H3C设备VRRP配置手册VIP

1、VRRP简介vrrp（virtualrouterredundancyprotocol,虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1）,这样，主机发出的目的地址不在本网段的报文将被通过缺省H由发往路由器router,从而实现了主机与外部网络的通信。当路由器出现故障时，本网段内所有以此路由器为缺省路由下一跳的主机将断掉与外部的通信。LAN_nHc&t1Host2Host3图2/局戒网组网方案vrrp就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下vrrp的实现原理。vrr

2、p将局域网的一组路由器（包括一个master即活动路由器和若干个backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。MasWJOO.W,2,一小10.10(5,10.3BacklJP/；朝国机10,100,101HHost110-00.10.11010010.1LANQDHost3图2-2VRRP组网示皂国这个虚拟的路由器拥有自己的ip地址10.100.10.1（这个ip地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的ip地址（如master的ip地址为10.100.10.2,backup的ip地址为10.100.10.3）。局域网内的主机仅仅知道这个虚

3、拟路由器的ip地址10.100.10.1,而并不知道具体的master路由器的ip地址10.100.10.2以及backup路由器的ip地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的ip地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的master路由器出现故障，backup路由器将会通过选举策略选出一个新的master路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于vrrp协议的详细信息，可以参考rfc2338H3CH3CSecPathF100-C相关内容：报价|

4、参数|图片|论坛|评测VRRP配置vrrp的基本配置包括：1添加或删除虚拟ip地址2设置备份组的优先级3设置备份组的抢占方式和延迟时间vrrp的高级配置包括：1设置备份组的认证方式和认证字2设置备份组的定时器3设置监视指定接口4设置虚拟ip地址是否可以使用ping命令ping通5设置检查vrrp报文的ttl域2.2.1添加或删除虚拟ip地址将一个本网段的ip地址指定给到一个虚拟路由器(也称为一个备份组)，或将一个指定到一个备份组虚拟ip地址从虚拟地址列表中删除。请在接口视图下进行下列配置。表2-1濡加/删除虚拟IP地址操作命令Jill11IPl±:iivrrpvrid廿廿"

5、/。:1IT)viiuabip4除力B拟司undovrrpvrid冶J-/oi，m一£'virtudlip典由冶备份组号virtual-router-id范围从1到255,虚拟地址可以是备份组所在网段中未被分配的ip地址，也可以是属于备份组某接口的ip地址。对于后者，称拥有这个接口ip地址的防火墙为一个地址拥有者(ipaddressowner)。当指定第一个ip地址到一个备份组时，系统会创建这个备份组，以后再指定虚拟ip地址到这个备份组时，系统仅仅将这个地址添加到这个备份组的虚拟ip地址列表中。防火墙的一个接口可以同时加入到14个备份组中。而一个备份组最多可以配置16个虚拟i

6、p地址。在对一个备份组进行其它配置之前，必须先通过指定一个虚拟ip地址的命令将这个备份组创建起来。备份组中最后一个虚拟ip地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。2.2.2 设置备份组的优先级vrrp中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master。优先级的取彳I范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1,最大值是254。优先级0为系统保留给特殊用途来使用，255则是系统保留给ip地址拥有者。请在接口视图下进行下列配置。S2-2设置下第组的位先吸操作命令量

7、置备份组的优先德vrrpvrifipriorityphorfty-va/u&快U为软省如undovrrp喇idijE汨口"况4mJ口priority缺省情况下，优先级为100。对于所有vrrp组成员，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrpvrid配置的优先级，非ip拥有者的运行优先级与配置优先级是相同的；ip拥有者的运行优先级是不可配置的,始终为255o2.2.3 设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台防火墙成为master,只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为master。如果防火墙设置为抢占方

8、式，它一旦发现自己的优先级比当前的master的优先级高，就会成为master,相应地，原来的master将会变成backup。在设置抢占的同时，还可以设置延迟时间。这样可以使得backup延迟一段时间成为master。其目的在性能不够稳定的网络中，backup可能因为网络堵塞而无法正常收到master的报文，使用vrrpvrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内防火墙的状态频繁转换。延迟的时间以秒计，范围为0255。请在接口视图下进行下列配置。表2-3设置和取消需卷组的抢占方式和延迟时间授作A即P设丁缶份组的抢占方式和铤退时间炉耳vbidrtual-rautG

9、r-lDpreompt-modotimerUMt,;加电阻清皆例H的抢占方式undovrrpvridV7,:u于匚。曰1JDpreempt-mode缺省方式是抢占方式，延迟时间为0秒。取消抢占方式，则延迟时间就会自动变为0秒。2.2.4 设置认证方式及认证字vrrp提供了两种认证方式，分别是：simple:简单字符认证。md5：md5认证。在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp报文不进行任何认证处理，而收到vrrp报文的防火墙也不进行任何认证。在一个有可能受到安全威胁的网络中，可以将认证方式设置为simple,则发送vrrp报文的防火墙就会将认证字填入到vrrp报文中，

