H3C设备VRRP配置手册.docx

资源描述

H3C设备VRRP配置手册.docx

《H3C设备VRRP配置手册.docx》由会员分享，可在线阅读，更多相关《H3C设备VRRP配置手册.docx（18页珍藏版）》请在冰点文库上搜索。

H3C设备VRRP配置手册.docx

H3C设备VRRP配置手册

VRRP简介

vrrp（virtualrouterredundancyprotocol，虚拟路由冗余协议）是一种容错协议。

通常，一个网络内的所有主机都设置一条缺省路由（如下图所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器router，从而实现了主机与外部网络的通信。

当路由器出现故障时，本网段内所有以此路由器为缺省路由下一跳的主机将断掉与外部的通信。

vrrp就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：

以太网）设计。

我们结合下图来看一下vrrp的实现原理。

vrrp将局域网的一组路由器（包括一个master即活动路由器和若干个backup即备份路由器）组织成一个虚拟路由器，称之为一个备份组。

备份组号virtual-router-id范围从1到255，虚拟地址可以是备份组所在网段中未被分配的ip地址，也可以是属于备份组某接口的ip地址。

对于后者，称拥有这个接口ip地址的防火墙为一个地址拥有者（ipaddressowner）。

当指定第一个ip地址到一个备份组时，系统会创建这个备份组，以后再指定虚拟ip地址到这个备份组时，系统仅仅将这个地址添加到这个备份组的虚拟ip地址列表中。

防火墙的一个接口可以同时加入到14个备份组中。

而一个备份组最多可以配置16个虚拟ip地址。

在对一个备份组进行其它配置之前，必须先通过指定一个虚拟ip地址的命令将这个备份组创建起来。

备份组中最后一个虚拟ip地址被删除后，这个备份组也将同时被删除掉。

也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。

2.2.2设置备份组的优先级

vrrp中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master。

优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是254。

优先级0为系统保留给特殊用途来使用，255则是系统保留给ip地址拥有者。

请在接口视图下进行下列配置。

缺省情况下，优先级为100。

对于所有vrrp组成员，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrpvrid配置的优先级，非ip拥有者的运行优先级与配置优先级是相同的；ip拥有者的运行优先级是不可配置的，始终为255。

2.2.3设置备份组的抢占方式和延迟时间

在非抢占方式下，一旦备份组中的某台防火墙成为master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为master。

如果防火墙设置为抢占方式，它一旦发现自己的优先级比当前的master的优先级高，就会成为master，相应地，原来的master将会变成backup。

在设置抢占的同时，还可以设置延迟时间。

这样可以使得backup延迟一段时间成为master。

其目的在性能不够稳定的网络中，backup可能因为网络堵塞而无法正常收到master的报文，使用vrrpvrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内防火墙的状态频繁转换。

延迟的时间以秒计，范围为0～255。

请在接口视图下进行下列配置。

缺省方式是抢占方式，延迟时间为0秒。

取消抢占方式，则延迟时间就会自动变为0秒。

2.2.4设置认证方式及认证字

vrrp提供了两种认证方式，分别是：

simple：

简单字符认证。

md5：

md5认证。

在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp报文不进行任何认证处理，而收到vrrp报文的防火墙也不进行任何认证。

在一个有可能受到安全威胁的网络中，可以将认证方式设置为simple，则发送vrrp报文的防火墙就会将认证字填入到vrrp报文中，而收到的vrrp报文的防火墙会将收到的vrrp报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的vrrp报文，否则认为是一个非法的报文，将其丢弃。

这种情况下，应当设置长度为不超过8个字符的认证字。

在一个非常不安全的网络中，可以将认证方式设置为md5，则防火墙就会利用authenticationheader提供的认证方式和md5算法来对vrrp报文进行认证。

如果以明文形式输入，长度为1～8个字符，如：

1234567；如果以密文形式输入，长度必须为24，并且必须是密文形式，如：

_（tt8f]y\5sq=^q`maf4[1!

