WiMAX解决方案数通基础知识-VRRP协议介绍

HUAWEI TECHNOLOGIES CO.,LTD.18.Sep 2007HUAWEI TECHNOLOGIES CO.,LTD解决方案验证部WiMAX解决方案数通基础知识解决方案数通基础知识 VRRP协议介绍协议介绍Page HUAWEI TECHNOLOGIES CO.,LTD.学习目标学习目标掌握理论熟悉配置熟悉应用基本排错学习完本课程，您应该能够：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP第一章第一章 VRRP基础基础第二章第二章 VRRP工作原理工作原理第三章第三章 VRRP基本配置基本配置第四章第四章 VRRP应用应用Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP要解决的问题（一）要解决的问题（一）Internet192.1.1.10通常，在主机设置一条缺省路由，下一跳指向一个路由器，从而实现了主机与外部网络的通信显而易见的问题：当路由器Router 1坏掉时，本网段内所有以Router为缺省路由下一跳的主机将断掉与外部的通信那么有什么方法解决这个单点故障呢？Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP要解决的问题（二）要解决的问题（二）几种解决的办法几种解决的办法:l 系统上运行路由选择协议l ICMP Router Discovery Protocol(IRDP)l VRRP&HSRPl ARP代理前两种方法的问题是：主机必须能够支持这些不同的协议，并且对这种支持的安装和配置可能是一个管理上的负担。

ARP代理是单设备行为，要做到备份，就只能采用抢占式，且对性能要求较高在路由器上使用VRRP&HSRP，使终端主机不必承受发现网关的负担；相反，这变成了网络上网关的责任，且IP主机不必支持另外的协议Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP基础（一）基础（一）VRRP（Virtual router redundancy protocol,虚拟路由器冗余协议）(RFC2338)提供了局域网上的设备备份机制简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时由另一台路由器来代替，从而保持通讯的连续性和可靠性l 用VRRP实现虚拟路由器实际实际IP地址：地址：192.1.1.3/24Internet实际实际IP地址：地址：192.1.1.2/24虚拟虚拟IP地址：地址：192.1.1.10/24Page HUAWEI TECHNOLOGIES CO.,LTD.为了使VRRP工作，首先要创建一个虚拟IP地址(即所配的备份组地址)和MAC地址(00-00-5E-00-01-VRID)，这样在这个网络中就加入了一个虚拟路由器这个网络上的主机与虚拟路由器通信，无需了解这个网络上物理路由器的任何信息VRRPVRRP基础（二）基础（二）基础（二）基础（二）Page HUAWEI TECHNOLOGIES CO.,LTD.VRRPVRRP基础（三）基础（三）基础（三）基础（三）一个虚拟路由器由一个主路由器(Master)和若干个备份路由器(Backup)组成，主路由器实现真正的转发功能。

当主路由器出现故障时，备份路由器成为新的主路由器，接替它的工作，实现转发功能Page HUAWEI TECHNOLOGIES CO.,LTD.RFC2338(协议)：Virtual Router Redundancy Protocol一种报文：VRRP广播报文：由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举三种状态机：初始状态(Initialize)、主状态(Master)、备份状态(Backup)根据优先级的大小挑选主路由器，优先级最大的为主路由器，若优先级相同，则比较接口的主IP地址，主IP地址大的就成为主路由器，由它提供实际的路由服务VRRPVRRP基础（四）基础（四）基础（四）基础（四）Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP第一章第一章 VRRP基础基础第二章第二章 VRRP工作原理工作原理第三章第三章 VRRP基本配置基本配置第四章第四章 VRRP应用应用Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（一）报文（一）报文的发送：当Master正常工作时，它会每隔一段时间(缺省为1秒)发送一个VRRP广播报文，以通知组内的备份路由器，主路由器处于正常工作状态。

