H3C设备VRRP配置手册

《H3C设备VRRP配置手册》由会员分享，可在线阅读，更多相关《H3C设备VRRP配置手册（20页珍藏版）》请在装配图网上搜索。

1、VRRP 简介vrrp （virtual router redundancy protocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，），这样，主机发岀的目的地址不在本网段的报文将被通 过缺省路由发往路由器router，从而实现了主机与外部网络的通信。当路由器出现故障时，本网段内所有以此路由器为缺省路由下一跳的主机将断掉与外部的通信。vrrp 就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下 vrrp 的实现原理。vrrp 将局域网的一组路由器（包括一个master 即活动路由器和若干个 b

2、ackup 即备份路由器）组织成一个虚拟路由器，称之为一个备份组。这个虚拟的路由器拥有自己的ip 地址（这个 ip 地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的ip 地址（如 master 的 ip 地址为，backup 的 ip 地址为）。局域网内的主机仅仅知道这个虚拟路由器的ip 地址，而并不知道具体的 master 路由器的 ip 地址以及 backup路由器的 ip 地址，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的ip 地址。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的master 路由器出现故障，backup 路由

3、器将会通过选举策略选岀一个新的master 路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于 vrrp 协议的详细信息，可以参考rfc 2338。H3C H3C SecPath F100-C 相关内容：报价|参数|图片|论坛|评测VRRP 配置vrrp 的基本配置包括：1添加或删除虚拟 ip 地址2设置备份组的优先级3设置备份组的抢占方式和延迟时间vrrp 的高级配置包括：1设置备份组的认证方式和认证字2设置备份组的定时器3设置监视指定接口4设置虚拟 ip 地址是否可以使用 ping 命令 ping 通5设置检查 vrrp 报文的 ttl 域添加或删

4、除虚拟 ip 地址请在接口视图下进行下列配置。将一个本网段的 ip 地址指定给到一个虚拟路由器（也称为一个备份组），或将一个指定到一个备份组虚拟 ip 地址从虚拟地址列表中删除。请在接口视图下进行下列配置。备份组号 virtual-router-id 范围从 1 到 255，虚拟地址可以是备份组所在网段中未被分配的ip地址， 也可以是属于备份组某接口的 ip 地址。对于后者，称拥有这个接口 ip 地址的防火墙为一个地址拥 有者（ ipaddress owner ）。当指定第一个 ip 地址到一个备份组时，系统会创建这个备份组，以后再指 定虚拟 ip 地址到这个备份组时， 系统仅仅将这个地址添加

5、到这个备份组的虚拟 ip 地址列表中。 防火墙的 一个接口可以同时加入到 14 个备份组中。而一个备份组最多可以配置 16 个虚拟 ip 地址。在对一个备份 组进行其它配置之前，必须先通过指定一个虚拟 ip 地址的命令将这个备份组创建起来。备份组中最后一个虚拟 ip 地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再 有这个备份组，这个备份组的所有配置都不再有效。设置备份组的优先级vrrp 中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master 。优先级的取值范围为 0 到 255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是

6、 254。优先级 0 为系统保留给特殊用途来使用， 255 则是系统保留给 ip 地址拥有者。缺省情况下，优先级为 100对于所有 vrrp 组成员，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrp vrid配置的优先级，非 ip 拥有者的运行优先级与配置优先级是相同的；ip 拥有者的运行优先级是不可配置的，始终为 255 。设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台防火墙成为 master ，只要它没有出现故障，其它路由器即 使随后被配置更高的优先级，也不会成为 master 。如果防火墙设置为抢占方式，它一旦发现自己的优先级 比当前的 master 的优先

7、级高，就会成为 master ，相应地，原来的 master 将会变成 backup 。在设置抢占的同时， 还可以设置延迟时间。 这样可以使得 backup 延迟一段时间成为 master 。其目 的在性能不够稳定的网络中， backup 可能因为网络堵塞而无法正常收到 master 的报文， 使用 vrrp vrid 命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内防火墙的状态频繁转换。延迟的时间以秒计，范围为 0255。请在接口视图下进行下列配置。缺省方式是抢占方式，延迟时间为 0 秒请在接口视图下进行下列配置。取消抢占方式，则延迟时间就会自动变为 0 秒设置认证方式及认

