弄它！！！小小VRRP！分分钟拿下！！理论加实验带你玩转VRRP与浮动路由！

看完本篇博客你会了解： VRRP的工作原理。 VRRP的基本配置。 VRRP的典型组网模型及并掌握配置方法。 VRRP的常见问题及解决办法。

一、VRRP基本原理

1、技术背景

了解一个协议首先你要知道它是做什么的，为什么要用到它

在这里插入图片描述

2、VRRP带来什么？

在这里插入图片描述

当网络正常时，流量从R1这里走

在这里插入图片描述

当R1这里出现问题的时候VRRP平滑切换

在这里插入图片描述

这就是我们VRRP的工作模型

3、VRRP概述

• Virtual Router Redundancy Protocol，也即虚拟路由器冗余协议。 • 利用VRRP，一组路由器（同一个LAN中的接口）协同工作，但只有一个处于Master状态，处于该状态的路由器（的接口）承担实际的数据流量转发任务。在一个VRRP组内的多个路由器接口共用一个虚拟IP地址，该地址被作为局域网内所有主机的缺省网关地址。 • VRRP决定哪个路由器是Master，Master路由器负责接收发送至用户网关的数据包 并进行转发，以及响应PC对于其网关IP地址的ARP请求。 • Backup路由器侦听Master路由器的状态，并在Master路由器发生故障时，接替其工作，从而保证业务流量的平滑切换。

4、VRRP术语

• VRRP路由器： • 运行VRRP的路由器。一台VRRP路由器（的接口）可以同时参与到多个VRRP 组中，在不同的组中，一台VRRP路由器可以充当不同的角色。 • VRRP组： • 一个VRRP组由多个VRRP路由器组成，使用相同的VRID（Virtual Router ID， 虚拟路由器ID）进行标识，属于同一VRRP组的VRRP路由器互相交换信息，每 一个VRRP组中只能有一个Master。 • 虚拟路由器： • 对于每一个VRRP组，抽象出来的一个逻辑路由器，该路由器充当网络用户的 网关，该路由器并非真实存在，事实上对于用户而言，只需知道虚拟路由器的 IP，至于具体的虚拟路由器的角色由谁来承担、数据转发任务由谁来承担、 Master故障后谁来接替，这是VRRP的工作。 • 虚拟IP地址、MAC地址： • 虚拟IP地址就是虚拟路由器的IP地址，该地址实际上就是用户的网关地址。 • 虚拟MAC地址是虚拟路由器根据VRID生成的MAC地址。一个虚拟路由器拥有 一个虚拟MAC地址，格式为：00-00-5E-00-01-{VRID}。 • Master、Backup路由器： • Master路由器： 在VRRP组中实际转发数据包的路由器，在每一个VRRP组中， 仅有Master响应对虚拟IP地址的ARP请求。Master路由器同时以一定的时间间 隔发送VRRP消息，以便通知Backup路由器自己的存活情况。 • Backup路由器： 处于监听状态的路由器，一旦Master路由器出现故障，Backup路由器就开始接替工作。 • 选举依据：先比较接口VRRP优先级（比大），如果相等，则比较接口IP地址（比大）。

5、VRRP虚拟MAC地址

• 通过VRRP形成的虚拟路由器使用虚拟IP地址和虚拟MAC与网络中的PC进行通信。 虚拟MAC的格式如下：最后1个字节的VRID表示虚拟路由器ID的16进制，例如VRID 是1，虚拟MAC地址为00-00-5E-00-01-01。

在这里插入图片描述

6、VRRP状态机

在这里插入图片描述

7、Master / Backup 路由器

• Master路由器： • 定时（Advertisement Interval）发送VRRP通告报文，以便向Backup路由器告知自己的存活情况。 • 以虚拟MAC地址响应其他设备对虚拟IP地址的ARP请求。 • 转发目的MAC地址为虚拟MAC地址的IP报文。 • 如果它是这个虚拟IP地址的拥有者（接口实际IP地址为虚拟IP地址），则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。 • 如果收到比自己优先级大的报文，立即成为Backup。 • 如果收到与自己优先级相等的VRRP报文且本地接口IP地址小于对端接口IP，立即成为Backup。

• Backup路由器： • 接收Master设备发送的VRRP通告报文，判断Master设备的状态是否正常。 • 对虚拟IP地址的ARP请求，不做响应。 • 丢弃目的IP地址为虚拟IP地址的IP报文。 • 如果收到优先级和自己相同或者比自己大的报文，则重置Master_Down_Interval定时器，不进一步比较IP地址。 • 如果收到比自己优先级小的报文且该报文优先级是0时，定时器时间设置为Skew_time（偏移时间），如果该报文优先级不是0，丢弃报文，立刻成为Master。 这里涉及到一个master与backup抢占的问题

