了解 VRRP
虚拟路由器冗余协议 (VRRP) 可用于在 LAN 上创建虚拟冗余路由平台,从而在不依赖单个路由平台的情况下路由 LAN 上的流量。
了解 VRRP
对于以太网接口、快速以太网接口、千兆以太网、10 千兆以太网和逻辑接口,您可以配置 IPv6 虚拟路由器冗余协议 (VRRP) 或 VRRP。VRRP 使 LAN 上的主机能够利用该 LAN 上的冗余路由平台,而无需在主机上对单个默认路由进行多次静态配置。VRRP 路由平台共享与主机上配置的默认路由相对应的 IP 地址。在任何时候,其中一个 VRRP 路由平台都是主(主动),而其他是备份。如果主路由平台发生故障,其中一个备用路由平台将成为新的主路由平台,提供虚拟默认路由平台,并能够在不依赖单个路由平台的情况下路由 LAN 上的流量。使用 VRRP,备份设备可以在几秒钟内接管出现故障的默认设备。这是以最小的 VRRP 流量完成的,无需与主机进行任何交互。管理接口不支持虚拟路由器冗余协议。
运行 VRRP 的设备动态选择主设备和备份设备。您还可以使用 1 到 255 之间的优先级强制分配主设备和备份设备,其中 255 为最高优先级。在 VRRP作中,默认主设备会定期向备份设备发送播发。默认间隔为 1 秒。如果备份设备在设定的时间段内未收到播发,则优先级第二高的备份设备将接管主设备并开始转发数据包。
不能为路由 VLAN 接口 (RVI) 设置优先级 255。
为了最大程度地减少网络流量,VRRP 的设计方式是,在任何给定时间点,只有充当主设备的设备才能发出 VRRP 播发。备份设备在接管主角色之前不会发送任何播发。
与 IPv6 邻接方发现过程相比,适用于 IPv6 的 VRRP 提供了更快切换到备用默认路由器的速度。典型部署仅使用一个备份路由器。
不要将 VRRP 主路由平台和备份路由平台与 虚拟机箱 配置的主交换机和备份成员交换机混淆。虚拟机箱配置的主要成员和备份成员组成单个主机。在 VRRP 拓扑中,一台主机用作主路由平台,另一台主机作为备用路由平台运行,如 图 3 所示。
VRRP 在 RFC 3768 虚拟路由器冗余协议中定义。IPv6 的 VRRP 在 draft-ietf-vrrp-ipv6-spec-08.txt IPv6 虚拟路由器冗余协议中定义。另请参阅 draft-ietf-vrrp-unified-mib-06.txt 上的 IPv4 和 IPv6 VRRP 托管对象的定义。
尽管 RFC 3768 中定义的 VRRP 不支持身份验证,但 VRRP 的 Junos OS 实施仍支持 RFC 2338 中定义的身份验证。此支持是通过 RFC 3768 中的向后兼容性选项实现的。
在 EX2300 和 EX3400 交换机上,VRRP 协议必须配置为 2 秒或更长时间的 Hello 间隔,无效间隔不少于 6 秒,以防止在 CPU 密集型作事件(如路由引擎切换、接口抖动和从数据包转发引擎收集的详尽数据)期间发生抖动。
图 1 展示了基本的 VRRP 拓扑。在此示例中,路由器 A、B 和 C 正在运行 VRRP,并共同构成一个虚拟路由器。此虚拟路由器的 IP 地址为 10.10.0.1(与路由器 A 的物理接口地址相同)。
由于虚拟路由器使用路由器 A 物理接口的 IP 地址,因此路由器 A 是主 VRRP 路由器,而路由器 B 和 C 用作备用 VRRP 路由器。客户端 1 到 3 配置了默认网关 IP 地址 10.10.0.1。作为主路由器,路由器 A 转发发送到其 IP 地址的数据包。如果主虚拟路由器发生故障,则配置了较高优先级的路由器将成为主虚拟路由器,并为 LAN 主机提供不间断的服务。当路由器 A 恢复时,它将再次成为主虚拟路由器。
在某些情况下,在继承会话期间,有一小段时间范围内,两台路由器处于主-主状态。在这种情况下,继承状态的 VRRP 组每 120 秒发送一次 VRRP 播发。因此,路由器从主-主状态变为主备份状态后,最多需要 120 秒才能恢复。
