一、VRRP 与 HSRP:基本概念对比
VRRP 和 HSRP 都是用于实现网关冗余的技术,它们但在实现方式和应用场景上有所不同。下面是一个简单的对比表格,帮助大家快速了解它们的区别:
|
特性 |
HSRP(思科私有) |
VRRP(标准协议,RFC 5798) |
|---|---|---|
|
协议类型 |
思科私有 |
开放标准(IETF) |
|
虚拟IP |
地址必须与接口在同一子网 |
可以不同子网(VRRPv3 支持 IPv6) |
|
Master 选举机制 |
优先级+ IP 地址 |
优先+级 IP 地址 |
|
MAC 地址 |
0000.0c07.acXX(HSRP 组号) |
0000.5e00.01XX(VRID) |
|
认证方式 |
支持MD5 认证 |
支持简单文本和MD5 认证 |
注意:Catalyst 9200/9300 系列交换机支持 VRRP;而 Catalyst 3560/3750 等较旧型号则支持 HSRP。如果你的设备是思科的,一定要根据设备型号选择合适的技术。
二、VRRP 配置示例:打造高可用网关
拓扑结构简述
假设我们有一个简单的网络环境:
-
VLAN 10 用户网络:192.168.10.0/24
-
Switch A 的 SVI 接口 IP:192.168.10.2
-
Switch B 的 SVI 接口 IP:192.168.10.3
-
虚拟网关IP(供客户端使用):192.168.10.1
VRID = 1(即虚拟路由器 ID)
我们的目标是配置VRRP,让 Switch A 作为主网关,Switch B 作为备用网关。当 Switch A 出现故障时,Switch B 能够无缝接管流量。
1. 在 Switch A 上配置 VRRP(主设备)
SwitchA(config)# interface Vlan10SwitchA(config-if)# ip address192.168.10.2255.255.255.0SwitchA(config-if)# vrrp1ip192.168.10.1SwitchA(config-if)# vrrp1priority150! 设置优先级(默认100)SwitchA(config-if)# vrrp1preempt ! 允许抢占SwitchA(config-if)# vrrp1authentication md5 key-string MyKey
2. 在 Switch B 上配置 VRRP(备用设备)
SwitchB(config)# interface Vlan10SwitchB(config-if)# ip address192.168.10.3255.255.255.0SwitchB(config-if)# vrrp1ip192.168.10.1SwitchB(config-if)# vrrp1priority120! 优先级低于主设备SwitchB(config-if)# vrrp1preempt ! 启用抢占SwitchB(config-if)# vrrp1authentication md5 key-string MyKey
3. 验证命令
配置完成后,我们可以以下使用命令来验证VRRP 的状态:
Switch# show vrrp briefSwitch# show vrrp interface vlan10
如果一切正常,你会看到类似以下的输出:
InterfaceGrp Pri Time State Master addr Group addrVl101 1503597 Master 192.168.10.2192.168.10.1
这表明Switch A 成功成为了主网关,一切运行正常。
三、HSRP 配置示例:适用于老款 Cisco 设备
如果你使用的是较旧的思科设备,比如Catalyst 3560/3750,那么你需要配置 HSRP。配置方法与 VRRP 类似,只是命令稍有不同。
Switch A(主设备)
SwitchA(config)# interface Vlan10SwitchA(config-if)# ip address192.168.10.2255.255.255.0SwitchA(config-if)# standby1ip192.168.10.1SwitchA-if(config)# standby1priority150SwitchA(config-if)# standby1preemptSwitchA(config-if)# standby1authentication md5 key-string MyKey
Switch B(备用设备)
SwitchB(config)# interface Vlan10SwitchB(config-if)# ip address192.168.10.3255.255.255.0SwitchB(config-if)# standby1ip192.168.10.1SwitchB(config-if)# standby1priority120SwitchB(config-if)# standby1preemptSwitchB(config-if)# standby1authentication md5 key-string MyKey
四、注意事项
在配置VRRP 和 HSRP 时,以下几点非常重要:
-
优先级范围:
-
VRRP:1~254,默认 100
-
HSRP:0~255,默认 100
-
抢占模式(preempt):启用后,优先级更高的设备会重新成为 Master。
-
认证:建议启用MD5 认证,防止伪造 VRRP/HSRP 报文。
-
跟踪对象(Track Object):可以结合上行链路状态进行切换,例如检测外网出口是否断开。
五、高级功能建议
1. 跟踪上行链路状态自动切换
我们可以通过跟踪上行链路的状态来实现自动切换。例如:
Switch(config)# track 1 interface FastEthernet0/24 line-protocol!Switch(config)# interface Vlan10Switch(config-if)# vrrp 1 track 1 decrement 50
如果FastEthernet0/24 断开,VRRP 优先级会减少 50,可能会触发切换。
2. 多 VLAN 支持(VRRP 多实例)
我们可以在多个VLAN 上分别配置不同的 VRRP 实例,实现负载分担。例如:
interfaceVlan20ipaddress192.168.20.2255.255.255.0vrrp2ip192.168.20.1vrrp2priority120
六、完整配置片段(双交换机+ VLAN10)
Switch A
interfaceVlan10ipaddress192.168.10.2255.255.255.0vrrp1ip192.168.10.1vrrp1priority150vrrp1preemptvrrp1authentication md5 key-string MyKey
Switch B
interfaceVlan10ipaddress192.168.10.3255.255.255.0vrrp1ip192.168.10.1vrrp1priority120vrrp1preemptvrrp1authentication md5 key-string MyKey
七、验证命令汇总
|
命令 |
用途 |
|---|---|
|
show vrrp brief |
查看所有VRRP 组的状态 |
|
show vrrp interface vlan10 |
查看指定接口的VRRP 信息 |
|
show standby |
查看HSRP 状态 |
|
ping 192.168.10.1 |
测试虚拟网关是否可达 |
|
debug vrrp events / debug hsrp packets |
调试VRRP/HSRP 事件(慎用) |
发表回复