VRRP协议详解ppt课件.ppt

1、1姓名：边冬松姓名：边冬松工号：工号：01023综合测试支持部综合测试支持部VRRP协议协议综合测试支持部综合测试支持部n 理解理解VRRP的基本概念的基本概念n 掌握掌握VRRP的基本工作原理的基本工作原理n 掌握我司设备掌握我司设备VRRP特性特性n 解释使用解释使用VRRP过程中遇到的一些问题过程中遇到的一些问题课程目标课程目标学习完本课程，您应该能够：学习完本课程，您应该能够：n VRRP的产生的产生n VRRP的原理的原理n 我司我司VRRP的特性的特性n 使用使用VRRP时的常见问题时的常见问题目录目录5VRRP的产生的产生6l 对于局域网中的端主机，存在多种方法可以使其对于局域网

2、中的端主机，存在多种方法可以使其知道它的第一跳路由器地址知道它的第一跳路由器地址,其中包括：其中包括：运行某种动态路由协议，比如运行RIP或者OSPF配置ICMP Router Discovery Protocol(IRDP)配置静态缺省路由，即配置网关。VRRP的产生的产生7l 采用动态路由协议，由于管理开销、处理开销、安采用动态路由协议，由于管理开销、处理开销、安全原因以及在某些平台上不支持等原因而不现实。全原因以及在某些平台上不支持等原因而不现实。设想：在一个网络上的所有主机都运行邻居或者路由发现协议，往往主机数量都非常庞大，这样就不得不使用较大的定时器值以减小协议开销，而这又会给检测死

3、亡邻居过程带来明显的延迟，最终导致长得不可接受的“黑洞”时间。 VRRP的产生的产生8VRRP的产生的产生9l 在实际应用中，使用配置静态缺省路由，即在主在实际应用中，使用配置静态缺省路由，即在主机配置网关的方法相当普遍，这种方法具有最小机配置网关的方法相当普遍，这种方法具有最小化的配置和运行开销，并且被所有基于化的配置和运行开销，并且被所有基于IP的应用的应用所支持。所支持。但是，这种方法也有缺点，即增加了单点故障的可能性。缺省路由器的不可用将带来灾难性的结果：当缺省路由器失效时，所有相连的端主机将由于不能检测到可以替换的其他可用路径而造成网络中断。 VRRP的产生的产生10l 综合以上两种

4、方法存在的问题，设计产生了虚拟综合以上两种方法存在的问题，设计产生了虚拟路由器冗余协议（路由器冗余协议（VRRP），采用了静态缺省路），采用了静态缺省路由的方法，并且很好的避免了单点故障。由的方法，并且很好的避免了单点故障。协议定义的选举过程提供了一个当负责转发的主路由器失效时，备份路由器可以接替负责转发的动态容错机制。VRRP协议的这一优点使得每一个端主机不用配置任何动态路由协议或者路由发现协议，就可以获得更高的可靠性。VRRP的产生的产生n VRRP的产生的产生n VRRP的原理的原理n 我司我司VRRP的特性的特性n 使用使用VRRP时的常见问题时的常见问题目录目录12l VRRPVRR

5、P全称全称Virtual Router Redundancy ProtocolVirtual Router Redundancy Protocol（虚拟路由器冗余协议）。（虚拟路由器冗余协议）。简单来说，VRRP是一种容错协议，它保证当主机的下一跳路由器坏掉时，可以及时的由另一台路由器来代替，从而保持通讯的连续性和可靠性。 概述概述13l 虚拟路由器虚拟路由器VRRP协议管理的抽象对象，可以由虚拟路由器标识（VRID）和一组IP地址来定义 l 虚拟路由器的主路由器虚拟路由器的主路由器负责转发发往虚拟路由器IP地址的报文，响应虚拟路由器IP地址ARP请求l 虚拟路由器的备份路由器虚拟路由器的备份

6、路由器当主路由器失效时，接替主路由器VRRP基本概念基本概念14l虚拟路由器的虚拟路由器的IP AddressIP Address虚拟路由器使用的IP地址,可以用其接口上的真实地址作为虚拟路由器的IP地址 ，也可以单独配置一个IP地址l虚拟路由器的虚拟路由器的MACMAC地址地址00-00-5e-00-01-xx ，00 00 5E 由IANA分配。00 01 为分配给VRRP协议的地址块。xx为VRRP虚拟路由器标识。该映射在一个网络中提供最多255个VRRP路由器组。VRRP相关概念相关概念15l VRRP协议只有一种报文，即主路由器定时向协议只有一种报文，即主路由器定时向其它成员发送的组

