热备份加nat转换(华为)
 
 
 
 

VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由,这样,主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA,从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时,本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信产生单点故障。VRRP 就是为解决上述问题而提出的,它为具有多播组播或广播能力的局域网(如:以太网)设计。VRRP 将局域网的一组路由器(包括一个Master 即活动路由器和若干个Backup 即备份路由器)组织成一个虚拟路由器,称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1(这个IP 地址可以和备份组内的某个路由器的接口地址相同,相同的则称为ip拥有者),备份组内的路由器也有自己的IP 地址(如Master的IP 地址为10.100.10.2,Backup 的IP 地址为10.100.10.3)。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1,而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3,它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是,网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉,Backup 路由器将会通过选举策略选出一个新的Master 路由器,继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息,可以参考RFC 3768。

互相区别:  VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。

 

  使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。

工作原理:  vrrp只定义了一种报文——vrrp报文,这是一种组播报文,由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数,还可以用于主三层交换机的选举。

 
  VRRP中定义了三种状态模型,初始状态Initialize,主状态Master和从状态Slave,其中只有活动状态的 交换机可以为到虚拟IP地址的的转发请求提供服务。
 
  vrrp报文是 封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。
 
  那么如何从备份组的多台交换机中选举Master?这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。
 

  虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。其他交换机作为备份交换机,随时监测主交换机的状态。当主交换机正常工作时,它会每隔一段时间发送一个VRRP组播报文,以通知组内的备份交换机,主交换机处于正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机的VRRP组播报文,则将自己状态转换为Master。当组内有多台备份交换机,将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转换为Backup,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的交换机选成新的主交换机,完成VRRP的备份功能。

应用实例 

 最典型的VRRP应用:RTA、RTB组成一个VRRP路由器组,假设RTB的处理能力高于RTA,则将RTB配置成IP地址所有者,H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器,负责ICMP重定向、ARP应答和IP报文的转发;一旦RTB失败,RTA立即启动切换,成为主控,从而保证了对客户透明的安全切换。

 
  在VRRP应用中,RTB在线时RTA只是作为后备,不参与转发工作,闲置了路由器RTA和链路L1。通过合理的网络设计,可以达到备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组:在组1中RTA为IP地址所有者;组2中RTB为IP地址所有者。将H1的 默认网关设定为RTA;H2、H3的默认网关设定为RTB。这样,既分担了设备负载和 网络流量,又提高了网络可靠性。
 
  VRRP协议的工作机理与CISCO公司的HSRP(Hot Standby Routing Protocol)有许多相似之处。但二者主要的区别是在CISCO的HSRP中,需要单独配置一个IP地址作为虚拟路由器对外体现的地址,这个地址不能是组中任何一个成员的接口地址。
 
  使用VRRP协议,不用改造目前的网络结构,最大限度保护了当前投资,只需最少的管理费用,却大大提升了网络性能,具有重大的应用价值。
 
实验环境:一台防火墙,两台pc机,两台路由器,两台交换机
 
 

热备份加nat转换(华为_第1张图片

 
配置防火墙:
 
[r1]fire packet default permit
[r1]firewall zone trust
[r1-zone-trust]add inter e0/0
[r1-zone-trust]add inter e0/1
[r1-zone-trust]add inter e0/2
[r1-zone-trust]inter eth0/0
[r1-Ethernet0/0]ip address 192.168.5.1 255.255.255.0
[r1-Ethernet0/0]inter eth0/1                        
[r1-Ethernet0/1]ip address 192.168.4.1 255.255.255.0
[r1-zone-trust]inter eth0/2                        
[r1-Ethernet0/2]ip address 192.168.3.1 255.255.255.0
[r1-Ethernet0/2]loopback
配置r2:
[r2-Ethernet0]inter e1
[r2-Ethernet1]ip address 192.168.4.2 255.255.255.0
[r2-Ethernet0]inter e0.10
[r2-Ethernet0.10]vlan-type dot1q vid 10
[r2-Ethernet0.10]ip address 192.168.10.1 255.255.255.0
[r2-Ethernet0.10]inter e0.20
[r2-Ethernet0.20]vlan-type dot1q vid 20
[r2-Ethernet0.20]ip address 192.168.20.1 255.255.255.0
配置静态路由:
[r2]ip route 0.0.0.0 0.0.0.0 192.168.4.1
R2做nat转换:
[r2]acl 2000
[r2-acl-2000]rule permit source any
[r2]inter e1
[r2-Ethernet1]nat outbound 2000 interface
配置r3:
[r3]ip route 0.0.0.0 0.0.0.0 192.168.5.1
[r3]inter e0
[r3-Ethernet0]ip address 192.168.5.2 255.255.255.0
[r3-Ethernet0]
%01:20:09: Line protocol ip on the interface Ethernet0 is UP
[r3-Ethernet0]undo shut
[r3]inter eth1.10
[r3-Ethernet1.10]vlan-type do1q vid 10
 Incorrect command
 