抢占（Preempt） • R2加入到网络后，接口的VRRP状态首先过渡到Backup，在收到R1发送的 VRRP报文后，由于本地接口的VRRP优先级大于报文中的优先级，因此如 果设备激活Preempt（缺省启用）则可立即抢占Master的角色，过渡到 Master状态，R2开始发送VRRP消息。 • 可修改抢占延迟时间，缺省该时间为0s。

在这里插入图片描述

8、VRRP的工作过程

1. VRRP组中的设备选举出Master。Master设备通过发送免费ARP报文，将虚拟MAC 地址通知给与它连接的设备或者主机，从而承担报文转发任务。
2. Master设备周期性向备份组内所有Backup设备发送VRRP通告报文。
3. 如果Master设备出现故障，VRRP备份组中的Backup设备重新选举新的Master。
4. VRRP组状态切换时，Master设备由一台设备切换为另外一台设备，新的Master设 备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文， 刷新与它连接的主机或设备中的MAC表项，从而把用户流量引到新的Master设备 上来，整个过程对用户完全透明。
5. 原Master设备故障恢复时，若该设备为IP地址拥有者（则其优先级为255），将直 接切换至Master状态。若该设备优先级小于255，将首先切换至Backup状态，且其 优先级恢复为故障前配置的优先级。
6. Backup设备的优先级高于Master设备时，由Backup设备的工作方式（抢占方式和 非抢占方式）决定是否重新选举Master

二、VRRP基础配置

1、VRRP协议与浮动路由实验目的&实验要求

拓扑图如下，在三层交换机RSW1 RSW2上虚拟出一个虚拟路由，使得pc1从RSW1这里与R1通信， PC2从RSW2与R1通信，R1配置浮动路由，抓包观察数据走向

2、实验步骤

1)RSW1和RSW2两台三层交换机上配置vrrp，RSW1为vlan10的master，vlan20的backup，RSW2为vlan20的master，vlan10的backup 2)R1配置浮动路由以及优先级，配置静态路由 3)pc1和pc2可以ping通R1的环回口 4)断掉R1到三层交换机的线路观察数据的走向和路由表的变化

在这里插入图片描述

3、实验具体配置

1、配置sw3的四个接口类型以及划分vlan [Huawei]sysname sw3 [sw3]vlan batch 10 20 [sw3]int e0/0/1 [sw3-Ethernet0/0/1]p l a [sw3-Ethernet0/0/1]p d v 10 [sw3-Ethernet0/0/1]un sh [sw3]int e0/0/2 [sw3-Ethernet0/0/2]p l a [sw3-Ethernet0/0/2]p d v 20 [sw3-Ethernet0/0/2]un sh [sw3]int g0/0/1 [sw3-GigabitEthernet0/0/1]p l t [sw3-GigabitEthernet0/0/1]p t a v 10 20 [sw3]int g0/0/2 [sw3-GigabitEthernet0/0/2]p l a [sw3-GigabitEthernet0/0/2]t a v 10 20 [sw3-GigabitEthernet0/0/2]un sh

2、配置三层交换机SW1的接口类型以及启动vrrp、配置vlanif的IP地址 [Huawei]sysname lsw1 [lsw1]v b 10 20 100 [lsw1]int g0/0/2 [lsw1-GigabitEthernet0/0/2]p l t [lsw1-GigabitEthernet0/0/2]p t a v 10 20 [lsw1-GigabitEthernet0/0/2]un sh [lsw1]int g0/0/1 [lsw1-GigabitEthernet0/0/1]p l a [lsw1-GigabitEthernet0/0/1]p d v 100 [lsw1]int Vlanif 10 [lsw1-Vlanif10]ip add 192.168.10.10 24 配置vlanif10的IP地址 [lsw1-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 为vlan10配置虚拟网关ip [lsw1-Vlanif10]vrrp vrid 1 priority 120 默认为100，优先级大的为master，master坏掉之后优先级会-10 [lsw1-Vlanif10]vrrp vrid 1 track interface g0/0/1 开启接口监听，master会用心跳协议对backup进行告知，backup也会通过心跳报文判断master是否存活 [lsw1-Vlanif10]vrrp vrid 1 track interface g0/0/2 [lsw1]int Vlanif 20 [lsw1-Vlanif20]ip add 192.168.20.10 24 [lsw1-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1 LSW1为vlan20的backup，就不需要监听端口 [lsw1-Vlanif20]vrrp vrid 2 priority 115 配置vlan20的优先级为115 [lsw1]ip route-static 1.1.1.1 255.255.255.255 11.0.0.1 配置一条静态路由到R1 [lsw1]int Vlanif 100 [lsw1-Vlanif100]ip address 11.0.0.2 30

