VRRP konfigurieren

Obligatorische Parameter für die Konfiguration einer VRRP-Gruppe lauten wie folgt (Beispiele folgen):

1. Konfigurieren Sie die Gruppenkennung (obligatorisch).

2. Konfigurieren Sie die Gruppe:

   • Konfigurieren Sie die virtuelle IP-Adresse eines oder mehrerer virtueller Router, die Mitglieder der VRRP-Gruppe sind (obligatorisch).

   • Konfigurieren Sie die virtuelle verbindungslokale Adresse (nur VRRP für IPv6). Die virtuelle verbindungslokale Adresse wird automatisch generiert, wenn Sie VRRPv3 auf der Schnittstelle aktivieren. Sie können explizit eine virtuelle Link-Local-Adresse für jedes VRRP für die IPv6-Gruppe definieren. Die virtuelle verbindungslokale Adresse muss sich im selben Subnetz wie die physische Schnittstellenadresse befinden.

Beachten Sie bei der Auswahl eines VRRP-Gruppenbezeichners Folgendes:

• Wenn network-services es im IP-Modus konfiguriert ist, konfigurieren Sie dieselbe VRRP-Gruppen-ID nicht für mehrere VRRP-Sitzungen auf derselben physischen Schnittstelle, es sei denn, die VRRP-Delegierung ist deaktiviert. Wenn mehrere VRRP-Sitzungen auf derselben physischen Schnittstelle mit derselben VRRP-Gruppen-ID konfiguriert werden, während die VRRP-Delegierung aktiviert ist, sind die anderen virtuellen VRRP-IP-Adressen nicht mehr erreichbar, wenn eine der logischen Schnittstellen gelöscht wird.

• Wenn network-services es im erweiterten IP-Modus konfiguriert ist, können Sie dieselbe VRRP-Gruppen-ID für mehrere VRRP-Sitzungen verwenden.

Beachten Sie beim Konfigurieren einer virtuellen IP-Adresse Folgendes:

• Die virtuelle IP-Adresse muss für alle Routing-Plattformen in der VRRP-Gruppe identisch sein.

• Wenn Sie eine virtuelle IP-Adresse so konfigurieren, dass sie mit der Adresse der physischen Schnittstelle identisch ist, wird die Schnittstelle zum primären virtuellen Router für die Gruppe. In diesem Fall müssen Sie die Priorität auf 255 festlegen, und Sie müssen die vorzeitige Trennung konfigurieren, indem Sie die preempt Anweisung einschließen.

• Wenn die von Ihnen gewählte virtuelle IP-Adresse nicht mit der Adresse der physischen Schnittstelle übereinstimmt, müssen Sie sicherstellen, dass die virtuelle IP-Adresse an keiner anderen Stelle in der Konfiguration der Routingplattform angezeigt wird. Stellen Sie sicher, dass Sie diese Adresse nicht für andere Schnittstellen, für die IP-Adresse eines Tunnels oder für die IP-Adresse von statischen ARP-Einträgen verwenden.

• Es ist nicht möglich, eine virtuelle IP-Adresse so zu konfigurieren, dass sie mit der Adresse der Schnittstelle für eine aggregierte Ethernet-Schnittstelle identisch ist. Diese Konfiguration wird nicht unterstützt.

• Für VRRP für IPv6 kann die EUI-64 Option nicht verwendet werden. Darüber hinaus wird der Prozess zur Erkennung doppelter Adressen (Duplicate Address Detection, DAD) für virtuelle IPv6-Adressen nicht ausgeführt.

• Es ist nicht möglich, dieselbe virtuelle IP-Adresse auf Schnittstellen zu konfigurieren, die zur gleichen Kombination aus logischem System und Routing-Instanz gehören. Sie können jedoch dieselbe virtuelle IP-Adresse auf Schnittstellen konfigurieren, die zu unterschiedlichen logischen Systemen und Routing-Instanzkombinationen gehören.

Berücksichtigen Sie bei der Bestimmung, welche Priorität eine bestimmte Routingplattform in einer VRRP-Gruppe zu einer primären Plattform oder einem Backup macht, Folgendes:

• Sie können die Zuweisung von primären und Backup-Routern mit Prioritäten von 1 bis 255 erzwingen, wobei 255 die höchste Priorität ist.

• Der Prioritätswert für den VRRP-Router, der die IP-Adresse(n) besitzt, die dem virtuellen Router zugeordnet sind, muss 255 betragen.