ACX 系列路由器最多可支持 64 个 VRRP 组条目。这些可以是 IPv4 或 IPv6 系列的组合。如果其中任一系列(IPv4 或 IPv6)仅为 VRRP 配置,则支持 64 个唯一的 VRRP 组标识符。如果 IPv4 和 IPv6 家族共享同一个 VRRP 组,则仅支持 32 个唯一 VRRP 标识符。
ACX 系列路由器支持 IPv6 地址的 VRRP 版本 3。
ACX5448 路由器支持 RFC 3768 VRRP 版本 2 和 RFC 5798 VRRP 版本 3。ACX5448 路由器还支持通过聚合以太网和集成路由和桥接 (IRB) 接口配置 VRRP。
在 ACX5448 路由器上配置 VRRP 时,适用以下限制:
-
最多可配置 16 个 VRRP 组。
-
不支持 VRRP 版本 2 和 VRRP 版本 3 的互连。
-
不支持 VRRP 委托处理。
-
不支持 VRRP 版本 2 身份验证。
图 1 展示了使用 EX 系列交换机的基本 VRRP 拓扑。在此示例中,交换机 A、B 和 C 运行 VRRP,它们共同构成了一个虚拟路由平台。此虚拟路由平台的 IP 地址为10.10.0.1(与交换机 A 的物理接口地址相同)。
上的基本 VRRP
图 3 展示了使用虚拟机箱配置的基本 VRRP 拓扑。交换机 A、交换机 B 和交换机 C 分别由多台互连的瞻博网络 EX4200 以太网交换机组成。每个虚拟机箱配置都作为运行 VRRP 的单个交换机运行,它们共同构成一个虚拟路由平台。此虚拟路由平台的 IP 地址为10.10.0.1(与交换机 A 的物理接口地址相同)。
上的 VRRP
由于虚拟路由平台使用交换机 A 物理接口的 IP 地址,因此交换机 A 是主 VRRP 路由平台,而交换机 B 和交换机 C 则充当备用 VRRP 路由平台。客户端 1 到 3 配置了默认网关 IP 地址 10.10.0.1 ,作为主路由器,交换机 A 转发发送到其 IP 地址的数据包。如果主路由平台发生故障,则配置了较高优先级的交换机将成为主虚拟路由平台,并为 LAN 主机提供不间断的服务。交换机 A 恢复后,它将再次成为主虚拟路由平台。
VRRP 和 VRRP for IPv6 概述
您可以为以下接口配置虚拟路由器冗余协议 (VRRP) 和 IPv6 VRRP:
以太网
快速以太网
三重速率以太网铜缆
千兆以太网
10 千兆以太网 LAN/WAN PIC
以太网逻辑接口
VRRP 和 VRRP for IPv6 允许 LAN 上的主机使用该 LAN 上的冗余路由器,而无需在主机上对单个默认路由进行静态配置。VRRP 路由器共享与主机上配置的默认路由相对应的 IP 地址。在任何时候,其中一个 VRRP 路由器都是主(活动)路由器,其他路由器是备份路由器。如果主路由器发生故障,其中一台备份路由器将成为新的主路由器,从而始终提供虚拟默认路由器,并允许在不依赖单个路由器的情况下路由 LAN 上的流量。
VRRP 在 RFC 3768 虚拟路由器冗余协议中定义。
有关 VRRP 和 VRRP for IPv6 概述信息、配置准则和语句摘要,请参阅 Junos OS 高可用性用户指南。
Junos OS 对 VRRPv3 的支持
使用 VRRPv3 的优势在于 VRRPv3 同时支持 IPv4 和 IPv6 地址族,而 VRRPv2 仅支持 IPv4 地址。
以下主题介绍 Junos OS 对 VRRPv3 的支持和互作性,以及 VRRPv3 与其前身之间的一些区别:
Junos OS VRRP 支持
在早于 12.2 的版本中,Junos OS 支持 RFC 3768, 虚拟路由器冗余协议 (VRRP)( 适用于 IPv4)和互联网草案 draft-ietf-vrrp-ipv6-spec-08, 适用于 IPv6 的虚拟路由器冗余协议。
