3.1 网络可靠性(VRRP)

一个可靠性强的网络既要有很强的网络弹性以保证故障的快速复原，又要有很高的吞吐量以保证出/入流量的负载均衡。

第一条冗余(First Hop Redundancy Protocol，FHRP)，为终端设备提供网关的冗余。对于局域网的终端设备来说，局域网的网关就是它们经历的第一跳路由设备，配置在终端设备上的默认网关就是一条将下一跳指向网关设备连接局域网接口的默认路由。

出口网关发生故障时，主机与外部网络的通信就会中断。配置多个出口网关是提高系统可靠性的常见方法。虚拟路由器冗余协议(Vritual Router Redundancy Protocol,VRRP)是一种部署冗余网关最常用的FHRP

VRRP是一种容错协议，通过把几台路由器设备联合起来组成一台虚拟的路由设备，并通过一定的机制保证主机的下一跳设备出现故障时，可以及时地将业务切换到其它设备，从而保证通信的连续性和可靠性。提供一个虚拟网关指向两个物理网关，实现网关冗余，提高网络可靠性。
~
~
~

1、VRRP基本配置

下图交换机有两条线路分别连接了两台路由器，此时交换机有两个出口网关接入 Internet

这样的拓扑必须有相关的配套机制

1. 系统只能配置一个默认网关，每个网络只能选择其中一个出口接入Internet，当其中一个路由器出现故障时，该出口对应的网络将无法接入Internet
2. VRRP通过虚拟化技术将多台路由器虚拟成一台路由器的服务。
3. 将VRRP路由器AR1与AR2连接交换机的接口配置成一个VRRP组，两台路由器的接口就会对外使用相同的IP地址(10.1.1.254/24)和MAC地址。这个时候需要将终端设备上将这个IP地址(10.1.1.254/24)设置为默认网关地址，就可以实现网关设备的冗余。
4. 当其中一台路由器出现故障时，该局域网发往Internet的数据包全部由另一台设备转发，此时局域网终端是完全感知不到出口变化的，局域网的网关IP地址始终不变。

做实验，下图两台路由器R1、R2连接到路由器R3接入Internet。要求R1、R2使用VRRP实现路由备份。提高外网接入的可靠性。PC使用虚拟IP地址10.1.1.254作为网关。

1. 配置接口IP，R3配置loopback接口IP(172.16.1.1)作为测试用
2. 全网使用OSPF协议互通
3. 接口上配置VRRP协议

[R1]interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0]ip address 10.1.1.251 24
[R1-GigabitEthernet0/0/0]quit
[R1]interface gigabitethernet 0/0/1
[R1-GigabitEthernet0/0/1]ip address 1.1.1.1 30
[R1-GigabitEthernet0/0/1]quit

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]quit
1
2
3
4
5
6
7
8
9
10
11
12

[R2]interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0]ip address 10.1.1.252 24
[R2-GigabitEthernet0/0/0]quit
[R2]interface gigabitethernet 0/0/1
[R2-GigabitEthernet0/0/1]ip address 2.1.1.1 30
[R2-GigabitEthernet0/0/1]quit

[R2]ospf 
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 10.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]network 2.1.1.0 0.0.0.255
[R2-ospf-1-area-0.0.0.0]quit
1
2
3
4
5
6
7
8
9
10
11
12

[R3]interface gigabitethernet 0/0/0
[R3-GigabitEthernet0/0/0]ip address 1.1.1.2 30
[R3-GigabitEthernet0/0/0]quit
[R3]interface gigabitethernet 0/0/1
[R3-GigabitEthernet0/0/1]ip address 2.1.1.2 30
[R3-GigabitEthernet0/0/1]quit

[R3]interface loopback 0
[R3-LoopBack0]ip address 172.16.1.1 24
[R3-LoopBack0]quit

[R3]ospf
[R3-ospf-1]area 0
[R3-ospf-1-area-0.0.0.0]network 1.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 2.1.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]quit
[R3-ospf-1]
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

配置PC的IP地址，网关设置为10.1.1.254

~
PC ping 测试路由器R3的Loopback地址 172.16.1.1。可以看到链路已经互通

~
~
接下来在路由器R1上把VRRP的虚拟路由器ID(VRID)设置为10，虚拟路由器的IP设置为10.1.1.254。并将优先级的值调整为150，使其大于默认优先级100，从而使路由器R1成为VIRD 10 的主路由器，R2成为VRID 10 的备路由器。

[R1]interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 10 virtual-ip 10.1.1.254
[R1-GigabitEthernet0/0/0]vrrp vrid 10 priority 150
 
[R2]interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 10 virtual-ip 10.1.1.254
1
2
3
4
5
6

执行 display vrrp brief 查看R1、R2上的vrrp信息


可以看到输出的信息有VRID，接口状态，接口的虚拟IP。
路由器R1上显示的Master表示本路由器是VRRP的主用路由器，数据经过本路由器的线路来传输数据
路由器R2上显示的Backup表示本路由器是VRRP的备用路由器，当主路由器失效时，它能够成为VRRP的主用设备