• VRRP-Router, die einen virtuellen Router sichern, müssen Prioritätswerte von 1 bis 254 verwenden.

• Der Standardprioritätswert für VRRP-Router, die einen virtuellen Router sichern, ist 100.

• Gibt es nachverfolgte Schnittstellen oder Routen mit vorrangigen Kosten?

  Die Prioritätskosten sind der mit einer verfolgten logischen Schnittstelle oder Route verbundene Wert, der von der konfigurierten VRRP-Priorität abgezogen werden muss, wenn die verfolgte logische Schnittstelle oder Route ausfällt und eine neue Wahl des primären Routers erzwungen wird. Der Wert der Prioritätskosten kann zwischen 1 und 254 liegen. Die Summe der Prioritätskosten für alle nachverfolgten logischen Schnittstellen oder Routen muss kleiner oder gleich der konfigurierten Priorität der VRRP-Gruppe sein.

Im Folgenden finden Sie spezifische Beispiele für die Konfiguration einer VRRP-Gruppe.

Konfigurieren für VRRP-IPv4-Gruppen

So konfigurieren Sie grundlegende VRRP (IPv4)-Gruppen auf Schnittstellen:

Um VRRP oder VRRP für IPv6 zu konfigurieren, fügen Sie die bzwvrrp-inet6-group. Anweisung vrrp-group ein. Diese Anweisungen stehen auf den folgenden Hierarchieebenen zur Verfügung:

• [edit interfaces interface-name unit logical-unit-number family inet address address]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet address address]

Die VRRP- und VRRP-IPv6-Konfigurationsanweisungen lauten wie folgt:

Sie können VRRP IPv6 mit einer globalen Unicastadresse konfigurieren.

Um VRRP und VRRP für IPv6-Vorgänge zu verfolgen, schließen Sie die traceoptions Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Wenn mehrere VRRP-Gruppen vorhanden sind, gibt es eine Verzögerung von einigen Sekunden zwischen dem Zeitpunkt, an dem das erste kostenlose ARP gesendet wird, und dem Zeitpunkt, an dem der Rest des kostenlosen ARP gesendet wird. Durch die Konfiguration der Failoververzögerung wird diese Verzögerung kompensiert. Um die Failoververzögerung von 500 bis 2000 Millisekunden für VRRP- und VRRP für IPv6-Vorgänge zu konfigurieren, schließen Sie die failover-delay milliseconds Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Um den Startzeitraum für VRRP- und VRRP für IPv6-Vorgänge zu konfigurieren, schließen Sie die startup-silent-period Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Um VRRPv3 zu aktivieren, legen Sie die version-3 Anweisung auf der [edit protocols vrrp] Hierarchieebene fest:

Durch die Konfiguration des Virtual Router Redundancy Protocol (VRRP) auf Switches der EX-Serie können Sie Hosts in einem LAN für die Nutzung redundanter Routing-Plattformen in diesem LAN aktivieren, ohne dass mehr als die statische Konfiguration einer einzigen Standardroute auf den Hosts erforderlich ist. Sie können VRRP für IPv6 auf Gigabit-Ethernet, 10-Gigabit-Ethernet und logischen Schnittstellen konfigurieren.

So konfigurieren Sie VRRP für IPv6:

Der Austausch von VRRP-Protokollen (nur IPv4) kann authentifiziert werden, um sicherzustellen, dass nur vertrauenswürdige Routing-Plattformen am Routing in einem autonomen System (AS) teilnehmen. Standardmäßig ist die VRRP-Authentifizierung deaktiviert. Sie können eine der folgenden Authentifizierungsmethoden konfigurieren. Jede VRRP-Gruppe muss die gleiche Methode verwenden.

• Einfache Authentifizierung: Verwendet ein Textkennwort, das im übertragenen Paket enthalten ist. Die empfangende Routing-Plattform verwendet einen Authentifizierungsschlüssel (Kennwort), um das Paket zu verifizieren.

• MD5-Algorithmus (Message Digest 5): Erstellt das Authentifizierungsdatenfeld im IP-Authentifizierungsheader. Dieser Header wird verwendet, um die VRRP-PDU zu kapseln. Die empfangende Routingplattform verwendet einen Authentifizierungsschlüssel (Kennwort), um die Authentizität des IP-Authentifizierungsheaders und der VRRP-PDU zu überprüfen.

Um die Authentifizierung zu aktivieren und eine Authentifizierungsmethode anzugeben, fügen Sie die authentication-type folgende Anweisung ein:

authentication Kann einfach oder MD5 sein. Der Authentifizierungstyp muss für alle Routing-Plattformen in der VRRP-Gruppe derselbe sein.

