分类: 系统运维
2009-08-03 11:26:42
Cisco HSRP的配置 双机热备经典案例
HSRP一般用于两台,也可以用于多台。必须在每台起HSRP上的路由器上配置。
When the HSRP is configured on a network segment, provides a virtual Media Access Control (MAC) address and an IP address that is shared among routers in a groupof routers that is running HSRP. One of these devices is selected by the protocol to be the active router. The active router receives and routes packets destined for the group's MAC address. For n routers running HSRP, there are n + 1 IP and MAC addresses assigned.
但是aceive只有一台,standby只有一台,其实其他的都在监听状态。所以zyx说的是处在active和standby的状态的只有两台。
附一个配置实例:
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname r1
!
enable password cisco
!
ip subnet-zero (新版的IOS都支持全0/1子网)
!
!
!
!
interface Ethernet0
ip address 136.147.107.101 255.255.0.0
no ip redirects
no ip directed-broadcast
standby 150 timers 5 15 /* 定义150组5秒交换一次hello信息,15秒没收到 hello信息就开始切换 */
standby 150 priority 110 /* 定义150组的主路由器权值,值越大,为主路由器希望越大 */
standby 150 preempt /* enable 150组的hsrp抢占功能 */
standby 150 authentication cisco /* 设置150组的router身份验证串 */
standby 150 ip 136.147.107.100 /* 定义150组的浮动地址,也是这台router
连接的网络的网关 */
standby 150 track Ethernet0 /* 定义监控的端口 */
!
interface Serial0
no ip address
no ip directed-broadcast
no ip mroute-cache
shutdown
no fair-queue
!
ip classless
!
!
line con 0
transport input none
line 1 16
line aux 0
line vty 0 4
password cisco
login
!
end
配置基本HSRP例子:
提问 "当主用路由器当掉以后备份路由器可以接管主用路由器的IP地址和MAC地址
回答
Router1:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface FastEthernet 0/1
Router1(config-if)#ip address 172.22.1.3 255.255.255.0
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#exit
Router1(config)#end
Router1#
Router2:
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface FastEthernet 1/0
Router2(config-if)#ip address 172.22.1.2 255.255.255.0
Router2(config-if)#standby 1 ip 172.22.1.1
Router2(config-if)#standby 1 priority 110 (默认priority is 100)
Router2(config-if)#exit
Router2(config)#end
Router2#
注释 由于HSRP虚拟出来的MAC地址跟组相关,所以可能会出现同一交换机收到多个相同的MAC地址的情况,这时候就需要用standby 1 mac-address 0000.0c07.ad01 命令来人工指定一个MAC地址
提问 强制某个路由器启动后一直在组中处于主用状态
回答
Router1#configure terminal
Enter configuration commands, one per line. End wh CNTL/Z.
Router1(config)#interface FastEthernet 0/1
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#standby 1 preempt
Router1(config-if)#exit
Router1(config)#end
Router1#
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface FastEthernet 1/0
Router2(config-if)#standby 1 ip 172.22.1.1
Router2(config-if)#standby 1 priority 110
Router2(config-if)#standby 1 preempt delay 60 (最好有时延)
Router2(config-if)#exit
Router2(config)#end
Router2#
注释 正常情况下当LAN端口up后就会发生强占,而此时可能网络还没有收敛,所以建议配置强占延迟时间,让路由器启动后过一段时间再发起强占standby 1 preempt delay 60
22.3. 配置HSRP对接口问题追踪的支持
提问 当主用路由器的上联端口出现问题后主动切换到备用路由器
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface FastEthernet0/1
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#standby 1 preempt
Router1(config-if)#standby 1 track Serial0/0 20
Router1(config-if)#exit
Router1(config)#end
Router1#
从12.2(15)T后引入更多可追踪实例
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#track 11 interface Serial1/1 ip routing
Router1(config-track)#exit
Router1(config)#interface FastEthernet0/0
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#standby 1 preempt
Router1(config-if)#standby 1 track 11 decrement 50
Router1(config-if)#end
Router1#
注释 Router1#show track
Track 11
Interface Serial1/1 ip routing
IP routing is Down (hw admin-down, ip disabled)