使用早于 Junos OS 12.2 版的路由器不支持 VRRPv3,QFX10000 交换机上的 IPv6 也不支持。
QFX10002-60C 支持适用于 IPv6 的 VRRPv3。
从 12.2 版开始,Junos OS 支持:
RFC 3768, 虚拟路由器冗余协议 (VRRP)
RFC 5798,IPv4 和 IPv6 的虚拟路由器冗余协议 (VRRP) 版本 3
RFC 6527, 虚拟路由器冗余协议第 3 版 (VRRPv3) 托管对象的定义
由于 VRRP 校验和计算中的差异,使用 Junos OS 12.2 及更高版本的路由器上的 VRRP(用于 IPv6)无法与具有早期 Junos OS 版本的路由器上的 VRRP(用于 IPv6)互作。请参阅 IPv6 VRRP 校验和行为差异。
IPv6 VRRP 校验和行为差异
启用 IPv6 VRRP 网络时,必须考虑以下校验和差异:
在早于 Junos OS 12.2 版的版本中,配置了适用于 IPv6 的 VRRP 时,VRRP 校验和将根据 RFC 3768 虚拟路由器冗余协议 (VRRP) 的第 5.3.8 节计算。
从 Junos OS 12.2 版开始,当配置 VRRP for IPv6 时,无论是否启用 VRRPv3,VRRP 校验和都是根据 RFC 5798 的第 5.2.8 节计算,适用于 IPv4 和 IPv6 的虚拟路由器冗余协议 (VRRP) 第 3 版。
此外,仅在计算 IPv6 VRRP 校验和时才会包含伪报头。计算 IPv4 VRRP 校验和时,不包括伪报头。
要使装有 Junos OS 12.2 版(或更高版本的 Junos OS 版)的路由器 IPv6 VRRP 与运行早于 12.2 版的 Junos OS 版本的路由器互作,
checksum-without-pseudoheader请在运行 Junos OS 12.2 或更高版本的路由器的层次结构级别包含[edit protocols vrrp]配置语句。tcpdumpJunos OS 12.2 及更高版本中的实用程序根据 RFC 5798(适用于 IPv4 和 IPv6 的虚拟路由器冗余协议 (VRRP) 第 3 版)计算 VRRP 校验和。因此,当解析从较旧的 Junos OS 版本(早于 Junos OS 12.2 版)接收的 IPv6 VRRP 数据包时tcpdump,将显示以下bad vrrp cksum消息:23:20:32.657328 Out ... -----original packet----- 00:00:5e:00:02:03 > 33:33:00:00:00:12, ethertype IPv6 (0x86dd), length 94: (class 0xc0, hlim 255, next-header: VRRP (112), length: 40) fe80::224:dcff:fe47:57f > ff02::12: VRRPv3-advertisement 40: vrid=3 prio=100 intvl=100(centisec) (bad vrrp cksum b4e2!) addrs(2): fe80::200:5eff:fe00:3,2001:4818:f000:14::1 3333 0000 0012 0000 5e00 0203 86dd 6c00 0000 0028 70ff fe80 0000 0000 0000 0224 dcff fe47 057f ff02 0000 0000 0000 0000 0000 0000 0012 3103 6402 0064 b4e2 fe80 0000 0000 0000 0200 5eff fe00 0003 2001 4818 f000 0014 0000 0000 0000 0001您可以忽略此消息,因为它不表示 VRRP 故障。
