一 協(xié)議概述

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比樅陽(yáng)網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式樅陽(yáng)網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋樅陽(yáng)地區(qū)。費(fèi)用合理售后完善，十余年實(shí)體公司更值得信賴。

   在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中,為了保證不直接物理連接的設(shè)備之間的通信,必須指定路由.目前常用的指定路由的方法有兩種:一種是通過(guò)路由協(xié)議(比如:內(nèi)部路由協(xié)議RIP和OSPF)動(dòng)態(tài)學(xué)習(xí);另一種是靜態(tài)配置.在每一個(gè)終端都運(yùn)行動(dòng)態(tài)路由協(xié)議是不現(xiàn)實(shí)的,大多客戶端操作系統(tǒng)平臺(tái)都不支持動(dòng)態(tài)路由協(xié)議,因此普遍采用對(duì)終端IP設(shè)備靜態(tài)路由配置,一般是給終端設(shè)備指定一個(gè)或者多個(gè)默認(rèn)網(wǎng)關(guān)(Default Gateway).靜態(tài)路由的方法簡(jiǎn)化了網(wǎng)絡(luò)管理的復(fù)雜度和減輕了終端設(shè)備的通信開銷,但是它仍然有一個(gè)缺點(diǎn):如果作為默認(rèn)網(wǎng)關(guān)的路由器損壞,所有使用該網(wǎng)關(guān)為下一跳主機(jī)的通信必然要中斷.即便配置了多個(gè)默認(rèn)網(wǎng)關(guān),如不重新啟動(dòng)終端設(shè)備,也不能切換到新的網(wǎng)關(guān).采用虛擬路由冗余協(xié)議 (Virtual Router Redundancy Protocol,簡(jiǎn)稱VRRP)可以很好的避免靜態(tài)指定網(wǎng)關(guān)的缺陷.

   在VRRP協(xié)議中,有兩組重要的概念:VRRP路由器和虛擬路由器,主控路由器和備份路由器.VRRP路由器是指運(yùn)行VRRP的路由器,是物理實(shí)體,虛擬路由器是指VRRP協(xié)議創(chuàng)建的,是邏輯概念.一組VRRP路由器協(xié)同工作,共同構(gòu)成一臺(tái)虛擬路由器,該虛擬路由器對(duì)外表現(xiàn)為一個(gè)具有唯一固定IP地址和MAC地址的邏輯路由器,處于同一個(gè)VRRP組中的路由器具有兩種互斥的角色:主控路由器和備份路由器,一個(gè)VRRP組中有且只有一臺(tái)處于主控角色的路由器,可以有一個(gè)或者多個(gè)處于備份角色的路由器.VRRP協(xié)議使用選擇策略從路由器組中選出一臺(tái)作為主控,負(fù)責(zé)ARP相應(yīng)和轉(zhuǎn)發(fā)IP數(shù)據(jù)包,組中的其它路由器作為備份的角色處于待命狀態(tài).當(dāng)由于某種原因主控路由器發(fā)生故障時(shí),備份路由器能在幾秒鐘的時(shí)延后升級(jí)為主路由器,由于此切換非常迅速而且不用改變IP地址和MAC地址,故對(duì)終端使用者系統(tǒng)是透明的.

 二 工作原理

 一個(gè)VRRP路由器有唯一的標(biāo)識(shí):VRID,范圍為0—255.

 VRRP控制報(bào)文只有一種:VRRP通告(advertisement),它使用IP多播數(shù)據(jù)包進(jìn)行封裝,組地址為224.0.0.18,發(fā)布范圍只限于同一局域網(wǎng)內(nèi).這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用.為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文.備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一輪VRRP選舉,

在VRRP路由器組中,按優(yōu)先級(jí)選舉主控路由器,VRRP協(xié)議中優(yōu)先級(jí)范圍是0—255.

若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同,則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動(dòng)具有最高優(yōu)先級(jí):255.優(yōu)先級(jí)0一般用在IP地址所有者主動(dòng)放棄主控者角色時(shí)使用.可配置的優(yōu)先級(jí)范圍為1—254.對(duì)于相同優(yōu)先級(jí)的候選路由器,按照IP地址大小順序選舉?

 VRRP還提供了優(yōu)先級(jí)搶占策略,如果配置了該策略,高優(yōu)先級(jí)的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級(jí)的主控路由器而成為新的主控路由器.