1 change, last change 00:12:48
Tracked by:
HSRP FastEthernet0/0 1
22.4. HSRP负载均衡
提问 在两台或者多台HSRP路由器上实现流量的负载均衡
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface FastEthernet0/1
Router1(config-if)#ip address 172.22.1.3 255.255.255.0
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#standby 1 preempt
Router1(config-if)#standby 2 ip 172.22.1.2
Router1(config-if)#standby 2 priority 110
Router1(config-if)#standby 2 preempt
Router1(config-if)#ex
Router1(config)#end
Router1#
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface FastEthernet1/0
Router2(config-if)#ip address 172.22.1.4 255.255.255.0
Router2(config-if)#standby 1 ip 172.22.1.1
Router2(config-if)#standby 1 priority 110
Router2(config-if)#standby 1 preempt
Router2(config-if)#standby 2 ip 172.22.1.2
Router2(config-if)#standby 2 priority 120
Router2(config-if)#standby 2 preempt
Router2(config-if)#exit
Router2(config)#end
Router2#
注释 由于出现两个网关,所以需要在终端设备上分开配置各自的缺省网关。
22.5. HSRP中ICMP重定向
提问 在HSRP中启用ICMP重定向
回答
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface FastEthernet 1/0
Router2(config-if)#no ip redirects
Router2(config-if)#standby redirects disable
Router2(config-if)#exit
Router2(config)#end
Router2#
注释
22.6. 调整HSRP定时器
提问 调整备份路由器接管主用路由器所需时长
回答
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface FastEthernet0/1
Router1(config-if)#standby 1 ip 172.22.1.1
Router1(config-if)#standby 1 priority 120
Router1(config-if)#standby 1 preempt
Router1(config-if)#standby 1 timers 1 3
Router1(config-if)#exit
Router1(config)#end
Router1#
注释 缺省Hello包时长为3秒,10秒后会接管,如果主用路由器调整时长,整个组内的路由器都要调整为相同的时长。最短可以到达毫秒Router1(config-if)#standby 1 timers msec 100 msec 300
22.7. 在令牌环网络中使用HSRP
提问 在令牌环网络中配置HSRP
回答
如果只用IP协议配置同前面例子,如果还有其他协议,特别是使用了source-route bridging就用下面的配置方法
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Tokenring0
Router1(config-if)#ip address 172.22.1.3
Router1(config-if)#standby ip 172.22.1.1
Router1(config-if)#standby use-bia
Router1(config-if)#standby priority 120
Router1(config-if)#standby preempt
Router1(config-if)#exit
Router1(config)#end
Router1#
Router2#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router2(config)#interface Tokenring0
Router2(config-if)#ip address 172.22.1.2
Router2(config-if)#standby ip 172.22.1.1
Router2(config-if)#standby use-bia
Router2(config-if)#standby priority 110
Router2(config-if)#standby preempt
Router2(config-if)#exit
Router2(config)#end
Router2#
注释 由于令牌环网络会用到设备的MAC地址信息,所以如果HSRP用到虚拟MAC就会出问题,因此在配置中使用了burned-in address (BIA)来代替MAC来避免出现问题
HSRP配置:
R1#show run
Building configuration...
Current configuration : 907 bytes
!
version 12.1
no service single-slot-reload-enable
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R1
!
!
!
!
!
!
ip subnet-zero
!
!
!
!
interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
no ip redirects
duplex auto
speed auto
standby 1 ip 192.168.1.100 /定义1组的浮动地址,也是ROUTER,连接网络的网关
standby 1 timers 2 10 /定义1组每2秒交换一次hello信息包,10秒没收到hello信息包就切换
standby 1 priority 150 /定义1组的优先级,值越大,优先级越高
standby 1 preempt /定义1组的HSRP组的抢占功能
standby 1 authentication cisco /定义1组的验证字符
standby 1 track Serial1/0 /定义1组的监控口(可选)
!
interface Serial1/0
ip address 13.13.13.1 255.255.255.0
serial restart-delay 0
!
interface Serial1/1
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/2
no ip address
shutdown
serial restart-delay 0
!
interface Serial1/3
no ip address
shutdown
serial restart-delay 0
!
router rip
version 2
passive-interface FastEthernet0/0
network 13.0.0.0
network 192.168.1.0
!
ip classless
ip http server
!