VRRP 互作性
在早于 Junos OS 12.2 的版本中,VRRP (IPv6) 遵循互联网草案 draft-ietf-vrrp-ipv6-spec-08,但校验和是根据 RFC 3768 第 5.3.8 节计算的。从 12.2 版开始,VRRP (IPv6) 遵循 RFC 5798,校验和是根据 RFC 5798 第 5.2.8 节计算的。由于 VRRP 校验和计算存在差异,在使用 Junos OS 12.2 及更高版本的路由器上配置的 IPv6 VRRP 无法与在 Junos OS 12.2 版之前的版本中配置的 IPv6 VRRP 互作。
要使装有 Junos OS 12.2 版(或更高版本的 Junos OS 版)的路由器能够与运行早于 12.2 版的 Junos OS 版本的路由器进行互作,请在装有 Junos OS 12.2 或更高版本的路由器中包括 checksum-without-pseudoheader 层次结构级别的 [edit protocols vrrp] 配置语句。
以下是有关 VRRP 互作性的一些一般要点:
如果在使用 Junos OS 12.2 或更高版本的路由器上配置了 VRRPv3(IPv4 或 IPv6),则它无法与使用 Junos OS 12.1 或更早版本的路由器配合使用。这是因为只有 Junos OS 12.2 及更高版本支持 VRRPv3。
在使用 Junos OS 12.2 及更高版本的路由器上配置的 VRRP(IPv4 或 IPv6)与在使用 Junos OS 12.2 及更高版本的路由器上配置的 VRRP(IPv4 或 IPv6)可互作。
适用于 IPv4 的 VRRPv3 无法与早期版本的 VRRP 互作。如果启用了 VRRPv3 的路由器收到 VRRPv2 IPv4 播发数据包,则路由器会自身转换为备份状态,以避免在网络中创建多个主服务器。由于这种行为,在现有 VRRPv2 网络上启用 VRRPv3 时必须小心谨慎。更多信息,请参阅 从 VRRPv2 升级到 VRRPv3 。
注意:配置了以前版本 VRRP 的路由器会忽略 VRRPv3 通告数据包。
从 VRRPv2 升级到 VRRPv3
仅当可以在网络中的所有 VRRP 路由器上启用 VRRPv3 时,才在网络中启用 VRRPv3。
仅当从 VRRPv2 升级到 VRRPv3 时,才在 VRRPv2 网络上启用 VRRPv3。 混合使用两个版本的 VRRP 不是永久性的解决方案。
VRRP 版本更改被认为是灾难性和破坏性的,可能不会是无中断的。数据包丢失持续时间取决于许多因素,如 VRRP 组的数量、涉及的接口和 FPC 以及路由器上运行的其他服务和协议的负载。
由于以下考虑因素,必须非常小心地从 VRRPv2 升级到 VRRPv3,以避免流量丢失:
无法同时在所有路由器上配置 VRRPv3。
在过渡期间,VRRPv2 和 VRRPv3 都在网络中运行。
更改 VRRP 版本会重新启动所有 VRRP 组的状态机。
VRRPv3(用于 IPv4)路由器在收到 VRRPv2(用于 IPv4)播发数据包时默认为备份状态。
VRRPv2(用于 IPv4)数据包始终具有最高的优先级。
VRRPv2 和 VRRPv3(适用于 IPv6)之间的校验和差异可能会创建多个主路由器。
升级时禁用备份路由器上的 VRRPv3(用于 IPv6),以避免创建多个主路由器。
表 1 说明了从 VRRPv2 到 VRRPv3 过渡期间发生的步骤和事件。在 表 1 中,两台 VRRPv2 路由器 R1 和 R2 配置在两个组中,即 G1 和 G2。路由器 R1 充当 G1 的主路由器,路由器 R2 充当 G2 的主路由器。
|
|
For IPv4 |