执行display vrrp protocol-information命令可查看VRRP的版本信息

下面我们在PC上执行Tracert来验证VRRP的连通信及访问路径

可以看到PC访问路由器R3的Loopback的IP，首先经过的是路由器R1的G0/0/0接口，路由器R1 G0/0/0的接口IP正是10.1.1.251
下面我们将R1的G0/0/0接口shutdown，再观察PC访问R3的Loopback接口的路径有没有变化。

[R1]interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0]shutdown
1
2

路径跟踪观察到，此时PC访问路由器R3的路径变为了从R2经过，10.1.1.252正是路由器R2的G0/0/0接口的IP地址。

另外查看R2的VRRP信息，可以看到R2替代R1成为了主路由。Master状态

~
~
VRRP追踪上行接口状态
如果路由器R1与R3相连的接口G0/0/1链路出现故障，则路由器R2是不会收到任何通知的，此时路由器R1仍然是VRRP主用设备。


VRRP的目的是确保局域网中的主机在一台网关设备出现故障时，仍然可以通过另一台网关设备进行通信，那么需要让VRRP根据上行链路的状态进行相应切换。因此需要在R1的G0/0/0接口上配置一条跟踪命令，以实现VRRP追踪上行接口状态这一目标。

[R1]interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 10 track interface G0/0/1 reduced 100
1
2

这条命令将路由器R1的VRRP VRID 10中追踪接口G0/0/1的状态，当路由器R1的G0/0/0接口Down掉后，把VRRP VRID 10的优先级值减少100，路由器R1的G0/0/0接口的优先级值为150，减少100后变为50。低于路由器R2 G0/0/0接口的100，这样路由器R2就可以通过优先级抢占主用角色

~
~

通过关闭路由器R1的G0/0/1接口来模拟上行故障，观察VRRP的相关状态。输出信息可以看到路由器R1从Master状态变为了Backup，原因是G0/0/1接口状态变为了Down

路由器R2上也有相关的提示信息，可以看出路由器R2的VRRP状态从Backup变为了Master
~
在PC上进行跟踪测试。可以看到PC去往R3的路径是通过路由器R2的G0/0/0接口，VRRP主备切换成功。

~
~
~
华为设备默认启用VRRP抢占功能，当路由器R1的VRRP优先级降低时，路由器R2能够自动抢占路由器R1而成为VRRP的主路由器。当R1的接口故障恢复时，路由器R1将从R2中重新夺回VRRP主用路由器角色。 下面我们将路由器R1的G0/0/1接口恢复。
可以看到路由器R1已经从Backup状态变为了Master状态，从R2中夺回了VRRP主用路由器的角色。

~
执行 display vrrp state-change interface gigabitethernet 0/0/0 vrid 10 查看R1的G0/0/0接口的VRID 10中的VRRP状态变化情况。

~
~
~

2、VRRP认证配置

VRRP认证的目的是加强VRRP的安全性，VRRP认证指在VRRP设备的协商消息中添加认证参数，使具有相同认证的设备之间能够进行VRRP协商。

下图PC的IP地址10.1.1.10，网关设置为10.1.1.253，在路由器R1、R2上添加一个VRRP备份组，将VRID设置为20，虚拟IP地址设置为10.1.1.253，主用路由器为R2，备用路由器为R1，它们之间需要用密码进行VRRP通信。全网使用OSPF进行通信，上实验以配置过，这里不赘述。

路由器R1、R2上配置VRRP VRID 20 并启用认证功能

[R1]interface gigabitethernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 20 virtual-ip 10.1.1.253
[R1-GigabitEthernet0/0/0]vrrp vrid 20 authentication-mode simple plain huawei


[R2]interface gigabitethernet 0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 20 virtual-ip 10.1.1.253
[R2-GigabitEthernet0/0/0]vrrp vrid priority 150
[R2-GigabitEthernet0/0/0]vrrp vrid 20 authentication-mode simple plain huawei
1
2
3
4
5
6
7
8
9

①simple | md5：指定认证密码在网络中的传输模式，“simple”表示以明文进行传输，“md5”表示以密文进行传输。

~
②在simple后面可以直接配置执行认证所使用的密码，长度为1~8字符，plain和cipher指定了密码在配置中的保存模式，“plain”表示以明文保存在配置中，“cipher"表示以密文保存在配置中。

~
③从下面R1输出的验证信息，可以看到路由器R1已经启用了VRRP认证功能，认证模式为"simple”，密码为“huawei”

~
~
~

3、VRRP负载均衡

通过前面的配置，R1上有VRRP VRID 10的虚拟网关10.1.1.254，优先级为150。R2上有VRRP VRID 20的虚拟网关10.1.1.253，优先级为150。可以得知PC2访问 172.16.1.1走的是路由器R1，PC1访问 172.16.1.1走的是路由器R2。

~
在PC1、PC2上执行 tracert 验证结果


~
~
在路由器R1、R2上执行命令 display vrrp brief 回显信息可以明确看出，路由器R1是VRID 10的主用路由器，是VRID 20的备用路由器；路由器R2是VRID 20的主用路由器，是VRID 10的备用路由器。当为用户设置网关时，PC10，PC20两台主机分别以10.1.1.254和10.1.1.253作为网关地址，就实现了负载均衡。