!
line con 0
line aux 0
line vty 0 4
login
!
end
Cisco的热备份路由协议(HSRP)可以在工作站A的确省网关失效时提供一个备份路由器,HSRP可以创建一个具有虚拟MAC地址和虚拟IP地址的虚拟路由器。
假设有两个路由器Bluestudy A和Bluestudy B,通过两路指向路由器Bluestudy C:
对于Bluestudy A,假设E0/0的IP地址为192.168.1.1/24对应内部网络是192.168.1.0/24 S0/0的IP地址为192.168.2.1/24 对应外部网络是192.168.2.0/24。
对于Bluestudy B,假设E0/0的IP地址为192.169.1.2/24 对应内部网络是192.168.1.0/24 S0/0的IP地址为192.168.3.1/24 对应外部网络是192.168.3.0/24。
虚拟IP地址为192.168.1.3/24
对于Bluestudy C,因与本实验无太大联系,暂时不做说明。
下面给出两只路由器的配置,其中将Bluestudy A作为主路由器,Bluestudy B作为备份路由器。其中给出Bluestudy A的优先级为120,而Bluestudy B采用默认优先级100,这样就可以使Bluestudy A成为主路由器。
Bluestudy A:
Interface ethernet0/0
Ip address 192.168.1.1 255.255.255.0
No ip redirects
Standby 1 priority 120
Standby 1 preempt
Standby 1 ip 192.168.1.3
!
interface serial0/0
ip address 192.168.2.1 255.255.255.0
no shut
!
router igrp 100
network 192.168.1.0
network 192.168.2.0
Bluestudy B:
Interface ethernet0/0
Ip address 192.168.1.2 255.255.255.0
Standby 1 preempt
Standby 1 ip 192.168.1.3
!
interface serial0/0
ip address 192.168.3.1 255.255.255.0
no shut
!
router igrp 100
network 192.168.1.0
network 192.168.3.0
只要将相应的下连主机的网关设成 192.168.1.3就可以了.
VRRP的配置
一、设备、线路备份 说明:
1、 当虚拟路由器的IP地址与某一VLAN的IP地址相同时,则包含此VLAN的设备优先级就立刻升为最高(255),此设备为MASTER,另一个设备为BACKUP
2、 当FLEX1或者FLEX2的任何一台设备DOWN掉,另外一台就起到备份作用,因为ICMP的request和reply的路径存在
3、 当断掉FLEX1的V1所连的线或者断掉FLEX2的V2所连的线时, PC1与PC2仍然可以通讯!因为VRRP可以检查到主备线路的连接状态,起到线路备份的作用。
4、 当断掉FLEX1的V2所连的线或者断掉FLEX2的V1所连的线时, PC1与PC2就不能通讯了!因为VRRP在判断主备关系时是相对此接收端口而言的,对转发接口不进行判断,所以端掉以上其中的一条线ICMP的request或者reply的路径就被断掉了。
5、 PC1的网关设为roter 100的IP(1.1.1.11),PC2的网关设为router 111的IP(2.2.2.66)
Flex24_1配置
Create vlan v1
Config vlan v1 add port 1 untagged
Config vlan v1 ipaddress 1.1.1.11/8
Create vlan v2
Config vlan v2 add port 2 untagged
Config vlan v2 ipaddress 2.2.2.55/8
Create virtual route 100
Config virtual route 100 ipaddress 1.1.1.11/8
Config virtual route 100 interface v1
Config virtual route 100 priority 50
Config vrrp enable
Config virtual route 100 enable
Create virtual route 111
Config virtual route 111 ipaddress 2.2.2.66/8
Config virtual route 111 interface v2
Config virtual route 111 priority 150
Config vrrp enable
Config virtual route 111 enable
FLEX24_2配置
Create vlan v1
Config vlan v1 add port 1 untagged
Config vlan v1 ipaddress 1.1.1.12/8
Create vlan v2
Config vlan v2 add port 2 untagged
Config vlan v2 ipaddress 2.2.2.66/8
Create virtual route 100
Config virtual route 100 ipaddress 1.1.1.11/8
Config virtual route 100 interface v1
Config virtual route 100 priority 150
Config vrrp enable
Config virtual route 100 enable
Create virtual route 111
Config virtual route 111 ipaddress 2.2.2.66/8
Config virtual route 111 interface v2
Config virtual route 111 priority 50
Config vrrp enable
Config virtual route 111 enable
二、设备备份
说明:
1、 如果在两个交换机上只配置一个VLAN,因此其中的一台设备作为主,另一台为备
2、 当主设备DOWN掉时,备份设备会在1秒左右的时间接管主设备的工作,当主设备恢复后,主设备会恢复它的工作。
3、 主设备会向备份路由器发送周期性广播报文,备份设备会不断的监听主设备的状态,并时刻准备接管主设备。
4、 主设备的广播周期缺省为1秒,可以进行手工设置。
5、 虚拟路由器的缺省模式为抢占模式(抢占模式是指是否允许优先级高的备份路由器取代低优先级的主路由器的模式)