8、证字vrrp 提供了两种认证方式，分别是：simple ：简单字符认证。md5 ： md5 认证。在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp 报文不进行任何认证处理，而收到 vrrp 报文的防火墙也不进行任何认证。在一个有可能受到安全威胁的网络中，可以将认证方式设置为simple ，则发送 vrrp 报文的防火墙就会将认证字填入到 vrrp 报文中，而收到的 vrrp 报文的防火墙会将收到的 vrrp 报文中的认证字和本地 配置的认证字进行比较，相同则认为是真实的、合法的 vrrp 报文，否则认为是一个非法的报文，将其丢 弃。这种情况下，应当设置长度为不超过 8 个字符的认

9、证字。在一个非常不安全的网络中，可以将认证方式设置为md5 则防火墙就会利用authentication header 提供的认证方式和 md5 算法来对 vrrp 报文进行认证。如果以明文形式输入，长度为 1 8 个字符，如：1234567;如果以密文形式输入，长度必须为 24,并且必须是密文形式，女口 ： _(tt8fy5sq=y、maf41!对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。缺省认证方式为不进行认证。一个接口上的备份组要设置相同的认证方式和认证字。设置 vrrp 的定时器vrrp 备份组中的 master 防火墙通过定时 ( adver-interval )发送

10、 vrrp 报文来向组内的防火墙通 知自己工作正常。如果 backup 超过一定时间( master-down-interval )没有收到 master 发送来的 vrrp 报文，则认为它已经无法正常工作。 同时就会将自己的状态转变为 master 。用户可以通过设置定时器的命令来调整 master 发送 vrrp 报文的间隔时间 ( adver-interval) 。而 backup 的 master-down-interval 的间隔时间大约是 adver-interval 的 3 倍。如果网络流量过大或者 不同的防火墙上的定时器差异等因素，会导致 master-down-interva

11、l 异常到时而导致状态转换。对于这 种情况，可以通过将adver-interval 的间隔时间延长和设置延迟时间的办法来解决。 adver-interval 的 时间单位是秒。请在接口视图下进行下列配置。缺省情况下，adver-interval 的值是 1 秒，取值范围为 1 255设置监视指定接口vrrp 监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功 能，而且在防火墙的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令 来实现。当被监视的接口down 时，这个接口的防火墙的运行优先级会自动降低一个数额( priority-redu

12、ced),于是就会导致备份组内其它防火墙的运行优先级高于这个防火墙的运行优先级，从而使得其它运行 优先级高的防火墙转变为 master ，达到对这个接口监视的目的。请在接口视图下进行下列配置。缺省情况下， priority-reduced 的值为 10。当防火墙为 ip 地址拥有者时，不允许对其进行监视接口的配置。设置虚拟 ip 地址是否可以使用 ping 命令 ping 通本配置任务可以使用户能够使用 ping 命令来 ping 通备份组的虚拟 ip 地址。根据 vrrp 的标准协 议，备份组的虚拟 ip 地址是无法使用 ping 命令来 ping 通的。这时防火墙连接的用户无法通过 pin

13、g 命 令来判断一个 ip 地址是否被备份组使用。如果用户将自己的主机 ip 配置与备份组的虚拟 ip 地址相同的 ip 地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。使用下面的命令进行配置后，用户将可以使用 ping 命令 ping 通备份组的虚拟 ip 地址。请在系统视图下进行下列配置。缺省情况下，用户不能使用 ping 命令 ping 通备份组的虚拟 ip 地址此配置需要在备份组建立之前就进行设定。如果防火墙上已经建立了备份组，系统将不允许再进行此配置。设置是否需要检查 vrrp 报文的 ttl 值vrrp 协议规定 vrrp 报文的 ttl 值只能为 25

14、5。如果 backup 检查到 vrrp 报文的 ttl 值不是 255, 就会将此报文丢弃。可以使用下面的命令来设置取消检查vrrp 报文的 ttl 值。请在接口视图下进行下列配置。缺省情况下，需要检查 vrrp 报文的 ttl 值。H3C H3C SecPath F100-C 相关内容：报价|参数|图片|论坛|评测VRRP 配置vrrp 的基本配置包括:1添加或删除虚拟 ip 地址2设置备份组的优先级3设置备份组的抢占方式和延迟时间vrrp 的高级配置包括：1设置备份组的认证方式和认证字2设置备份组的定时器3设置监视指定接口4设置虚拟 ip 地址是否可以使用 ping 命令 ping 通5