[lsw2]vlan batch 10 20 100 [lsw2]int g0/0/1 [lsw2-GigabitEthernet0/0/1]p l a [lsw2-GigabitEthernet0/0/1]p d v 100 [lsw2]int g0/0/2 [lsw2-GigabitEthernet0/0/2]p l t [lsw2-GigabitEthernet0/0/2]p t a v 10 20 [lsw2-GigabitEthernet0/0/2]un sh [lsw2]int Vlanif 10 [lsw2-Vlanif10]ip add 192.168.10.20 24 [lsw2-Vlanif10]vrrp vrid 1 virtual-ip 192.168.10.1 为vlan10配置虚拟网关ip [lsw2-Vlanif10]vrrp vrid 1 priority 115 设置其优先级为115比sw1小5，所以在vlan10中sw1为mastersw2为backup [lsw2]int Vlanif 20 [lsw2-Vlanif20]ip address 192.168.20.10 24 [lsw2-Vlanif20]vrrp vrid 2 virtual-ip 192.168.20.1 为vlan20配置虚拟网关ip [lsw2-Vlanif20]vrrp vrid 2 priority 120 设置其优先级为120比sw1大5，所以在vlan20中sw2为master sw1为backup [lsw2-Vlanif100]ip add 12.0.0.2 24 [lsw2-Vlanif20]vrrp vrid 2 track interface g0/0/1 所以SW2要设置监听端口，反正就记住master就要监听端口，backup不需要 [lsw2-Vlanif20]vrrp vrid 2 track interface g0/0/2

[Huawei]sysname r1 [Huawei]int LoopBack 0 [Huawei-LoopBack0]ip add 1.1.1.1 24 [r1]int g0/0/0 [r1-GigabitEthernet0/0/0]ip add 11.0.0.1 30 [r1]int g0/0/1 [r1-GigabitEthernet0/0/1]ip add 12.0.0.1 30 [r1-GigabitEthernet0/0/1]un sh [r1]ip route-static 192.168.10.0 24 11.0.0.2 [r1]ip route-static 192.168.10.0 24 12.0.0.2 preference 70 配置r1的浮动路由优先级大的优先，默认是60 [r1]ip route-static 192.168.20.0 24 11.0.0.2 preference 70 选择master那边的路径设置优先级大 [r1]ip route-static 192.168.20.0 24 12.0.0.2

分别用pc1和pc2ping通r1

在这里插入图片描述

在这里插入图片描述

将sw1的上口DOWN掉后抓包发现，哇，好他娘的智能 原来从sw1接口走的路由全部从sw2上走了

在这里插入图片描述

三、VRRP常见问题

1、问题1：VRRP的部署条件

1. 由于VRRP协议报文是组播数据包，因此VRRP要求同一个组的设备接口必须属于同一个 LAN，或者说在同一个广播域内，否则VRRP报文将无法正常收发。
2. 在图（左）中，R1及R2的接口属于相同的VLAN，那么这个场景就具备VRRP的部署条件， 从R1的接口发出的VRRP组播报文能够正常到达R2，反之亦然。但是如果交换机连接R1、 R2的接口被划分到了两个不同的VLAN中，或者不属于相同的广播域，如图（右），那么就会出现双Master问题，这种场景就不具备VRRP的部署条件。

在这里插入图片描述

2、问题2：交换机与路由器运行VRRP的区别

1. 图（左）中R1及R2启用VRRP，交换机为二层透传，当Link1发生故障时，R1接口的 VRRP状态切换为initialize，R2切换到Master；
2. 图（右）中SW1与SW2运行VRRP（在vlanif中部署），所有交换机的接口都放通相应的 VLAN。交换机使用STP消环。当Link1发生故障时，SW1接口状态切换为down，但该接 口所属VLAN的vlanif状态仍然是up，原因是SW1/SW2之间的互联链路允许该VLAN通过， 只要交换机上仍然有UP的端口属于该VLAN，则vlanif的状态不改变，VRRP状态也不会发 生改变。

在这里插入图片描述

3、问题3：原主设备从故障中恢复后导致业务中断

• 某些场景下，主设备出现故障，修复重启时发现原先正常的业务中断了，该现象多 发生在93/65/85等框式交换机。 • 原因分析：框式交换机的重启过程需要加载单板，单板的加载是有顺序的，首先加 载主备主控板，接下来是业务板，当一块业务板加载成功之后，存在vlanif的vrrp状 态正常，而其他连接业务的单板还没有加载完成的现象。如果VRRP的抢占功能开启， 并且没有设置抢占等待时间，未重启完毕的交换机也会将VRRP的状态切换为主，此 时业务就会中断。 • 解决办法：配置VRRP的抢占等待时间，通常配置180S，命令如下： • vrrp vrid 1 preempt-mode timer delay 180

4、问题4：同一个LAN中需保证VRID不冲突

R1及R2的接口处于同一个广播域中，运行一组VRRP；SW1及SW2在相同的广 播域中运行另一组VRRP。在这种场景下，需确保两组VRRP的VRID不冲突。

在这里插入图片描述