VRRP协议详解PPT课件

姓名 边冬松工号 01023综合测试支持部 VRRP协议 综合测试支持部 理解VRRP的基本概念掌握VRRP的基本工作原理掌握我司设备VRRP特性解释使用VRRP过程中遇到的一些问题 课程目标 学习完本课程 您应该能够 VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题 目录 VRRP的产生 对于局域网中的端主机 存在多种方法可以使其知道它的第一跳路由器地址 其中包括 运行某种动态路由协议 比如运行RIP或者OSPF配置ICMPRouterDiscoveryProtocol IRDP 配置静态缺省路由 即配置网关 VRRP的产生 采用动态路由协议 由于管理开销 处理开销 安全原因以及在某些平台上不支持等原因而不现实 设想 在一个网络上的所有主机都运行邻居或者路由发现协议 往往主机数量都非常庞大 这样就不得不使用较大的定时器值以减小协议开销 而这又会给检测死亡邻居过程带来明显的延迟 最终导致长得不可接受的 黑洞 时间 VRRP的产生 VRRP的产生 在实际应用中 使用配置静态缺省路由 即在主机配置网关的方法相当普遍 这种方法具有最小化的配置和运行开销 并且被所有基于IP的应用所支持 但是 这种方法也有缺点 即增加了单点故障的可能性 缺省路由器的不可用将带来灾难性的结果 当缺省路由器失效时 所有相连的端主机将由于不能检测到可以替换的其他可用路径而造成网络中断 VRRP的产生 综合以上两种方法存在的问题 设计产生了虚拟路由器冗余协议 VRRP 采用了静态缺省路由的方法 并且很好的避免了单点故障 协议定义的选举过程提供了一个当负责转发的主路由器失效时 备份路由器可以接替负责转发的动态容错机制 VRRP协议的这一优点使得每一个端主机不用配置任何动态路由协议或者路由发现协议 就可以获得更高的可靠性 VRRP的产生 VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题 目录 VRRP全称VirtualRouterRedundancyProtocol 虚拟路由器冗余协议 简单来说 VRRP是一种容错协议 它保证当主机的下一跳路由器坏掉时 可以及时的由另一台路由器来代替 从而保持通讯的连续性和可靠性 概述 虚拟路由器VRRP协议管理的抽象对象 可以由虚拟路由器标识 VRID 和一组IP地址来定义虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文 响应虚拟路由器IP地址ARP请求虚拟路由器的备份路由器当主路由器失效时 接替主路由器 VRRP基本概念 虚拟路由器的IPAddress虚拟路由器使用的IP地址 可以用其接口上的真实地址作为虚拟路由器的IP地址 也可以单独配置一个IP地址虚拟路由器的MAC地址00 00 5e 00 01 xx 00005E由IANA分配 0001为分配给VRRP协议的地址块 xx为VRRP虚拟路由器标识 该映射在一个网络中提供最多255个VRRP路由器组 VRRP相关概念 VRRP协议只有一种报文 即主路由器定时向其它成员发送的组播报文 VRRP协议报文封装在IP报文中 通过组播方式进行发送 VRRP报文结构 VRRP报文结构 Version版本号报文中的version字段指VRRP协议版本 目前普遍应用的为版本2Type类型type字段定义了VRRP报文的类型 本版本的协议仅定义了一个报文类型 1 ADVERTISEMENT通告 带有未知类型的报文将被丢弃 VRRP报文 VirtualRtrID VRID 虚拟路由器标识 VRID 字段标识了此报文所报告状态的虚拟路由器 可配置的范围是1 255 没有缺省值 PriorityPriority字段申明了发送此报文的VRRP路由器的优先级 值越高优先级越高 该字段为8位无符号整型 缺省的VRRP路由器优先级为100 注 如果VRRP路由器是虚拟路由器地址的IP地址所有者 那么其优先级必须为255 优先级值0用于指示当前虚拟路由器的主路由器停止参与VRRP组 主要用于触发备用路由器快速地迁移到主路由器 而不用等待当前主路由器超时 VRRP报文 