VRRP操作手册.doc

VRRP 配置1.1 VRRP 简介VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。如下图所示，通常一个网络内的所有主机都设置一条缺省路由（图中的缺省路由下一跳地址为10.100.10.1），主机发往外部网络的报文将通过缺省路由发往三层交换机Switch，从而实现了主机与外部网络的通信。当交换机Switch 发生故障时，本网段内所有以Switch 为缺省路由下一跳的主机将断掉与外部的通信。图1-1 局域网组网方案VRRP 就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如以太网）设计。VRRP 将局域网的一组交换机（包括一个Master 即主交换机和若干个Backup 即备份交换机）组织成一个虚拟路由器，这组交换机被称为一个备份组。虚拟的交换机拥有自己的IP 地址10.100.10.1（这个IP 地址可以和备份组内的某个交换机的接口地址相同）和专用的MAC地址，备份组内的交换机也有自己的IP 地址（如Master 的IP地址为10.100.10.2，Backup 的IP 地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1（通常被称为备份组的虚拟IP 地址），而不知道具体的Master 交换机的IP 地址10.100.10.2 以及Backup 交换机的IP 地址10.100.10.3。局域网内的主机将自己的缺省路由下一跳设置为该虚拟路由器的IP地址10.100.10.1。于是，网络内的主机就通过这个虚拟的交换机与其它网络进行通信。在正常情况下，Master对虚拟地址ARP请求进行应答，当备份组内的Master 交换机不能正常工作时，备份组内的其它Backup 交换机将接替不能正常工作的Master 交换机成为新的Master 交换机，继续向网络内的主机提供路由服务，同时保持虚拟地址的ARP条目不变，从而实现网络内的主机不间断地与外部网络进行通信。图1-2 虚拟路由器示意图1.2 VRRP 配置VRRP 主要配置包括： 全局使能/禁止VRRP创建VRRP实例配置VRRP实例的虚拟地址配置VRRP实例的通告时间间隔配置VRRP实例的认证模式配置VRRP的抢占使能VRRP实例 调试和显示VRRP1.2.1全局使能/禁止VRRP为了使用VRRP功能，首先要在全局使能VRRP功能，此后才能进一步配置VRRP实例。如果输入了全局关闭VRRP的命令，则所有的VRRP实例都将被删除。 使能和禁止VRRP的命令都在全局配置节点下执行。操作命令使能VRRP功能ip vrrp enable关闭VRRP功能ip vrrp disable1.2.2 创建VRRP实例一个VRRP实例就是一个VRRP备份组，一个实例具有一个唯一的实例ID，用于区分接口上的不同备份组。不同接口上的VRRP实例可以具有相同的ID。同一个备份组中的所有设备都必须配置相同的实例号和虚拟IP地址。虚拟IP地址对应的MAC地址不是接口的实际MAC地址，而是固定为00-00-5e-00-00-id，其中的ID就是VRRP实例ID。 创建VRRP实例的命令在VLAN配置节点下执行。 相应的no命令将删除接口上的VRRP实例，此节点将退出相应的VRRP备份组。操作命令创建VRRP实例ip vrrp 删除VRRP实例no ip vrrp 1.2.3 配置VRRP实例的虚拟地址VRRP的虚拟地址即虚拟路由器的IP地址，此IP地址将作为直连主机的默认网关。配置VRRP实例的命令位于VLAN配置节点，并且要求对应的VRRP实例已经存在。 相应的no命令将删除VRRP实例的虚拟地址。操作命令配置VRRP实例虚拟地址ip vrrp associate-address (A.B.C.D)删除VRRP实例虚拟地址no ip vrrp associate-address (A.B.C.D)1.2.4 配置VRRP实例的通告时间间隔VRRP实例的每一个接口都周期性向接口上发送VRRP组播报文。这个周期性间隔时间决定了VRRP主备倒换操作的速度，一般来说使用默认值即可，但是在特定的情况下，可以使用本命令改变默认的通告间隔时间。建议备份组中所有设备采用相同的通告间隔时间。此命令在VLAN配置节点中执行，要求VRRP实例已经存在，间隔时间单位为秒。相应的no命令将把通告间隔还原为默认值(1秒)。操作命令配置VRRP实例通告间隔时间ip vrrp advertise-interval 配置默认VRRP实例通告间隔时间no ip vrrp advertise-interval1.2.5 配置VRRP实例的认证模式 为增强VRRP的安全性，可以对VRRP采用认证。一个VRRP实例的所有设备都必须配置相同的认证模式，如果使用认证，则必须配置相同的密码。 目前支持的认证模式为：不认证，简单密码认证。默认为不认证。 此命令在VLAN配置节点中执行，要求VRRP实例已经存在。操作命令配置VRRP实例密码认证模式ip vrrp authentication type text配置VRRP实例密码ip vrrp authentication key KEY配置VRRP实例关闭密码认证ip vrrp authentication type none1.2.6 配置VRRP的抢占在没有被设置抢占方式的备份组中，一旦某台交换机成为Master，只要它没有出现故障，即使后来备份组中出现优先级更高的交换机，Master 也不会被取代。