VRRP是一种容错协议,它为具有组播或广播能力的局域网(如以太网)设计,它保证当局域网内主机的下一跳路由器出现故障时,可以及时的由另一台路由器来代替,从而保持通讯的连续性和可靠性。
为了使VRRP工作,要在路由器上配置虚拟路由器号和虚拟IP地址,同时产生一个虚拟MAC地址,这样在这个网络中就加入了一个虚拟路由器。
而网络上的主机与虚拟路由器通信,无需了解这个网络上物理路由器的任何信息,一个虚拟路由器由一个主路由器和若干个备份路由器组成,主路由器实现真正的转发功能。当主路由器出现故障时,一个备份路由器将成为新的主路由器,接替它的工作。
VRRP中只定义了一种报文——VRRP报文,这是一种组播报文,封装在IP报文上,由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
VRRP还定义了三种状态模型:初始状态Initialize, 活动状态Master, 备份状态Backup 。其中只有活动状态可以为到虚拟IP地址的转发请求服务。
VRRP协议仅仅适用于IPv4版本的路由器。对于IPv6版本的路由器将会有新的规范来规定相关内容。
VRRP报文
VRRP 协议报文用来将 Master 设备的优先级和状态通告给同一备份组的所有 Backup 设备。VRRP 协议报文封装在 IP 报文中源地址为发送报文接口的主 IP 地址(不是虚拟 IP 地址),目的地址是224.0.0.18,TTL 是 255,协议号是 112。
目前,VRRP 协议包括两个版本:VRRPv2 和 VRRPv3,两者的主要区别为:
1、支持的网络类型不同:VRRPv3适用于 IPv4和 IPv6两种网络,而 VRRPv2仅适用于 IPv4网络。
2、认证功能不同:VRRPv3 不支持认证功能而 VRRPv2 支持该功能。
3、发送通告报文的时间间隔单位不同。VRRPv3 支持的是厘秒级,而 VRRPv2 支持秒级。
VRRP工作原理
1、初始创建的VRRP 设备工作在 Initialize 状态,接口up后,若此设备的优先级小于 255,则会先切换至 Backup 状态;若此设备优先级为 255(即虚拟 IP 地址也是该设备的物理接口地址),则会切换成 Master 状态并定时发送 VRRP 通告报文。
2、切换成Backup 状态的设备,在 Master_Down_Interval 定时器[ Master_Down_Interval定时器取值为:(3×Advertisement_Interval)+Skew_time,Skew_time=(256-Backup 设备的优先级)/256;默认情况下 Advertisement_Interval 为1( 秒 )],超时后再切换至 Master 状态。
3、首先切换至Master 状态的设备向外发送 VRRP 通告报文,如果 Backup 设备中有设备优先级高于 Master 设备,且该设备采用抢占方式,则该 Buckup 设备变为 Master。
4、如果多个 VRRP 设备同时切换到 Master 状态,通过 VRRP 通告报文的交互进行协商后,优先级最高的 VRRP 设备成为最终的 Master 设备;优先级相同时,VRRP 设备上 VRRP备份组所在接口主 IP 地址较大的成为 Master 设备。
5、新的 Master 设备会立即发送携带虚拟路由器的虚拟 MAC 地址(格式为:
00-00-5E-00-01-{VRID}(VRRP for IPv4);00-00-5E-00-02-{VRID}(VRRP for IPv6))和虚拟 IP地址信息的免费 ARP 报文,刷新与它连接的主机或设备中的 MAC 表项,从而把用户流量引到新的 Master 设备上来。
6、原 Master 设备故障恢复时,若该设备为 IP 地址拥有者(优先级为 255),将直接切换至 Master 状态。
7、优先级0 和 255 不可以手动设置,只有虚拟 IP 和接口 IP 为同一个 IP 地址时,该设备的优先级会自动调为255。Master 设备要退出该VRRP 时,会发送优先级为0 的VRRP通告报文。
VRRP状态转换
组成虚拟路由器的路由器会有三种状态,分别是Initialize Master和Backup
下面对这三种状态进行说明:
Initialize
系统启动后进入此状态,当收到接口startup的消息,将转入Backup (优先级不为255时)或Master状态(优先级为255时)。在此状态时,路由器不会对VRRP报文做任何处理。
Master
当路由器处于Master状态时,它将会做下列工作:
· 定期发送VRRP组播报文;
· 发送免费(gratuitous) ARP报文,以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址;
· 响应对虚拟IP地址的ARP请求,并且响应的是虚拟MAC地址,而不是接口的真实MAC地址;
· 转发目的MAC地址为虚拟MAC地址的IP报文;
· 如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文,否则,丢弃这个IP报文。需要注意的是,由于有这一点要求,所以除非主路由器是IP地址拥有者,否则主机ping虚拟IP地址不能ping通;
在Master状态中只有接收到比自己的优先级大的VRRP报文时,才会转为Backup ,只有当接收到接口的Shutdown事件时才会转为Initialize
Backup
只有当Backup接收到MASTER_DOWN这个定时器到时的事件时,才会转为Master ;而当接收到比自己的优先级小的VRRP报文时,它只是做丢弃这个报文的处理,从而就不对定时器做重置处理。这样定时器就会在若干次这样的处理之后转为Master ,只有当接收到接口的Shutdown事件时才会转为Initialize
VRRP安全性
对于安全程度不同的网络环境可以在报头上设定不同的认证方式和认证字,任何没有通过认证的报文将做丢弃处理, VRRP定义了三种认证方式:无认证(no authentication),简单字符认证(simple clear text passwords)和MD5认证(MD5)
END
为了更好地帮助大家学习并了解网络工程师,等相关内容,我特意将所有资料进行了系统整理,这里也免费分享大家。为大家整理的网工必备资料,包括:
华为认证思维导图(超细);
华为认证必备知识文档(pdf);
网工必备知识文档合集;
网工必备工具包;
网工必备实验包;
网工必备视频面试包。
……
资料有点多 我就不全列出来了,先写到这,需要资料或者是有任何问题,都可以欢留言、私信交流讨论~