华为VRRP企业组网配置解决方案

  • 什么是VRRP?
Ø VRRP(Virtual Router Redundancy Protocol):虚拟路由冗余协议是用于实现路由器冗余的协议,最新协议在RFC3768中定义。
  • VRRP的定义
Ø 在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
  • VRRP路由器
Ø 是指运行VRRP的路由器,是物理实体。
  • 虚拟路由器
Ø 是指VRRP协议创建的,是逻辑概念。
  • 主控路由器和备份路由器
Ø 一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。
Ø VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP响应和转发IP数据包,组中的其它路由器作为备份的角色处于待命状态。
每个VRRP组中的路由器都有唯一的标示,VRID范围为0-255,这个范围决定运行VRRP的路由器属于哪一个VRRP组。VRRP组中的虚拟路由器对外表现为唯一的虚拟MAC地址,地址格式为00-00-5E-00-01-[VRID]。
Ø VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布范围只限于同一局域网内。IP协议号为112;IP包的TTL值必须为255。
  • 组成虚拟路由器的路由器会有三种状态
Ø Initialize
     系统启动后进入Initialize状态,此时,路由器不对VRRP报文做任何处理。当接口收到UP消息后,进入Backup或Master状态。
Ø Master
Ø Backup
Ø 实现路由器的冗余备份和负载均衡
Ø VRRP的路由器都会发送和接收VRRP通告消息
Ø VRRP优先级
Ø 接口的IP地址
VRRP选举步骤
Ø 1:在路由器中是否有虚拟ip拥有者
         有:此路由器直接成为master路由器
           无:开始选举步骤
Ø 2:路由器的优先级是否相同,默认优先级100
       优先级不同:路由器优先级最高的成为master路由器
       优先级相同:比较ip地址大小
Ø 3:ip地址最大的成为master路由器
 
案例:华为vrrp企业组网配置解决方案
此为本人个人实验,最终解释权归作者所有
2012/3/14 0:42
一.企业组网需求:
1.随着业务的发展,俊杰网络公司对互联网的访问要求越来越高,因此公司决定采用冗余路由器以及2条连接到互联网的链路,以保障到互联网的访问不间断,在网络中启用两个不同的VRRP组,最大限度保证了网络的冗余,避免网络单点出错引起用户无法访问网络;
2.两台路由器分别为两个子网提供访问外部网络的出口(两个子网分别为对方的外部网络,提供NAT功能),并用VRRP实现设备级的冗余,以保障网络的连通;
3.核心交换机之间采用端口聚合功能,实现安全负载高可用性。
二.企业组网简化拓扑图:
实验所需设备:
华为路由器3台
华为二层交换机2台
客户机2台
基本配置规划:
R1:
e1.10 vlan 10 priority 120 ip: 192.168.10.1/24
e1.20 vlan 20 priority 100 ip: 192.168.20.1/24
vlan 10 vip 192.168.10.254
vlan 20 vip 192.168.20.254
R2:
e1.10 vlan 10 priority 100 ip: 192.168.10.2/24
e1.20 vlan 20 priority 120 ip: 192.168.20.2/24
vlan 10 vip 192.168.10.254
vlan 20 vip 192.168.20.254
三.具体实验步骤:
1.配置交换机
sw1:
stp enable
quit
vlan 10
vlan 20
quit
link-aggregation group 1 mode manual
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
inter e1/0/24
port link-type trunk
port trunk permit vlan all
quit
vlan 10
port e1/0/10
quit
dis link-aggregation summary
sw2
stp enable
quit
vlan 10
vlan 20
quit
link-aggregation group 1 mode manual
int e1/0/1
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
int e1/0/2
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
inter e1/0/24
port link-type trunk
port trunk permit vlan all
quit
vlan 20
port e1/0/20
quit
dis link-aggregation summary
2.配置路由器
r1:
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.1 24
vrrp vrid 10 virtual-ip 192.168.10.254
vrrp vrid 10 priority 120
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.1 24
vrrp vrid 20 virtual-ip 192.168.20.254
quit
dis ip routing
dis vrrp
r2:
vrrp ping-enable
int e1.10
vlan-type dot1q vid 10
ip add 192.168.10.2 24
vrrp vrid 10 virtual-ip 192.168.10.254
int e1.20
vlan-type dot1q vid 20
ip add 192.168.20.2 24
vrrp vrid 20 virtual-ip 192.168.20.254
vrrp vrid 20 priority 120
quit
dis ip routing
3.查看vrrp信息
此时的信息如下:

 

此时,拔掉R2的e1接口,看到在R2上的2个组中都变为master

4.插上R1的e1接口,并配置跟踪技术
跟踪技术:
r1:
ip route 0.0.0.0 0.0.0.0 10.1.1.2
int e1.10
vrrp vrid 10 track s 0 reduced 30
r2:
ip route 0.0.0.0 0.0.0.0 20.1.1.1
int e1.20
vrrp vrid 20 track s 1 reduced 30
5.在R1,R2上配置NAT,并配置R1
R1:
int s0
ip add 10.1.1.1 24
acl 2000
rule permit sou 192.168.10.0 0.0.0.255
rule permit sou 192.168.20.0 0.0.0.255
nat address-group 10.1.1.1 10.1.1.1 1
int s0
nat outbound 2000 address-group 1
R2:
int s1
ip add 20.1.1.2 24
acl 2000
rule permit sou 192.168.10.0 0.0.0.255
rule permit sou 192.168.20.0 0.0.0.255
nat address-group 20.1.1.2 20.1.1.2 1
int s1
nat outbound 2000 address-group 1
R0:
interface Serial0
ip address 10.1.1.2 255.255.255.0
interface Serial1                 
ip address 20.1.1.1 255.255.255.0
6.192.168.10.100客户端测试

可以看出192.168.10.100与192.168.20.111课正常通信
追踪路由信息如下:

配置nat之后,可以实现与外网通信:
192.168.10.100主机可以于R0的s1接口通信,并且不能与R0的s0接口通信(这正是实现了要求,vlan10使用R1的s1与外网通信,vlan20使用R2的s0与外网通信)。如下:

 

192.168.20.111主机可以于R0的s0接口通信,并且不能与R0的s1接口通信(这正是实现了要求,vlan10使用R1的s1与外网通信,vlan20使用R2的s0与外网通信)。如下:

7.模拟故障,观察现象
模拟故障之前:在R1上vid 20为backup,vid10 为master

模拟故障之前:在R2上vid 10为backup,vid20 为master

模拟故障(将R的s1接口shutdown)之后:
在R1上vid 10为backup,并且优先级也变为90;vid20 也为backup。

在R2上vid 10为master, vid20 也为master。

客户端vlan 10的用户192.168.10.100ping如下:

 

8.故障恢复之后,又如第3和6步所示
《完》
此为本人个人实验,最终解释权归作者所有
2012/3/14 0:42