10、而收到的vrrp报文的防火墙会将收到的vrrp报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的vrrp报文，否则认为是一个非法的报文，将其丢弃。这种情况下，应当设置长度为不超过8个字符的认证字。在一个非常不安全的网络中，可以将认证方式设置为md§则防火墙就会利用authenticationheader提供的认证方式和md5算法来对vrrp报文进行认证。如果以明文形式输入，长度为18个字符，如：1234567;如果以密文形式输入，长度必须为24,并且必须是密文形式，如：_(tt8fM5sq=Aq'maf41!对于没有通过认证的报文将做丢弃处理，并会向网管发送

11、陷阱报文。表24设益认证方式和认证字操作印青4W认行。式和认加vnpaullifhimtioTrinodeind5K&y|simpleke?恢n为玳甫值undovrrpauthentication-rnade缺省认证方式为不进行认证。一个接口上的备份组要设置相同的认证方式和认证字。2.2.5 设置vrrp的定时器vrrp备份组中的master防火墙通过定时(adver-interval)发送vrrp报文来向组内的防火墙通知自己工作正常。如果backup超过一定时间(master-down-interval)没有收到master发送来的vrrp报文，则认为它已经无法正常工作。同时就会将自

12、己的状态转变为master。用户可以通过设置定时器的命令来调整master发送vrrp报文的间隔时间(adver-interval)。而backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的防火墙上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。请在接口视图下进行下列配置。质2-5设置,VRRP定时于操作人人设置VRRP定vrrpvri&a

13、mp;wite;用T*meradvertise恢为钺省值undovrrpvrid历小，加-rou2-£tinneradvertise缺省情况下，adver-interval的值是1秒，取值范围为12552.2.6 设置监视指定接口能，而且在防火墙的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口down时，这个接口的防火墙的运行优先级会自动降低一个数额(priority-reduced),于是就会导致备份组内其它防火墙的运行优先级高于这个防火墙的运行优先级，从而使得其它运行优先级高的防火墙转变为master,达到对这个接口监视的目的。请

14、在接口视图下进行下列配置。表2-6设置和取消监视接口操祚命令谀置邮祝指定接Qvnpvrid加什tmck析也右席卬白出孑危oytu口中rodiUTil心必盲Jicod取而监图指定上11undovrrpvridvirtuaf-rGater-iDtrack加消血但numJbM缺省情况下，priority-reduced的值为10。当防火墙为ip地址拥有者时，不允许对其进行监视接口的配置。2.2.7 设置虚拟ip地址是否可以使用ping命令ping通本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟ip地址。根据vrrp的标准协议，备份组的虚拟ip地址是无法使用ping命令来ping通的

15、。这时防火墙连接的用户无法通过ping命令来判断一个ip地址是否被备份组使用。如果用户将自己的主机ip配置与备份组的虚拟ip地址相同的ip地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。使用下面的命令进行配置后，用户将可以使用ping命令ping通备份组的虚拟ip地址。请在系统视图下进行下列配置。表2-7设定虚心IP地址是否可以使用ping命令ping通猱作命令设定上HUP地址可以使用口ing的”时vrrpphig-enble在册拟IP地址1nJ一pingh?pingiQundovrrpping-enable缺省情况下，用户不能使用ping命令ping通备份组的虚拟

16、ip地址此配置需要在备份组建立之前就进行设定。如果防火墙上已经建立了备份组，系统将不允许再进行此配置。2.2.8 设置是否需要检查vrrp报文的ttl值vrrp协议规定vrrp报文的ttl值只能为255。如果backup检查到vrrp报文的ttl值不是255,就会将此报文丢弃。可以使用下面的命令来设置取消检查vrrp报文的ttl值。请在接口视图下进行下列配置。表2-8设芭足否取消检查VRRP报文的TTL值操作二命令Q7取消玲、VRRP熊iTTL也11f|川。pttl设置恢U冷VRRP报文的TTLl；undovrrpun-cliock111缺省情况下，需要检查vrrp报文的ttl值H3cH3cS

17、ecPathF100-C相关内容：报价|参数|图片|论坛|评测VRRP配置vrrp的基本配置包括：1添加或删除虚拟ip地址2设置备份组的优先级3设置备份组的抢占方式和延迟时间vrrp的高级配置包括：1设置备份组的认证方式和认证字2设置备份组的定时器3设置监视指定接口4设置虚拟ip地址是否可以使用ping命令ping通5设置检查vrrp报文的ttl域2.2.1 添加或删除虚拟ip地址将一个本网段的ip地址指定给到一个虚拟路由器(也称为一个备份组)，或将一个指定到一个备份组虚拟ip地址从虚拟地址列表中删除。请在接口视图下进行下列配置。表2-1海加/删除虚拟IP地址操作率抑虚拟庐地址vrrpvrid