AuthenticationType认证类型认证类型字段用于标识要用到的认证方法 在一个虚拟路由器组内认证类型是唯一的 认证类型字段是一个8位无符号整型 如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配 那么该报文必须被丢弃 目前定义的认证方法有 0 NoAuthentication不认证1 Reserved保留2 Reserved保留 VRRP报文 AuthenticationData验证字验证字 目前只有明文认证才用到该部分 对于其它认证方式 一律填0 收到未知验证类型 或者错误验证字都会丢弃 VRRP报文 AdvertisementIntervalVRRP通告间隔时间 单位为秒 缺省为1秒 这个字段主要用于错误配置路由器时的故障定位和解决 Checksum校验和字段用于检测VRRP消息的数据是否出错 IPAddressIP地址字段为虚拟路由器的一个或者多个IP地址 IP地址的数量在 CountIPAddrs 字段中说明 IP地址字段用于错误配置路由器时的故障定位和解决 VRRP报文 VRRP报文的源MAC00 00 5e 00 01 xxVRRP报文的目的MAC01 00 5e 00 00 12 VRRP报文的二层封装 源地址报文被发出的接口的主IP地址目的地址IANA给VRRP分配的IP组播地址为224 0 0 18 这是一个本地范围的组播地址 不论TTL的值是多少 路由器都被禁止转发以此地址为目标地址的报文 TTLTTL必须为255 当VRRP路由器收到TTL不等于255的VRRP协议报文后 必须丢弃 协议号IANA分配给VRRP的IP协议号为112 十进制 一般抓包时显示0X70 十六进制 VRRP报文的三层封装 抓包结果 VRRP报文 VRRP组播报文的TTL为何是255 一个问题 VRRP组播报文是用来在备份组中路由器之间维护Master Backup关系的 只在本网段进行传播 不能被路由器转发 根据这些条件 VRRP组播报文的TTL设成1就可以了 但是 RFC2338规定VRRP组播报文的TTL必须是255 TTL不等于255的报文将被丢弃 这种设计主要是从安全方面考虑的 VRRP可以通过明文或MD5认证来保证安全 但是无论哪种认证方式都会消耗一些资源 在本网段的安全可以得到保证的情况下 攻击主要来自其它的网段 将TTL设定为255而不必使用认证就可以轻松应对这样的攻击 因为来自其它网段的报文要经过路由器转发 TTL必然小于255 答案 优先级为255 VRRP报文 优先级为0 多IP地址 VRRP报文 明文验证 VRID虚拟路由器标识 可配置的范围在1 255 十进制 没有缺省值 Priority优先级参数用于在一组VRRP路由器中选举主路由器 255被保留给拥有虚拟路由器IP地址的IP地址所有者 0被保留给主路由器指示其将放弃虚拟路由器的Master的责任 虚拟路由器的备用路由器可以使用1 254 十进制 的优先级 缺省值为100 IP Addresses虚拟路由器的IP地址 一个或者多个 可配置 没有缺省值 VRRP的3个参数 Advertisement Interval主路由器发送VRRP组播报文的时间间隔 缺省为1秒 用户可修改 Master down interval间隔时间是adver interval的3倍 Skew Time Preempt delay抢占时间延迟 默认为0 即立即抢占 Skew TimeskewMaster Down Interval单位为秒 计算方法为 256 优先级 256 4个计时器 Preempt Mode抢占模式 控制具有更高优先级的备用路由器可否抢占具有较低优先级的主路由器 使自己成为Master 当值为真时 允许抢占 当值为假时 禁止抢占 缺省值为真 注意 存在的例外情况是 虚拟路由器IP地址拥有者的路由器总是抢占的 并且独立于该标志位的设置 1个模式 组成虚拟路由器的路由器会有三种状态机 分别是 InitializeMasterBackup VRRP的状态机 VRRP的状态机 INITIALIZE MASTER BACKUP 收到一个比自己本地的优先级大的ADVERTISEMENT报文 