15、设置检查 vrrp 报文的 ttl 域添加或删除虚拟 ip 地址将一个本网段的 ip 地址指定给到一个虚拟路由器（也称为一个备份组），或将一个指定到一个备 份组虚拟 ip地址从虚拟地址列表中删除。请在接口视图下进行下列配置。备份组号 virtual-router-id 范围从 1 到 255，虚拟地址可以是备份组所在网段中未被分配的ip地址，也可以是属于备份组某接口的 ip 地址。 对于后者， 称拥有这个接口 ip 地址的防火墙为一个地址拥 有者( ip addressowner )。当指定第一个 ip 地址到一个备份组时，系统会创建这个备份组，以后再指 定虚拟 ip 地址到这个备份组时， 系

16、统仅仅将这个地址添加到这个备份组的虚拟 ip 地址列表中。 防火墙的 一个接口可以同时加入到 14 个备份组中。而一个备份组最多可以配置 16 个虚拟 ip 地址。在对一个备份 组进行其它配置之前，必须先通过指定一个虚拟 ip 地址的命令将这个备份组创建起来。备份组中最后一个虚拟 ip 地址被删除后，这个备份组也将同时被删除掉。也就是这个接口上不再 有这个备份组，这个备份组的所有配置都不再有效。设置备份组的优先级vrrp 中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master 。优先级的取值范围为 0 到 255(数值越大表明优先级越高)，但是可配置的范围

17、最小值是1，最大值是 254。优先级 0 为系统保留给特殊用途来使用， 255 则是系统保留给 ip 地址拥有者。请在接口视图下进行下列配置。缺省情况下，优先级为 100。对于所有 vrrp 组成员，存在配置优先级和运行优先级两种优先级，配置优先级即用 vrrp vrid配置的优先级， 非 ip 拥有者的运行优先级与配置优先级是相同的； ip 拥有者的运行优先级是不可配置的， 始终为 255设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台防火墙成为 master ，只要它没有出现故障，其它路由器即 使随后被配置更高的优先级，也不会成为 master 。如果防火墙设置为抢占方式，

18、它一旦发现自己的优先级 比当前的 master 的优先级高，就会成为 master ，相应地，原来的 master 将会变成 backup 。在设置抢占的同时， 还可以设置延迟时间。 这样可以使得 backup 延迟一段时间成为 master 。其目 的在性能不够稳定的网络中， backup 可能因为网络堵塞而无法正常收到 master 的报文， 使用 vrrp vrid 命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内防火墙的状态频繁转换。延迟的时间以秒计，范围为 0255。请在接口视图下进行下列配置。缺省方式是抢占方式，延迟时间为 0 秒。取消抢占方式，则延迟时间就会自动

19、变为 0 秒设置认证方式及认证字vrrp 提供了两种认证方式，分别是：simple ：简单字符认证md5： md5 认证在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp 报文不进行任何认证处理，而收到 vrrp 报文的防火墙也不进行任何认证。在一个有可能受到安全威胁的网络中，可以将认证方式设置为simple ，则发送 vrrp 报文的防火墙就会将认证字填入到 vrrp 报文中，而收到的 vrrp 报文的防火墙会将收到的 vrrp 报文中的认证字和本地 配置的认证字进行比较，相同则认为是真实的、合法的 vrrp 报文，否则认为是一个非法的报文，将其丢 弃。这种情况下，应当设置长度为

20、不超过 8 个字符的认证字。在一个非常不安全的网络中，可以将认证方式设置为md5 则防火墙就会利用 authentication header 提供的认证方式和 md5 算法来对 vrrp 报文进行认证。如果以明文形式输入，长度为 1 8 个字符， 如：1234567;如果以密文形式输入，长度必须为 24,并且必须是密文形式，女口 ： _(tt8fy5sq=y、maf41!对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。请在接口视图下进行下列配置。缺省认证方式为不进行认证。一个接口上的备份组要设置相同的认证方式和认证字。设置 vrrp 的定时器vrrp 备份组中的 master 防