。

对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。

请在接口视图下进行下列配置。

缺省认证方式为不进行认证。

一个接口上的备份组要设置相同的认证方式和认证字。

2.2.5设置vrrp的定时器

vrrp备份组中的master防火墙通过定时（adver-interval）发送vrrp报文来向组内的防火墙通知自己工作正常。

如果backup超过一定时间

（master-down-interval）没有收到master发送来的vrrp报文，则认为它已经无法正常工作。

同时就会将自己的状态转变为master。

用户可以通过设置定时器的命令来调整master发送vrrp报文的间隔时间（adver-interval）。

而backup的master-down-interval的间隔时间大约是adver-interval的3倍。

如果网络流量过大或者不同的防火墙上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。

对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。

adver-interval的时间单位是秒。

请在接口视图下进行下列配置。

缺省情况下，adver-interval的值是1秒，取值范围为1～255。

2.2.6设置监视指定接口

vrrp监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功能，而且在防火墙的其它接口不可用时，也可以使用备份功能。

具体做法是通过设置监视某个接口的命令来实现。

当被监视的接口down时，这个接口的防火墙的运行优先级会自动降低一个数额（priority-reduced），于是就会导致备份组内其它防火墙的运行优先级高于这个防火墙的运行优先级，从而使得其它运行优先级高的防火墙转变为master，达到对这个接口监视的目的。

请在接口视图下进行下列配置。

缺省情况下，priority-reduced的值为10。

当防火墙为ip地址拥有者时，不允许对其进行监视接口的配置。

2.2.7设置虚拟ip地址是否可以使用ping命令ping通

本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟ip地址。

根据vrrp的标准协议，备份组的虚拟ip地址是无法使用ping命令来ping通的。

这时防火墙连接的用户无法通过ping命令来判断一个ip地址是否被备份组使用。

如果用户将自己的主机ip配置与备份组的虚拟ip地址相同的ip地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。