MASTER DOWN TIMER到时 收到ShutDown消息 收到Startup 且优先级为255 收到Startup 且优先级小于255 收到ShutDown消息 Initialize系统启动后进入此状态 当收到接口startup的消息 将转入Backup或Master状态 优先级为255时 在此状态时 不会对VRRP报文做任何处理 VRRP的状态机 Master定期发送VRRP通告消息 响应对虚拟IP地址的ARP请求 并且响应的是虚拟MAC地址 而不是接口的真实MAC地址 转发目的MAC地址为虚拟MAC地址的IP报文 如果它是这个虚拟IP地址的拥有者 IPAddressOwner 则接收目的IP地址为这个虚拟IP地址的IP报文 否则 丢弃这个IP报文 在Master状态中只有接收到比自己的优先级大的VRRP报文时 才会转为Backup 当接收到接口的Shutdown事件时 转为Initialize VRRP的状态机 Backup当路由器处于BACKUP状态时 它将会做下列工作 接收Master发送的VRRP广播报文 从中了解Master 对虚拟IP地址的ARP请求 不做响应 丢弃目的MAC地址为虚拟MAC地址的IP报文 丢弃目的IP地址为虚拟IP地址的IP报文 接收到VRRP报文后 如果收到报文的优先级为0将状态设置为Master 开始发送报文如果收到报文优先级小于本地优先级而且本地设置了抢占方式 一段时间后转为Master状态 VRRP的状态机 Backup否则正常接收 对定时器进行重置处于Backup状态的设备 当3 adver interval 256 Priority 256时间没有收到Master发来的VRRP报文 则认为当前的Master已经Down掉 将自己转为Master状态 发送VRRP报文 VRRP的状态机 根据优先级的大小挑选主路由器 优先级最大的为主路由器 若优先级相同 则比较接口的主IP地址 主IP地址大的就成为主路由器 由它提供实际的路由服务 其它路由器作为备份路由器 随时监测主路由器的状态 当主路由器正常工作时 它会每隔一段时间 Advertisement Interval 发送一个VRRP组播报文 以通知组内的备份路由器 主路由器处于正常工作状态 当组内的备份路由器长时间 Master Down Interval 没有接收到来自主路由器的报文 则将自己转为主路由器 当组内有多台备份路由器时 将有可能产生多个主路由器 这时每一个主路由器就会比较VRRP报文中的优先级 priority 和自己本地的优先级 如果本地的优先级小于VRRP中的优先级 则将自己的状态转为备份路由器 否则保持自己的状态不变 通过这样一个过程 就会将优先级最大的路由器选成新的主路由器 完成VRRP的备份功能 VRRP的工作过程 ARP查询处理当内部主机通过ARP查询虚拟路由器IP地址对应的MAC地址时 MASTER路由器回复的MAC地址为虚拟的VRRP的MAC地址 而不是实际网卡的MAC地址 这样在路由器切换时让内网机器觉察不到 而在路由器重新启动时 不能主动发送本机网卡的实际MAC地址 如果虚拟路由器开启的ARP代理 proxy arp 功能 代理的ARP回应也回应VRRP虚拟MAC地址 VRRP的一些问题处理 ICMP重定向处理ICMP重定向会导致将路由器的真实接口IP地址通过重定向报文通知给网络内的主机如果重定向报文中的目的地址的下一跳是一个备份组的MASTER 就将这个备份组的虚拟IP地址填充到ICMP重定向报文中的下一跳 如果重定向报文中的目的地址地下一跳是一个备份组的BACKUP 就不发送ICMP重定向报文 如果重定向报文中的目的地址地下一跳是一个没有运行VRRP的路由器 就将这个路由器的真实接口IP地址填充到ICMP重定向报文中的下一跳 VRRP的一些问题处理 VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题 目录 虚拟IP地址应不应该能够ping通 RFC2338并没有规定虚拟IP地址应不应该ping通 目前在我司和C公司的设备上都提供了切换ping通虚拟IP地址的开关命令 RFC2338没有对这一行为作出规定 