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

Wenn Sie die authentication-type Anweisung einschließen, können Sie auf jeder Schnittstelle einen Schlüssel (Kennwort) konfigurieren, indem Sie die authentication-key Anweisung einfügen:

key (das Kennwort) ist eine ASCII-Zeichenfolge. Für eine einfache Authentifizierung kann er zwischen 1 und 8 Zeichen lang sein. Bei der MD5-Authentifizierung kann er zwischen 1 und 16 Zeichen lang sein. Wenn Sie Leerzeichen einschließen, schließen Sie alle Zeichen in Anführungszeichen (" ") ein. Der Schlüssel muss für alle Routing-Plattformen in der VRRP-Gruppe derselbe sein.

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

Um den Startzeitraum für VRRP-Vorgänge zu konfigurieren, fügen Sie die startup-silent-period Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Standardmäßig hat ein Backup-Router mit höherer Priorität Vorrang vor einem primären Router mit niedrigerer Priorität. Um das Trennen des primären Routers explizit zu aktivieren, fügen Sie die preempt folgende Anweisung ein:

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit interfaces interface-name unit logical-unit-number family (inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (Inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id]

Um zu verhindern, dass ein Backup-Router mit höherer Priorität einen primären Router mit niedrigerer Priorität vorschaltet, fügen Sie die no-preempt folgende Anweisung ein:

Standardmäßig verarbeitet ein Switch, der als VRRP-Backup konfiguriert ist, aber als primärer Switch fungiert, keine Pakete, die an die virtuelle IP-Adresse gesendet werden, d. h. Pakete, bei denen die Zieladresse die virtuelle IP-Adresse ist. Um einen Backup-Switch so zu konfigurieren, dass er Pakete verarbeitet, die an die virtuelle IP-Adresse gesendet werden, während er als primäre Adresse fungiert, fügen Sie die accept-data Anweisung in die Sicherung ein:

Sie können diese Anweisung auf der folgenden Hierarchieebene einschließen:

• [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group] group-id

Um explizit zu verbieten, dass die Sicherung Pakete akzeptiert, die für die virtuelle IP-Adresse bestimmt sind, während sie als primäre Adresse fungiert, fügen Sie die no-accept-data folgende Anweisung ein:

Wenn Sie die accept-data Anweisung einschließen, konfigurieren Sie die verbundenen Hosts so, dass sie:

• Verarbeiten Sie unentgeltliche ARP-Anfragen.

• Verwenden Sie keine anderen Pakete als ARP-Antworten, um den ARP-Cache zu aktualisieren.

Diese Anweisung ist standardmäßig deaktiviert. Wenn Sie diese Option aktivieren, entspricht Ihre Konfiguration nicht RFC 3768.

Um eingehende IP-Pakete auf ICMP zu beschränken, müssen Sie Firewall-Filter so konfigurieren, dass nur ICMP-Pakete akzeptiert werden.

Die Haltezeit ist die maximale Anzahl von Sekunden, die verstreichen können, bevor ein Backup-Router mit höherer Priorität den primären Router vorschaltet. Sie können eine Haltezeit konfigurieren, damit alle Junos OS-Komponenten vor der Unterbrechung konvergieren.

Standardmäßig ist der Haltezeitwert 0 Sekunden. Der Wert 0 bedeutet, dass die Unterbrechung unmittelbar nach dem Betrieb des Backup-Routers erfolgen kann. Beachten Sie, dass die Haltezeit ab dem Zeitpunkt gezählt wird, an dem der Backup-Router online geschaltet wird. Die Haltezeit ist nur gültig, wenn der VRRP-Router gerade online geht.

Um den Wert für die Haltezeit für die vorzeitige Unterbrechung zu ändern, fügen Sie die hold-time Anweisung ein:

Die Haltezeit kann zwischen 0 und 3600 Sekunden liegen.

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit interfaces interface-name unit logical-unit-number family (inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id preempt]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (Inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id preempt]

In Junos OS Version 9.5 und höher können Sie mit der asymmetric-hold-time Anweisung auf Hierarchieebene [edit protocols vrrp] einen primären VRRP-Router so konfigurieren, dass er sofort auf den Backup-Router umschaltet, d. h., ohne auf den Ablauf der Prioritätshaltezeit zu warten, wenn eine verfolgte Schnittstelle oder Route ausfällt oder wenn die Bandbreite einer verfolgten Schnittstelle abnimmt. Solche Ereignisse können zu einer sofortigen Herabsetzung der Priorität auf der Grundlage der konfigurierten Prioritätskosten für das Ereignis führen und eine Vorwahlwahl auslösen.

