VRRP---銳風(fēng)系列路(lù)由器(€qì)支持路(lù)由熱(rè)備！

銳風(fēng)系列路(lù)由器(qì)支持路(lù)由熱(rè∏)備！主控路(lù)由器(qì)損壞、線路(lù)故障，備α份路(lù)由器(qì)自(zì)動聯線！♣

随著(zhe)Internet的(de)迅猛發展，基于網絡的(de)應用(y☆òng)逐漸增多(duō)。這(zhè)就(ji>ù)對(duì)網絡的(de)可(kě)靠性提出了(le)越來(lái)越高$(gāo)的(de)要(yào)求。斥資對(duì)所有(yǒu)網絡設備進行(xín g)更新當然是(shì)一(yī)種很(hěn)好(hǎo)的(de)&可(kě)靠性解決方案；但(dàn)本著(zhe)保護現("xiàn)有(yǒu)投資的(de)角度考慮，可(kě)以采用(yòng¥)廉價冗餘的(de)思路(lù)，在可(kě )靠性和(hé)經濟性方面找到(dào)平衡點。

　　虛拟路(lù)由冗餘協議(yì)就(jiù)是(shì)一(yī)種很(®hěn)好(hǎo)的(de)解決方案。在該協議(yì)中，對(∏duì)共享多(duō)存取訪問(wèn)介質（如( rú)以太網）上(shàng)終端IP設備的(de)默認網關(Default&nbλsp;Gateway)進行(xíng)冗餘備份，從(cóng)而在其中一(​yī)台路(lù)由設備宕機(jī)時(shí)，備份路₽(lù)由設備及時(shí)接管轉發工(gōng)作(zuò)，向用(yòng)戶提供透明σ(míng)的(de)切換，提高(gāo)了(le)網絡服務質量。 

一(yī)、協議(yì)概述

　　在基于TCP/IP協議(yì)的(de)網絡中，為(wèi)了(le)保證不(bù)直₹接物(wù)理(lǐ)連接的(de)設備之間(jiān)的(de)通(tōng)信，必須指☆定路(lù)由。目前常用(yòng)的(de)指定路(lù)由的(de₩)方法有(yǒu)兩種：一(yī)種是(shì)通(t ōng)過路(lù)由協議(yì)（比如(rγú)：內(nèi)部路(lù)由協議(yì)RIP和(hé♦)OSPF）動态學習(xí)；另一(yī)種是(shì)靜(jì↑ng)态配置。在每一(yī)個(gè)終端都(dōu)運行(xíng)動态路(lù)由協議(yì)'是(shì)不(bù)現(xiàn)實的(de)，大σ(dà)多(duō)客戶端操作(zuò)系統平台都(dōu)不(bù)支持動态路(←lù)由協議(yì)，即使支持也(yě)受到(dào)管理(lǐ)開(kāi)₹銷、收斂度、安全性等許多(duō)問(wèn)題的(de)限制↔(zhì)。因此普遍采用(yòng)對(duì)終端IP設備靜(j ìng)态路(lù)由配置，一(yī)般>是(shì)給終端設備指定一(yī)個(gè)或者多(duō)個(gèφ)默認網關(Default Gateway)。靜(jìng)态路(l ù)由的(de)方法簡化(huà)了(le)網絡管理(lǐ)的(dδe)複雜(zá)度和(hé)減輕了(le)終端設備的(de)通(tōng)信開(♣kāi)銷，但(dàn)是(shì)它仍然有(yǒu)‍一(yī)個(gè)缺點：如(rú)果作(zuò)為( wèi)默認網關的(de)路(lù)由器(qì)損壞，所有(yǒu)使用(yòng)該網關 為(wèi)下(xià)一(yī)跳(tiào)主機(jī)的(de)≈通(tōng)信必然要(yào)中斷。即便配置了(le)多(duō)個(gè)默認網關，如(rβú)不(bù)重新啓動終端設備，也(yě)不(bù)能(né♠ng)切換到(dào)新的(de)網關。采用(yòng) 虛拟路(lù)由冗餘協議(yì)(Virtual&<nbsp;Router Redun dancy Protocol，簡稱VRRP)可(kě)以很(hěn)÷好(hǎo)的(de)避免靜(jìng)态指定網關的(de)缺陷。

