网络之路30：配置VRRP

网络之路第一章：Windows系统中的网络
0、序言
1、Windows系统中的网络
1.1、桌面中的网卡
1.2、命令行中的网卡
1.3、路由表
1.4、家用路由器
网络之路第二章：认识企业设备
2、认识企业设备
2.1、MSR810-W外观
2.2、登录MSR810-W管理页面
2.3、快速设置上网
2.4、WLAN配置
2.5、LTE模块配置
2.6、MSR810-W高级设置
网络之路第三章：认识设备命令行
3、认识设备命令行
3.1、通过Console接口登录设备
3.2、远程登录设备
3.3、Comware系统的基本命令
3.4、MSR810-W配置解读
3.5、MSR810-W初始化配置
网络之路第四章（上）：认识网络模拟器
4、认识网络模拟器
4.1、HCL华三云实验室
4.2、eNSP企业网络模拟平台
4.3、Cisco Packet Tracer
4.4、EVE-NG
4.4.1、从OVF导入部署到ESXi
4.4.2、使用ISO安装到WorkStation
4.4.3、EVE-NG导入iol镜像
4.4.4、EVE-NG导入qemu镜像
网络之路第四章（下）：认识虚拟化
4.5、虚拟化环境VMware ESXi
4.5.1、定制ESXi 6.7安装镜像
4.5.2、部署ESXi 6.7
4.5.3、ESXi 6.7升级ESXi 7.0
4.5.4、vCenter纳管ESXi主机
4.6、虚拟化环境CAS
4.6.1、部署CVM管理节点
4.6.2、部署CVK计算节点
4.6.3、CVM纳管CVK节点
4.7、网络功能虚拟化NFV
4.7.1、部署NFV
4.7.2、配置NFV网络
4.7.3、NFV设备初始配置
网络之路第五章：基础网络实验
5、基础网络实验
5.1、简单网络环境搭建与测试
5.2、网络设备基本连接与调试
5.3、ARP协议
5.4、DHCP报文交互过程
5.5、DHCP基础实验
5.6、DHCP进阶实验
5.7、VLAN基础实验
5.8、VLAN进阶实验
网络之路26：STP生成树协议
6、以太网交换基础实验
6.1、生成树协议
网络之路27：IRF设备堆叠
6.2、IRF
网络之路28：二层链路聚合
6.3、二层链路聚合
网络之路29：三层链路聚合
6.4、三层链路聚合
我们前面从设备层面介绍了几种提升网络可靠性的方案，有单设备提高链路可靠性的链路聚合（网络之路28：二层链路聚合、网络之路29：三层链路聚合），还有跨设备的堆叠技术IRF（网络之路27：IRF设备堆叠）。对于跨设备的可靠性方案，还有一种比较常见的技术VRRP，我们今天来一起学习一下。

6.5、配置VRRP
VRRP全称是Virtual Router Redundancy Protocol，直译为虚拟路由器冗余协议，从字面来看，路由器指的是可以承担网关功能的设备，可以是路由器，也可以是三层交换机设备；冗余指的是至少2台网关设备，虚拟指的是通过虚拟的网关IP地址来代理真实的网关IP地址。

VRRP的协议标准是RFC 3768（虚拟路由器冗余协议VRRP），规范指出，需要将LAN上的多个VRRP设备加入到一个备份组中，形成一台虚拟设备，并为该虚拟设备指定虚拟IP地址；并且通过选举协议，决定将虚拟设备的虚拟IP地址动态分配给其中的某个VRRP设备；LAN内的主机仅与VRRP虚拟路由器的虚拟IP地址进行通信。如此看来，VRRP应该属于网络层协议，在H3C官网的配置指导中，将其归类为可靠性配置。

接下来，我们用HCL模拟器配置一个最简单的VRRP单备份组实验。

组网需求
1、核心交换机CORESW通过虚拟网关10.1.1.1与VRRP备份组互通；

2、手工配置VRRP1为主设备，VRRP2为备设备。当VRRP1正常工作时，PCA发送到ISP的报文经VRRP1转发；当VRRP1出现故障时，PCA发送给Host B的报文通过VRRP2转发。

3、配置VRRP1工作在抢占模式，以保证VRRP1故障恢复后，能再次抢占成为Master，即只要VRRP1正常工作，就由VRRP1负责转发流量。为了避免频繁地进行状态切换，配置抢占延迟时间为3000厘秒（30秒）；

4、实现PCA可以持续访问ISP的业务地址8.8.8.8。

组网图
VRRP单备份组配置组网图：

实验环境
Windows 10专业版（1909-18363.1556，16 GB内存）
HCL 3.0.1
MSR 36-20（Version 7.1.064, Release 0821P11）
S5820V2-54QS-GE（Version 7.1.075, Alpha 7571）

配置步骤

VRRP1
配置接口GigabitEthernet0/0 的真实IP地址。

#
interface GigabitEthernet0/0
ip address 10.1.1.11 255.255.255.0
创建VRRP备份组10，并配置备份组10的虚拟IP地址为10.1.1.1。

#
interface GigabitEthernet0/0
vrrp vrid 10 virtual-ip 10.1.1.1
在未配置的情况下，成员在备份组中的优先级默认为100，优先级越大表示选举时优先级越高，所以我们要配置VRRP1在备份组中的优先级高于VRRP2。按照RFC3768之规定，“拥有与虚拟路由器相关联IP地址的VRRP路由器的优先级必须配置为255”，但是我们可以手工配置的范围是1-254。那我们就配置VRRP1在备份组10中的优先级为200，配置VRRP2使用默认的优先级100，以保证VRRP1可以选举成为Master，以负责转发流量。