如果能够ping通虚拟IP地址 可以比较方便的监控虚拟路由器的工作情况 但是这样也带来了可能遭到ICMP攻击的隐患 同时也不能分辨当前虚拟路由器中是否存在IP地址拥有者 而如果虚拟IP地址不能ping通 会给监控虚拟路由器的工作情况带来一定的麻烦 两种实现方法应该说是各有利弊 我司产品VRRP特性 虚拟IP地址应不应该能够ping通 如果在一个备份组中 有的路由器对应的虚地址配置了可以PING通 有的不能被PING通 这时在主备切换过程中 如果Master当前对应到配置了可以PING通的设备上 则虚地址能够PING通 否则PING不通 地址拥有者任何时候都可PING通 我司产品VRRP特性 图中3处故障 哪几处可以引起VRRP的切换 此处故障是否能够引起VRRP的切换 我司产品VRRP特性 vlan接口或以太网接口状态改变对虚拟路由器优先级的影响 H3C Vlan interface10 vrrpvrid1track EthernetEthernetinterfaceGigabitEthernetGigabitEthernetinterfaceVlan interfaceVLANinterfacedetect grouptrackdetect groupifmtrackIFM某些vlan接口或以太网接口状态改变时将虚拟路由器优先级降低 当接口状态恢复 虚拟路由器优先级也恢复优先级 缺省减10 例如 H3C Vlan interface10 vrrpvrrpvrid1trackGigabitEthernet1 1 H3C Vlan interface10 vrrpvrrpvrid1trackEthernet0 17reduce20 H3C Vlan interface10 vrrpvrrpvrid1trackVlan interface120 我司产品VRRP特性 免费ARP的发送 使主机刷新MAC地址表我司设备虚MAC 实MAC都可以发送免费ARP 如果是虚实混合方式 则视Master对应设备选择的方式 来确定是以虚MAC还是实MAC方式发送 我司产品VRRP特性 VRRP的产生VRRP的原理我司VRRP的特性使用VRRP时的常见问题 目录 我司设备与其他厂家设备认证不通过使用不认证和simple方式 VRRP能够正常互通 使用MD5认证出现多个Master 我司设备之间使用MD5认证能够通过 但是抓包显示错误 另外 在当前的备份组当中各台设备认证方式不一致 也会出现多个Master的情况 MD5认证问题 在2004年 IETF将RFC2338作废 新版本RFC3768较RFC2338的改进新版的VRRP较老版简化了认证处理 实际不再进行数据的认证 这是因为在实际应用中经常出现认证成为造成多个MASTER同时使用的异常情况 AuthType 认证类型 8位 RFC3768中认证功能已经取消 此字段值定义0 不认证 为1 2只作为对老版本的兼容 AuthenticationData RFC3768中定义该字段只是为了和老版本兼容 必须置0 RFC2338和3768的区别 优先级相同的时候比较IP地址大小在网络稳定时 各台设备配置了抢占模式 新加入的设备优先级和其他设备相同 即使IP地址大 也不会抢占 只有网络中同时出现多个Master 并且各个Master的优先级相同 这个时候才会迫不得已进行比较IP地址大小 什么时候会比较IP地址大小 优先级为0的报文 表示路由器停止参与VRRP 用来使备份路由器尽快成为主路由器 而不必等到计时器超时接口shutdown删除备份组 什么时候会出现优先级为0的报文 免费ARP的发送 使端主机刷新MAC地址表在进行了主备倒换之后 新的Master会主动发送免费ARP 什么时候发送免费ARP Master 什么时候发送免费ARP 在新的Master出现后 会发送免费ARP消息 设备会以自己的虚MAC地址回给主机 Arp proxy Virt 1 1 1 10 16Real 1 1 1 1 16 1 2 1 2 16 1 2 1 1 16 1 1 1 2 8 Virt 1 1 1 10 16 设备会以自己的虚MAC地址回给主机 Arp proxy 设备会以自己的虚