Wenn die verfolgte Route oder Schnittstelle jedoch wieder aktiviert wird oder wenn die Bandbreite für eine nachverfolgte Schnittstelle zunimmt, wartet der Backup-Router (ursprünglicher primärer Router) auf den Ablauf der Haltezeit, bevor er die Priorität aktualisiert und den Switchover einleitet, wenn die Priorität höher ist als die Priorität für den primären VRRP-Router (ursprüngliche Sicherung).

Wenn die asymmetric-hold-time Anweisung nicht konfiguriert ist, wartet die VRRP-Primärdatenbank auf den Ablauf der Haltezeit, bevor sie einen Switchover einleitet, wenn eine verfolgte Route ausfällt oder wenn die Bandbreite einer nachverfolgten Schnittstelle abnimmt.

Beispiel: Konfigurieren der asymmetrischen Haltezeit

Standardmäßig verwirft der Backup-VRRP-Router ARP-Anforderungen für die Übersetzung von VRRP-IP in VRRP-MAC-Adresse. Das bedeutet, dass der Backup-Router die ARP-Zuordnungen (IP-zu-MAC-Adresse) für die Hosts, die die Anfragen senden, nicht lernt. Wenn ein Ausfall des primären Routers erkannt wird und der Übergang zum neuen primären Router erfolgt, muss der Backup-Router alle Einträge, die im ARP-Cache des primären Routers vorhanden waren, erneut lernen. In Umgebungen mit vielen direkt angeschlossenen Hosts, wie z. B. Metro-Ethernet-Umgebungen, kann die Anzahl der zu lernenden ARP-Einträge hoch sein. Dies kann zu einer erheblichen Übergangsverzögerung führen, bei der der an einige Hosts übertragene Datenverkehr unterbrochen werden kann.

Passives ARP-Lernen ermöglicht es dem ARP-Cache im Backup-Router, ungefähr den gleichen Inhalt wie der ARP-Cache im primären Router zu enthalten, wodurch das Problem des Erlernens von ARP-Einträgen in einem Burst vermieden wird. Um passives ARP-Lernen zu aktivieren, fügen Sie die passive-learning Anweisung auf der [edit system arp] Hierarchieebene ein:

Es wird empfohlen, passives Lernen sowohl auf dem Backup- als auch auf dem primären VRRP-Router einzustellen. Auf diese Weise wird verhindert, dass manuell eingegriffen werden muss, wenn der primäre Router zum Backup-Router wird. Solange ein Router als primärer Router fungiert, hat die Konfiguration für passives Lernen keine Auswirkungen auf den Betrieb. Die Konfiguration wird nur wirksam, wenn der Router als Backup-Router betrieben wird.

Weitere Informationen zur Konfiguration von unentgeltlichem ARP und des ARP-Alterungs-Timers finden Sie in der Junos OS-Verwaltungsbibliothek für Routing-Geräte.

VRRP kann nachverfolgen, ob eine logische Schnittstelle aktiviert, inaktiv oder nicht vorhanden ist, und kann auch die Priorität der VRRP-Gruppe basierend auf dem Status der verfolgten logischen Schnittstelle dynamisch ändern, wodurch eine neue Wahl des primären Routers ausgelöst wird. VRRP kann auch die Betriebsgeschwindigkeit einer logischen Schnittstelle verfolgen und die Priorität der VRRP-Gruppe dynamisch aktualisieren, wenn die Geschwindigkeit einen konfigurierten Schwellenwert überschreitet.

Wenn die Schnittstellenverfolgung aktiviert ist, können Sie keine Priorität von 255 konfigurieren (eine Priorität von 255 gibt den primären Router an). Für jede VRRP-Gruppe können Sie bis zu 10 logische Schnittstellen verfolgen.

