詳解VRRP協議
1 VRRP概述
隨著Internet的發展,人們對網絡可靠性的要求越來越高。特別是對于終端用戶來說,能夠實時與網絡其他部分保持聯系是非常重要的。一般來說,主機通過設置默認網關來與外部網絡聯系,如圖1所示:
主機將發送給外部網絡的報文發送給網關,由網關傳遞給外部網絡,從而實現主機與外部網絡的通信。正常的情況下,主機可以完全信賴網關的工作,但是當網關壞掉時,主機與外部的通信就會中斷。要解決網絡中斷的問題,可以依靠再添加網關的方式解決,不過由于大多數主機只允許配置一個默認網關,此時需要網絡管理員進行手工干預網絡配置,才能使得主機使用新的網關進行通信;有時,人們運用動態路由協議的方法來解決網絡出現故障這一問題,如運行RIP、OSPF等,或者使用IRDP。然而,這些協議由于配置過于復雜,或者安全性能不好等原因都不能滿足用戶的需求。
1.2 技術優點
VRRP具有如下優點:
l 適應性強。VRRP報文封裝在IP報文中,支持各種上層協議。
2 VRRP協議介紹
l 虛擬路由器:由一個Master路由器和多個Backup路由器組成。主機將虛擬路由器當作默認網關。
l Master路由器:虛擬路由器中承擔報文轉發任務的路由器。
l 虛擬IP地址:虛擬路由器的IP地址。一個虛擬路由器可以擁有一個或多個IP地址。
l 虛擬MAC地址:一個虛擬路由器擁有一個虛擬MAC地址。虛擬MAC地址的格式為00-00-5E-00-01-{VRID}。通常情況下,虛擬路由器回應ARP請求使用的是虛擬MAC地址,只有虛擬路由器做特殊配置的時候,才回應接口的真實MAC地址。
l 非搶占方式:如果Backup路由器工作在非搶占方式下,則只要Master路由器沒有出現故障,Backup路由器即使隨后被配置了更高的優先級也不會成為Master路由器。
2.2 虛擬路由器簡介
虛擬路由器有自己的虛擬IP地址和虛擬MAC地址,它的外在表現形式和實際的物理路由器完全一樣。局域網內的主機將虛擬路由器的IP地址設置為默認網關,通過虛擬路由器與外部網絡進行通信。
圖2 虛擬路由器示意圖
VRRP的工作過程為:
(2) Master路由器周期性發送VRRP報文,以公布其配置信息(優先級等)和工作狀況;
(4) 虛擬路由器狀態切換時,Master路由器由一臺設備切換為另外一臺設備,新的Master路由器只是簡單地發送一個攜帶虛擬路由器的MAC地址和虛擬IP地址信息的免費ARP報文,這樣就可以更新與它連接的主機或設備中的ARP相關信息。網絡中的主機感知不到Master路由器已經切換為另外一臺設備。
由此可見,為了保證Master路由器和Backup路由器能夠協調工作,VRRP需要實現以下功能:
l Master路由器狀態的通告;
下面將從上述三個方面詳細介紹VRRP的工作過程。
VRRP根據優先級來確定虛擬路由器中每臺路由器的角色(Master路由器或Backup路由器)。優先級越高,則越有可能成為Master路由器。
l 如果VRRP報文中Master路由器的優先級高于自己的優先級,則路由器保持在Backup狀態;
l 如果在一定時間內沒有收到VRRP報文,則路由器切換為Master狀態。
2.3.2 Master路由器狀態的通告
Master路由器主動放棄Master地位(如Master路由器退出虛擬路由器)時,會發送優先級為0的VRRP報文,致使Backup路由器快速切換變成Master路由器。這個切換的時間稱為Skew time,計算方式為:(256-Backup路由器的優先級)/256,單位為秒。
在性能不夠穩定的網絡中,Backup路由器可能因為網絡堵塞而在Master_Down_Interval期間沒有收到Master路由器的報文,而主動搶占為Master位置,如果此時原Master路由器的報文又到達了,就會出現虛擬路由器的成員頻繁的進行Master搶占現象。為了緩解這種現象的發生,特制定了延遲等待定時器。它可以使得Backup路由器在等待了Master_Down_Interval后,再等待延遲等待時間。如在此期間仍然沒有收到VRRP報文,則此Backup路由器才會切換為Master路由器,對外發送VRRP報文。
VRRP提供了三種認證方式:
l 簡單字符認證:在一個有可能受到安全威脅的網絡中,可以將認證方式設置為簡單字符認證。發送VRRP報文的路由器將認證字填入到VRRP報文中,而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同,則認為接收到的報文是合法的VRRP報文;否則認為接收到的報文是一個非法報文。
3 Comware實現的技術特色
VRRP網絡傳輸功能有時需要額外的技術來完善其工作。例如,Master路由器到達某網絡的鏈路突然斷掉時,主機無法通過此Master路由器遠程訪問該網絡。此時,可以通過監視指定接口上行鏈路功能,解決這個問題。當Master路由器發現上行鏈路出現故障后,主動降低自己的優先級(使Master路由器的優先級低于Backup路由器),并立即發送VRRP報文。Backup路由器接收到優先級比自己低的VRRP報文后,等待Skew_Time切換為新的Master路由器。從而,使得能夠到達此網絡的Backup路由器充當VRRP新的Master路由器,協助主機完成網絡通訊。
VRRP可以利用NQA技術監視上行鏈路連接的遠端主機或者網絡狀況。例如,Master設備上啟動NQA的ICMP-echo探測功能,探測遠端主機的可達性。當ICMP-echo探測失敗時,它可以通知本設備探測結果,達到降低VRRP優先級的目的。
3.2 Backup監視Master工作狀態
Backup路由器監視Master路由器采用的是具有快速檢測功能的BFD技術。在Backup設備上使用該技術監視Master路由器的狀態,一旦Master路由器發生故障,Backup就可以自動切換成為新的Master路由器,將切換時間縮短到毫秒級。
4.1 主備備份
圖3 主備備份VRRP
4.2 負載分擔
負載分擔方式是指多臺路由器同時承擔業務,因此負載分擔方式需要兩個或者兩個以上的虛擬路由器,每個虛擬路由器都包括一個Master路由器和若干個Backup路由器,各虛擬路由器的Master路由器可以各不相同,如圖4中所示。
在圖4中,有三個虛擬路由器存在:
l 虛擬路由器2:Device B作為Master路由器,Device A和Device C作為Backup路由器。
為了實現業務流量在Device A、Device B和Device C之間進行負載分擔,需要將局域網內的主機的默認網關分別設置為虛擬路由器1、2和3。在配置優先級時,需要確保三個虛擬路由器中各路由器的VRRP優先級形成一定的交叉,使得一臺路由器盡可能不同時充當2個Master路由器。
VRRP可以通過BFD或NQA等快速檢測協議監視一些上行敏感鏈路,使得Master路由器快速地發現網絡故障,降低自身的優先級,從而保證上行鏈路工作正常的Backup路由器能夠接替它的工作。
如圖5所示,初始情況下,Device A作為Master路由器,承擔轉發任務;Device B為Backup路由器,處于就緒監聽狀態。Device A使用BFD監視上行到達Internet的鏈路狀態。如果Device A的上行鏈路發生故障,Device A可以在毫秒級感知到網絡變化,立即發送低優先級的VRRP報文給Device B。如果此時Device B的優先級高于報文中的優先級,那么它將在Skew Time時間之后切換為新的Master路由器,之后由這個新的Master路由器為網絡內的主機轉發數據。
為了保證網絡傳輸的穩定性,可以在Backup設備上使用BFD技術監視Master的狀態,使得Master設備發生故障時,Backup設備能夠立即切換為新的Master設備。
如圖6中所示,初始情況下,DeviceA作為Master路由器,承擔轉發任務;DeviceB是Backup路由器,處于就緒監聽狀態。DeviceB使用BFD監視DeviceA上IP地址10.1.1.1的可達性。如果Device A發生故障,DeviceB可以立即通過BFD感知到對端的變化,主動切換成為新的Master設備,之后這個新Master路由器將為網絡內的主機轉發數據。
<p style="box-sizing:border-box;outline:0px;margin-top:0px;margin-bottom:16px;padding:0px;font-family:" font-size:16px;color:#4d4d4d;line-height:26px;overflow-x:auto;white-space:normal;background-color:#ffffff;"="">