7、播报文。其它成员发送的组播报文。 l VRRP协议报文封装在协议报文封装在IP报文中，通过组播方报文中，通过组播方式进行发送。式进行发送。VRRP报文结构报文结构16VRRP报文结构报文结构17l Version 版本号版本号 报文中的version字段指VRRP协议版本 ，目前普遍应用的为版本 2 l Type 类型类型 type字段定义了VRRP报文的类型。本版本的协议仅定义了一个报文类型： 1 ADVERTISEMENT 通告，通告， 带有未知类型的报带有未知类型的报文将被丢弃文将被丢弃 VRRP报文报文18l Virtual Rtr ID (VRID) 虚拟路由器标识（VRID）字段标

8、识了此报文所报告状态的虚拟路由器。可配置的范围是1-255。没有缺省值。 l Priority Priority字段申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。该字段为8位无符号整型。缺省的VRRP路由器优先级为100。注：如果VRRP路由器是虚拟路由器地址的IP地址所有者，那么其优先级必须为255。优先级值0 用于指示当前虚拟路由器的主路由器停止参与VRRP组。主要用于触发备用路由器快速地迁移到主路由器，而不用等待当前主路由器超时。 VRRP报文报文19l Authentication Type 认证类型认证类型 认证类型字段用于标识要用到的认证方法。在一个虚拟路由器组内认证

9、类型是唯一的。认证类型字段是一个8位无符号整型。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配，那么该报文必须被丢弃。 目前定义的认证方法有： 0 - No Authentication 不认证 1 - Reserved 保留 2 - Reserved 保留VRRP报文报文20l Authentication Data 验证字验证字 验证字，目前只有明文认证才用到该部分，对于其它认证方式，一律填0。 收到未知验证类型，或者错误验证字都会丢弃VRRP报文报文21l Advertisement Interval VRRP通告间隔时间，单位为秒。缺省为1秒。这个字段主要用于错误配

10、置路由器时的故障定位和解决。 l Checksum 校验和字段用于检测VRRP消息的数据是否出错。 l IP Address IP 地址字段为虚拟路由器的一个或者多个IP地址。IP地址的数量在“Count IP Addrs”字段中说明。IP地址字段用于错误配置路由器时的故障定位和解决。 VRRP报文报文22l VRRP报文的源报文的源MAC 00-00-5e-00-01-xxMAC 00-00-5e-00-01-xxl VRRP报文的目的报文的目的MAC 01-00-5e-00-00-12MAC 01-00-5e-00-00-12VRRP报文的二层封装报文的二层封装23l 源地址源地址报文被发

11、出的接口的主IP地址l 目的地址目的地址IANA给VRRP分配的IP组播地址为224.0.0.18。这是一个本地范围的组播地址。不论TTL的值是多少，路由器都被 禁止转发以此地址为目标地址的报文。l TTL TTL必须为255。当VRRP路由器收到TTL不等于255的VRRP 协议报文后，必须 丢弃。 l 协议号协议号IANA分配给VRRP的IP协议号为112（十进制）一般抓包时显示0X70（十六进制） VRRP报文的三层封装报文的三层封装24l 抓包结果抓包结果 VRRP报文报文25VRRP组播报文的组播报文的TTL为何是为何是255 ?一个问题一个问题26VRRP组播报文是用来在备份组中路

12、由器之间维护Master/Backup关系的，只在本网段进行传播，不能被路由器转发。根据这些条件，VRRP组播报文的TTL设成1就可以了。但是，RFC2338规定VRRP组播报文的TTL必须是255，TTL不等于255的报文将被丢弃。这种设计主要是从安全方面考虑的。VRRP可以通过明文或MD5认证来保证安全，但是无论哪种认证方式都会消耗一些资源。在本网段的安全可以得到保证的情况下，攻击主要来自其它的网段，将TTL设定为255而不必使用认证就可以轻松应对这样的攻击。因为来自其它网段的报文要经过路由器转发，TTL必然小于255。 答案答案27l 优先级为优先级为255VRRP报文报文l 优先级为优

13、先级为28l 多多IP地址地址VRRP报文报文l 明文验证明文验证29l VRID 虚拟路由器标识。可配置的范围在1-255（十进制）。没有缺省值。 l Priority 优先级参数用于在一组VRRP路由器中选举主路由器。255 被保留给拥有虚拟路由器IP地址的IP地址所有者。0被保留给主路由器指示其将放弃虚拟路由器的Master的责任。虚拟路由器的备用路由器可以使用1-254（十进制）的优先级。缺省值为100。 l IP_Addresses 虚拟路由器的IP地址，一个或者多个，可配置，没有缺省值。 VRRP的的3个参数个参数30l Advertisement_Interval 主路由器发送V