使用下面的命令进行配置后，用户将可以使用ping命令ping通备份组的虚拟ip地址。

请在系统视图下进行下列配置。

缺省情况下，用户不能使用ping命令ping通备份组的虚拟ip地址。

此配置需要在备份组建立之前就进行设定。

如果防火墙上已经建立了备份组，系统将不允许再进行此配置。

2.2.8设置是否需要检查vrrp报文的ttl值

vrrp协议规定vrrp报文的ttl值只能为255。

如果backup检查到vrrp报文的ttl值不是255，就会将此报文丢弃。

可以使用下面的命令来设置取消检查vrrp报文的ttl值。

请在接口视图下进行下列配置。

缺省情况下，需要检查vrrp报文的ttl值。

H3CH3CSecPathF100-C相关内容：

报价|参数|图片|论坛|评测

VRRP配置

vrrp的基本配置包括：

1添加或删除虚拟ip地址

2设置备份组的优先级

3设置备份组的抢占方式和延迟时间

vrrp的高级配置包括：

1设置备份组的认证方式和认证字

2设置备份组的定时器

3设置监视指定接口

4设置虚拟ip地址是否可以使用ping命令ping通

5设置检查vrrp报文的ttl域

2.2.1添加或删除虚拟ip地址

将一个本网段的ip地址指定给到一个虚拟路由器（也称为一个备份组），或将一个指定到一个备份组虚拟ip地址从虚拟地址列表中删除。

请在接口视图下进行下列配置。

备份组号virtual-router-id范围从1到255，虚拟地址可以是备份组所在网段中未被分配的ip地址，也可以是属于备份组某接口的ip地址。

对于后者，称拥有这个接口ip地址的防火墙为一个地址拥有者（ipaddressowner）。

防火墙的一个接口可以同时加入到14个备份组中。

而一个备份组最多可以配置16个虚拟ip地址。

在对一个备份组进行其它配置之前，必须先通过指定一个虚拟ip地址的命令将这个备份组创建起来。

备份组中最后一个虚拟ip地址被删除后，这个备份组也将同时被删除掉。

也就是这个接口上不再有这个备份组，这个备份组的所有配置都不再有效。

2.2.2设置备份组的优先级

vrrp中根据优先级来确定参与备份组的每台防火墙的地位，备份组中优先级最高的防火墙将成为master。

优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是254。

优先级0为系统保留给特殊用途来使用，255则是系统保留给ip地址拥有者。

请在接口视图下进行下列配置。

缺省情况下，优先级为100。

2.2.3设置备份组的抢占方式和延迟时间

在非抢占方式下，一旦备份组中的某台防火墙成为master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为master。

如果防火墙设置为抢占方式，它一旦发现自己的优先级比当前的master的优先级高，就会成为master，相应地，原来的master将会变成backup。

在设置抢占的同时，还可以设置延迟时间。

这样可以使得backup延迟一段时间成为master。

延迟的时间以秒计，范围为0～255。

请在接口视图下进行下列配置。

缺省方式是抢占方式，延迟时间为0秒。

取消抢占方式，则延迟时间就会自动变为0秒。

2.2.4设置认证方式及认证字

vrrp提供了两种认证方式，分别是：

simple：

简单字符认证。

md5：

md5认证。

在一个安全的网络中，可以采用缺省值，则防火墙对要发送的vrrp报文不进行任何认证处理，而收到vrrp报文的防火墙也不进行任何认证。

这种情况下，应当设置长度为不超过8个字符的认证字。

在一个非常不安全的网络中，可以将认证方式设置为md5，则防火墙就会利用authenticationheader提供的认证方式和md5算法来对vrrp报文进行认证。

如果以明文形式输入，长度为1～8个字符，如：

1234567；如果以密文形式输入，长度必须为24，并且必须是密文形式，如：

_（tt8f]y\5sq=^q`maf4[1!