21、火墙通过定时 (adver-interval)发送 vrrp 报文来向组内的防火墙通知自己工作正常。如果 backup 超过一定时间( master-down-interval )没有收到 master 发送来的 vrrp 报文，则认为它已经无法正常工作。 同时就会将自己的状态转变为 master 。用户可以通过设置定时器的命令来调整 master 发送 vrrp 报文的间隔时间 ( adver-interval) 。而 backup 的 master-down-interval的间隔时间大约是 adver-interval 的 3 倍。如果网络流量过大或者不同的防火墙上的定时器差异等因素，会

22、导致 master-down-interval 异常到时而导致状态转换。对于这 种情况，可以通过将 adver-interval 的间隔时间延长和设置延迟时间的办法来解决。 adver-interval 的 时间单位是秒。请在接口视图下进行下列配置。缺省情况下，adver-interval 的值是 1 秒，取值范围为 1 255。设置监视指定接口vrrp 监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功 能，而且在防火墙的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令 来实现。当被监视的接口down 时，这个接口的防火墙的运行优先级会

23、自动降低一个数额( priority-redu ced),于是就会导致备份组内其它防火墙的运行优先级高于这个防火墙的运行优先级，从而使得其它运行优先级高的防火墙转变为 master ，达到对这个接口监视的目的。请在接口视图下进行下列配置。缺省情况下， priority-reduced 的值为 10当防火墙为 ip 地址拥有者时，不允许对其进行监视接口的配置。设置虚拟 ip 地址是否可以使用 ping 命令 ping 通本配置任务可以使用户能够使用 ping 命令来 ping 通备份组的虚拟 ip 地址。根据 vrrp 的标准协 议，备份组的虚拟 ip 地址是无法使用 ping 命令来 ping

24、 通的。这时防火墙连接的用户无法通过 ping 命 令来判断一个 ip 地址是否被备份组使用。如果用户将自己的主机 ip 配置与备份组的虚拟 ip 地址相同的 ip 地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。使用下面的命令进行配置后，用户将可以使用 ping 命令 ping 通备份组的虚拟 ip 地址。请在系统视图下进行下列配置。缺省情况下，用户不能使用 ping 命令 ping 通备份组的虚拟 ip 地址。此配置需要在备份组建立之前就进行设定。 如果防火墙上已经建立了备份组， 系统将不允许再进行 此配置。设置是否需要检查 vrrp 报文的 ttl 值vrrp

25、 协议规定 vrrp 报文的 ttl 值只能为 255 。如果 backup 检查到 vrrp 报文的 ttl 值不是 255，就会将此报文丢弃可以使用下面的命令来设置取消检查vrrp 报文的 ttl 值请在接口视图下进行下列配置。缺省情况下，需要检查vrrp 报文的 ttl 值H3C H3C SecPath F100-C 相关内容：报价|参数|图片|论坛|评测VRRP 典型配置举例vrrp 单备份组举例1.组网需求主机 a 把 secpatha 和 secpathb 组成的 vrrp 备份组作为自己的缺省网关，访问 internet 上的主机 bovrrp 备份组构成：备份组号为 1，虚拟

26、ip 地址为，secpatha 做 master , secpathb 做 backup, 允许抢占2.组网图3.配置步骤配置 secpatha ：h3c-ethernet1/0/0 ip address 24h3c-ethernet1/0/0 vrrp vrid 1 virtual-iph3c-ethernet1/0/0 vrrp vrid 1 priority 120配置 secpathb ：h3c-ethernet1/0/0 ip address 24h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip备份组配置后不久就可以使用。主机 a 可将缺省网关设为。正

27、常情况下， secpatha 执行网关工作，当 secpatha 关机或出现故障， secpathb 将接替执行网关工作。设置抢占方式，目的是当 secpatha 恢复工作后，能够继续成为 master 执行网关工作vrrp 监视接口举例1.组网需求即使 secpatha 仍然工作，但当其连接 internet 的接口不可用时，可能希望由 secpathb 来执行网关工作。可通过配置监视接口来实现上述需求。为了便于说明，设备份组号为 1，并增加授权字和计时器的配置（在该应用中不是必须的）2.组网图如图 2-3 。3.配置步骤配置 secpatha ：# 创建一个备份组。h3c-ethernet