注意：只有Master发送VRRP报文)l VRRP广播报文被封装在IP报文里，通过组播地址发送l 相应的IP头域：Source Address:发送报文的主接口地址(非虚拟地址，非辅助地址)Destination Address:224.0.0.18TTL:255Protocol:112(decimal);0 x70那么对应以太网头中各域应该如何填写？Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（二）报文（二）VRRP报文报文IP头域头域Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（三）报文（三）VRRP协议报文格式协议报文格式VRRPVRRP协议报文格式：协议报文格式：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（四）报文（四）VRRP协议报文格式协议报文格式Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（五）报文（五）VRRP协议报文格式协议报文格式VRRPVRRP协议报文格式：协议报文格式：l Version:2l Type:1 ADVERTISEMENTl Virtual Rtr ID(VRID):配置的VRRP备份组号，1255 l Priority:优先级，0255(其中0，255不可以配置)，数值越大，优先级越高 255：如果配置的虚拟地址与接口地址相同，优先级为255 0：Master停止参与VRRP（利用这一点可以触发快速切换）100：缺省值l Count IP Addrs:配置的备份组虚拟地址个数(1个备份组可对应多个虚拟地址)Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（六）报文（六）VRRP协议报文格式协议报文格式VRRPVRRP协议报文格式：协议报文格式：l Authentication Type:验证类型，协议中指定了3种类型 0-No Authentication 1-Simple Text Password 2-IP Authentication Headerl Advertisement Interval(Adver Int):发送报文的时间间隔，缺省为1秒l Checksum:校验和Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文（七）报文（七）VRRP协议报文格式协议报文格式VRRPVRRP协议报文格式：协议报文格式：l IP Address(es):配置的备份组虚拟地址的列表(一个备份组可支持多个地址)l Authentication Data:验证字。

Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（一）相关参数状态机（一）相关参数VRID虚拟路由器标识取值范围为1-255没有默认值PriorityVRRP优先级，用于推举Master路由器取值范围是0-255，默认值是100255是保留值，当虚拟路由器的虚拟IP地址是接口真实地址时，VRRP优先级配置为2550也是保留值，用于Master路由器宣告退出虚拟路由器IP_Addresses虚拟路由器的IP地址，可以配置1个或多个没有默认值Advertisement_IntervalAdvertisement报文的发送时间间隔，单位是秒默认值为1秒Skew_TimeMaster_Down_Interval的偏移时间，单位是秒计算公式：(256-Priority)/256)Master_Down_IntervalBackup路由器监听识别Master路由器失效的时间间隔计算公式：(3*Advertisement_Interval)+Skew_TimePreempt_Mode用来判断VRRP优先级高的Backup路由器是否抢占VRRP优先级低的Master路由器，从而变为Master路由器。

取值为True或FalseTrue代表允许抢占，False代表不抢占注意：虚拟路由器IP地址为接口真实IP地址的路由器总是进行抢占，不依赖于这个标志位的设定虚拟路由器参数：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（二）相关参数状态机（二）相关参数接口参数：认证类型认证数据定时器Master_Down_TimerAdver_Timer在Master_Down_Interval的时间段里面，如果没有接收到VRRP的Advertisement报文，就会触发Master_Down_Timer定时器Adver_Timer定时器以Advertisement_Interval时间间隔为周期，当周期一到就触发VRRP Advertisement报文的发送Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（三）状态转换模型状态机（三）状态转换模型三种状态模型：初始状态(Initialize)、主状态(Master)、备份状态(Backup)Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（四）状态机（四）Initialize当接口配置VRRP时，VRRP的状态机就启用，并把状态置于Initialize状态。

Initialize状态用于等待一个VRRP的开始事件如果一个路由器配置VRRP，一般情况（就是排除VRRP优先级为255，即虚拟路由器的虚拟IP地址是接口真实地址的情况）下，路由器都是先把状态由Initialize迁徙到Backup状态Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（五）状态机（五）BackupPage HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（六）状态机（六）Backup 处于Backup状态的VRRP路由器，主要是监视Master VRRP路由器的可用状态状态稳定的时候，它只接收VRRP协议报文，不发送VRRP协议报文Backup状态的VRRP路由器必须做以下工作：当收到关于VRRP虚拟路由器的虚拟IP地址的ARP Request报文时，不对此报文进行响应当收到目的MAC为VRRP虚拟路由器虚拟MAC的数据报文，必须丢弃不接收目的IP地址是VRRP虚拟路由器虚拟IP地址的数据报文Backup路由器收到一个priority为0的Advertisement报文时，会把Master_Down_Timer的计时时间修改为Skew_Time。

原因是：priority为0的Advertisement报文是Master VRRP虚拟路由器发出的，代表它退出VRRP备份组所以同一个VRRP备份组里面的其他VRRP路由器必须重新推选一个Master VRRP虚拟路由器把Master_Down_Timer的计时时间修改为Skew_Time，就可以大大缩短推选的时间；另外由Skew_Time=(256-Priority)/256)知道，通过给VRRP路由器配置不同priority，可以避免众多VRRP路由器同时争夺Master导致VRRP状态混乱的问题Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（七）状态机（七）MasterPage HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（八）状态机（八）Master 处于Master状态的VRRP路由器担当的角色是数据转发路由器Master状态的VRRP路由器必须做以下工作：当收到关于VRRP虚拟路由器的虚拟IP地址的ARP Request报文时，必须对此报文进行响应当收到目的MAC为VRRP虚拟路由器虚拟MAC的数据报文，必须做数据转发处理。