　　在VRRP協議(yì)中，有(yǒu)兩組重≠要(yào)的(de)概念：VRRP路(lù)由器(q₹ì)和(hé)虛拟路(lù)由器(qì)，主控路(l↕ù)由器(qì)和(hé)備份路(lù)由器(qì)。'VRRP路(lù)由器(qì)是(shì)指運≥行(xíng)VRRP的(de)路(lù)由器(qì)，是(shì)物(wù)理♠(lǐ)實體(tǐ)，虛拟路(lù)由器σ(qì)是(shì)指VRRP協議(yì)創建的(de)，是(shì)邏輯概念。一(yī)組VR∑RP路(lù)由器(qì)協同工(gōng)作(zuò)，共同構成一(δyī)台虛拟路(lù)由器(qì)。該虛拟路(lù)由器(qì)Ω對(duì)外(wài)表現(xiàn)為(wèi)一(yī)個(gè)具有(yǒu)唯一(yδī)固定IP地(dì)址和(hé)MAC地(dì)址的(de)邏輯路(lù)由器(✘qì)。處于同一(yī)個(gè)VRRP組ε中的(de)路(lù)由器(qì)具有(yǒu)兩種互斥的↓(de)角色：主控路(lù)由器(qì)和(hé)備份路(lù)由器(qì)，®一(yī)個(gè)VRRP組中有(yǒu)且隻有(©yǒu)一(yī)台處于主控角色的(de)路(lù)由♣器(qì)，可(kě)以有(yǒu)一(yīπ)個(gè)或者多(duō)個(gè)處于備份角色的(de)路(lù)由器(qì)。VRRP協議(σyì)使用(yòng)選擇策略從(cóng)路(lù)由器(qì)組中選出一(≤yī)台作(zuò)為(wèi)主控，負責ARP相(xi₽àng)應和(hé)轉發IP數(shù)據包，組中的(de)其它路(lù)由器(qì) 作(zuò)為(wèi)備份的(de)角色處于待命狀态。當由于某種原因主控路(l♦ù)由器(qì)發生(shēng)故障時(shí)，備₹份路(lù)由器(qì)能(néng)在幾秒(miǎo×)鐘(zhōng)的(de)時(shí)延後升級為(wèi)主路(lù)≈由器(qì)。由于此切換非常迅速而且不(bù)用(y←òng)改變IP地(dì)址和(hé)MAC₽地(dì)址，故對(duì)終端使用(yòng)者系統是(shì)透明(míng)的₹(de)。 

二、工(gōng)作(zuò)原理(lǐ)

　　一(yī)個(gè)VRRP路(lù)由器(qì)有(yǒ∏u)唯一(yī)的(de)标識：VRID，範圍為(wèi)0—2<55。該路(lù)由器(qì)對(duì)外(wài)表現∑(xiàn)為(wèi)唯一(yī)的(de)虛拟MAC地(dì)址，地(dì)址"的(de)格式為(wèi)00-00-5E-00-01-[VRID]。主控路(lù§)由器(qì)負責對(duì)ARP請(qǐng)求用(yòng)該MACβ地(dì)址做(zuò)應答(dá)。這(zh★è)樣，無論如(rú)何切換，保證給終端設備的(de)是(shì)唯一(y≠ī)一(yī)緻的(de)IP和(hé)MAC地(dì)址，減少(shǎo)了(le)切換對(d≥uì)終端設備的(de)影(yǐng)響。

　　VRRP控制(zhì)報(bào)文(w≤én)隻有(yǒu)一(yī)種：VRRP通(tōng)告(advertisement)。它使₽用(yòng)IP多(duō)播數(shù)據包進∞行(xíng)封裝，組地(dì)址為(wèi)224.0.0.18，發布範圍隻限于✔同一(yī)局域網內(nèi)。這(zhè)保證了(le)VRID在不(bù)✔同網絡中可(kě)以重複使用(yòng)。為(wèi)了(le)減少(shǎo)>網絡帶寬消耗隻有(yǒu)主控路(lù)由器(qì)才可(kě)以周期性的(≤de)發送VRRP通(tōng)告報(bào)文(w™én)。備份路(lù)由器(qì)在連續三個(gè)通(tōng)告間(jiān♦)隔內(nèi)收不(bù)到(dào)VRRP或收到(dào)優先級為(wèi)0的✔(de)通(tōng)告後啓動新的(de)一(‌yī)輪VRRP選舉。

　　在VRRP路(lù)由器(qì)組中，按優先級選舉主控路(lù)由器(qì©)，VRRP協議(yì)中優先級範圍是(shì)0—255。若VRRP路(lù)由器(qì)φ的(de)IP地(dì)址和(hé)虛拟路(lù)由器(qì)$的(de)接口IP地(dì)址相(xià←ng)同，則稱該虛拟路(lù)由器(qì)作(zuò)VRRP組中 的(de)IP地(dì)址所有(yǒu)者；IP地 (dì)址所有(yǒu)者自(zì)動具有(yǒu)最高(gāo)優先級：255。優先級0一(y÷ī)般用(yòng)在IP地(dì)址所有(yǒu )者主動放(fàng)棄主控者角色時(shí)使用(yòng)。可(∏kě)配置的(de)優先級範圍為(wèi)1—254。優先級的(de)配置原則可("kě)以依據鏈路(lù)的(de)速度和(hé)成<本、路(lù)由器(qì)性能(néng)和(♣hé)可(kě)靠性以及其它管理(lǐ)策略設定。★主控路(lù)由器(qì)的(de)選舉中，高(gāo)優先級的(de)虛拟路(lù)★由器(qì)獲勝，因此，如(rú)果在VRRP組中有(yǒu)IP地•(dì)址所有(yǒu)者，則它總是(shì)作(zuò)為(wèi)主控路('lù)由的(de)角色出現(xiàn)。對(duì)于相(xiàng)同優先級的(de$)候選路(lù)由器(qì)，按照(zhào)IP地($dì)址大(dà)小(xiǎo)順序選舉。VRRP還(háαi)提供了(le)優先級搶占策略，如(rú)果配置了(le)∞該策略，高(gāo)優先級的(de)備份路(lù)由器(qì)便會(huì)​剝奪當前低(dī)優先級的(de)主控路(lù)由器π(qì)而成為(wèi)新的(de)主控路(lù)由器(qì)。