14、RRP组播报文的时间间隔，缺省为1秒，用户可修改。l Master-down-interval 间隔时间是adver-interval的3倍 Skew_Time 。l Preempt_delay抢占时间延迟，默认为0，即立即抢占。l Skew_Time skew Master_Down_Interval 单位为秒。计算方法为：（256-优先级）/256 4个计时器个计时器31l Preempt_Mode 抢占模式，控制具有更高优先级的备用路由器可否抢占具有较低优先级的主路由器，使自己成为Master。当值为真时，允许抢占；当值为假时，禁止抢占。缺省值为真。 注意：存在的例外情况是，虚拟路由器I

15、P地址拥有者的路由器总是抢占的，并且独立于该标志位的设置。 1个模式个模式32l 组成虚拟路由器的路由器会有三种状态机，分别组成虚拟路由器的路由器会有三种状态机，分别是：是：InitializeMasterBackup VRRP的状态机的状态机33VRRP的状态机的状态机INITIALIZEMASTERBACKUP收到一个比自己本地的优先级大的ADVERTISEMENT报文MASTER_DOWN_TIMER到时收到ShutDown消息收到Startup,且优先级为255收到Startup，且优先级小于255收到ShutDown消息34l Initialize 系统启动后进入此状态，当收到接口s

16、tartup的消息，将转入Backup或Master状态（优先级为255时）。在此状态时，不会对VRRP报文做任何处理。 VRRP的状态机的状态机35l Master定期发送VRRP通告消息。响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址。转发目的MAC地址为虚拟MAC地址的IP报文。如果它是这个虚拟IP地址的拥有者（IP Address Owner），则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup，当接收到接口的Shutdown事件时，转为In

17、itialize。 VRRP的状态机的状态机36l Backup 当路由器处于BACKUP状态时，它将会做下列工作：接收Master发送的VRRP广播报文，从中了解Master。对虚拟IP地址的ARP请求，不做响应。丢弃目的MAC地址为虚拟MAC地址的IP报文。丢弃目的IP地址为虚拟IP地址的IP报文。 接收到接收到VRRP报文后：报文后：如果收到报文的优先级为0将状态设置为Master，开始发送报文如果收到报文优先级小于本地优先级 而且 本地设置了抢占方式，一段时间后转为Master状态VRRP的状态机的状态机37l Backup 否则正常接收，对定时器进行重置处于Backup状态的设备，当

18、3adver_interval(256 - Priority) / 256时间没有收到Master发来的VRRP报文，则认为当前的Master已经Down掉，将自己转为Master状态，发送VRRP报文VRRP的状态机的状态机38根据优先级的大小挑选主路由器，优先级最大的为主路由器，若优先级相同，则比较接口的主IP地址，主IP地址大的就成为主路由器，由它提供实际的路由服务。其它路由器作为备份路由器，随时监测主路由器的状态。当主路由器正常工作时，它会每隔一段时间（Advertisement_Interval）发送一个VRRP组播报文，以通知组内的备份路由器，主路由器处于正常工作状态。当组内的备份

19、路由器长时间（Master_Down_Interval）没有接收到来自主路由器的报文，则将自己转为主路由器。当组内有多台备份路由器时，将有可能产生多个主路由器。这时每一个主路由器就会比较VRRP报文中的优先级(priority)和自己本地的优先级，如果本地的优先级小于VRRP中的优先级，则将自己的状态转为备份路由器，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的路由器选成新的主路由器，完成VRRP的备份功能。VRRP的工作过程的工作过程39l ARP查询处理查询处理当内部主机通过ARP查询虚拟路由器IP地址对应的MAC地址时，MASTER路由器回复的MAC地址为虚拟的VRRP的M

20、AC地址，而不是实际网卡的MAC地址，这样在路由器切换时让内网机器觉察不到；而在路由器重新启动时，不能主动发送本机网卡的实际MAC地址。如果虚拟路由器开启的ARP代理(proxy_arp)功能，代理的ARP回应也回应VRRP虚拟MAC地址。VRRP的一些问题处理的一些问题处理40l ICMP重定向处理重定向处理 ICMP重定向会导致将路由器的真实接口IP地址通过重定向报文通知给网络内的主机如果重定向报文中的目的地址的下一跳是一个备份组的MASTER，就将这个备份组的虚拟IP地址填充到ICMP重定向报文中的下一跳。如果重定向报文中的目的地址地下一跳是一个备份组的BACKUP，就不发送ICMP重定