#
interface GigabitEthernet0/0
vrrp vrid 10 priority 200
缺省情况下，备份组中的路由器已经工作在抢占方式，抢占延迟时间为0厘秒。按照默认配置，VRRP1故障恢复后即可立即抢占成为Master。但为了避免频繁地进行状态切换，我们将抢占延迟时间配置为3000厘秒（30秒）。

#
interface GigabitEthernet0/0
vrrp vrid 10 preempt-mode delay 3000
VRRP1的其他网络配置如下：

#
interface GigabitEthernet0/1
ip address 20.1.1.1 255.255.255.0
nat outbound
#
ip route-static 0.0.0.0 0 20.1.1.2
ip route-static 10.2.1.0 24 10.1.1.254

VRRP2
VRRP2的配置按照前面介绍的，在配置接口GigabitEthernet0/0 的真实IP地址之后，创建VRRP备份组10，并配置备份组10的虚拟IP地址为10.1.1.1；不配置优先级，使用默认的优先级100；同时将抢占延迟时间配置为3000厘秒（30秒）。VRRP2的完整配置如下：

#
interface GigabitEthernet0/0
ip address 10.1.1.22 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.1
vrrp vrid 10 preempt-mode delay 3000
#
interface GigabitEthernet0/1
ip address 30.1.1.1 255.255.255.0
nat outbound
#
ip route-static 0.0.0.0 0 30.1.1.2
ip route-static 10.2.1.0 24 10.1.1.254

CORESW
#
vlan 1
#
vlan 2
#
interface Vlan-interface1
ip address 10.1.1.254 255.255.255.0
#
interface Vlan-interface2
ip address 10.2.1.254 255.255.255.0
#
interface GigabitEthernet1/0/1
port access vlan 2
#
ip route-static 0.0.0.0 0 10.1.1.1

ISP
#
interface LoopBack1
ip address 8.8.8.8 255.255.255.0
#
interface GigabitEthernet0/0
ip address 20.1.1.2 255.255.255.0
#
interface GigabitEthernet0/1
ip address 30.1.1.2 255.255.255.0

验证配置
测试从PCA到ISP的业务联通性。

业务访问正常，我们看一下VRRP1设备上备份组的详细状态信息。

可以看到，VRRP的工作模式为Standard标准协议模式，存在的备份组数目为1，备份组所在的接口为GigabitEthernet0/0；接口GigabitEthernet0/0下的备份组号为10，VRRP通告报文发送的时间间隔为100厘秒（1秒），当前设备为VRRP备份组中的Master路由器，路由器的配置优先级和当前的运行优先级为200；抢占模式开启，抢占延迟时间为3000厘秒（30秒）；备份组的虚拟IP地址为10.1.1.1。还有备份组虚拟IP地址对应的虚拟MAC地址、对应接口的主IP地址等信息。

我们再看一下VRRP2设备上备份组的详细状态信息。

可以看到，与主设备VRRP1不同的是，当前设备为VRRP备份组中的Backup路由器，路由器的配置优先级和当前的运行优先级为100；没有显示备份组虚拟IP地址对应的虚拟MAC地址，说明此信息只在路由器为Master状态时才会显示；同时多了一个Become Master选项，指切换到Master状态需要等待的时间，这个选项只有设备处于Backup状态时才会显示。

接下来，我们在PCA上开启长ping，在CORESW和VRRP2的互联线路上开启抓包，然后DOWN掉VRRP1的下联口。

我们可以看到，ping的时延出现了一个短暂的波动，然后马上恢复，整体没有出现丢包。

然后我们看一下抓包情况。

如果你仔细学习了上一篇RFC文档（虚拟路由器冗余协议VRRP），看这个报文应该轻轻松松。首先我们可以看到VRRP通告报文（type1报文）发送的时间间隔为1秒；发送的源MAC地址为00-00-5E-00-01-0a，最后的0a就是VRID值，转换为十进制就是10；TTL值为255，TTL不等于255的数据包将被丢弃；协议号是IANA为VRRP分配112；源地址是主设备的接口真实IP地址，目的地址是IANA为VRRP分配的组播地址224.0.0.18；最内层还有VRRP的配置信息，包含主设备优先级、IP地址数量、IP地址等信息。对照RFC文档的第5章节来看，一目了然。

也正是这种简单的报文交互，使得跨厂商配置VRRP变得异常简单。

然后我们看VRRP备份组主设备失效时的报文。

可以看到，备设备抢占之后快速开始对外发布Announcement报文，告诉外界自己现在是Master设备了。

最后是VRRP1抢占回Master角色的过程，可以看到两者都在发送Announcement报文，但是当VRRP2收到VRRP1的报文之后，发现VRRP通告报文中的优先级200高于自身的优先级100，它就自动切换到备状态了，也没有和VRRP1设备进行交互。这部分的详细实现请参考RFC文档的第6章节。

从VRRP2的告警来看：

设备的VRRP备份组角色从Backup切换为Master的原因是master_down_timer计时器超时和收到了优先级为零的VRRP通告报文，优先级为零表示当前的Master已经停止参与VRRP；从Master切换为Backup的原因是收到了优先级大于本地优先级的VRRP通告报文。

最后，我们看一眼VRRP备份组的统计信息。

可以看到，VRRP1成为Master路由器的次数为2次，收到的VRRP通告报文的数目为1个，发送的优先级为0的VRRP通告报文的数目为1个，

怎么样，现在看VRRP的报文是不是一目了然了呢？