VRRP相关配置参数

一、VRRP基本功能的配置与管理

        所谓"基本功能"就是完成这些功能配置后即可实现对应的协议主要功能。总体来讲,VRRP的基本共呢个包括以下主要配置任务(只有前面两项为必选配置任务,且需要在VRRP备份组中的每台路由器上配置),但在配置VRRP基本功能前,要配置各设备VRRP接口的网络层属性,使其路由可达。

• 创建VRRP备份组
• 配置设备在备份组中的优先级
• (可选)配置VRRP的版本
• (可选)配置VRRP的时间参数
• (可选)配置VRRP报文在Super-VLAN中的发送方式
• (可选)配置禁止检测VRRP报文跳数
• (可选)配置VRRP报文的认证方式
• (可选)使能虚拟IP地址Ping功能

1、创建VRRP备份组

        VRRP备份组能够在不改变组网的情况下,采用将多台设备虚拟成一台网关设备,将虚拟交换机设备的IP地址作为用户的缺省网关的方式实现下一跳网关的备份。配置VRRP备份组后,流量通过Master设备转发,当Master设备故障时能迅速选举出新的Master设备继续承担流量转发的任务,实现了网关冗余备份。如果在网关冗余备份的同时要实现对流量的负载分担,则可以配置由不同的设备担当Master设备的多个VRRP备份组。

        VRRP备份组的创建方法很简单,就是在VRRP接(即VRRP设备的下行接口,可以是物理接口、逻辑接口或子接口,但必须是三层的)视图下通过vrrp vrid virtual-ip命令创建。

命令中的参数说明:

virtual-router-id:指定所创建的VRRP备份组号,取值范围1~255的整数。
virtual-address:指定创建VRRP备份组的虚拟IP地址。虚拟路由器的IP地址必须和对应接口的真实IP地址在同一网段,如果配置了在不同网段的虚拟路由器的IP地址,该备份组会处于VRRP尚未配置的初始状态,此状态下,VRRP不起作用。

在配置VRRP备份组时,要注意以下几点。

• 各备份组之间的虚拟IP地址不能重复
• 保证同一备份组的各成员设备上配置相同的备份组ID
• 不同接口之间的备份组ID可以重复使用
• 在配置虚拟IP地址时,一定不要配置与用户主机相同的IP地址,否则本网段报文都将被发送到用户主机,从而导致本网段的数据不能被正确转发 

 如果下游设备上送至网关的报文中带有VLAN Tag,则需要进入子接口视图,并根据实际情况进行如下配置。

• 报文中带有一层Tag时,先要通过dot1q termination vid子接口视图命令配置对指定VLAN Tag的终结功能,然后再执行dot1q vrrp vid命令配置再指定VLAN内发送VRRP报文。两命令中的参数vid用来指定终结的单层VLAN ID。
• 报文中带有两层Tag时,先要通过qinq termination pe-vid子接口视图命令配置子接口对指定的双层VLAN Tag报文的终结功能,然后再执行qinq vrrp pe-vid命令配置再指定VLAN内发送VRRP报文。两命令中的参数vid分别用来指定终结的外层和内层VLAN ID。
• 在子接口上配置VRRP时,建议同时使用arp broadcast enable命令使能终结子接口的ARP广播功能,以允许对应终结子接口能转发广播报文。

在设备上同时配置VRRP和静态ARP时需要注意以下两点。

• 当在Dot1q终结子接口、QinQ终结子接口或者VLANIF接口下配置VRRP时,不能将与这些接口下相关的静态ARP表项对应的映射IP地址作为VRRP的虚拟地址,否则会导致设备之间转发不通。例如:如果设备上已经存在了一条静态ARP表项且其映射IP地址为10.1.1.1,那么在Dot1q终结子接口、QinQ终结子接口或者VLANIF接口下配置VRRP时,就不能再使用10.1.1.1作为VRRP的虚拟IP地址。
• 当在Dot1q终结子接口、QinQ终结子接口或者VLANIF接口下配置VRRP后,再配置静态ARP表项时,不能指定VRRP的虚拟地址作为该静态ARP表项中对应的映射IP地址,否则可能导致设备之间转发不通。

