15.2.1 实验目的
(1)理解VRRP的工作原理
(2)掌握VRRP的配置和测试
15.2.2 实验原理
1.VRRP和HSRP的区别
VRRP的工作原理和HSRP非常类似,不过VRRP是国际上的标准,允许在不同厂商的设备之间运行。HSRP与VRRP的差别如下:
(1)在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生.
(2)另外一个不同是VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始(Initial)状态,学习(Learn)状态,监听(Listen)状态,对话(Speak)状态,备份(Standby)状态,活动(Active)状态), VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup)。
(3)HSRP有三种报文,分别是呼叫(Hello)报文,告辞(Resign)报文,突变(Coup)报文;
VRRP只有一种报文:VRRP广播报文.由主路由器定时发出来通告它的存在,使用这些报文可以检测虚拟路由器各种参数,还可以用于主路由器的选举。
(4) HSRP将报文承载在UDP报文上,而VRRP承载在TCP报文上(HSRP 使用UDP 1985端口,向组播地址224.0.0.2 发送hello消息。)
(5) VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC ip认证的强认证. 而HSRP不支持认证。
(6)VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
2.VRRP工作过程与配置
VRRP(Virtual Router Redundancy Protocol)是一种LAN接入设备容错协议,VRRP将局域网的一组路由器(包括一个Master即活动路由器和若干个Backup即备份路由器)组织成一个虚拟路由器,称之为一个备份组,如图15-4所示。
VRRP将局域网的一组路由器,如图二中的RouterA和RouterB 组织成一个虚拟的路由器。这个虚拟的路由器拥有自己的IP地址192.168.1.3,称为路由器的虚拟IP地址。同时,物理路由器RouterA ,RouterB也有自己的IP地址(如RouterA的IP地址为192.168.1.1,RouterB的IP地址为192.168.1.2)。局域网内的主机仅仅知道这个虚拟路由器的IP地址192.168.1.3,而并不知道备份组内具体路由器的IP地址。在配置时,将局域网主机的默认网关设置为该虚拟路由器的IP地址192.168.1.3。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信,实际的数据处理由备份组内Master路由器执行。如果备份组内的Master路由器出现故障时,备份组内的其它Backup路由器将会接替成为新的Master,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
VRRP通过多台路由器实现冗余,任何时候只有一台路由器为主路由器,其他的为备份路由器。路由器间的切换对用户是完全透明的,用户不必关心具体过程,只要把缺省路由器设为虚拟路由器的IP地址即可。路由器间的切换过程:
⑴ VRRP协议采用竞选的方法选择主路由器。比较各台路由器优先级的大小,优先级最大的为主路由器,状态变为Master。 若路由器的优先级相同,则比较网络接口的主IP地址,主IP地址大的就成为主路由器,由它提供实际的路由服务。
⑵ 主路由器选出后,其它路由器作为备份路由器,并通过主路由器发出的VRRP报文监测主路由器的状态。当主路由器正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知备份路由器,主路由器处于正常工作状态。如果组内的备份路由器长时间没有接收到来自主路由器的报文,则将自己状态转为Master 。当组内有多台备份路由器时,重复第1步的竞选过程。通过这样一个过程就会将优先级最大的路由器选成新的主路由器,从而实现VRRP的备份功能。
命令 |
|
Router(config)#track target_id interface interface_id line-protocol |
定义跟踪目标对应的接口 |
Router(config-if)# vrrp group_number ip ip_address |
设置VRRP组号和虚拟IP地址 |
Router(config-if)# vrrp group_number priority priority_value |
配置VRRP的优先级,如果不设置该项,默认优先级为100 ,该值越大,抢占为活动路由器的优先权越高 |
Router(config-if)# vrrp group_number preempt |
该设置允许该路由器在优先级是最高时成为活动路由器。 |
Router(config-if)# vrrp group_number timer hello_time hold_Time |
设置该路由器的hello_time和hold_time |
Router(config-if)# vrrp group_number Authentication md5 key-string password |
配置认证密码,防止非法设备加入到HSRP组中,同一个组的密码必须一致 |
Router(config-if)# vrrp group_number track target_id decrement priority_value |
表明跟踪的接口,如果该接口出故障了,优先级降低该值。降低的值应该选择合适的值,使得其他路由器能成为活动路由器。 |
3.VRRP配置实例
地址表:
设备 |
接口 |
IP地址 |
子网掩码 |
R1 |
Fa 0/0 |
192.168.13.1 |
255.255.255.0 |
S0/0/0 |
192.168.12.1 |
255.255.255.0 |
|
R2 |
Fa 0/0 |
172.16.1.1 |
255.255.255.0 |
S0/0/0 |
192.168.12.2 |
255.255.255.0 |
|
S0/0/1 |
192.168.23.2 |
255.255.255.0 |
|
R3 |
Fa 0/0 |
192.168.13.2 |
255.255.255.0 |
S0/0/0 |
192.168.23.3 |
255.255.255.0 |
|
PC1 |
NIC |
192.168.13.100 |
255.255.255.0 |
PC2 |
NIC |
192.168.13.200 |
255.255.255.0 |
PC3 |
NIC |
172.16.1.100 |
255.255.255.0 |
表15-3 IP地址表
(1)步骤 1 :配置ip地址和路由协议等,
R1(config)#interface fa 0/0
R1(config-if)#ip add 192.168.13.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#int s0/0/0
R1(config-if)#ip add 192.168.12.1 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit
R1(config)#router rip
R1(config-router)#network 192.168.12.0
R1(config-router)#network 192.168.13.0
R1(config-rotuer)#passive-interface fa 0/0
//配置路由器R1:把fa0/0接口设为被动接口,防止从该接口发送rip信息给R3
R2(config)#int fa 0/0
R2(config-if)#ip add 172.16.1.1 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s0/0/0
R2(config-if)#clock rate 128000