6、 PC1和PC2的网关都设为router 100的IP(1.1.1.11)
7、 详细配置见配置手册。
Flex24_1配置
Create vlan v1
Config vlan v1 add port 1 untagged
Config vlan v1 ipaddress 1.1.1.11/8
Create virtual route 100
Config virtual route 100 ipaddress 1.1.1.11/8
Config virtual route 100 interface v1
Config virtual route 100 priority 50
Config vrrp enable
Config virtual route 100 enable
FLEX24_2配置
Create vlan v1
Config vlan v1 add port 1 untagged
Config vlan v1 ipaddress 1.1.1.12/8
Create virtual route 100
Config virtual route 100 ipaddress 1.1.1.11/8
Config virtual route 100 interface v1
Config virtual route 100 priority 150
Config vrrp enable
Config virtual route 100 enable
VRRP简介
随着Internet的迅猛发展,基于网络的应用逐渐增多。这就对网络的可靠性提出了越来越高的要求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案;但本着保护现有投资的角度考虑,可以采用廉价冗余的思路,在可靠性和经济性方面找到平衡点。
虚拟路由冗余协议就是一种很好的解决方案。在该协议中,对共享多存取访问介质(如以太网)上终端IP设备的默认网关(Default Gateway)进行冗余备份,从
而在其中一台路由设备宕机时,备份路由设备及时接管转发工作,向用户提供透明的切换,提高了网络服务质量。
一、协议概述
在基于TCP/IP协议的网络中,为了保证不直接物理连接的设备之间的通信,必须指定路由。目前常用的指定路由的方法有两种:一种是通过路由协议(比如:内部路由协议和 OSPF)动态学习;另一种是静态配置。在每一个终端都运行动态路由协议是不现实的,大多客户端操作系统平台都不支持动态路由协议,即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备静态路由配置,一般是给终端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销,但是它仍然有一个缺点:如果作为默认网关的路由器损坏,所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关,如不重新启动终端设备,也不能切换到新的网关。采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol,简称VRRP)可以很好的避免静态指定网关的缺陷。
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理 实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定 IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控,负责ARP相应和转发IP数据包,组中 的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时,备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
二、工作原理
一个VRRP路由器有唯一的标识:VRID,范围为0—255。该路由器对外表现为唯一的虚拟MAC地址,地址的格式为00-00-5E- 00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样,无论如何切换,保证给终端设备的是唯一一致的IP和MAC地址,减少 了切换对终端设备的影响。
VRRP控制报文只有一种:VRRP通告(advertisement)。它使用IP多播数据包进行封装,组地址为224.0.0.18,发布 范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中,按优先级选举主控路由器,VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地 址相同,则称该虚拟路由器作VRRP组中的IP地址所有者;IP地址所有者自动具有最高优先级:255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中,高优先级的虚拟路由器获胜,因此,如果在VRRP组中有IP地址所有者,则它总是作为主控路由的角色出现。对于相同优先级的候选路由器,按照IP地址大小 顺序选举。VRRP还提供了优先级抢占策略,如果配置了该策略,高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性,提供了两种安全认证措施:明文认证和IP头认证。明文认证方式要求:在加入一个VRRP路由器组时,必须同时提 供相同的VRID和明文密码。适合于避免在局域网内的配置错误,但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性,能够防止报文 重放和修改等攻击。
三、 应用实例
最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1、 H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成 为主控,从而保证了对客户透明的安全切换。
在VRRP应用中,RTA在线时RTB只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以到达备份和负载 分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地址所有者。将H1的默认网关设 定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和网络流量,又提高了网络可靠性。
VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。
使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
文件:
3550vrrp.rar
大小:
672KB
下载:
下载
