#交换设备
VRRP跟踪接口及认证
一、相关概念
1.VRRP跟踪接口
当 VRRP 的 Master 设备的上行接口出现问题, 而 Master 设备一直保持 Active 状态,那么就会导致网络出现中断,所以必须要使得 VRRP 的运行状态和上行接口能够关联。在配置了 VRRP 元余的网络中, 为了进一步提高网络可靠性,需要在 Master 设备上配置上行接口监视,监视连接了外网的出接口。即当此接口断掉时,自动减小优先级一定的数值〈该数值由人为配置),使减小后的优先级小于 Backup 设备的优先级,这样 Backup设备就会抢占 Master 角色接替工作。
如果没有配置跟踪接口,那么配置了VRRP的路由器只有在其下行接口发生故障时,才会触发路由器的角色接替
2.VRRP认证
在默认情况下,VRRP协议是不会对接收到的VRRP报文进行认证的,默认它是合法的,为了使得VRRP运行更加安全,可以配置VRRP认证
- 支持简单字符simple认证方式
- 支持MD5认证方式
二、配置过程
1.VRRP跟踪接口
- 在master路由器上配置跟踪接口,监视上行接口
g0/0/0,当该接口监测到链路故障时,优先级减掉50,变为70,小于backup路由器的优先级,实现路由器身份自动抢占
[R2-GigabitEthernet0/0/0]int g0/0/1 #进入master路由器的VRRP协议接口
[R2-GigabitEthernet0/0/1]vrrp vrid 1 track int g0/0/0 reduced 50
2.VRRP认证
- 在配置了VRRP的路由器上配置报文认证,使用MD5认证方式,密码为huawei
[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei
[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei
报文区别:
- 配置认证前
- 配置认证后
- 查看vrrp信息
总的来说,在实际应用场景中,跟踪接口和认证必须配置,跟踪接口可以防止网络上行链路故障,导致VRRP功能失效,内网与外网直接不通。认证功能的配置可以有效防止不合法的外来设备接入网络,造成网络通信数据泄露或被监听,提高网络的安全性。
三、拓展思考
VRRP的跟踪接口功能主要是监控本地直连接口的状态,对非直连接口或更广泛网络中的故障,它本身并没有感知能力。然而,这并不意味着无法监控非直连接口或其他网络状况,有一些方法可以实现这种监控。
VRRP监控非直连接口的方案
- 静态路由和动态路由协议:
- 通过使用动态路由协议(如OSPF、BGP等),可以监控更广泛的网络状况。路由器可以根据路由表的变化来调整VRRP的优先级。例如,当OSPF邻居关系断开时,触发优先级降低,从而切换主备路由器。
- IP SLA(Service Level Agreement):
- 一些高级路由器支持IP SLA功能,可以用来监控网络性能和连通性。通过配置IP SLA,可以定期发送探测包到特定目标,监控网络延迟、抖动或丢包率。如果探测失败,可以触发VRRP优先级降低。
- 举个例子,你可以配置IP SLA去监控网络中的关键点,比如你的网关或者一个外部服务器,如果检测到这些关键点不可达,就可以降低VRRP优先级。
- 脚本和自动化工具:
- 使用脚本和自动化工具来增强VRRP的监控能力。例如,可以编写一个脚本定期进行网络连通性检查(比如ping远程地址),如果检测到连接问题,可以通过CLI命令调整VRRP的优先级。