 為了保證VRRP協(xié)議的安全性,提供了兩種安全認(rèn)證措施:明文認(rèn)證和IP頭認(rèn)證.明文認(rèn)證方式要求:在加入一個(gè)VRRP路由器組時(shí),必須同時(shí)提供相同的VRID和明文密碼.適合于避免在局域網(wǎng)內(nèi)的配置錯(cuò)誤,但不能防止通過(guò)網(wǎng)絡(luò)監(jiān)聽方式獲得密碼.IP頭認(rèn)證的方式提供了更高的安全性,能夠防止報(bào)文重放和修改等***.

 三 vyos的vrrp配置

實(shí)驗(yàn)環(huán)境采用虛擬化環(huán)境，vyos-01和02的eth0在同一個(gè)vlan 280下面，eth2則在同一個(gè)vlan100下面。

虛擬機(jī)名稱	端口	接口ip	vrid	virtual ip	priority	preempt
vyos-01	eth0	10.10.10.1/30	10	192.168.28.135	150	true
vyos-02	eth0	10.10.10.2/30			100
vyos-01	eth2	192.168.100.3/24	100	192.168.100.1	150	true
vyos-02	eth2	192.168.100.2/24			100

如上表所示配置兩組vrrp，一組vrid為10，另外一組為100.兩組配置為同一個(gè)同步組，當(dāng)一組vrrp出現(xiàn)故障切換時(shí)，另外一組也隨機(jī)進(jìn)行切換。

vyos-01的配置如下：

set interfaces ethernet eth0 address '10.10.10.1/30' --配置eth0接口地址

set interfaces ethernet eth0 vrrp vrrp-group 10 advertise-interval '1' --配置vrrp hello報(bào)文間隔時(shí)間（已默認(rèn)，可以不配置）

set interfaces ethernet eth0 vrrp vrrp-group 10 preempt 'true' --配置vrrp搶占模式開啟

set interfaces ethernet eth0 vrrp vrrp-group 10 priority '150'--配置vrrp的優(yōu)先級(jí)

set interfaces ethernet eth0 vrrp vrrp-group 10 sync-group 'asdf' ---配置vrrp的同步組

set interfaces ethernet eth0 vrrp vrrp-group 10 virtual-address '192.168.28.135/24' --配置vrrp的vip地址

set interfaces ethernet eth2 address '192.168.100.3/24'

set interfaces ethernet eth2 vrrp vrrp-group 100 priority '150'

set interfaces ethernet eth2 vrrp vrrp-group 100 sync-group 'asdf'

set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address '192.168.100.1/24'

vyos-02的配置如下：

set interfaces ethernet eth0 address '10.10.10.2/30' --配置eth0接口地址

set interfaces ethernet eth0 vrrp vrrp-group 10 advertise-interval '1' --配置vrrp hello報(bào)文間隔時(shí)間

set interfaces ethernet eth0 vrrp vrrp-group 10 preempt 'true' --配置vrrp搶占模式開啟

set interfaces ethernet eth0 vrrp vrrp-group 10 priority '100'--配置vrrp的優(yōu)先級(jí)

set interfaces ethernet eth0 vrrp vrrp-group 10 sync-group 'asdf' ---配置vrrp的同步組

set interfaces ethernet eth0 vrrp vrrp-group 10 virtual-address '192.168.28.135/24' --配置vrrp的vip地址

set interfaces ethernet eth2 address '192.168.100.2/24'

set interfaces ethernet eth2 vrrp vrrp-group 100 priority '100'

set interfaces ethernet eth2 vrrp vrrp-group 100 sync-group 'asdf'

set interfaces ethernet eth2 vrrp vrrp-group 100 virtual-address '192.168.100.1/24'

配置完成后commit并保存。

隨后查看兩邊的vrrp狀態(tài)，如下

vyos@vyos-01:~$ show vrrp

                   RFC        Addr   Last        Sync

Interface         Group  State    Compliant  Owner  Transition  Group

---------         -----  -----     ---------  -----  ----------  -----

eth0              10     MASTER     no         no     22m52s      asdf

eth2              100    MASTER     no         no     22m52s      asdf

在切換的過(guò)程中會(huì)有三個(gè)包丟失，這個(gè)正反映出vrrp的hello報(bào)文在連續(xù)三個(gè)周期收不到后就啟動(dòng)vrrp的切換。

斷開vyos-01的eth0口，再查看vrrp狀態(tài)如

從圖中可以看出vyos-01端口down后，vyos-01上的兩個(gè)vrrp組均變?yōu)閒ault狀態(tài)，而vyos-02上的則切換為master狀態(tài)。同步切換成功進(jìn)行。

vyos-01的eth0恢復(fù)后再查看vrrp狀態(tài)如下：

vyos-01又恢復(fù)master，搶占模式設(shè)置成功。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文題目：vyos的vrrp配置-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://weahome.cn/article/peodj.html