　　為(wèi)了(le)保證VRRP協議(yì)的(de​)安全性，提供了(le)兩種安全認證措施：明(míng)文(wén)認證和(h≈é)IP頭認證。明(míng)文(wén)認證方式要(yào)求：在加入一(yī)個‌(gè)VRRP路(lù)由器(qì)組時(shí)，必₽須同時(shí)提供相(xiàng)同的(de)VR&ID和(hé)明(míng)文(wén)密碼。适合于避免在局域網內(nèi)的♦(de)配置錯(cuò)誤，但(dàn)不(bù)能(néng)防止通(tōng)過網絡監聽(↓tīng)方式獲得(de)密碼。IP頭認證的(de)方式提供了(le≥)更高(gāo)的(de)安全性，能(néng™)夠防止報(bào)文(wén)重放(fàng)和(hé∏)修改等攻擊。

三、 應用(yòng)實例

　　最典型的(de)VRRP應用(yòng)：RTA、RTB組成一(yī)個 (gè)VRRP路(lù)由器(qì)組，假設RTB的(de)處理(lǐ)能(néng)力☆高(gāo)于RTA，則将RTB配置成IP地(dì)址所有(yǒu)者，H1、H2、H 3的(de)默認網關設定為(wèi)RTB。則R±TB成為(wèi)主控路(lù)由器(qì)，負責ICMP重定向、ARP應答(dá)和(hé)πIP報(bào)文(wén)的(de)轉發；一(yī)旦R≥TB失敗，RTA立即啓動切換，成為(wèi)主控，從(cóng)而保證了(le)對(duì)↑客戶透明(míng)的(de)安全切換。

　　在VRRP應用(yòng)中，RTA在線時(shí)RTB隻γ是(shì)作(zuò)為(wèi)後備，不(bù)參與轉發工(gōng)作(zuò)，閑置£了(le)路(lù)由器(qì)RTA和(hé)鏈路(lù)L1。通(tōng∑)過合理(lǐ)的(de)網絡設計(jì)，可(kě)以到→(dào)達備份和(hé)負載分(fēn)擔雙重效果。讓R₩TA、RTB同時(shí)屬于互為(wèiΩ)備份的(de)兩個(gè)VRRP組：≥在組1中RTA為(wèi)IP地(dì)址所有(♠yǒu)者；組2中RTB為(wèi)IP地(dì)址¥所有(yǒu)者。将H1的(de)默認網關設定為(wèi)RTA；H2、H3的(de)默認網↓關設定為(wèi)RTB。這(zhè)樣，既分(fēn)擔了(le↓)設備負載和(hé)網絡流量，又(yòu)提高(gāo)了(le)網絡可(kě)靠性。

　　VRRP協議(yì)的(de)工(gōng)作(zuò)機(jī)<理(lǐ)與CISCO公司的(de)HSRP（Hot&nλbsp;Standby Routiσng Protocol）有(yǒu)許多(duō)相(xiàng)似之₹處。但(dàn)二者主要(yào)的(de)區(qū)别是(shì)在CISCO的(φde)HSRP中，需要(yào)單獨配置一(yī)個(gè)IPα地(dì)址作(zuò)為(wèi)虛拟路(lù)由器(qì)₹對(duì)外(wài)體(tǐ)現(xiàn)的(±de)地(dì)址，這(zhè)個(gè)地(dì)址不(bù)能(néng)是(shì)$組中任何一(yī)個(gè)成員(yuán)的(de)接口地(dì)址。

　　使用(yòng)VRRP協議(yì)，不(bù)用(yòng)改造≥目前的(de)網絡結構，最大(dà)限度保護了(le)當前投資，隻需最少(shǎo₩)的(de)管理(lǐ)費(fèi)用(yòng★)，卻大(dà)大(dà)提升了(le)網絡性能(néng)，具有(yǒu)重大(dàΩ)的(de)應用(yòng)價值。

返回目錄