Um eine logische Schnittstelle zu konfigurieren, die nachverfolgt werden soll, fügen Sie die folgenden Anweisungen ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:

• [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit interfaces interface-name unit logical-unit-number family inet6 address address vrrp-inet6-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet6 address address vrrp-inet6-group group-id]

Die angegebene Schnittstelle ist die Schnittstelle, die für die VRRP-Gruppe verfolgt werden soll. Die Prioritätshaltezeit ist die Mindestzeitspanne, die zwischen dynamischen Prioritätsänderungen verstreichen muss. Ein Nachverfolgungsereignis, z. B. eine Änderung des Schnittstellenstatus (nach oben oder unten) oder eine Änderung der Bandbreite, löst eine der folgenden Reaktionen aus:

• Das erste Überwachungsereignis löst den Prioritätshalte-Timer aus und initialisiert außerdem die ausstehende Priorität basierend auf der aktuellen Priorität und den Prioritätskosten. Die derzeitige Priorität bleibt jedoch unverändert.

• Ein Nachverfolgungsereignis oder eine manuelle Konfigurationsänderung, die auftritt, während der Timer für das Halten der Priorität aktiviert ist, löst eine ausstehende Prioritätsaktualisierung aus. Die derzeitige Priorität bleibt jedoch unverändert.

Dadurch wird sichergestellt, dass Junos OS nicht jedes Mal, wenn eine nachverfolgte Schnittstelle funktioniert, eine Auswahl der primären Rolle auslöst.

Wenn die Prioritätshaltezeit abläuft, erbt die aktuelle Priorität den Wert der ausstehenden Priorität, und die ausstehende Priorität endet.

Es gibt zwei priority-cost Anweisungen, die auf dieser Hierarchieebene angezeigt werden. Die bandwidth-threshold Anweisung gibt einen Schwellenwert für die nachverfolgte Schnittstelle an. Wenn die Bandbreite der nachverfolgten Schnittstelle unter den konfigurierten Bandbreitenschwellenwert fällt, verwendet die VRRP-Gruppe die Prioritätskosten für den Bandbreitenschwellenwert. Sie können bis zu fünf Bandbreitenschwellenwerte für jede nachverfolgte Schnittstelle nachverfolgen. Direkt unter der interface Anweisung befindet sich eine priority-cost Anweisung, die den Wert angibt, der von der Priorität abgezogen werden soll, wenn die Schnittstelle ausgefallen ist.

Die Summe der Prioritätskosten für alle nachverfolgten logischen Schnittstellen muss kleiner oder gleich der konfigurierten Priorität der VRRP-Gruppe sein. Wenn Sie mehr als eine Schnittstelle verfolgen, wendet der Router die Summe der Prioritätskosten für die verfolgten Schnittstellen (höchstens nur eine Prioritätskosten für jede verfolgte Schnittstelle) auf die VRRP-Gruppenpriorität an.

Vor Junos OS Version 15.1 konnte eine angepasste Priorität nicht Null sein. Wenn die Differenz zwischen den Prioritätskosten und der konfigurierten Priorität der VRRP-Gruppe Null wäre, würde die angepasste Priorität 1 werden.

Der Prioritätswert Null (0) gibt an, dass der aktuelle primäre Router nicht mehr am VRRP teilnimmt. Ein solcher Prioritätswert wird verwendet, um einen der Backup-Router zu veranlassen, schnell auf den primären Router umzuschalten, ohne auf eine Zeitüberschreitung des aktuellen primären Routers warten zu müssen.

Wenn Sie mehr als eine Schnittstelle verfolgen, wendet der Router die Summe der Prioritätskosten für die verfolgten Schnittstellen (höchstens nur eine Prioritätskosten für jede verfolgte Schnittstelle) auf die VRRP-Gruppenpriorität an. Die Kostenwerte für Schnittstellenprioritätskosten und Bandbreitenschwellenwertpriorität für jede VRRP-Gruppe sind jedoch nicht kumulativ. Der Router verwendet nur einen Prioritätsfaktor für eine nachverfolgte Schnittstelle, wie in Tabelle 1 angegeben.

Sie müssen die Kosten für die Schnittstellenpriorität nur konfigurieren, wenn Sie keine Bandbreitenschwellenwerte konfiguriert haben. Wenn Sie keinen Kostenwert für die Schnittstellenpriorität konfiguriert haben und die Schnittstelle ausgefallen ist, verwendet die Schnittstelle den Kostenwert für die Priorität des Bandbreitenschwellenwerts des niedrigsten Bandbreitenschwellenwerts.

VRRP kann nachverfolgen, ob eine Route erreichbar ist (d. h., die Route existiert in der Routing-Tabelle der Routing-Instanz, die in der Konfiguration enthalten ist), und die Priorität der VRRP-Gruppe basierend auf der Erreichbarkeit der verfolgten Route dynamisch ändern, wodurch eine neue Wahl des primären Routers ausgelöst wird.