        缺省情况下,设备上无VRRP备份组,可用undo vrrp vrid命令删除指定VRRP备份组的虚拟IP地址。如果备份组中的虚拟IP地址被全部删除,则系统会自动将此设备备份组删除。

2、配置设备再备份组中的优先级

        VRRP根据优先级决定再备份组中的地位,优先级越高,越可能成为Master设备,通过配置优先级,可以指定Master设备,以承担流量转发业务。

        VRRP备份组中设备优先级是对应的VRRP接口视图下使用vrrp vrid priority命令进行配置的。

命令中的参数说明:

virtual-router-id:指定要配置当前路由器优先级的VRRP备份组号

priority-value:指定当前路由器再前面指定VRRP备份组中的优先级,取值范围为1~254的整数,数值越大,优先级越高。如果需要配置当前设备作为缺省网关,可以执行此命令配置本设备再备份组中拥有最高的优先级,即指定其为Master设备。

优先级0是系统保留作为特殊用途的,优先级255保留给IP地址拥有者。IP地址拥有者的优先级不可配置,也不需要配置,直接为最高的255。

        再VRRP备份组中设备优先级取值相同的情况下,先切换至Master状态的设备为Master设备,其余Backup设备不再进行抢占;如果同时竞争Master,则比较VRRP备份组所在VRRP接口的IP地址大小,IP地址较大的接口所在的设备当选为Master设备。

        缺省情况下,优先级的取值是100,可用undo vrrp vrid priority命令恢复设备再指定VRRP备份组中的优先级为缺省值。

3、(可选)配置VRRP的版本

        基于IPv4的VRRP支持VRRv2和VRRPv3两个版本。如果VRRP备份组的内各路由器上配置的协议版本不同,可能导致VRRP报文不能互通。

• 配置了v2版本的备份组:只能发送和接收v2版本的VRRP通告报文,如果接收到了v3版本的VRRP通告报文,则将此报文丢弃。
• 配置了v3版本的备份组:能接收v2或v3版本的VRRP通告报文,发送报文的格式可以选择配置,包括仅发送v2版本报文、仅发送v3版本报文和既发送v2版本报文也发送v3版本报文。使用时可以根据需要进行配置。

        配置当前设备的VRRP版本号的方法是在系统视图下通过vrrp version命令配置。缺省情况下,VRRP版本号为2,可通过undo vrrp version命令恢复当前设备的VRRP版本号为缺省值。

        如果选择v3版本,还可以通过vrrp version-3 send-packet-mode命令配置VRRPv3发送的通告报文版本。缺省情况下,VRRPv3版本备份组发送通告报文的版本为v3-only,即发送v3版本的通告报文。

4、配置VRRP的时间参数

        VRRP所涉及的时间参数包括VRRP通告报文的发送间隔、路由器再VRRP备份组中的抢占延时、Master设备发送免费ARP报文的超时时间和VRRP备份组的状态恢复延迟时间,它们都有对应的缺省值,且一般情况下无需修改。

5、(可选)配置VRRP报文在super-vlan中的发送方式

        当VRRP备注组配置在聚合VLAN时,用户可以通过命令配置,使VRRP报文在指定的sub-VLAN中传输,避免VRRP通告报文在所有sub-VLAN内广播,以节约网络带宽。

        在Super-VLAN视图下通过vrrp advertise send-mode命令可配置VRRP通告报文在指定的或所有的Sub-VLAN中发送,缺省情况下,Master设备向Super-VLAN中的状态为up的且VLAN ID最小的Sub-VLAN发送VRRP通告报文,可用undo vrrp advertise send-mode命令恢复Master设备向Super-VLAN中发送VRRP通告报文的方式为缺省值。

6、(可选)配置禁止检测VRRP报文跳数

        VRRP通告报文有一个非常显著的特点,那就是报文中的TTL子值固定为255,系统对收到的VRRP通告报文的TTL值进行检测,如果TTL值不等于255,则认为是非法VRRP报文,于是丢弃这个报文。但在不同设备制造商的设备配置使用的组网环境中,检测VRRP报文的TTL值可能导致错误地丢弃合法报文,此时用户可用配置系统不检测VRRP报文的TTL值,以实现不同设备制造商的设备之间互通。

