Cisco VRRP — Настройка

Продолжая тему резервирования маршрутизаторов cisco, рассмотрим настройку резервирования по протоколу VRRP. В прошлой статье, была рассмотрена настройка протокола HSRP.

Плюсом VRRP перед HSRP является то, что протокол VRRP открытый стандарт, и с помощью него можно резервировать маршрутизаторы от разных производителей, которые поддерживают данный протокол. А так же в VRRP можно использовать виртуальный IP адрес, который уже назначен на интерфейсе маршрутизатора. Здесь рассмотрим настройку на примере маршрутизаторов cisco.

Ограничения протокола VRRP

— VRRP спроектирован для работы в среде множественного доступа, multicast или broadcast  совместимых Ethernet сетях.

— VRRP не предназначен для замены существующих протоколов динамической маршрутизаци

— VRRP поддерживает следующие типы интерфейсов: Ethernet, Fast Ethernet, Gigabit Ethernet, Bridge Group Virtual Interface (BVI), VLAN (SVI) интерфейсы, может работать на MPLS VPN и на VRF MPLS VPN.

— Если VRRP используется на интерфейсе BVI, то необходимо таймер «VRRP advertise» установить равным или большим, чем значение «forwarding delay» на интерфейсе BVI (значение «forwarding delay» для BVI интерфейса можно установить командой «bridge forward-time«, значение «VRRP advertise» для протокола VRRP можно установить командой «vrrp timers advertise» )

— Enhanced Object Tracking (EOT) не может быть использован совместно с протоколом VRRP, если активирован режим SSO (Stateful switchover)

Основные понятия протокола VRRP

Virtual Router — виртуальный роутер, представляет собой группу маршрутизаторов, подлежащих резервированию (VRRP group). В группу входят интерфейсы маршрутизаторов принадлежащие одной сети. Эти маршрутизаторы разделяют между собой один и тот же виртуальный IP адрес и виртуальный идентификатор роутера (VRID).

Virtual Router Master — маршрутизатор, который в данный момент является активным и осуществляет пересылку пакетов. Он управляет виртуальным IP адресом Virtual Router-а и отвечает за передачу пакетов, отправленных на этот виртуальный IP адрес.

Virtual Rrouter Backup — резервный маршрутизатор. Если Virtual Router Master упадёт, то резервный маршрутизатор с наивысшим приоритетом подхватит роль мастера. Когда бывший Virtual Router Master восстановится, он снова станет мастером.

IP address owner — роутер, у которого виртуальный IP адрес совпадает с IP адресом на интерфейсе роутера (то есть, он является владельцем этого IP адреса). Такой роутер автоматически становится Virtual Router Master вне зависимости от приоритетов.

VRRP поддерживает до 255 виртуальных роутеров (VRRP group) на одном физическом интерфейсе маршрутизатора.

Virtual Router может иметь несколько виртуальных IP адресов, вторичные прописываются как secondary.

VRRP поддерживает аутентификацию, для защищенности можно использовать алгоритм MD5

Для анонсирования VRRP использует адрес групповой рассылки multicast : 224.0.0.18

Для динамического изменения приоритета можно использовать Object Tracking (изменять приоритет в зависимости от состояния интерфейса или маршрута)

Настройка протокола VRRP 

Настройка протокола VRRP осуществляется в режиме конфигурирования интерфейса.

Рекомендуется, перед включением протокола VRRP, произвести его настройку. Так как, если сперва активировать VRRP группу, то маршрутизатор может сразу стать Virtual Router Master для группы, и будет держать роль мастера до окончания настройки VRRP.

Для настройки VRRP, в режиме конфигурации интерфейса, используются следующие основные команды (прим. в квадратный скобках указываются не обязательные параметры для команды):

 «ip address ip_addr mask» — Задает на интерфейсе маршрутизатора IP адрес ip_addr и маску сети mask

 «vrrp group_num description text» — Задает описание text  для VRRP группы с номером group_num

 «vrrp group_num priority level» — Задает приоритет со значением level для этого маршрутизатора в VRRP группе group_num. По умолчанию приоритет равен 100. Если приоритет у обоих маршрутизаторов одинаковый, то приоритетным является тот, у которого выше IP адрес.