For IPv6 |
|
|
启用 VRRPv3 时,请确保在网络中的所有 VRRP 路由器上启用 VRRPv3,因为 VRRPv3 (IPv4) 无法与早期版本的 VRRP 互作。例如,如果启用了 VRRPv3 的路由器收到 VRRPv2 IPv4 播发数据包,则路由器将自身转换为备份状态,以避免在网络中创建多个主服务器。
您可以通过在层次结构级别配置[edit protocols vrrp]该语句来启用 VRRPv3version-3(对于 IPv4 或 IPv6 网络)。在 LAN 上的所有 VRRP 路由器上配置相同的协议版本。
VRRPv3 功能特性
VRRPv3 中的某些 Junos OS 功能与之前的 VRRP 版本不同。
VRRPv3 身份验证
启用 VRRPv3(用于 IPv4)时,不允许进行身份验证。
authentication-type不能为任何 VRRP 组配置 andauthentication-key语句。您必须使用非 VRRP 身份验证。
VRRPv3 播发间隔
VRRPv3(用于 IPv4 和 IPv6)播发间隔必须在层次结构级别使用[edit interfaces interface-name unit 0 family inet address ip-address vrrp-group group-name]语句进行fast-interval 设置。
请勿使用该
advertise-interval语句(对于 IPv4)。请勿使用该
inet6-advertise-interval语句(对于 IPv6)。
用于 VRRPv3 的统一 ISSU
在 Junos OS 15.1 版中对 VRRP 统一不中断服务的软件升级 (ISSU) 进行了设计更改,以实现以下功能:
在统一 ISSU 期间保持与对等路由器的协议邻接关系。在对等路由器上为正在进行统一 ISSU 的路由器创建的协议邻接不应发生翻动,这意味着远程对等路由器上的 VRRP 不应发生翻动。
与竞品或互补设备保持互作性。
保持与其他 Junos OS 版本和其他瞻博网络产品的互作性。
以下配置(在层次结构级别找到 [edit interfaces interface-name unit 0 family inet address ip-address vrrp-group group-name] )的值需要保持在最大值,以支持统一 ISSU:
在主路由器上,播发间隔(语
fast-interval句)需要保持在 40950 毫秒。在备份路由器上,主关闭间隔(语
advertisements-threshold句)需要保持在最大阈值。
此 VRRP 统一 ISSU 设计仅适用于 VRRPv3。VRRPv1 或 VRRPv2 不支持该功能。其他限制包括:
VRRP 统一 ISSU 仅处理 VRRP。数据包转发由数据包转发引擎负责。数据包转发引擎统一 ISSU 应确保流量不间断。
在统一 ISSU 期间,VRRP 不受任何更改事件的影响,例如,将主路由引擎切换到备份或将备份路由引擎切换到主引擎。
VRRP 可能会在进入统一 ISSU 之前停止并丢弃任何运行计时器。这意味着计时器到期时的预期作永远不会发生。但是,您可以将统一 ISSU 推迟到所有运行计时器到期。
不能同时在本地和远程路由器上执行统一 ISSU。
VRRP 故障切换延迟概述
故障切换是一种备用作模式,在这种模式下,当主设备因故障或计划停机时间而无法使用时,网络设备的功能将由辅助设备接管。故障切换通常是任务关键型系统中不可或缺的一部分,必须在网络上持续可用。
VRRP 不支持成员之间的会话同步。如果主设备发生故障,优先级最高的备份设备将接管主设备,并开始转发数据包。任何现有会话都将作为状态外在备份设备上被丢弃。