。

对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。

请在接口视图下进行下列配置。

缺省认证方式为不进行认证。

一个接口上的备份组要设置相同的认证方式和认证字。

2.2.5设置vrrp的定时器

vrrp备份组中的master防火墙通过定时（adver-interval）发送vrrp报文来向组内的防火墙通知自己工作正常。

如果backup超过一定时间

（master-down-interval）没有收到master发送来的vrrp报文，则认为它已经无法正常工作。

同时就会将自己的状态转变为master。

用户可以通过设置定时器的命令来调整master发送vrrp报文的间隔时间（adver-interval）。

而backup的master-down-interval的间隔时间大约是adver-interval的3倍。

如果网络流量过大或者不同的防火墙上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。

对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。

adver-interval的时间单位是秒。

请在接口视图下进行下列配置。

缺省情况下，adver-interval的值是1秒，取值范围为1～255。

2.2.6设置监视指定接口

具体做法是通过设置监视某个接口的命令来实现。

请在接口视图下进行下列配置。

缺省情况下，priority-reduced的值为10。

当防火墙为ip地址拥有者时，不允许对其进行监视接口的配置。

2.2.7设置虚拟ip地址是否可以使用ping命令ping通

本配置任务可以使用户能够使用ping命令来ping通备份组的虚拟ip地址。

根据vrrp的标准协议，备份组的虚拟ip地址是无法使用ping命令来ping通的。

这时防火墙连接的用户无法通过ping命令来判断一个ip地址是否被备份组使用。

如果用户将自己的主机ip配置与备份组的虚拟ip地址相同的ip地址，将会使本网段的报文都发送到用户的主机，导致本网段的数据不能被正确转发。

使用下面的命令进行配置后，用户将可以使用ping命令ping通备份组的虚拟ip地址。

请在系统视图下进行下列配置。

缺省情况下，用户不能使用ping命令ping通备份组的虚拟ip地址。

此配置需要在备份组建立之前就进行设定。

如果防火墙上已经建立了备份组，系统将不允许再进行此配置。

2.2.8设置是否需要检查vrrp报文的ttl值

vrrp协议规定vrrp报文的ttl值只能为255。

如果backup检查到vrrp报文的ttl值不是255，就会将此报文丢弃。

可以使用下面的命令来设置取消检查vrrp报文的ttl值。

请在接口视图下进行下列配置。

缺省情况下，需要检查vrrp报文的ttl值。

H3CH3CSecPathF100-C相关内容：

报价|参数|图片|论坛|评测

VRRP典型配置举例

2.4.1vrrp单备份组举例

1.组网需求

主机a把secpatha和secpathb组成的vrrp备份组作为自己的缺省网关，访问internet上的主机b。

vrrp备份组构成：

备份组号为1，虚拟ip地址为202.38.160.111，secpatha做master，secpathb做backup，允许抢占。

2.组网图

3.配置步骤

配置secpatha：

[h3c-ethernet1/0/0]ipaddress202.38.160.124

[h3c-ethernet1/0/0]vrrpvrid1virtual-ip202.38.160.111

[h3c-ethernet1/0/0]vrrpvrid1priority120

配置secpathb：

[h3c-ethernet1/0/0]ipaddress202.38.160.224

[h3c-ethernet1/0/0]vrrpvrid1virtual-ip202.38.160.111

备份组配置后不久就可以使用。

主机a可将缺省网关设为202.38.160.111。

正常情况下，secpatha执行网关工作，当secpatha关机或出现故障，secpathb将接替执行网关工作。

设置抢占方式，目的是当secpatha恢复工作后，能够继续成为master执行网关工作。

2.4.2vrrp监视接口举例

1.组网需求

即使secpatha仍然工作，但当其连接internet的接口不可用时，可能希望由secpathb来执行网关工作。

可通过配置监视接口来实现上述需求。

为了便于说明，设备份组号为1，并增加授权字和计时器的配置（在该应用中不是必须的）。

2.组网图

如图2-3。

3.配置步骤

配置secpatha：

#创建一个备份组。

[h3c-ethernet1/0/0]vrrpvrid1virtual-ip202.38.160.111

#设置备份组的优先级。

[h3c-ethernet1/0/0]vrrpvrid1priority120

#设置备份组的认证字。

[h3c-ethernet1/0/0]vrrpauthentication-modemd5vrrppwd

#设置master发送vrrp报文的间隔时间为5秒。

[h3c-ethernet1/0/0]vrrpvrid1timeradvertise5

#设置监视接口。

[h3c-ethernet1/0/0]vrrpvrid1trackethernet2/0/0reduced30

配置secpathb：

#创建一个备份组。

[h3c-ethernet1/0/0]vrrpvrid1virtual-ip202.38.160.111

#设置备份组的认证字。

[h3c-ethernet1/0/0]vrrpauthentication-modemd5vrrppwd

#设置master发送vrrp报文的间隔时间为5秒。

[h3c-ethernet1/0/0]vrrpvrid1timeradvertise5

正常情况下，secpatha执行网关工作，当secpatha的接口ethernet2/0/0不可用时，secpatha的优先级降低30，低于secpathb优先级，secpathb将抢占成为master执行网关工作。

当secpatha的接口ethernet2/0/0恢复工作后，secpatha能够继续成为master执行网关工作。

2.4.3多备份组举例

1.组网需求

在comware中，允许一台防火墙为多个备份组作备份。

通过多备份组设置可以实现负荷分担。

如secpatha作为备份组1的master，同时又兼职备份组2的backup，而secpathb正相反，作为备份组2的master，并兼职备份组1的backup。

一部分主机使用备份组1作网关，另一部分主机使用备份组2作为网关。

这样，以达到分担数据流，而又相互备份的目的。

2.组网图

如图2-3。

3.配置步骤

配置secpatha：

#创建一个备份组1。

[h3c-ethernet1/0/0]vrrpvrid1virtual-ip202.38.160.111

#设置备份组的优先级。

[h3c-ethernet1/0/0]vrrpvrid1priority120

展开阅读全文