当收到的数据报文目的IP地址是虚拟路由器的虚拟IP地址，但本路由器不属于IP地址拥有者，必须丢弃这些数据报文当收到的数据报文目的IP地址是虚拟路由器的虚拟IP地址，且本路由器是IP地址拥有者，必须接收这些数据报文Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP状态机（九）状态转换状态机（九）状态转换Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文接收报文接收验证报文中TTL是否为255验证报文中VRRP版本号验证接收报文长度是否大于等于VRRP头部长度验证报文校验和根据报文中的认证类型进行认证 如果以上检查失败，则产生并记录告警，以指示有错误发生，同时丢弃报文检验接收报文的VRID是否和接收接口配置的一致，不一致则丢弃报文验证和VRID关联的虚拟IP地址是否可用 如果以上检查失败，则产生并记录告警，以指示配置错误而且，如果报文不是主路由器产生的，报文必须被丢弃检查接收报文中Adver interval和本端配置是否一致，如果不一致，则产生并记录告警，以指示配置错误，同时丢弃报文Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP报文发送报文发送以适当的配置填充VRRP协议报文计算VRRP的校验和设置报文源MAC地址为虚拟MAC设置报文源IP地址为接口主IP地址（非虚拟IP）设置IP报文中协议号为VRRP 发送VRRP协议报文到VRRP多播组VRRP packets are transmitted with the virtual router MAC address as the source MAC address to ensure that learning bridges correctly determine the LAN segment the virtual router is attached to.Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP操作问题（一）操作问题（一）ICMP重定向：在配置了VRRP环境中，ICMP重定向功能可以正常使用主机ARP请求：当主机发送当主机发送ARPARP请求报文，请求请求报文，请求VRRPVRRP虚拟路由器的虚拟虚拟路由器的虚拟IPIP地址地址时，时，VRRPVRRP的的Master Master 路由器必须用路由器必须用VRRPVRRP虚拟虚拟MACMAC地址来响应地址来响应ARPARP请求。

请求VRRP虚拟路由器不能用真实的物理MAC地址来响应ARP请求一个VRRP路由器配置有VRRP虚拟IP地址，当它重启时，不应该发送任何带有VRRP配置接口真实MAC地址的ARP信息它只能发送带有VRRP虚拟MAC地址的ARP信息具体操作如下：当正在配置一个接口的VRRP时，VRRP路由器应该广播一个免费ARP请求报文这个免费ARP请求报文里面包含对应此接口的每一个VRRP虚拟IP地址的虚拟MAC当系统重启，接口初始化VRRP时，免费ARP请求报文和ARP应答将会被延时，直到接口的VRRP虚拟IP地址及虚拟MAC地址被配置完成Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP操作问题（二）操作问题（二）注意这里所说的“用用VRRPVRRP虚拟虚拟MACMAC地址来响应地址来响应ARPARP请求请求”，只明确了ARP协议报文中的MAC地址，但是以太网报文帧头中的源MAC地址没有明确要求只有VRRP的状态迁移到Master状态才会发送免费ARP如果VRRP路由器上启用ARP代理，那VRRP虚拟MAC就会在代理ARP信息里面发布出去 以太网头MAC地址没有明确，会有什么问题？Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP操作问题（三）操作问题（三）VRRP接口检测当被监视的接口当被监视的接口DOWNDOWN时，这个接口所在路由器的优先级会自动降低一个时，这个接口所在路由器的优先级会自动降低一个数额（数额（priority-reducedpriority-reduced，可设定，可设定1-2551-255，缺省为，缺省为1010），导致备份组内），导致备份组内其它路由器的优先级高于这个路由器的优先级，从而使得其它优先级高其它路由器的优先级高于这个路由器的优先级，从而使得其它优先级高的路由器变为的路由器变为MasterMaster，达到对这个接口监视的目的。