21、向报文。如果重定向报文中的目的地址地下一跳是一个没有运行VRRP的路由器，就将这个路由器的真实接口IP地址填充到ICMP重定向报文中的下一跳。VRRP的一些问题处理的一些问题处理n VRRP的产生的产生n VRRP的原理的原理n 我司我司VRRP的特性的特性n 使用使用VRRP时的常见问题时的常见问题目录目录42l虚拟虚拟IPIP地址应不应该能够地址应不应该能够pingping通？通？ RFC2338并没有规定虚拟并没有规定虚拟IP地址应不应该地址应不应该ping通。目前在我司和通。目前在我司和C公司的设备上都提供了切换公司的设备上都提供了切换ping通虚拟通虚拟IP地址的开关命令。地址的开关

22、命令。RFC2338没有没有对这一行为作出规定，如果能够对这一行为作出规定，如果能够ping通虚拟通虚拟IP地址，可以比较方便的监控虚拟路由器的工作地址，可以比较方便的监控虚拟路由器的工作情况，但是这样也带来了可能遭到情况，但是这样也带来了可能遭到ICMP攻击的攻击的隐患，同时也不能分辨当前虚拟路由器中是否隐患，同时也不能分辨当前虚拟路由器中是否存在存在IP地址拥有者。地址拥有者。而如果虚拟而如果虚拟IP地址不能地址不能ping通，会给监控虚拟通，会给监控虚拟路由器的工作情况带来一定的麻烦。两种实现路由器的工作情况带来一定的麻烦。两种实现方法应该说是各有利弊。方法应该说是各有利弊。 我司产品我

23、司产品VRRP特性特性43l虚拟虚拟IPIP地址应不应该能够地址应不应该能够pingping通？通？ 如果在一个备份组中，有的路由器对应的虚地如果在一个备份组中，有的路由器对应的虚地址配置了可以址配置了可以PING通，有的不能被通，有的不能被PING通，通，这时在主备切换过程中，如果这时在主备切换过程中，如果Master当前对应当前对应到配置了可以到配置了可以PING通的设备上，则虚地址能够通的设备上，则虚地址能够PING通，否则通，否则PING不通。不通。地址拥有者任何时候都可地址拥有者任何时候都可PING通。通。 我司产品我司产品VRRP特性特性44图中图中3处故障，哪几处可处故障，哪几处

24、可以引起以引起VRRP的切换，此的切换，此处故障是否能够引起处故障是否能够引起VRRP的切换的切换我司产品我司产品VRRP特性特性45l vlan接口或以太网接口状态改变对虚拟路由器优先级的影接口或以太网接口状态改变对虚拟路由器优先级的影响响H3C-Vlan-interface10vrrp vrid 1 track ?H3C-Vlan-interface10vrrp vrid 1 track ? Ethernet Ethernet interface Ethernet Ethernet interface GigabitEthernet GigabitEthernet interface Gi

25、gabitEthernet GigabitEthernet interface Vlan-interface VLAN interface Vlan-interface VLAN interface detect-group track detect-group detect-group track detect-group ifm track IFM ifm track IFM 某些某些vlanvlan接口或以太网接口状态改变时将虚拟路由器优先级降低接口或以太网接口状态改变时将虚拟路由器优先级降低, ,当接口状态恢复当接口状态恢复, ,虚拟路由器优先级也恢复优先级虚拟路由器优先级也恢复优先级

26、, ,缺省减缺省减1010，例如：，例如：H3C-Vlan-interface10vrrp vrrp vrid 1 track GigabitEthernet1/1H3C-Vlan-interface10vrrp vrrp vrid 1 track GigabitEthernet1/1H3C-Vlan-interface10vrrp vrrp vrid 1 track Ethernet0/17 reduce 20H3C-Vlan-interface10vrrp vrrp vrid 1 track Ethernet0/17 reduce 20H3C-Vlan-interface10vrrp vr

27、rp vrid 1 track Vlan-interface120H3C-Vlan-interface10vrrp vrrp vrid 1 track Vlan-interface120我司产品我司产品VRRP特性特性46l 免费免费ARP的发送，使主机刷新的发送，使主机刷新MAC地址表地址表我司设备虚MAC、实MAC都可以发送免费ARP。 如果是虚实混合方式，则视Master对应设备选择的方式，来确定是以虚MAC还是实MAC方式发送。我司产品我司产品VRRP特性特性47n VRRP的产生的产生n VRRP的原理的原理n 我司我司VRRP的特性的特性n 使用使用VRRP时的常见问题时的常见问题

