路由实现了不同子网之间的数据通信,目前比较常用的路由配置方法大概分为两种: 动态路由 (利用RIP、OSPF进行动态学习)和 静态路由 (对终端设备静态配置路由)。动态路由可以通过学习的方式获取路由表,避免了静态路由需要手动配置以及后续变更的繁琐,但同时需要额外的占用线路带宽和CPU的处理时间。VRRP技术是在静态路由上用于在目标机器不可达之后的路由能够自动变更的一种实现手段。
二、VRRP
2.1、简介
VRRP(Virtual Router Redundancy Protocol),即虚拟路由冗余协议,它是为了避免路由器出现单点故障的一种容错协议。VRRP协议的实现有 VRRPv2 和 VRRPv3 两个版本, VRRPv2 基于 IPv4 , VRRPv3 基于 IPv6 。相关RFC文件为:RFC2338 - Virtual Router Redundancy Protocol,RFC3768 - Virtual Router Redundancy Protocol (VRRP),RFC5798 - Virtual Router Redundancy Protocol (VRRP) Version 3 for IPv4 and IPv6。
2.2、基础概念
VIP :Virtual IP, 即虚拟IP,是一个不与特定计算机或网络接口卡(NIC)相连的IP地址;VRRP路由器 :运行VRRP协议的路由器(或设备),它可能属于一个或多个虚拟路由器;Master路由器 :承担转发报文任务的VRRP设备;Backup路由器 :一组没有担转发任务的VRRP设备,当Master设备出现故障时,它们将通过竞选成为新的Master设备;虚拟路由器 :由一组 VRRP路由器 组成,抽象成一个虚拟的路由器。它拥有一个 虚拟路由器标识符(VRID) 和一个(或多个) VIP ;虚拟MAC地址 :即虚拟路由器根据VRID生成的MAC地址,一个虚拟路由器拥有一个虚拟MAC地址,当虚拟路由器回应ARP请求时,回复虚拟MAC地址,而不是接口的真实MAC地址,格式为: 00-00-5E-00-01-{VRID}(VRRP for IPv4) , 00-00-5E-00-02-{VRID}(VRRP for IPv6) ,从VRID的用途可以看出VRID的取值范围是0~255;IP地址拥有者(IP Address Owner) :如果一个 VRRP路由器 将 VIP 作为真实的接口地址,则该设备是IP地址拥有者,当这台设备正常工作时,它会响应 目的地址 是VIP的报文,如ping、TCP连接等;优先级(Priority) :用来标识虚拟路由器中各成员路由器的优先级, 虚拟路由器 根据优先级选举出 Master 和 Backup ;2.3、报文
VRRP协议报文用来将 Master设备 的 优先级 和 状态 通告给同一备份组的所有 Backup设备 。VRRP协议报文封装在IP报文中,发送到分配给VRRP的IP组播地址。
IP报文头中,源地址为发送报文接口的主IP地址(不是虚拟IP地址),目的地址是224.0.0.18,TTL是255,协议号是112;IP报文头中,TTL必须为255,当VRRP路由器收到TTL不等于255的VRRP协议报文后,必须丢弃;
2.3.1、VRRPv2报文
仅适用于IPv4网络;为了兼容早期版本(RFC2338),VRRPv2版本保留报文的认证字段,但是VRRP认证并不能提高安全性;秒级的通告报文的发送时间间隔;2.3.2、VRRPv3报文
适用于IPv4和IPv6两种网络;不支持认证功能;厘秒级(100分之1秒)的通告报文的发送时间间隔;2.3.3、报文字段含义
Version :长度4比特,指VRRP协议版本,VRRPv2此字段为2,VRRPv3此字段为3;Type :长度4比特,定义了VRRP报文的类型,本版本的协议仅定义了一个报文类型:1 :Advertisement 带有未知类型的报文必须被丢弃;Virtual Rtr ID8 :长度8比特,虚拟路由器标识(VRID)字段标识了此报文所报告状态的虚拟路由器。可配置的范围是1–255。没有缺省值;Priority :长度8比特,申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。如果VRRP路由器是虚拟路由器地址的IP地址所有者,那么其优先级必须为255。备用作用的VRRP路由器的优先级必须在1–254之间。缺省的VRRP路由器优先级为100。优先级值0 用于指示当前虚拟路由器的主路由器停止参与VRRP组。主要用于触发备用路由器快速地迁移到主路由器,而不用等待当前主路由器超时;Count IP Addrs :长度8比特。在此VRRP通告中包含的IP地址的数量;Auth Type :长度8比特,用于标识要用到的认证方法。在一个虚拟路由器组内认证类型是唯一的。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配,那么该报文必须被丢弃。目前定义的认证方法有:0(No Authentication) : 表明VRRP协议报文的交换不需要认证。在发送VRRP协议报文时, Authentication Data 字段将被置为 0 ,而在接收协议报文时, Authentication Data 字段被忽略;1(Simple Text Password) : 表示明文认证方式。2(IP Authentication Header) :表示MD5认证方式;Adver Int :长度8比特,VRRP通告间隔时间,单位为秒(默认为1秒),这个字段主要用于错误配置路由器时的故障定位和解决;Checksum :长度16比特,16位校验和,用于检测VRRP报文中的数据破坏情况;IP Address :长度32比特,VRRP备份组的虚拟IPv4地址或者虚拟IPv6地址;Authentication Data :长度32比特,VRRP报文的认证字,目前只有明文认证和MD5认证才用到该部分,对于其它认证方式,一律填0;如果觉得《vrrp协议_Keepalived的高可用基石 - VRRP协议》对你有帮助,请点赞、收藏,并留下你的观点哦!