28、1/0/0 vrrp vrid 1 virtual-ip# 设置备份组的优先级h3c-ethernet1/0/0 vrrp vrid 1 priority 120# 设置备份组的认证字。h3c-ethernet1/0/0 vrrp authentication-mode md5 vrrppwd# 设置 master 发送 vrrp 报文的间隔时间为 5 秒h3c-ethernet1/0/0 vrrp vrid 1 timer advertise 5# 设置监视接口h3c-ethernet1/0/0 vrrp vrid 1 track ethernet2/0/0 reduced 30配置 sec

29、pathb ：# 创建一个备份组。h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip# 设置备份组的认证字h3c-ethernet1/0/0 vrrp authentication-mode md5 vrrppwd# 设置 master 发送 vrrp 报文的间隔时间为 5 秒h3c-ethernet1/0/0 vrrp vrid 1 timer advertise 5正常情况下， secpatha 执行网关工作，当 secpatha 的接口 ethernet2/0/0 不可用时，的优先级降低 30，低于 secpathb 优先级， secpathb 将抢占成为

30、master 执行网关工作。当 secpatha 的接口 ethernet2/0/0 恢复工作后， secpatha 能够继续成为 master 执行网关工作多备份组举例1.组网需求在 comware 中，允许一台防火墙为多个备份组作备份。通过多备份组设置可以实现负荷分担。如 secpatha 作为备份组 1 的 master ，同时又兼职备份组 2 的 backup ，而 secpathb 正相反，作为备份组 2 的 master ，并兼职备份组 1 的 backup 。一部分主机使用 备份组 1 作网关，另一部分主机使用备份组 2 作为网关。 这样，以达到分担数据流， 而又相互备份的目的。

31、secpatha2.组网图如图 2-3 。3.配置步骤配置 secpatha ：# 创建一个备份组 1 。h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip# 设置备份组的优先级。h3c-ethernet1/0/0 vrrp vrid 1 priority 120#创建一个备份组 2h3c-ethernet1/0/0 vrrp vrid 2 virtual-ip酉己置 secpathb :#创建一个备份组 1h3c-ethernet1/0/0 vrrp vrid 1 virtual-ip#创建一个备份组 2h3c-ethernet1/0/0 vrrp vrid 2

32、 virtual-ip#设置备份组的优先级h3c-ethernet1/0/0 vrrp vrid 2 priority 120H3C H3C SecPath F100-C 相关内容：报价|参数|图片|论坛|VRRP 故障诊断与排错vrrp 配置不是很复杂，如果功能不正常，基本可以通过查看配置以及调试信息来定位。以下，就如何排除常见的故障加以说明。故障之一：控制台上频频给岀配置错误的提示这表明收到一个错误的 vrrp 报文，一种可能是备份组内的另一台防火墙由于配置不一致造成的，另一种可能是有的机器试图发送非法的vrrp 报文。对于第一种可能，可以通过修改配置来解决。对于第二种可能，则是有些设备有

33、不良企图，应当通过非技术手段来解决。故障之二：同一个备份组内出现多个master 防火墙这分为两种情况，一种是多个master 并存时间较短，这种情况是正常的。无需进行人工干预。另一种是多个 master 长时间共存，这很有可能是由于master 收不到 vrrp 报文，或者收到的报文不合法造成的。解决的方法是，先在多个 master 之间互相 ping，如果 ping 不通，则是其它问题。如果能 ping 通，则一定是评测配置不同造成的，对于同一个vrrp 备份组的配置，必须要保证虚拟 ip 地址个数、每个虚拟ip 地址、定时器间隔时间和认证方式完全一样。故障之三：vrrp 的状态频繁转换这种情况一般是由于备份组的定时器间隔时间(adver-interval )设置太短造成的，加大这个时间间隔或者设置抢占延迟都可以解决这种故障。H3C H3C SecPath F100-C 相关内容：报价|参数|图片|论坛|评测