18、vtfU-/。姓uabip4除力IUPkundovrrpvridvirtual-ipvirtu&l-address备份组号virtual-router-id范围从1到255,虚拟地址可以是备份组所在网段中未被分配的ip地址，也可以是属于备份组某接口的ip地址。对于后者，称拥有这个接口ip地址的防火墙为一个地址拥有者(ipaddressowner)。当指定第一个ip地址到一个备份组时，系统会创建这个备份组，以后再指定虚拟ip地址到这个备份组时，系统仅仅将这个地址添加到这个备份组的虚拟ip地址列表中。防火墙的一个接口可以同时加入到14个备份组中。而一个备份组最多可以配置16个虚拟ip地址。

19、在对一个备份组进行其它配置之前，必须先通过指定一个虚拟ip地址的命令将这个备份组创建起来。备份组中最后一个虚拟ip地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。2.2.2 设置备份组的优先级vrrp中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master优先级的取彳I范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1,最大值是254。优先级0为系统保留给特殊用途来使用，255则是系统保留给ip地址拥有者。请在接口视图下进行下列配置。S2-2设置下阴组的优先吸操作命令麓置备份组的

20、优先改vrrpvrbpriority快U为城省也undovrrpvrid;"和川口机4白rJ口priaiity缺省情况下，优先级为100。对于所有vrrp组成员，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrpvrid配置的优先级，非ip拥有者的运行优先级与配置优先级是相同的；ip拥有者的运行优先级是不可配置的，始终为255o2.2.3 设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台防火墙成为master,只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为master。如果防火墙设置为抢占方式，它一旦发现自己的优先级比当前的master

21、的优先级高，就会成为master,相应地，原来的master将会变成backup。在设置抢占的同时，还可以设置延迟时间。这样可以使得backup延迟一段时间成为master。其目的在性能不够稳定的网络中，backup可能因为网络堵塞而无法正常收到master的报文，使用vrrpvrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内防火墙的状态频繁转换。延迟的时间以秒计，范围为0255。表2-3设省加取消备卷组的抢占方式和延迟E4问授作八小即P设若抬份组的抢占方式和延退时间L炉耳vbidual-rautor-lDproompt-modGtirr»r3M必六间口白职消

22、皆例H的抢占式undovrrpvrid囚市反preempt-mode缺省方式是抢占方式，延迟时间为0秒。取消抢占方式，则延迟时间就会自动变为0秒。2.2.4 设置认证方式及认证字vrrp提供了两种认证方式，分别是：simple:简单字符认证。md5：md5认证。在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp报文不进行任何认证处理，而收到vrrp报文的防火墙也不进行任何认证。在一个有可能受到安全威胁的网络中，可以将认证方式设置为simple,则发送vrrp报文的防火墙就会将认证字填入到vrrp报文中，而收到的vrrp报文的防火墙会将收到的vrrp报文中的认证字和本地配置的认证字进

23、行比较，相同则认为是真实的、合法的vrrp报文，否则认为是一个非法的报文，将其丢弃。这种情况下，应当设置长度为不超过8个字符的认证字。在一个非常不安全的网络中，可以将认证方式设置为md§则防火墙就会利用authenticationheader提供的认证方式和md5算法来对vrrp报文进行认证。如果以明文形式输入，长度为18个字符，如：1234567;如果以密文形式输入，长度必须为24,并且必须是密文形式，如：_(tt8fM5sq=Aq'maf41!对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。表24设益认证方式和认证字操作印青4W认行。式和认加vnpaullif

24、himtioTrinodeind5K&y|simpleke?恢n为玳甫值undovrrpauthentication-rnade缺省认证方式为不进行认证。一个接口上的备份组要设置相同的认证方式和认证字。2.2.5 设置vrrp的定时器vrrp备份组中的master防火墙通过定时(adver-interval)发送vrrp报文来向组内的防火墙通知自己工作正常。如果backup超过一定时间(master-down-interval)没有收到master发送来的vrrp报文，则认为它已经无法正常工作。同时就会将自己的状态转变为master。用户可以通过设置定时器的命令来调整master发送v

25、rrp报文的间隔时间(adver-interval)。而backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的防火墙上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。请在接口视图下进行下列配置。质2-5设置,VRRP定时于操作人人设置VRRP定vrrpvri&wite;用T*meradvertise恢为钺省值undovrrpvrid