R2(config-if)#ip add 192.168.12.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#int s0/0/1
R2(config-if)#clock rate 128000
R2(config-if)#ip add 192.168.23.2 255.255.255.0
R2(config-if)#no shut
R2(config-if)#exit
R2(config)#router rip
R2(config-router)#network 172.16.0.0
R2(config-router)#network 192.168.23.0
R2(config-router)#network 192.168.12.0
R2(config-router)#passive-interface fa 0/0
//配置路由器R3:把fa0/0接口设为被动接口,防止从该接口发送rip信息给R1
R3(config)#int fa 0/0
R3(config-if)#ip add 192.168.13.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#int s0/0/0
R3(config-if)#iip add 192.168.23.3 255.255.255.0
R3(config-if)#no shut
R3(config-if)#exit
R3(config)#router rip
R3(config-router)#network 192.168.23.0
R3(config-router)#network 192.168.13.0
R3(config-router)#passive-interface fa 0/0
//配置路由器R3:把fa0/0接口设为被动接口,防止从该接口发送rip信息给PC3
(2)步骤2 :配置多个vrrp组并跟踪接口,
在R1:
R1(config)#track 100 interface s0/0/0 line-protocol
//vrrp的端口跟踪和hsrp有些不同,需要在全局配置模式下,先定义跟踪目标,才配置vrrp中跟踪目标,这里定义目标100是s0/0/0接口。
R1(config)#inter fa 0/0
R1(config-if)#vrrp 1 ip 192.168.13.254
R1(config-if)#vrrp 1 priority 120
R1(config-if)#vrrp 1 preempt
R1(config-if)#vrrp 1 authentication md5 key-string cisco
R1(config-if)#vrrp 1 track 100 decrement 30
//跟踪目标100定义的S0/0/0接口,一旦接口出现故障,优先级降低30
R1(config-if)#vrrp 2 ip 192.168.13.253
R1(config-if)#vrrp 2 preempt
R1(config-if)#vrrp 2 authentication md5 key-string cisco
在R3上:
R3 (config)#track 100 interface s0/0/0 line-protocol
//配置vrrp中跟踪目标,这里定义目标100是s0/0/0接口。
R3 (config)#interface fa 0/0
R3 (config-if)#vrrp 1 ip 192.168.13.254
R3 (config-if)#vrrp 1 preempt
R3 (config-if)#vrrp 1 authentication md5 key-string cisco
R3 (config-if)#vrrp 2 ip 192.168.13.253
R3 (config-if)#vrrp 2 priority 120
R3 (config-if)#vrrp 2 preempt
R3 (config-if)#vrrp 2 authentication md5 key-string cisco
R3 (config-if)#vrrp 2 track 100 decrement 30
//跟踪目标100定义的S0/0/0接口,一旦接口出现故障,优先级降低30
(3)步骤3:检查、测试VRRP
R1#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 120 3531 Y Master 192.168.13.1 192.168.13.254
Fa0/0 2 100 3609 Y Backup 192.168.13.3 192.168.13.253
//以上表明R1是192.168.13.254虚拟网关的Master路由器,是192.168.13.253虚拟网关的Backup路由器
R3#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 100 3609 Y Backup 192.168.13.1 192.168.13.254
Fa0/0 2 120 3531 Y Master 192.168.13.3 192.168.13.253
//以上表明R2是192.168.13.253虚拟网关的Master路由器,是192.168.13.254虚拟网关的Backup路由器
在PC1上配置IP地址192.168.13.100/24,网关指向192.168.13.254,PC2上配置IP地址192.168.13.200/24,网关指向192.168.13.253,在PC3上配置IP 地址172.16.1.100/24,网关指向172.16.1.1。
在PC1上连续ping PC3,
C:\>ping –t 172.16.1.100
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
… …
***以下省略部分输出***
PC2上连续ping PC3,
C:\>ping –t 172.16.1.100
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
… …
***以下省略部分输出***
可见网络通畅,然后在R1上关闭S 0/0/0接口,观察PC1上ping PC3的结果。
C:\>ping –t 172.16.1.100
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Request timed out.
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=11ms TTL=254
Reply from 172.16.1.100; bytes=32 time=13ms TTL=254
Reply from 172.16.1.100; bytes=32 time=13ms TTL=254
//以上可以看到,R1故障时,R3很快就替代了R1,通信只受到短暂的影响, PC2上pingPC3的情况的情况也类似。
再分别在R1和R3上查看VRRP的情况
R1#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 90 3531 Y Backup 192.168.13.3 192.168.13.254
Fa0/0 2 100 3609 Y Backup 192.168.13.3 192.168.13.253
//以上表明R1是192.168.13.253虚拟网关和192.168.13.254虚拟网关的Backup路由器
R3#show vrrp brief
Interface Grp Pri Time Own Pre State Master addr Group addr
Fa0/0 1 100 3609 Y Master 192.168.13.3 192.168.13.254
Fa0/0 2 120 3531 Y Master 192.168.13.3 192.168.13.253
//以上表明R3是192.168.13.253虚拟网关和192.168.13.254虚拟网关的Master路由器