAC表
-
-
无故ARP作用:当设备成为VRRP主路由器时,立即发送应答型无故ARP,用于刷新交换机的MAC表,确保流量正确转发。
-
必要性:如果不发送无故ARP,主备切换后二层网络可能出现连通性问题,因为终端仍会向原主路由器发送流量。
-
厂商差异:该功能是否默认开启因厂商、设备和版本而异。如果使用接口MAC作为源MAC发送VRRP报文且未开启无故ARP,会导致二层网络问题。
-
配置建议:原则上应开启该功能以避免网络中断。
二、抓包观察
1. ARP协议分析
-
-
ARP Announcement特征:
-
发送方MAC:
00:00:5e:00:01:0a
(IETF-VRRP-VRID_0a)
-
发送方IP:192.168.10.1
-
目标MAC:00:00:00:00:00:00(全零地址)
-
操作码:1(请求)
-
特殊标记:Gratuitous(True),Announcement(True)
-
-
交换机地址表刷新机制:
-
只要数据包包含源MAC地址即可刷新交换机内部位置表
-
请求/应答关系对刷新影响不大
-
华为设备使用请求包实现该功能
-
2. 厂商实现差异
-
-
思科与华为差异:
-
思科严格遵循标准协议实现
-
华为因历史法律纠纷修改了实现方式
-
2000年代曾因命令行与思科雷同而赔偿
-
后建立独立认证体系
-
-
实际应用中建议以华为标准为准(国内主流)
-
-
VRRP协议特征:
-
使用组播地址224.0.0.18
-
报文类型为Announcement(v2)
-
典型长度64字节
-
3. 设备状态查看
-
状态分类:
-
Master:1台(主设备)
-
Backup:1台(备份设备)
-
Non-active:0台(非活跃设备)
-
-
配置注意事项:
-
华为设备使用system-view进入配置模式
-
接口配置路径:[Huawei-GigabitEthernet0/0/1]
-
与思科配置命令存在显著差异
-