VRRP原理与例.docVIP

1.1 VRRP简介 如 图1-1所示，通常，同一网段内的所有主机上都存在一条相同的、以网关为下一跳的缺省路由。 当网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信。 图1-1 局域网组网方案 VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）将可以承担网关功能的一组 路由器加入到备份组中，形成一台虚拟路由器，由VRRP 的选举机制决定哪台路由器承担转发任务， 局域网内的主机只需将虚拟路由器配置为缺省网关。 VRRP 是一种容错协议，在提高可靠性的同时，简化了主机的配置。在具有多播或广播能力的局域 网（如以太网）中，借助VRRP 能在某台路由器出现故障时仍然提供高可靠的缺省链路，有效避免 单一链路发生故障后网络中断的问题，而无需修改动态路由协议、路由发现协议等配置信息。 1-2 设备支持标准协议模式的VRRP：即基于RFC实现的VRRPv2 和VRRPv3。其中，VRRPv2 基于IPv4， VRRPv3 基于IPv6。VRRPv2 和VRRPv3 在功能实现上并没有区别，只是应用的网络环境不同，详 细介绍请参见“1.2 VRRP标准协议模式”。 1.2 VRRP标准协议 1.2.1 VRRP备份组简介 VRRP 将局域网内的一组路由器划分在一起，称为一个备份组。备份组由一个Master 路由器和多 个Backup 路由器组成，功能上相当于一台虚拟路由器。 VRRP 备份组具有以下特点： 图1-2 VRRP 组网示意图 如 图1-2所示，Router A、Router B和Router C组成一个虚拟路由器。此虚拟路由器有自己的IP地 址。局域网内的主机将虚拟路由器设置为缺省网关。Router A、Router B和Router C中优先级最高 的路由器作为Master路由器，承担网关的功能。其余两台路由器作为Backup路由器。 1. 虚拟IP 备份组具有虚拟IP 地址。局域网内的主机仅需要知道这个虚拟路由器的IP地址，并将其设置为缺 省路由的下一跳地址。 ?? 虚拟路由器的 IP 地址可以是备份组所在网段中未被分配的IP 地址，也可以和备份组内的某个 路由器的接口IP 地址相同。接口IP 地址与虚拟IP 地址相同的路由器被称为“IP 地址拥有者”。 ?? 在同一个 VRRP 备份组中，只允许配置一个IP 地址拥有者。 2. 备份组中路由器的优先级 VRRP 根据优先级来确定备份组中每台路由器的角色（Master 路由器或Backup 路由器）。优先级 越高，则越有可能成为Master 路由器，其他优先级低的成为Backup 路由器。 ?? 路由器在备份组中的状态可以为 Master、Backup 和Initialize。 VRRP 优先级的取值范围为0 到255（数值越大表明优先级越高），可配置的范围是1 到254，优 先级0 为系统保留给特殊用途来使用，255 则是系统保留给IP 地址拥有者。当路由器为IP 地址拥 有者时，其优先级始终为255。因此，当备份组内存在IP 地址拥有者时，只要其工作正常，则为 Master 路由器。 3. 备份组中路由器的工作方式 备份组中的路由器具有以下两种工作方式： ?? 非抢占方式：如果备份组中的路由器工作在非抢占方式下，则只要Master 路由器没有出现故 障，Backup 路由器即使随后被配置了更高的优先级也不会成为Master 路由器。 ?? 抢占方式：如果备份组中的路由器工作在抢占方式下，它一旦发现自己的优先级比当前的 Master 路由器的优先级高，就会对外发送VRRP 通告报文。导致备份组内路由器重新选举 Master 路由器，并最终取代原有的Master 路由器。相应地，原来的Master 路由器将会变成 Backup 路由器。 4. 备份组中路由器的认证方式 为了防止非法用户构造报文攻击备份组，VRRP 通过在VRRP 报文中增加认证字的方式，验证接收 到的VRRP 报文。VRRP 提供了两种认证方式： ?? simple：简单字符认证。发送VRRP 报文的路由器将认证字填入到VRRP 报文中，而收到 VRRP 报文的路由器会将收到的VRRP 报文中的认证字和本地配置的认证字进行比较。如果 认证字相同，则认为接收到的报文是真实、合法的VRRP 报文；否则认为接收到的报文是一 个非法报文。 ?? md5：MD5 认证。发送VRRP 报文的路由器利用认证字和MD5 算法对VRRP 报文进行摘要 运算，运算结果保存在Authentication Header（认证头）中。收到VRRP 报文的路由器会利 用认证字和MD5 算法进行同样的运算，并将运算结果与认证头的内容进行比较。如果相同， 则认为接收到的报文