Um eine Route zu konfigurieren, die verfolgt werden soll, fügen Sie die folgenden Anweisungen ein:

Sie können diese Anweisungen auf den folgenden Hierarchieebenen einschließen:

• [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit interfaces interface-name unit logical-unit-number family inet6 address address vrrp-inet6-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family inet6 address address vrrp-inet6-group group-id]

Das angegebene Routenpräfix ist die Route, die für die VRRP-Gruppe verfolgt werden soll. Die Prioritätshaltezeit ist die Mindestzeitspanne, die zwischen dynamischen Prioritätsänderungen verstreichen muss. Ein Routenverfolgungsereignis, z. B. das Hinzufügen einer Route zum Routing-Tabelle oder das Entfernen einer Route aus dem , kann eine oder mehrere der folgenden Aktionen auslösen:

• Das erste Überwachungsereignis löst den Prioritätshalte-Timer aus und initialisiert außerdem die ausstehende Priorität basierend auf der aktuellen Priorität und den Prioritätskosten. Die derzeitige Priorität bleibt jedoch unverändert.

• Ein Nachverfolgungsereignis oder eine manuelle Konfigurationsänderung, die auftritt, während der Timer für das Halten der Priorität aktiviert ist, löst eine ausstehende Prioritätsaktualisierung aus. Die derzeitige Priorität bleibt jedoch unverändert.

Wenn die Prioritätshaltezeit abläuft, erbt die aktuelle Priorität den Wert der ausstehenden Priorität, und die ausstehende Priorität endet.

Dadurch wird sichergestellt, dass Junos OS nicht jedes Mal, wenn eine verfolgte Route ins Wanken gerät, eine Auswahl der primären Rolle auslöst.

Die Routing-Instanz ist die Routing-Instanz, in der die Route verfolgt werden soll. Wenn sich die Route in der Standard- oder globalen Routinginstanz befindet, geben Sie den Instanznamen als default.

Die Prioritätskosten sind der Wert, der von der konfigurierten VRRP-Priorität abgezogen wird, wenn die verfolgte Route ausfällt und eine neue Wahl des primären Routers erzwungen wird. Der Wert kann zwischen 1 und 254 liegen.

Die Summe der Prioritätskosten für alle verfolgten Routen muss kleiner oder gleich der konfigurierten Priorität der VRRP-Gruppe sein. Wenn Sie mehr als eine Route verfolgen, wendet der Router die Summe der Prioritätskosten für die verfolgten Routen (höchstens nur eine Prioritätskosten für jede verfolgte Route) auf die VRRP-Gruppenpriorität an.

Vor Junos OS Version 15.1 konnte eine angepasste Priorität nicht Null sein. Wenn die Differenz zwischen den Prioritätskosten und der konfigurierten Priorität der VRRP-Gruppe Null wäre, würde die angepasste Priorität 1 werden.

Der Prioritätswert Null (0) gibt an, dass der aktuelle primäre Router nicht mehr am VRRP teilnimmt. Ein solcher Prioritätswert wird verwendet, um einen der Backup-Router zu veranlassen, schnell auf den primären Router umzuschalten, ohne auf eine Zeitüberschreitung des aktuellen primären Routers warten zu müssen.

Mit Junos OS können Sie VRRP-Gruppen in den verschiedenen Subnetzen eines VLANs so konfigurieren, dass sie den Status und die Konfiguration einer der Gruppen übernehmen, die als aktive VRRP-Gruppe bezeichnet wird. Wenn die Konfigurationsanweisung vrrp-inherit-from in der Konfiguration enthalten ist, sendet nur die aktive VRRP-Gruppe, von der die anderen VRRP-Gruppen den Zustand erben, häufige VRRP-Ankündigungen und verarbeitet eingehende VRRP-Ankündigungen. Die Gruppen, die den Status erben, verarbeiten keine eingehende VRRP-Ankündigung, da der Zustand immer von der aktiven VRRP-Gruppe geerbt wird. Die Gruppen, die den Status erben, senden jedoch alle 2 bis 3 Minuten VRRP-Ankündigungen, um das Erlernen der MAC-Adresse auf den Switches zwischen den VRRP-Routern zu erleichtern.

Wenn die vrrp-inherit-from Anweisung nicht konfiguriert ist, sendet jede der primären VRRP-Gruppen in den verschiedenen Subnetzen des VLAN separate VRRP-Ankündigungen aus und erhöht den Datenverkehr im VLAN.