快速故障切换需要很短的延迟。因此,故障切换延迟可配置 VRRP 和 IPv6作的 VRRP 的故障切换延迟时间(以毫秒为单位)。Junos OS 支持 50 到 100000 毫秒的故障切换延迟时间范围。
在路由引擎上运行的 VRRP 进程 (vrrpd) 会将 VRRP 主要角色更改传达给每个 VRRP 会话的数据数据包转发引擎。每个 VRRP 组都可以触发此类通信,以使用自己的状态或从活动 VRRP 组继承的状态更新数据包转发引擎。为避免此类消息使数据包转发引擎过载,可以配置故障切换延迟,以指定后续路由引擎到数据包转发引擎通信之间的延迟。
路由引擎将 VRRP 主要角色更改传达给数据包转发引擎,以促进数据包转发引擎上必要的状态更改,例如数据包转发引擎硬件过滤器、VRRP 会话等的重新编程。以下部分详细介绍了两种情况下的路由引擎到数据包转发引擎的通信:
当未配置故障切换延迟时
如果未配置故障切换延迟,则从路由引擎运行的 VRRP 会话的事件序列如下:
当路由引擎检测到的第一个 VRRP 组更改状态,且新状态为主状态时,路由引擎将生成相应的 VRRP 通告消息。数据包转发引擎将收到有关状态变化的信息,以便立即重新编程该组的硬件过滤器。然后,新的主服务器会向 VRRP 组发送免费 ARP 消息。
故障切换计时器中的延迟开始。默认情况下,故障切换延迟计时器为:
500 毫秒 — 当配置的 VRRP 通告间隔小于 1 秒时。
2 秒 — 当配置的 VRRP 通告间隔为 1 秒或更长时间,且路由器上的 VRRP 组总数为 255 时。
10 秒 — 当配置的 VRRP 通告间隔为 1 秒或更长时间,且路由器上的 VRRP 组数超过 255 时。
路由引擎对后续 VRRP 组执行逐个状态更改。每次状态发生变化,且特定 VRRP 组的新状态为主要状态时,路由引擎都会生成相应的 VRRP 通告消息。但是,在故障切换延迟计时器到期之前,与数据包转发引擎的通信将被抑制。
故障切换延迟计时器到期后,路由引擎会向数据包转发引擎发送有关设法更改状态的所有 VRRP 组的消息。因此,将重新编程这些组的硬件过滤器,并且对于新状态为主的组,将发送无偿 ARP 消息。
此过程将重复进行,直到所有 VRRP 组的状态转换完成。
因此,在不配置 故障切换 延迟的情况下,将立即执行第一个 VRRP 组的完整状态转换(包括 路由引擎 和 数据包转发引擎 上的状态),而其余 VRRP 组数据包转发引擎上的状态转换将延迟至少 0.5-10 秒,具体取决于配置的 VRRP 通告计时器和 VRRP 组的数量。在此中间状态期间,由于硬件过滤器的延迟重新配置,可能会在数据包转发引擎级别丢弃针对数据包转发引擎上尚未完成的状态更改的 VRRP 组的流量。
配置了故障切换延迟时
配置故障切换延迟后,从路由引擎运行的 VRRP 会话的事件序列将修改如下:
路由引擎检测到某些 VRRP 组需要更改状态。
故障切换延迟在配置的时间段内开始。允许的故障切换延迟计时器范围为 50 到 100000 毫秒。
路由引擎对 VRRP 组执行逐个状态更改。每次状态发生变化,且特定 VRRP 组的新状态为主要状态时,路由引擎都会生成相应的 VRRP 通告消息。但是,在故障切换延迟计时器到期之前,与数据包转发引擎的通信将被抑制。
故障切换延迟计时器到期后,路由引擎会向数据包转发引擎发送有关设法更改状态的所有 VRRP 组的消息。因此,将重新编程这些组的硬件过滤器,并且对于新状态为主的组,将发送无偿 ARP 消息。
此过程将重复进行,直到所有 VRRP 组的状态转换完成。
因此,在配置故障切换延迟时,甚至会延迟第一个 VRRP 组的数据包转发引擎状态。但是,网络运营商的优势在于配置最适合网络部署需求的故障切换延迟值,以确保在 VRRP 状态更改期间将中断降至最低。
故障切换延迟仅影响由路由引擎上运行的 VRRP 进程 (VRRPD)作的 VRRP 会话。对于分发到数据包转发引擎的 VRRP 会话,故障切换延迟配置不起作用。