 «vrrp group_num  preempt [delay minsec]» — Задает возможность захвата роли Master в группе маршрутизаторов group_num  и позволяет становиться резервному маршрутизатору как Virtual Router Master, если приоритет резервного маршрутизатора больше чем приоритет текущего маршрутизатора Virtual Router Master. За исключением ситуации, когда Virtual Router Master является IP address owner маршрутизатором, такой маршрутизатор всегда выполняет роль Virtual Router Master, вне зависимости от приоритетов. По умолчанию задержка перед захватом delay равна 0 сек, можно задать свое значение равное minsec секунд.

 «vrrp group_num  timers advertise [msec] interval» — Задать интервал между VRRP объявлениями, отправляемые Virtual Router Master-ом для VRRP группы group_num. Интервал времени interval задается в секундах, если не указан параметр msec. По умолчанию интервал 1 секунда. 

 «vrrp group_num timers learn» — Указывает для резервного маршрутизатора (virtual router backup ), что интервал времени для VRRP обновлений следует установить такой же, как и на master маршрутизаторе (Virtual Router Master)

После настройки параметров, влияющих на выбор master маршрутизатора, можно активировать VRRP на интерфейсе командой:

 «vrrp group_num ip ip_addr  [secondary]» — Активирует VRRP  на интерфейсе для группы group_num. Здесь ip_addr  — это IP адрес виртуального роутера. Вторичные IP адреса для виртуального роутера задаются через secondary. Все роутеры в одной VRRP группе должны быть сконфигурированы с одинаковым первичным IP адресом для виртуального роутера, и одинаковым списком вторичных адресов.

Отключить VRRP группу на интерфейсе можно, в режиме конфигурации интерфейса, командой:

 «vrrp group_num shutdown«

Для настройки динамического изменения VRRP приоритета маршрутизатора, в зависимости от состояния канала или маршрута, нужно выполнить следующие команды:

 В режиме глобального конфигурирования. необходимо определить объект, за которым нужно следить:

  «track obj_num interface if_type if_num {line-protocol | ip routing}» — задает слежение с номером obj_num за состоянием интерфейса if_type if_num. 

 В режиме конфигурирования интерфейса установить приоритет в VRRP группе и сопоставить изменение приоритета с отслеживаемыми событиями:

  «vrrp group_num priority level» — задать приоритет level в группе group_num

  «vrrp group_num track obj_num  [decrement priority]» — задать изменение приоритета на величину priority при возникновении события obj_num.

 Настройка аутентификации для протокола VRRP:

  «vrrp group_num authentication md5 key-string [0 | 7] keystring [timeout sec]» — MD5 аутентификация с использованием парольной фразы keystring.

  «vrrp group_num authentication md5 key-chain keychain» — MD5 аутентификация с использованием, ранее описанной, цепочки ключей keychain.

  «vrrp group_num authentication text txtstr» — Plain text аутентификация с использованием кодового слова или фразы txtstr.

Пример настройки VRRP на Cisco

Для примера возьмём ту же схему, что была в примере по настройке протокола HSRP.

Так же как и там, пусть тут сеть NET1 (192.168.0.0/24)  и сеть NET2 (10.0.2.0/24). Нужно создать резервирование роутеров R1 и R2 по протоколу VRRP с виртуальным IP 192.168.0.254 для сети NET1 и 10.0.2.254 для сети NET2.

Фрагмент конфигурации роутера R1:

Фрагмент конфигурации роутера R2:

Посмотреть  состояние VRRP можно командой «show vrrp«

Видно, что в данном примере, роутер R2 работает в качестве резервного (Backup), а главный (Master) роутер это R1, так как R1 является владельцем виртуальных IP адресов (IP address owner).