Um die Vererbung für eine VRRP-Gruppe zu konfigurieren, schließen Sie die vrrp-inherit-from Anweisung auf der [edit interfaces interface-name unit logical-unit-number family inet address address vrrp-group group-id] Hierarchieebene ein.

Wenn Sie eine Gruppe so konfigurieren, dass sie einen Zustand von einer anderen Gruppe erbt, müssen sich die erbenden Gruppen und die aktive Gruppe auf derselben physischen Schnittstelle und demselben logischen System befinden. Die Gruppen müssen sich jedoch nicht unbedingt auf derselben Routing-Instanz (wie in Junos OS-Versionen vor 9.6), VLAN oder logischer Schnittstelle befinden.

Wenn Sie die vrrp-inherit-from Anweisung für eine VRRP-Gruppe einschließen, erbt die VRRP-Gruppe die folgenden Parameter von der aktiven Gruppe:

• advertise-intervall

• Authentifizierungsschlüssel

• Authentifizierungstyp

• schnelles Intervall

• vorzeitig | no-preempt

• Priorität

• Nachverfolgen von Schnittstellen

• Route verfolgen

Sie können jedoch die accept-data | no-accept-data Anweisung für die Gruppe konfigurieren, um anzugeben, ob die Schnittstelle Pakete akzeptieren soll, die für die virtuelle IP-Adresse bestimmt sind.

In VRRP-Implementierungen, bei denen der Router, der als primärer Router fungiert, nicht der Eigentümer der IP-Adresse ist – der IP-Adressbesitzer ist der Router mit der Schnittstelle, dessen tatsächliche IP-Adresse als IP-Adresse des virtuellen Routers (virtuelle IP-Adresse) verwendet wird – akzeptiert der primäre Router nur die ARP-Pakete der Pakete, die an die virtuelle IP-Adresse gesendet werden. Junos OS ermöglicht es Ihnen, diese Einschränkung mithilfe der accept-data-Konfiguration außer Kraft zu setzen. Wenn die accept-data Anweisung in der Konfiguration enthalten ist, akzeptiert der primäre Router alle Pakete, die an die virtuelle IP-Adresse gesendet werden, auch wenn der primäre Router nicht der Eigentümer der IP-Adresse ist.

Um eine Schnittstelle so zu konfigurieren, dass sie alle an die virtuelle IP-Adresse gesendeten Pakete akzeptiert, fügen Sie die accept-data folgende Anweisung ein:

Sie können diese Anweisung auf folgenden Hierarchieebenen einfÃ1/4hren:

• [edit interfaces interface-name unit logical-unit-number family (inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id]

• [edit logical-systems logical-system-name interfaces interface-name unit logical-unit-number family (Inet | inet6) address address (vrrp-group | vrrp-inet6-group) group-id]

Um zu verhindern, dass ein primärer Router, der der Eigentümer der IP-Adresse ist oder dessen Priorität auf 255 festgelegt ist, andere Pakete als die ARP-Pakete akzeptiert, die an die virtuelle IP-Adresse adressiert sind, fügen Sie die no-accept-data folgende Anweisung ein:

Die Ruhephase beginnt, wenn der Schnittstellenstatus von "nach unten" geändert wird. Während dieses Zeitraums wird das primäre Ausfallereignis ignoriert. Konfigurieren Sie das Intervall für die stille Periode, um Alarme zu vermeiden, die durch die Verzögerung oder Unterbrechung der eingehenden VRRP-Ankündigungspakete während der Startphase der Schnittstelle verursacht werden.

Um das Intervall für den stillen Zeitraum zu konfigurieren, das vom Timer für das primäre Ausfallereignis ignoriert wird, schließen Sie die startup-silent-period Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Wenn Sie startup-silent-period konfiguriert haben, wird das primäre Ausfallereignis ignoriert, bis der startup-silent-period abläuft.

Konfigurieren Sie z. B. eine VRRP-Gruppe vrrp-group1mit einem Ankündigungsintervall von 1 Sekunde, einer stillen Startphase von 10 Sekunden und einer Schnittstelle interface1 mit einer Priorität von weniger als 255.

Beim interface1 Übergang von unten nach oben:

• Die vrrp-group1 Gruppe wechselt in den Sicherungszustand und startet den Timer für das primäre Ausfallereignis (3 Sekunden; dreimal so hoch wie der Wert des Ankündigungsintervalls, das in diesem Fall 1 Sekunde beträgt).