26、历小，加-rou2-£tinneradvertise缺省情况下，adver-interval的值是1秒，取值范围为12552.2.6 设置监视指定接口能，而且在防火墙的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口down时，这个接口的防火墙的运行优先级会自动降低一个数额(priority-reduced),于是就会导致备份组内其它防火墙的运行优先级高于这个防火墙的运行优先级，从而使得其它运行优先级高的防火墙转变为master,达到对这个接口监视的目的。请在接口视图下进行下列配置。表2-6设置和取消监视接口操祚命令谀置邮祝指定接Qvn

27、pvrid加什tmck析也右席卬白出孑危oytu口中rodiUTil心必盲Jicod取而监图指定上11undovrrpvridvirtuaf-rGater-iDtrack加消血但numJbM缺省情况下，priority-reduced的值为10。当防火墙为ip地址拥有者时，不允许对其进行监视接口的配置。2.2.7 设置虚拟ip地址是否可以使用ping命令ping通本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟ip地址。根据vrrp的标准协议，备份组的虚拟ip地址是无法使用ping命令来ping通的。这时防火墙连接的用户无法通过ping命令来判断一个ip地址是否被备份组使用。如

28、果用户将自己的主机ip配置与备份组的虚拟ip地址相同的ip地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。使用下面的命令进行配置后，用户将可以使用ping命令ping通备份组的虚拟ip地址。请在系统视图下进行下列配置。表2-7设定虚心IP地址是否可以使用ping命令ping通猱作命令设定上HUP地址可以使用口ing的”时vrrpphig-enble在册拟IP地址1nJ一pingh?pingiQundovrrpping-enable缺省情况下，用户不能使用ping命令ping通备份组的虚拟ip地址此配置需要在备份组建立之前就进行设定。如果防火墙上已经建立了备份组，系统

29、将不允许再进行此配置。2.2.8 设置是否需要检查vrrp报文的ttl值vrrp协议规定vrrp报文的ttl值只能为255。如果backup检查到vrrp报文的ttl值不是255,就会将此报文丢弃。可以使用下面的命令来设置取消检查vrrp报文的ttl值。请在接口视图下进行下列配置。表2-8设置正否引泊检查VRRP报文的TTL值操作/一命令Q晋职犷口，YRRPLS4TTL值umcheckttl设置慨笈口北VRRP报文TTLitundovnpun-checkttl缺省情况下，需要检查vrrp报文的ttl值H3cH3cSecPathF100-C相关内容：报价|参数|图片|论坛|评测VRRP典型配置举

30、例2.4.1 vrrp单备份组举例1 .组网需求主机a把secpatha和secpathb组成的vrrp备份组作为自己的缺省网关，访问internet上的主机bvrrp备份组构成：备份组号为1,虚拟ip地址为202.38.160.111,secpatha做master,secpathb做backup,允许抢占。2 .组网图20323.1：202.38,160.1止旬Ft七3IE102:202,38.16022。23al60,111I202.33.160.3a图23VRRP翻首部网图3 .配置步骤配置secpatha:h3c-ethernet1/0/0ipaddress202.38.160.12

31、4h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111h3c-ethernet1/0/0vrrpvrid1priority120配置secpathb:h3c-ethernet1/0/0ipaddress202.38.160.224备份组配置后不久就可以使用。主机a可将缺省网关设为202.38.160.111正常情况下，secpatha执行网关工作，当secpatha关机或出现故障，secpathb将接替执行网关工作。设置抢占方式，目的是当secpatha恢复工作后，能够继续成为master执行网关工作。2.4.2 vrrp监视接口举例1. 组网需

32、求即使secpatha仍然工作，但当其连接internet的接口不可用时，可能希望由secpathb来执行网关工作。可通过配置监视接口来实现上述需求。为了便于说明，设备份组号为1，并增加授权字和计时器的配置（在该应用中不是必须的）。2. 组网图如图2-3。3. 配置步骤配置secpatha：# 创建一个备份组。h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111# 设置备份组的优先级。h3c-ethernet1/0/0vrrpvrid1priority120# 设置备份组的认证字。h3c-ethernet1/0/0vrrpauthenticati

33、on-modemd5vrrppwd# 设置master发送vrrp报文的间隔时间为5秒。h3c-ethernet1/0/0vrrpvrid1timeradvertise5# 设置监视接口。配置secpathb：# 创建一个备份组。h3c-ethernet1/0/0vrrpvrid1virtual-ip202.38.160.111# 设置备份组的认证字。h3c-ethernet1/0/0vrrpauthentication-modemd5vrrppwd# 设置master发送vrrp报文的间隔时间为5秒。h3c-ethernet1/0/0vrrpvrid1timeradvertise5正常情况下，secpatha执行网关工作，当secpatha的接口ethernet2/0/0不可用时，secpatha的优先级降低30，低于secpathb优先级，secpathb将抢占成为master执行网关工作。当secpatha的接口ethernet2/0/0恢复工作后，secpatha能够继续成为master执行网关工作。2.4.3 多备份组举例1. 组网需求在comware中，允许一台防火墙为多