HUAWEI TECHNOLOGIES CO., LTD.18.Sep 2007HUAWEI TECHNOLOGIES CO., LTD.www.huawei.com解决方案验证部WiMAX解决方案数通基础知识VRRP协议介绍HUAWEI TECHNOLOGIES CO., LTD.学习目标掌握理论熟悉配置熟悉应用基本排错学习完本课程，您应该能够：HUAWEI TECHNOLOGIES CO., LTD.VRRP第一章 VRRP基础第二章 VRRP工作原理第三章 VRRP基本配置第四章 VRRP应用HUAWEI TECHNOLOGIES CO., LTD.VRRP要解决的问题（一）Internet192.1.1.10通常，在主机设置一条缺省路由，下一跳指向一个路由器，从而实 现了主机与外部网络的通信。显而易见的问题：当路由器Router 1坏掉时，本网段内所有以Router为缺 省路由下一跳的主机将断掉与外部的通信那么有什么 方法解决这 个单点故障 呢？HUAWEI TECHNOLOGIES CO., LTD.VRRP要解决的问题（二）几种解决的办法:l 系统上运行路由选择协议l ICMP Router Discovery Protocol (IRDP)l VRRP 0x70那么对应以 太网头中各 域应该如何 填写？HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（二）VRRP报文IP头域HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（三）VRRP协议报文格式VRRP协议报文格式：HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（四）VRRP协议报文格式HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（五） VRRP协议报文格式VRRP协议报文格式：l Version: 2l Type: 1 ADVERTISEMENTl Virtual Rtr ID (VRID): 配置的VRRP备份组号，1255 l Priority: 优先级，0255(其中0，255不可以配置)，数值越大，优先级越高255：如果配置的虚拟地址与接口地址相同，优先级为255 0：Master停止参与VRRP（利用这一点可以触发快速切换）100：缺省值l Count IP Addrs: 配置的备份组虚拟地址个数(1个备份组可对应多个虚拟地址)HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（六） VRRP协议报文格式VRRP协议报文格式：l Authentication Type: 验证类型，协议中指定了3种类型0 - No Authentication1 - Simple Text Password2 - IP Authentication Headerl Advertisement Interval (Adver Int): 发送报文的时间间隔，缺省为1秒l Checksum: 校验和HUAWEI TECHNOLOGIES CO., LTD.VRRP报文（七） VRRP协议报文格式VRRP协议报文格式：l IP Address(es): 配置的备份组虚拟地址的列表(一个备份组可支持多个地址 )l Authentication Data: 验证字。HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（一）相关参数VRID虚拟路由器标识。取值范围为1-255。没有默认值。PriorityVRRP优先级，用于推举Master路由器。取值范围是0-255，默认值是100。255是保留值，当 虚拟路由器的虚拟IP地址是接口真实地址时，VRRP优先级配置为255。0也是保留值，用于 Master路由器宣告退出虚拟路由器。IP_Addresses虚拟路由器的IP地址，可以配置1个或多个。没有默认值。Advertisement_Interv alAdvertisement报文的发送时间间隔，单位是秒。默认值为1秒。Skew_TimeMaster_Down_Interval的偏移时间，单位是秒。计算公式：( (256 - Priority) / 256 )Master_Down_IntervalBackup路由器监听识别Master路由器失效的时间间隔。计算公式： (3 * Advertisement_Interval) + Skew_TimePreempt_Mode用来判断VRRP优先级高的Backup路由器是否抢占VRRP优先级低的Master路由器，从而变为 Master路由器。取值为True或False。True代表允许抢占，False代表不抢占。注意：虚拟路 由器IP地址为接口真实IP地址的路由器总是进行抢占，不依赖于这个标志位的设定。 虚拟路由器参数：HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（二）相关参数 接口参数： 认证类型 认证数据 定时器 Master_Down_Timer Adver_Timer 在Master_Down_Interval的时间段里面，如果没有接收到VRRP的 Advertisement报文，就会触发Master_Down_Timer定时器。 Adver_Timer定时器以Advertisement_Interval时间间隔为周期，当周期 一到就触发VRRP Advertisement报文的发送。HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（三）状态转换模型三种状态模型：初始状态(Initialize)、主状态(Master)、备份状态(Backup)HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（四）Initialize 当接口配置VRRP时，VRRP的状态机就启用，并把状态置于Initialize状态。 