VRRP技术详解

1.1.1  设置备份组的优先级VRRP中根据优先级来确定参与备份组的每台路由器的地位，备份组中优先级最高的路由器将成为Master。
优先级的取值范围为0到255（数值越大表明优先级越高），但是可配置的范围最小值是1，最大值是254。优先级0为系统保留给特殊用途来使用，255则是系统保留给IP地址拥有者。
请在接口视图下进行下列配置。
表1-1 设置备份组的优先级
操作
命令
设置备份组的优先级
vrrp vrid virtual-router-ID priority priority-value
恢复为缺省值
undo vrrp vrid virtual-router-ID priority

缺省情况下，优先级的取值范围为100。
&  说明：
对于IP地址拥有者，存在配置优先级和运行优先级两种优先级，配置优先级即用vrrp vrid配置的优先级；运行优先级是不可配置的，始终为255。

1.1.2  设置备份组的抢占方式和延迟时间在非抢占方式下，一旦备份组中的某台路由器成为Master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级，也不会成为Master。如果安全网关设置为抢占方式，它一旦发现自己的优先级比当前的Master的优先级高，就会成为Master，相应地，原来的Master将会变成Backup。
在设置抢占的同时，还可以设置延迟时间。这样可以使得Backup延迟一段时间成为Master。其目的是这样的，在性能不够稳定的网络中，Backup可能因为网络堵塞而无法正常收到Master的报文，使用vrrp vrid命令配置了抢占延迟时间后，可以避免因网络的短暂故障而导致的备份组内路由器的状态频繁转换。
延迟的时间以秒计，范围为0～255。
请在接口视图下进行下列配置。
表1-2 设置和取消备份组的抢占方式和延迟时间
操作
命令
设置备份组的抢占方式和延迟时间
vrrp vrid virtual-router-ID preempt-mode [ timer delay delay-value ]
取消备份组的抢占方式
undo vrrp vrid virtual-router-ID preempt-mode

缺省方式是抢占方式，延迟时间为0。
&  说明：
取消抢占方式，则延迟时间就会自动变为0秒。

1.1.3  设置认证方式及认证字VRRP提供了两种认证方式，分别是：
l              SIMPLE：简单字符认证
l              MD5：MD5认证
在一个安全的网络中，可以采用缺省值，则路由器对要发送的VRRP报文不进行任何认证处理，而收到VRRP报文的路由器也不进行任何认证就认为是一个真实的，合法的VRRP报文，这种情况下，不需要设置认证字。
在一个有可能受到安全威胁的网络中，可以将认证方式设置为SIMPLE，则发送VRRP报文的路由器就会将认证字填入到VRRP报文中，而收到的VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较，相同则认为是真实的、合法的VRRP报文，否则认为是一个非法的报文，将会丢弃。这种情况下，应当设置长度为不超过8字节的认证字。
在一个非常不安全的网络中，可以将认证方式设置为MD5，则路由器就会利用Authentication Header提供的认证方式和MD5算法来对VRRP报文进行认证。这种情况下，应当设置长度不超过8字节的认证字。
对于没有通过认证的报文将做丢弃处理，并会向网管发送陷阱报文。
请在接口视图下进行下列配置。
表1-3 设置认证方式和认证字
操作
命令
设置认证方式和认证字
vrrp authentication-mode { md5 key | simple key }
恢复为缺省值
undo vrrp authentication-mode

缺省认证方式为不进行认证。
&  说明：
一个接口上的备份组要设置相同的认证方式和认证字。

1.1.4  设置VRRP的定时器VRRP备份组中的Master路由器通过定时（adver-interval）发送VRRP报文来向组内的路由器通知自己工作正常。如果Backup超过一定时间（master-down-interval）没有收到Master发送来的VRRP报文，则认为它已经无法正常工作。同时就会将自己的状态转变为Master。
用户可以通过设置定时器的命令来调整Master发送VRRP报文的间隔时间（adver-interval）。而Backup的master-down-interval的间隔时间大约是adver-interval的3倍。如果网络流量过大或者不同的路由器上的定时器差异等因素，会导致master-down-interval异常到时而导致状态转换。对于这种情况，可以通过将adver-interval的间隔时间延长和设置延迟时间的办法来解决。adver-interval的时间单位是秒。
请在接口视图下进行下列配置。
表1-4 设置VRRP定时器
操作
命令
设置VRRP定时器
vrrp vrid virtual-router-ID timer advertise adver-interval
恢复为缺省值
undo vrrp vrid virtual-router-ID timer advertise

缺省情况下，adver-interval的值是1秒，取值范围从1到255。
1.1.5  设置监视指定接口VRRP监视接口功能，更好地扩充了备份功能，即不仅在备份组所在的接口出现故障时提供备份功能，而且在安全网关的其它接口不可用时，也可以使用备份功能。具体做法是通过设置监视某个接口的命令来实现。当被监视的接口DOWN时，这个接口的安全网关的优先级会自动降低一个数额（priority-reduced），于是就会导致备份组内其它路由器的优先级高于这个路由器的优先级，从而使得其它优先级高的路由器转变为Master，达到对这个接口监视的目的。
请在接口视图下进行下列配置。
表1-5 设置和取消监视接口
操作
命令
设置监视指定接口
vrrp vrid virtual-router-ID track interface-type interface-number [ reduced  priority-reduced ]
取消监视指定接口
undo vrrp vrid virtual-router-ID track [ interface-type interface-number ]

缺省情况下，priority-reduced的值为10。
&  说明：
当安全网关为IP地址拥有者时，不允许对其进行监视接口的配置。

1.2  VRRP显示和调试在完成上述配置后，在所有视图下执行display命令可以显示VRRP配置后的运行情况，通过查看显示信息验证配置的效果。
在用户视图下，执行debugging命令可以对VRRP进行调试。
表1-6 VRRP显示和调试
操作
命令
显示VRRP的状态信息
display vrrp [ interface type number [ virtual-router-ID ] ]
使能对VRRP报文的调试
debugging vrrp packet
禁止对VRRP报文的调试
undo debugging vrrp packet
使能对VRRP状态的调试
debugging vrrp state
禁止对VRRP状态的调试
undo debugging vrrp state

用户可以通过打开VRRP调试开关的命令来查看VRRP的运行情况。共有两个调试开关，一个是VRRP的报文调试开关（packet），一个是VRRP的状态调试开关（state），缺省情况下是将调试开关关闭。