[r3-Ethernet1.10]vlan-type dot1q vid 10
[r3-Ethernet1.10]ip address 192.168.10.2 255.255.255.0
[r3-Ethernet1.10]inter eth0.20
[r3-Ethernet1.20]vlan-type dot1q vid 20
[r3-Ethernet1.20]ip address 192.168.20.2 255.255.255.0
Nat转换:
[r3]acl 2000
[r3-acl-2000]rule permit source any
 Rule has been added to normal packet-filtering rules
[r3-acl-2000]inter e0
[r3-Ethernet0]nat outbound 2000 interface
Sw1配置:
[sw1]vlan 10
[sw1-vlan10]port e0/10
[sw1-vlan10]vlan 20
[sw1-vlan20]port e0/20
[sw1]inter e0/1
[sw1-Ethernet0/1]port link-type trunk
[sw1-Ethernet0/1]port trunk permit vlan all
 Please wait........................................... Done.
[sw1-Ethernet0/5]port link-type trunk      
[sw1-Ethernet0/5]port trunk permit vlan all
 Please wait........................................... Done.
Sw2配置:
[sw2]vlan 10
[sw2-vlan10]port e0/10
[sw2-vlan10]vlan 20
[sw2-vlan20]port e0/20
[sw2]inter e0/1
[sw2-Ethernet0/1]port link-type trunk
[sw2-Ethernet0/1]port trunk permit vlan all
 Please wait........................................... Done.
[sw2-Ethernet0/5]port link-type trunk      
[sw2-Ethernet0/5]port trunk permit vlan all
 Please wait........................................... Done.
用pc机(vlan10—192.168.10.100)测试:
C:\Users\Administrator>ping 192.168.10.1
 
正在 Ping 192.168.10.1 具有 32 字节的数据:
来自 192.168.10.1 的回复: 字节=32 时间<1ms TTL=255
来自 192.168.10.1 的回复: 字节=32 时间<1ms TTL=255
来自 192.168.10.1 的回复: 字节=32 时间<1ms TTL=255
来自 192.168.10.1 的回复: 字节=32 时间<1ms TTL=255
 
192.168.10.1 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 0ms,最长 = 0ms,平均 = 0ms
 
C:\Users\Administrator>ping 192.168.3.1
 
正在 Ping 192.168.3.1 具有 32 字节的数据:
来自 192.168.3.1 的回复: 字节=32 时间=2ms TTL=254
来自 192.168.3.1 的回复: 字节=32 时间=2ms TTL=254
来自 192.168.3.1 的回复: 字节=32 时间=2ms TTL=254
来自 192.168.3.1 的回复: 字节=32 时间=3ms TTL=254
 
192.168.3.1 的 Ping 统计信息:
    数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
    最短 = 2ms,最长 = 3ms,平均 = 2ms
 
说明nat转换成功
测试:
C:\Documents and Settings\>ping 192.168.3.1
 
Pinging 192.168.3.1 with 32 bytes of data:
 
Reply from 192.168.3.1: bytes=32 time=2ms TTL=254
Reply from 192.168.3.1: bytes=32 time=2ms TTL=254
Reply from 192.168.3.1: bytes=32 time=3ms TTL=254
Reply from 192.168.3.1: bytes=32 time=4ms TTL=254
 