Initialize状态用于等待一个VRRP的开始事件。 如果一个路由器配置VRRP，一般情况（就是排除VRRP优先级为255，即虚拟路 由器的虚拟IP地址是接口真实地址的情况）下，路由器都是先把状态由Initialize迁徙到Backup状态。 HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（五）BackupHUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（六）Backup处于Backup状态的VRRP路由器，主要是监视Master VRRP路由器的可用状态。状态稳定的时候，它只接收VRRP协议报文，不发送VRRP协议报文。Backup状态的VRRP路由器必须做以下工作： 当收到关于VRRP虚拟路由器的虚拟IP地址的ARP Request报文时，不对此报文进行响应。 当收到目的MAC为VRRP虚拟路由器虚拟MAC的数据报文，必须丢弃。 不接收目的IP地址是VRRP虚拟路由器虚拟IP地址的数据报文。 Backup路由器收到一个priority为0的Advertisement报文时，会把Master_Down_Timer的计时时间修改为Skew_Time。原因是：priority为0的Advertisement报文是Master VRRP虚拟路由器发出的，代表它退出VRRP备份组。所以同一个VRRP备份组里面的其他VRRP路由器必须重新推选一个Master VRRP虚拟路由器。把Master_Down_Timer的计时时间修改为Skew_Time，就可以大大缩短推选的时间；另外由Skew_Time=( (256 - Priority) / 256 )知道，通过给VRRP路由器配置不同priority，可以避免众多VRRP路由器同时争夺Master导致VRRP状态混乱的问题。HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（七）MasterHUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（八）Master处于Master状态的VRRP路由器担当的角色是数据转发路由器。Master状态的VRRP路由器必须做以下工作：当收到关于VRRP虚拟路由器的虚拟IP地址的ARP Request报文时，必须对此报文进行响应。当收到目的MAC为VRRP虚拟路由器虚拟MAC的数据报文，必须做数据转发处理。当收到的数据报文目的IP地址是虚拟路由器的虚拟IP地址，但本路由器不属于IP地址拥有者，必须丢弃这些数据报文。当收到的数据报文目的IP地址是虚拟路由器的虚拟IP地址，且本路由器是IP地址拥有者，必须接收这些数据报文。 HUAWEI TECHNOLOGIES CO., LTD.VRRP状态机（九）状态转换HUAWEI TECHNOLOGIES CO., LTD.VRRP报文接收验证报文中TTL是否为255验证报文中VRRP版本号验证接收报文长度是否大于等于VRRP头部长度验证报文校验和根据报文中的认证类型进行认证如果以上检查失败，则产生并记录告警，以指示有错误发生，同时丢弃报文检验接收报文的VRID是否和接收接口配置的一致，不一致则丢弃报文验证和VRID关联的虚拟IP地址是否可用如果以上检查失败，则产生并记录告警，以指示配置错误。而且，如果报文不是主路由器产生的，报文必须被丢弃检查接收报文中Adver interval和本端配置是否一致，如果不一致，则产生并记录告警，以指示配置错误，同时丢弃报文HUAWEI TECHNOLOGIES CO., LTD.VRRP报文发送以适当的配置填充VRRP协议报文计算VRRP的校验和设置报文源MAC地址为虚拟MAC设置报文源IP地址为接口主IP地址（非虚拟IP）设置IP报文中协议号为VRRP 发送VRRP协议报文到VRRP多播组VRRP packets are transmitted with the virtual router MAC address as the source MAC address to ensure that learning bridges correctly determine the LAN segment the virtual router is attached to. HUAWEI TECHNOLOGIES CO., LTD.VRRP操作问题（一）ICMP重定向：在配置了VRRP环境中，ICMP重定向功能可以正常使用主机ARP请求：当主机发送ARP请求报文，请求VRRP虚拟路由器的虚拟IP地址时，VRRP的Master 路由器必须用VRRP虚拟MAC地址来响应ARP请求。VRRP虚拟路由器不能用真实的物理MAC地址来响应ARP请求。一个VRRP路由器配置有VRRP虚拟IP地址，当它重启时，不应该发送任何带有VRRP配置接口真实MAC地址的ARP信息。它只能发送带有VRRP虚拟MAC地址的ARP信息。具体操作如下：当正在配置一个接口的VRRP时，VRRP路由器应该广播一个免费ARP请求报文。这个免费ARP请求报文里面包含对应此接口的每一个VRRP虚拟IP地址的虚拟MAC。当系统重启，接口初始化VRRP时，免费ARP请求报文和ARP应答将会被延时，直到接口的VRRP虚拟IP地址及虚拟MAC地址被配置完成。HUAWEI TECHNOLOGIES CO., LTD.VRRP操作问题（二）注意这里所说的“用VRRP虚拟MAC地址来响应ARP请求”，只明确了ARP协议报文中的MAC地址，但是以太网报文帧头中的源MAC地址没有明确要求。只有VRRP的状态迁移到Master状态才会发送免费ARP如果VRRP路由器上启用ARP代理，那VRRP虚拟MAC就会在代理ARP信息里面发布出去 以太网头MAC地址 没