如果端口恢复，达到对这个接口监视的目的如果端口恢复upup后后优先级也恢复优先级也恢复ipip地址拥有者不具有监视的功能地址拥有者不具有监视的功能由于由于vtvt、loopbackloopback、nullnull接口一直是接口一直是upup，因此，因此vrrpvrrp不支持监控不支持监控（tracktrack）vtvt、loopbackloopback、nullnull接口接口属于产品增强功能，协议中并没有规定Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP第一章第一章 VRRP基础基础第二章第二章 VRRP工作原理工作原理第三章第三章 VRRP基本配置基本配置第四章第四章 VRRP应用应用Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP配置（一）配置（一）VRRPVRRP主要配置命令如下：主要配置命令如下：配置备份组组号配置备份组组号 添加备份组接口的虚拟添加备份组接口的虚拟IPIP地址地址 设置备份组的优先级（可选）设置备份组的优先级（可选）设置备份组的抢占方式和延迟时间（可选）设置备份组的抢占方式和延迟时间（可选）设置备份组的定时器（可选）设置备份组的定时器（可选）设置监视指定接口（可选）设置监视指定接口（可选）设置认证方式和认证字（可选）设置认证方式和认证字（可选）Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP配置（二）配置（二）上面的命令除了配置验证字是接口配置外，其他命令都是针对于备份组的配置备份组虚拟IP地址vrrp vrid virtual_router_ID virtual-ip virtual_address配置备份组优先级vrrp vrid virtual_router_ID priority priority_value配置备份组抢占方式和延迟vrrp vrid virtual_router_ID preempt-mode timer delay delay_value 配置备份组定时器vrrp vrid virtual_router_ID timer advertise adver_interval配置备份组监视指定接口vrrp vrid virtual_router_ID track interface_name reduced value_reduced 配置认证方式和认证字vrrp authentication-mode type key Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP配置实例配置实例l 用VRRP实现虚拟路由器实际实际IP地址：地址：RTB:192.1.1.3/24Internet实际实际IP地址：地址：RTA:192.1.1.2/24虚拟虚拟IP地址：地址：192.1.1.10/24RTA接口 Ethernet0模式下：ip address 192.1.1.2 255.255.255.0 vrrp vrid 10 virtual-ip 192.1.1.10 vrrp vrid 10 priority 150 vrrp vrid 10 preempt 10 delay 3 vrrp authentication simple vrp3test vrrp vrid 10 timer advertise 2 vrrp vrid 10 track 10 s0 reduced 60RTB接口 Ethernet0模式下：ip address 192.1.1.3 255.255.255.0 vrrp vrid ip 10 virtual-ip 192.1.1.10 vrrp vrid 10 priority 100 vrrp authentication simple vrp3test vrrp vrid advertise timer 2Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP第一章第一章 VRRP基础基础第二章第二章 VRRP工作原理工作原理第三章第三章 VRRP基本配置基本配置第四章第四章 VRRP应用应用Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP组网应用（一）组网应用（一）路由器典型应用：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP组网应用（二）组网应用（二）三层交换机典型应用一：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP组网应用（三）组网应用（三）三层交换机典型应用二：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP组网应用（四）组网应用（四）负载分担典型应用：Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP具体实践知识点（一）具体实践知识点（一）VRRP的Track reduce功能：3528G和NE40的VRRP都可以同时监控多个上行口，并对不同的上行口可以配置不同的Reduce值。

当其中的某个上行口Down后，VRRP的优先级只会降低相应的Reduce值一次再有上行口Down的话，就继续把优先级降低相应的Reduce值一次此VRRP的优先级降低的动作与该VRRP当前是Master还是Slave无关，就算处于Slave也会进行优先级降低的动作而VRRP主备是否进行倒换，只取决于当前谁的优先级最高此功能可运用于3528G或NE40有多个上行口的情况下，当只有一个上行Down时不触发VRRP的主备倒换，而是当全部上行口（或是指定的某些主要上行口）Down后才进行主备倒换VRRP的Track功能3528G和NE40通过Track功能监控到上行口Down了以后，不会立即发送报文通知备用端，而是等到定时器Advertisement Timer超时后再发送，也就是发送Advertisement报文的时间不因Track状态而改变当备用端连续收到三个Advertisement报文，且报文里的优先级低于本端的优先级时，该端会变为主用，且连续发送两个Advertisement报文（没有等Advertisement Timer超时）Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP具体实践知识点（二）具体实践知识点（二）怎么有些启用了VRRP的设备，Master回的MAC地址不是00-00-5e-00-01-groupnumber?这是有些交换机的特殊实现造成的。