• Wenn während des 3-Sekunden-Zeitraums keine VRRP-PDU empfangen wird, wird die Start-Silent-Periode (in diesem Fall 10 Sekunden) überprüft, und wenn die Start-Stille-Periode noch nicht abgelaufen ist, wird der Timer für das primäre Ausfallereignis neu gestartet. Dies wird so lange wiederholt, bis die startup-silent-period abgelaufen ist. In diesem Beispiel wird der Timer für das primäre Ausfallereignis viermal (12 Sekunden) ausgeführt, wenn die 10-sekündige Stille des Startvorgangs abläuft.

• Wenn bis zum Ende des vierten 3-Sekunden-Zyklus keine VRRP-PDU empfangen wird, vrrp-group1 übernimmt die primäre Rolle.

In der Regel werden VRRP-Ankündigungen vom VRRP-Prozess (vrrpd) auf dem primären VRRP-Router in regelmäßigen Abständen gesendet, um andere Mitglieder der Gruppe darüber zu informieren, dass der primäre VRRP-Router betriebsbereit ist.

Wenn der vrrpd-Prozess ausgelastet ist und keine VRRP-Ankündigungen sendet, gehen die Backup-VRRP-Router möglicherweise davon aus, dass der primäre Router ausgefallen ist, und übernehmen die Rolle des primären Routers, was zu unnötigen Flaps führt. Diese Übernahme kann auftreten, obwohl der ursprüngliche primäre Router noch aktiv und verfügbar ist und das Senden von Ankündigungen möglicherweise wieder aufnimmt, nachdem der Datenverkehr abgenommen hat. Um dieses Problem zu beheben und die Belastung des vrrpd-Prozesses zu reduzieren, verwendet Junos OS den Periodic Packet Management Process (ppmd), um VRRP-Ankündigungen im Namen des vrrpd-Prozesses zu senden. Sie können den Auftrag zum Senden von VRRP-Ankündigungen jedoch weiter an den verteilten ppmd-Prozess delegieren, der sich auf der Packet Forwarding Engine befindet.

Die Möglichkeit, das Senden von VRRP-Ankündigungen an den verteilten ppmd-Prozess zu delegieren, stellt sicher, dass die VRRP-Ankündigungen auch dann gesendet werden, wenn der ppmd-Prozess – der jetzt für das Senden von VRRP-Ankündigungen verantwortlich ist – ausgelastet ist. Eine solche Delegation verhindert die Möglichkeit von Fehlalarmen, wenn der ppmd-Prozess ausgelastet ist. Die Möglichkeit, das Senden von VRRP-Ankündigungen an verteilte ppmd zu delegieren, trägt ebenfalls zur Skalierbarkeit bei, da die Last auf mehrere ppmd-Instanzen verteilt wird und sich nicht auf eine einzelne Einheit konzentriert.

Um den verteilten ppmd-Prozess zum Senden von VRRP-Ankündigungen zu konfigurieren, fügen Sie die delegate-processing Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Um den verteilten ppmd-Prozess so zu konfigurieren, dass VRRP-Ankündigungen über aggregierte Ethernet- und IRB-Schnittstellen gesendet werden, fügen Sie die delegate-processing ae-irb Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Um VRRP-Vorgänge zu verfolgen, schließen Sie die traceoptions Anweisung auf der [edit protocols vrrp] Hierarchieebene ein.

Standardmäßig protokolliert VRRP den Fehler, die DCD-Konfiguration (Data Carrier Detect) und die Routing-Socket-Ereignisse in einer Datei im Verzeichnis /var/log . Standardmäßig heißt diese Datei /var/log/vrrpd. Die Standarddateigröße beträgt 1 Megabyte (MB), und es werden drei Dateien erstellt, bevor die erste überschrieben wird.

Um die Konfiguration der Protokolldatei zu ändern, fügen Sie die traceoptions Anweisung auf der [edit protocols vrrp] Hierarchieebene ein:

Sie können die folgenden VRRP-Ablaufverfolgungsflags angeben:

• all: Alle VRRP-Vorgänge werden verfolgt.

• database: Alle Datenbankänderungen werden nachverfolgt.

• general: Alle allgemeinen Ereignisse werden nachverfolgt.

• Schnittstellen: Verfolgen Sie alle Schnittstellenänderungen.

• normal: Alle normalen Ereignisse werden verfolgt.

• Pakete: Alle gesendeten und empfangenen Pakete werden nachverfolgt.

• state (Status) – Verfolgen Sie alle Zustandsübergänge.

• timer: Alle Timer-Ereignisse werden verfolgt.