通过VRRP协议来实现路由器的故障转移.
VRRP提供一个VIP,它设定了哪个路由器是活动节点,当出现故障进行切换时,VIP也随之对应到新的路由器上,这样外网看到的是同一个ip;
这里有一个问题,内网是用过MAC地址来寻址的,虽然VIP对应到了新的路由器上,可是MAC变了,客户端的ARP表也没有更新,内网还是用不了.为了解决这个问题VRRP不但提供VIP还提供VMAC地址,这个VMAC地址是VRRP单独申请的,大家都可以正常使用.
故障切换的时候虽然改变了后端路由器,但是由于客户端使用的是VIP和VMAC地址,这样就不会有任何影响了.
VRRP的工作过程是这样的:
(以多播为例,单播则直接从单播源发送信息到单播目标地址)
- 启动时,所有路由器将加入多播组。此多播组用于发送和接收 VRRP 公告。由于 VRRP 是基于优先级的协议,因此选择优先级最高的路由器。路由器被选为主路由器后,它负责定期向多播组发送 VRRP 公告。(另一个描述:虚拟路由器中的路由器根据优先级选举出Master,Master路由器通过发送gratuitous arp报文,将自己的虚拟MAC地址通告给与它连接的设备。)
- Master路由器周期性发送VRRP报文,以公布自己的配置信息(优先级等)和工作状态
- 如果Master故障,其发送心跳的动作停止,同一组虚拟路由器中的Backup检测到master心跳停止后,将根据优先级重新选举新的Master
- 虚拟路由器状态切换时,Master路由器由一台设备切换会另外一台设备,新的Master路由器只是简单的发送一个携带虚拟MAC地址和虚拟IP的gratuitous arp报文,这样就可以更新其他设备中缓存的ARP信息
- Backup路由器的优先级高于Master时,根据Backup的工作方式(抢占式或者非抢占式 ,即是否配置nopreempt)决定是否重新选举Master。
VRRP还支持认证,就是为了防止随意一个VRRP设备加入到当前的虚拟路由组离来,它提供无认证、简单8位字符串认证和MD5认证(该认证方式Keepalive不支持)。