Ping statistics for 192.168.3.1:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 2ms, Maximum = 4ms, Average = 2ms
测试成功,说明nat转换成功。
进入r2:
[r2]inter eth0.10
[r2-Ethernet0.10]vrrp vrid 10 virtual-ip 192.168.10.254 (做虚拟路由)
[r2-Ethernet0.10]inter eth0.20 
[r2-Ethernet0.20]vrrp vrid 20 virtual-ip 192.168.20.254 (做虚拟路由)
[r2-Ethernet0.20]inter eth0.10
[r2-Ethernet0.10]vrrp vrid 10 priority 120 (设置优先级为120)
[r2-Ethernet0.10]vrrp vrid 10 preempt (设置抢占)
[r2-Ethernet0.10]vrrp vrid 10 track eth0.10 reduced 30 (设置为一旦被抢占优先级自动减30)
[r2-Ethernet0.10]inter e0.20
[r2-Ethernet0.20]vrrp vrid 20 preempt(设置抢占
进入r3:
[r3]inter e1.10
[r3-Ethernet1.10]vrrp vrid 10 virtual 192.168.10.254(做虚拟路由)
[r3-Ethernet1.10]inter e0
%02:29:07: Interface Ethernet1 is DOWN.20
[r3-Ethernet1.20]inter e0.20
[r3-Ethernet1.20]
%02:29:12: Interface Ethernet1 is UP   
[r3-Ethernet1.20]vrrp vrid 20 priority 120 (设置优先级为120)      
[r3-Ethernet1.20]vrrp vrid 20 virtual 192.168.20.254(做虚拟路由)
[r3-Ethernet1.20]vrrp vrid 20 preempt(设置抢占)
[r3-Ethernet1.20]vrrp vrid 20 track e1.20 reduced 30(设置为一旦被抢占优先级自动减30)
[r3-Ethernet1.20]inter e1.10
[r3-Ethernet1.10]vrrp vrid 10 preempt(设置抢占
R3上显示vrrp:
[r3]dis vrrp
   Ethernet1.20 | Virtual Router 20
       state : Master
 Virtual IP : 192.168.20.254
    Priority : 120
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO
    Track IF : Ethernet1.20   Priority reduced : 30
 
   Ethernet1.10 | Virtual Router 10
       state : Backup
 Virtual IP : 192.168.10.254
    Priority : 100
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO
R2上显示vrrp:
[r2]dis vrrp
   Ethernet0.10 | Virtual Router 10
       state : Master
 Virtual IP : 192.168.10.254
    Priority : 120
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO
    Track IF : Ethernet0.10   Priority reduced : 10
 
   Ethernet0.20 | Virtual Router 20
       state : Backup
 Virtual IP : 192.168.20.254
    Priority : 100
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO
Vlan10(192.168.10.100)访问192.168.20.100
C:\Users\Administrator>tracert 192.168.20.100
 
通过最多 30 个跃点跟踪
到 [192.168.20.100] 的路由:
 
 1      1 ms     1 ms    <1 毫秒 192.168.10.1
 2     <1 毫秒    <1 毫秒    <1 毫秒  [192.168.20.100]
 
跟踪完成。
 
关闭r2上e1接口继续测试:
10.100ping20.100:
C:\Users\Administrator>tracert 192.168.20.100
 
通过最多 30 个跃点跟踪
到 [192.168.20.100] 的路由:
 
 1     <1 毫秒    <1 毫秒    <1 毫秒 192.168.10.2
 2     <1 毫秒    <1 毫秒    <1 毫秒  [192.168.20.100]
 
跟踪完成。
用vlan20 192.168.20.100ping192.168.10.100
 
C:\Documents and Settings\>tracert 192.168.10.100
 
Tracing route to 192.168.10.100 over a maximum of 30 hops
 
 1      2 ms    <1 ms    <1 ms 192.168.20.2
 2      1 ms    <1 ms     1 ms 192.168.10.100
 
Trace complete.
把r3的e1口关闭:
用vlan20 192.168.20.100ping192.168.10.100
 
C:\Documents and Settings\>tracert 192.168.10.100
 
Tracing route to 192.168.10.100 over a maximum of 30 hops
 
 1     <1 ms    <1 ms    <1 ms 192.168.20.1
 2     <1 ms    <1 ms    <1 ms 192.168.10.100
 
Trace complete.
在测试r3vrrp:
[r3-Ethernet1]dis vrrp
   Ethernet1.20 | Virtual Router 20
       state : Initialize (因为是关闭e1所以这样显示)
 Virtual IP : 192.168.20.254
    Priority : 90 (优先级减少30)
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO
    Track IF : Ethernet1.20   Priority reduced : 30
 
   Ethernet1.10 | Virtual Router 10
       state : Initialize
 Virtual IP : 192.168.10.254
    Priority : 100
     Preempt : YES   Delay Time : 0
       Timer : 1
   Auth Type : NO