7、(可选)配置VRRP报文的认证方式

        在一些不安全的网络环境中,需要配置VRRP报文认证,以确保路由器对要发送和接收的VRRP报文都是真实、合法的。VRRPv2支持在通告报文中设定不同的认证方式和认证字,支持不认证、简单字符认证和MD5认证3种认证方式。

• 不认证方式:设备对要发送的VRRP通告报文不进行任何认证处理,收到通告报文的设备也不进行任何认证,认为收到的都是真实的、合法的VRRP报文。
• 简单字符(Simple)认证:发送VRRP通告报文的路由器将认证方式和认证字填充到通告报文种,而收到通告报文的路由器则会将报文种的认证方式和认证字符与本端配置的认证方式和认证字符进行匹配。如果相同,则认为接收到的报文是合法的VRRP通告报文;否则认为接收到的报文是一个非法报文,并丢弃这个报文。
• MD5认证:发送VRRP通告报文的路由器利用MD5算法对认证字符进行加密,加密后保存在Authentication Data字段中。收到通告报文的路由器会对报文中的认证方式和解密后的认证字符进行匹配,检测该报文的合法性。它比简单字符认证更安全。

        VRRP报文认证方式是在VRRP接口视图下通过vrrp vrid 备份组ID authentication-mode 认证方式

命令中的参数和选项说明如下:

• virtual-router-id:指定要配置VRRP认证方式的VRRP备份组号,整数形式,取值范围是1~255。
• simple:二选一选项,指定采用Simple认证方式。
• key:多选一参数,指定Simple认证方式的认证字符,字符串形式,不支持空格,区分大小写,长度范围1~8。当输入的字符串两端使用双引号时,可在字符串中输入空格。
• cipher:多选一参数,指定密文认证方式的认证字符,字符串形式,不支持空格,区分大小写,明文长度范围是1~8,密文长度为32或48。当输入的字符串两端使用双引号时,可在字符串中输入空格。
• md5:二选一参数,指定MD5认证方式的认证字符,字符串形式,不支持空格,区分大小写,明文长度范围是1~8,密文长度为24或32或48。当输入的字符串两端使用双引号时,可在字符串中输入空格。

        同一VRRP备份组的认证方式和认证字符必须相同,否则Master设备和Backup设备无法协商成功。缺省情况下,VRRP备份组采用不认证方式,可用undo vrrp vrid authentication-mode命令取消指定VRRP备份组的认证方式和认证字符。

8、(可选)使能虚拟IP地址Ping功能

        路由器支持对虚拟IP地址和Ping功能,可用于检测备份组中的Master设备是否有效,检测是否能通过使用某虚拟IP地址作为缺省网关与外部通信。

        可在系统视图下执行vrrp virtural-ip ping enable命令,允许Master设备响应目的IP地址是虚拟IP地址的Ping报文。缺省情况下,Master设备支持响应目的IP是虚拟IP地址的Ping报文,可用undo vrrp virtual-ip ping enable或vrrp virtual-ip ping disable命令来禁止Master设备响应目的IP地址是虚拟IP地址的Ping报文。

        以上VRRP基本功能配置好后,可通过以下display任意视图命令查看配置信息、验证配置结果;或者查看VRRP报文统计信息,了解VRRP运行情况;也可以通过以下reset用户视图命令清除VRRP统计信息,以便了解最新的VRRP运行情况。

• display vrrp[interface][brief]或display vrrp[admin-vrrp][interface]:查看指定接口、指定VRRP备份组或者所有VRRP备份组的状态信息和配置参数。
• display vrrp protocol-information:查看VRRP的相关信息。
• display vrrp[interface]statistics:查看指定接口、指定VRRP备份组或者所有VRRP备份组的报文收发统计信息。
• reset vrrp[interface][vrid]statistics:清除指定接口、指定VRRP备份组或者所有VRRP备份组的VRRP报文统计信息。

以上就是本章的全部内容了,感谢大家的浏览观看,文章中如有错误或疑问可联系博主删除更改,文章中部分内容源自教材《华为路由器学习指南》感兴趣可购买相关书籍浏览。