有些交换机由于芯片限制，如果采用00-00-5e-00-01-groupnumber形式的MAC，在一个三层接口上只能支持一个或少量备份组，不能实现负载均衡功能，不能满足一些应用场合的要求为了解决这个问题，采用了实MAC方式，即虚拟IP地址的MAC为Master的三层接口的实际MAC这会带来以下问题：Master改变的情况下，虚拟IP地址对应的MAC随即改变虽然新的Master被选举出来后会发一个免费ARP（gratuitous ARP），但是有些主机或网络设备不会根据免费ARP更新ARP表项，这导致在这些主机或网络设备的ARP表项老化之前，不能通过新Master访问外部网络VRRP的虚拟IP地址是否可以访问？对于这个问题一直有争议，因为在RFC2338的6.4.3中有一句话：“MUST NOT accept packets addressed to the IP address(es)associated with the virtual router if it is not the IP address owner.”由此认为访问虚拟IP地址的报文，比如ping报文，除非Master是IP address owner，否则都不应该处理。

但是，这一限制会造成一些困惑，很多用户有ping网关的习惯，并且并不懂VRRP，如果ping不通网关他们会认为网络有问题并可能引发纠纷，造成不必要的误会目前基本上所有厂家的设备事实上都支持对虚拟地址的ping我司的路由器一直支持，三层交换机有一段时间不支持，后来在用户的压力下也支持了，有些设备版本还搞了一个命令vrrp ping-enablePage HUAWEI TECHNOLOGIES CO.,LTD.VRRP具体实践知识点（三）具体实践知识点（三）VRRP抢占延迟问题假设在一个VRRP环境正常情况下，路由器A为主用而路由器B为备用，路由器A发生故障或其Track的上行链路断开而导致主备倒换路由器B成为主用这种情形的抢占一般不需要延迟，因为备用的链路是一直是好的，而且相关的路由原来就有，所以链路只会在主备倒换有短暂中断但问题是，当路由器A的故障恢复后，由于上行链路的路由收敛需要一段时间，或是上行链路对端的设备重启过程中物理层UP但链路层Down的一段时间，此时若路由器A立即抢占为主，则会由于相关路由还没更新，而导致链路较长时间中断因此，路由器A必需配置抢占延迟，该延迟值的大小应该把动态路由协议的收敛时间和相连设备的重启时长考虑进去。

VRRP备用路由器对免费ARP报文的处理问题当一个VRRP路由器抢占为主用后，它会删除其ARP缓存中虚拟IP和虚拟MAC的那条表项，若其ARP缓存原来就没有包括该MAC的表项则不做任何更新；而备用路由器则不会更新其ARP缓存Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP具体实践知识点（四）具体实践知识点（四）VRRP互连设备间一定要启动态路由协议Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP具体实践知识点（五）具体实践知识点（五）VRRP下接二层交换机吊死问题Page HUAWEI TECHNOLOGIES CO.,LTD.VRRP的排错（一）的排错（一）故障之一：控制台上频频给出配置错误的提示这表明收到一个错误的VRRP报文，一种可能是备份组内的另一台路由器由于配置不一致造成的，另一种可能是有的机器试图发送非法的VRRP报文对于第一种可能，可以通过修改配置来解决对于第二种可能，则是有些机器有不良企图，应当通过非技术手段来解决uVRRP是在收到与本地配置不相同的设备发出的协议报文时打印出告警信息的，此协议报文缺省为3秒一个，每次判断配置不一致都会有错误信息打印。

Page HUAWEI TECHNOLOGIES CO.,LTD.故障之二：同一个备份组内出现多个MASTER路由器这分为两种情况，一种是多个MASTER并存时间较短，这种情况是正常的无需进行人工干预另一种是多个MASTER长时间共存，这很有可能是由于MASTER之间收不到VRRP报文，或者收到的报文不合法造成的VRRPVRRP的排错（二）的排错（二）的排错（二）的排错（二）u解决的方法是，先互相在多个MASTER之间互相ping，如果ping不通，则是其他问题如果能ping通，则一定是配置不同造成的，对于同一个VRRP备份组的配置，必须要保证虚拟Ip地址个数，每个虚拟IP地址，定时器间隔时间，认证方式完全一样Page HUAWEI TECHNOLOGIES CO.,LTD.故障之三：VRRP的状态频繁转换，这可能是备份组的定时器时间间隔设置太短VRRPVRRP的排错（三）的排错（三）的排错（三）的排错（三）u解决的方法是，加大定时器时间间隔、设置抢占延迟时间Page HUAWEI TECHNOLOGIES CO.,LTD.小结小结VRRPVRRP基础基础VRRPVRRP工作原理工作原理VRRPVRRP基本配置基本配置VRRPVRRP应用及排错应用及排错Page HUAWEI TECHNOLOGIES CO.,LTD.Page 。