当VRRP的Master设备的上行接口出现问题,而Master设备一直保持Active状态,那么就会导致网络出现中断,所有必须要使得VRRP的运行状态和上行接口能够关联。
在配置了VRRP冗余的网络中,为了进一步提高网络可靠性,需要在Master设备上配置上行接口监视,监视连接了外网的出接口。即当此接口断掉时,自动减小优先级一定的数值,使减小后的优先级小于Backup设备的优先级,这样Backup设备就会抢占Master角色接替工作。
VRRP支持报文的认证。默认情况下,设备对要发送和接收的VRRP报文不进行任何认证处理,认为收到的都是真实的、合法的VRRP报文。为了使VRRP运行更加安全和稳定,可以配置VRRP的认证。VRRP支持简单字符【Simple】认证和MD5认证方式,用户可根据安全需要选择认证方式。
实验目的
- 理解
VRRP监视接口的应用场景 - 掌握
VRRP监视接口的配置方法 - 掌握
VRRP认证的配置方法
实验拓扑
实验步骤
-
按照图示进行基础配置
R1: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R1 [R1]int g0/0/0 [R1-GigabitEthernet0/0/0]ip address 172.16.2.254 24 [R1-GigabitEthernet0/0/0]int g0/0/1 [R1-GigabitEthernet0/0/1]ip address 172.16.3.254 24 R2: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R2 [R2]int e0/0/1 [R2-Ethernet0/0/1]ip address 172.16.1.100 24 [R2-Ethernet0/0/1]int g0/0/0 [R2-GigabitEthernet0/0/0]ip address 172.16.2.100 24 R3: <Huawei>sys [Huawei]undo info-center en [Huawei]sysname R3 [R3]int e0/0/1 [R3-Ethernet0/0/1]ip address 172.16.1.200 24 [R3-Ethernet0/0/1]int g0/0/1 [R3-GigabitEthernet0/0/1]ip address 172.16.3.200 24 -
部署
OSPF网络R1: [R1]ospf [R1-ospf-1]area 0 [R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 R2: [R2]ospf [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 R3: [R3]ospf [R3-ospf-1]area 0 [R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 -
在
R2与R3上进行VRRP基本配置,并使得R2成为MasterR2: [R2]int e0/0/1 [R2-Ethernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 [R2-Ethernet0/0/1]vrrp vrid 1 priority 120 R3: [R3]int e0/0/1 [R3-Ethernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254 -
此时若
R2与R3之间的链路断掉【可通过关闭接口进行模拟验证】,R2并不能感知到,仍然会保持Master状态,从而导致数据到达不了R1。为了进一步提高网络的可靠性和安全性,需要在
Master设备R2上配置VRRP的上行接口监视。当R2的上行接口发生故障时,将自动降低优先级使得Backup设备能抢占Master角色从而接替工作,将网络中断所造成的影响最小化。 -
配置
R2监视上行接口g0/0/0,当此接口断掉时,裁减优先级50,使其优先级变为120-50=70,小于R3的优先级100。[R2-Ethernet0/0/1]vrrp vrid 1 track interface g0/0/0 reduced 50关闭
R1的g0/0/0接口模拟故障发生,查看此时主备切换情况
-
默认情况下,设备对要发送的VRRP报文不进行任何认证处理,收到VRRP报文的设备也不进行检测,认为收到的都是真实、合法的VRRP报文,可以通过配置更改VRRP的认证模式,使VRRP对报文进行验证,从而增加安全性。
注意:同一VRRP备份组的认证方式必须相同,否则Master和Backup设备无法协商成功。
R2: [R2]int e0/0/1 [R2-Ethernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei R3: [R3]int e0/0/1 [R3-Ethernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei
本实验取自华为公司《HCNA网络技术实验指南》,此书对于新手学习计算机网络协议以及熟悉eNSP操作十分友好,强烈推荐!!!