28、目录目录48l 我司设备与其他厂家设备认证不通过我司设备与其他厂家设备认证不通过使用不认证和simple方式，VRRP能够正常互通。 使用MD5认证出现多个Master。我司设备之间使用MD5认证能够通过，但是抓包显示错误。另外：在当前的备份组当中各台设备认证方式不一致，也会出现多个Master的情况。MD5认证问题认证问题49l 在在2004年，年，IETF将将RFC2338作废，新版本作废，新版本RFC3768较较RFC2338的改进的改进新版的VRRP较老版简化了认证处理，实际不再进行数据的认证，这是因为在实际应用中经常出现认证成为造成多个MASTER同时使用的异常情况。 Auth Ty

29、pe：认证类型，8位，RFC3768中认证功能已经取消，此字段值定义0(不认证)，为1，2只作为对老版本的兼容； Authentication Data：RFC3768中定义该字段只是为了和老版本兼容，必须置0。 RFC2338和和3768的区别的区别50l 优先级相同的时候比较优先级相同的时候比较IP地址大小地址大小在网络稳定时，各台设备配置了抢占模式，新加入的设备优先级和其他设备相同，即使IP地址大，也不会抢占。 只有网络中同时出现多个Master，并且各个Master的优先级相同，这个时候才会迫不得已进行比较IP地址大小。 什么时候会比较什么时候会比较IP地址大小地址大小51l 优先级为

30、优先级为0的报文，表示路由器停止参与的报文，表示路由器停止参与VRRP，用来使备份路由器尽快成为主路由器，而不必等用来使备份路由器尽快成为主路由器，而不必等到计时器超时到计时器超时接口shutdown 删除备份组 什么时候会出现优先级为什么时候会出现优先级为0的报文的报文52l 免费免费ARP的发送，使端主机刷新的发送，使端主机刷新MAC地址表地址表在进行了主备倒换之后，新的Master会主动发送免费ARP。 什么时候发送免费什么时候发送免费ARPM53什么时候发送免费什么时候发送免费ARPl 在新的在新的Master出现后，会发送免费出现后，会发送免费ARP消息消息54l 设备会以自己的虚设

31、备会以自己的虚MAC地址回给主机地址回给主机 Arp-proxyVirt:1.1.1.10/16Real:1.1.1.1/161.2.1.2/161.2.1.1/161.1.1.2/8Virt:1.1.1.10/55l 设备会以自己的虚设备会以自己的虚MAC地址回给主机地址回给主机 Arp-56l 设备会以自己的虚设备会以自己的虚MAC地址回给主机地址回给主机 Arp-57l 设备在发送设备在发送ICMP redirct时会填备份组的虚时会填备份组的虚MACICMP redirectVirt:1.1.1.10/16Real:1.1.1.1/161.1.1.2/8Route:30.30.30.1

32、/24 eth0/0 1.1.1.111.1.1.1130.30.30.30/58l 设备会以虚设备会以虚MAC回复回复ICMP redirctICMP 59l 设备会以虚设备会以虚MAC回复回复ICMP redirctICMP 60l 多多IP的使用：同一个备份组也可以实现负载分担的使用：同一个备份组也可以实现负载分担同一个备份组也可以实现负载分担同一个备份组也可以实现负载分担MasterBackupVRID=1Vir:10.10.10.10 10.10.10.11VRID=1Vir:10.10.10.10 10.10.10.11Gateway:10.10.10.10Gateway:10.1

33、0.10.11VRID=2Vir:10.10.10.12 2.2.2.1Gateway:10.10.10.12Gateway:61l 在在IPv6环境中，环境中，VRRPv3的使用（的使用（draft-ietf-vrrp-ipv6-spec07）VRRPv3简介简介MasterBackupVRID=1Rea:FE80:2Vir:FE80:1VRID=1Rea:FE80:3Vir:FE80:1自动获取自动获取62l 在在IPv6环境中，环境中，VRRPv3VRRPv3简介简介63l 在在IPv6环境中，环境中，VRRPv3VRRPv3简介简介64n VRRP实现了对路由器实现了对路由器IP地址的冗余功能，防止地址的冗余功能，防止了单点故障造成的网络失效，了单点故障造成的网络失效，VRRP本身是热备本身是热备形式的，但是可以通过互相热备实现路由器的均形式的，但是可以通过互相热备实现路由器的均衡处理。衡处理。n 在在RFC3768中对中对VRRP进行了改进，简化了认证进行了改进，简化了认证处理。处理。本章总结本章总结杭州华三通信技术有限公司