VRRP详解.docVIP

VRRP详解 VRRP简介: VRRP（Virtual router redundancy protocol, 虚拟路由器冗余协议）(RFC2338)提供了局域网上的设备备份机制。 VRRP 协议是一种容错协议，它与CISCO公司的私有协议HSRP（Hot Standby Redundency Protocol）实现相同的功能。它保证当主机的下一跳路由器坏掉时，可以及时由另一台路由器来代替，从而保持通讯的连续性和可靠性。 VRRP基本概念: VRRP路由器: 运行VRRP协议的路由器，一台VRRP路由器可以同时参与到多个VRRP组中，在不同的组中，一台VRRP路由器可以充当不同的角色. 虚拟IP地址、MAC地址: 用于标示虚拟的路由器，该地址实际上就是用户的默认网关. IP地址所有者： 将局域网的接口地址作为虚拟路由器的IP地址的路由器。当运行时，该路由器将响应寻址到该IP地址的数据包。 MASTER、BACKUP路由器: MASTER路由器就是在VRRP组实际转发数据包的路由器 BACKUP路由器就是在VRRP组中处于监听状态的路由器 VRRP广播报文： 由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。 三种状态机： 初始状态(Initialize)、主状态(Master)、备份状态(Backup) 主路由选择： 根据优先级的大小挑选主路由器，优先级最大的为主路由器，若优先级相同，则比较接口的主IP地址，主IP地址大的就成为主路由器，由它提供实际的路由服务。(下图中RTA为Master，RTB为Backup) VRRP工作原理： VRRP运行在同一局域网的RouterA和RouterB两个路由器上，它将RouterA和RouterB组成了一个虚拟路由器，这个虚拟路由器拥有自已的IP地址10.10.10.1和MAC地址（VRRP计算生成的）。当然，物理路由器也有自己的真实IP地址，RouterA的真实IP地址是10.10.10.2；RouterB的真实IP地址是10.10.10.3。我们配置局域网内的主机上的默认网关是虚拟路由器的IP地址10.10.10.1，这样主机只知道虚拟路由器的IP地址，而不知道真实的RouterA 和 RouterB 的IP地址。 局域网的主机通过虚拟路由器的IP地址与外部网络联系，对于一个虚拟路由器，我们还需要确定如何选举主虚拟路由器。 1．根据路由器配置的优先级的大小，优先级最大的为主虚拟路由器，指定状态为Master，若优先级相同，则比较路由器接口的IP地址，IP地址大的就成为主虚拟路由器，由主虚拟路由器为主机提供实际的路由转发服务。 2．在一个虚拟路由器中的其它路由器（除主虚拟路由器之外）作为备份虚拟路由器，随时监测主虚拟路由器的状态。当主路由器正常工作时，它会每隔一段时间发送一个VRRP组播报文，以通知其它的备份路由器，主虚拟路由器处于正常工作状态。如果备份虚拟路由器长时间没有接收到来自主虚拟路由器的报文，则将自己状态转为Master。当在一个虚拟路由器中有多个备份虚拟路由器时，将有可能产生多个主虚拟路由器。这时每一个主虚拟路由器就会比较VRRP报文中的优先级和自己本地的优先级，如果本地的优先级小于VRRP报文中的优先级，则将自己的状态转为Backup，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的路由器选成新的主虚拟路由器。 VRRP 主要特点： IP地址备份： 在局域网内多个路由器共用一个虚拟IP地址，实现对用户主机的默认网关的备份，可以将网络中断时间减少至最低。将一个路由器配置到多个虚拟路由器中，也可以实现负载均衡。 选择最优路径： 根据优先级和接口IP地址的配置，从多个路由器中选举的主虚拟路由器,可以为用户提供最优的网络路由路径。 高效率的运作： 除主虚拟路由器定时发送VRRP组播报文之外，主虚拟路由器与备份路由器之间没有多余的通信。任何优先级低或相等的备份路由器不能发起状态转移，这样主虚拟路由器可以持续可靠地运行。 安全机制： VRRP协议支持对VRRP报文的认证方式。在一个安全性要求不高的网络环境中，我们可以不考虑认证方式的配置，路由器不会对发送的VRRP报文做认证处理，而接受VRRP报文的路由器也不会对VRRP做认证比较，就认为是一个合法的VRRP报文。但是，在一个有安全性要求的网络环境中，可以对VRRP报文增加认证方式，路由器对发送VRRP报文增加认证字，而接受VRRP报文的路由器会将收到的VRRP报文的认证字与本地配置的认证字进行比较，若相同，就认为是一个合法的VRRP报文，进行处理；若不相同，则认为是一个不合法VRRP报文，就会丢弃。