如果交换机被设置为抢占方式，一旦备份组内Backup 交换机发现自己的优先级比当前的Master的优先级高，就会抢占成为Master，相应地，原来的Master将会变成Backup。此命令在VLAN配置节点中执行，要求VRRP实例已经存在，默认为抢占。操作命令配置VRRP实例抢占ip vrrp preempt关闭VRRP实例抢占no ip vrrp preempt1.2.7 VRRP优先级VRRP实例的优先级表明成为Master的优先程度。VRRP备份组中的设备首先会根据优先级字段进行判断，选择优先级最高的设备；如果出现相同优先级，则根据IP地址进行比较。如果管理员认为某一设备应该作为Master(比如接口带宽较高)，则可为其设置较高的优先级，从而强制此设备成为Master。此命令在VLAN配置节点中执行，要求VRRP实例已经存在。No 命令将还原默认的优先级。操作命令配置VRRP实例优先级ip vrrp priority 关闭VRRP实例优先级no ip vrrp priority1.2.8 配置VRRP关联接口 VRRP的关联接口，即在每个VRRP实例中结构中增加一个关联接口组，其中包含的是上层接口索引及其状态。接口的状态表明接口与对端的通信状态，现在是根据物理状态进行判断，若接口状态为UP，则不进行处理；若接口状态为DOWN，则要接着判断VRRP的状态，如果此时VRRP为Backup，就不作处理，如果为Master，强制将状态改变为Backup。对于单个的VRRP实例来说，此命令在VLAN配置节点中执行，要求VRRP实例已经存在； 对于全局的VRRP来说，此命令在全局配置模式下执行；操作命令配置VRRP实例的关联接口ip vrrp ass-if vlan 关闭VRRP实例的关联接口no ip vrrp ass-if vlan 配置VRRP全局的关联接口ip vrrp ass-if vlan 关闭VRRP全局的关联接口no ip vrrp ass-if vlan 1.2.9 使能VRRP实例完成上述配置后，管理员需要激活接口上的VRRP实例，因为上述的配置只是配置参数，而没有真正运行。激活VRRP实例后也可修改上述参数，但是我们建议不要修改虚拟地址。此命令在VLAN配置节点中执行，要求VRRP实例已经存在。操作命令使能VRRP实例ip vrrp enable1.3 VRRP 显示和调试完成VRRP配置后，可在view和enable节点下观察VRRP的配置和统计。 操作命令显示VRRP实例概要信息show ip vrrp显示VRRP实例相信信息show ip vrrp vlan VLANID VRRPID显示VRRP关联接口信息show ip vrrp associate-interface1.4 VRRP 典型配置举例以简述部分的拓扑为例，创建一个VRRP备份组。Master的真实地址为10.100.10.2，Backup的真实地址为10.100.10.3，虚拟地址为10.100.10.1，VRRP实例ID为1。Master上的主要配置如下：S46-master(config)#ip vrrp enableS46-master(config)#interface vlan 1S46-master (config-vlan-1)#ip address 10.100.10.2/24S46-master (config-vlan-1)#ip vrrp 1S46-master (config-vlan-1)#ip vrrp 1 associate-address 10.100.10.1S46-master (config-vlan-1)#ip vrrp 1 priority 250S46-master (config-vlan-1)#ip vrrp 1 enableBackup上的主要配置如下：S46-backup(config)#ip vrrp enableS46- backup (config)#interface vlan 1S46- backup (config-vlan-1)#ip address 10.100.10.3/24S46- backup (config-vlan-1)#ip vrrp 1S46- backup (config-vlan-1)#ip vrrp 1 associate-address 10.100.10.1S46- backup (config-vlan-1)#ip vrrp 1 enable完成上述配置后，在Master上执行show ip vrrp命令：Interface VRID VR-State Pri Auth-Type IP-Count Row-Statevlan-1 1 Master 250 none 1 Active在Backup上执行show ip vrrp命令Interface VRID VR-State Pri Auth-Type IP-Count Row-Statevlan-1 1 Backup 100 none 1 Active确定上述的Master和Backup关系后，可以在主机上执行Ping操作，以Ping虚拟地址为例。Pinging 10.100.10.1 with 32 bytes of data:Reply from 10.100.10.1: bytes=32 time=2ms TTL=64Reply from 10.100.10.1: bytes=32 time=1ms TTL=64Reply from 10.100.10.1: