#交换设备

VRRP跟踪接口及认证

一、相关概念

1.VRRP跟踪接口

当 VRRP 的 Master 设备的上行接口出现问题, 而 Master 设备一直保持 Active 状态，那么就会导致网络出现中断，所以必须要使得 VRRP 的运行状态和上行接口能够关联。在配置了 VRRP 元余的网络中, 为了进一步提高网络可靠性，需要在 Master 设备上配置上行接口监视，监视连接了外网的出接口。即当此接口断掉时，自动减小优先级一定的数值〈该数值由人为配置)，使减小后的优先级小于 Backup 设备的优先级，这样 Backup设备就会抢占 Master 角色接替工作。

如果没有配置跟踪接口，那么配置了VRRP的路由器只有在其下行接口发生故障时，才会触发路由器的角色接替

2.VRRP认证

在默认情况下，VRRP协议是不会对接收到的VRRP报文进行认证的，默认它是合法的，为了使得VRRP运行更加安全，可以配置VRRP认证

• 支持简单字符simple认证方式
• 支持MD5认证方式

二、配置过程

1.VRRP跟踪接口

• 在master路由器上配置跟踪接口，监视上行接口g0/0/0,当该接口监测到链路故障时，优先级减掉50，变为70，小于backup路由器的优先级，实现路由器身份自动抢占

[R2-GigabitEthernet0/0/0]int g0/0/1   #进入master路由器的VRRP协议接口
[R2-GigabitEthernet0/0/1]vrrp vrid 1 track int g0/0/0 reduced 50

2.VRRP认证

• 在配置了VRRP的路由器上配置报文认证，使用MD5认证方式，密码为huawei

[R3]int g0/0/1	
[R3-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei

报文区别：

• 配置认证前

• 配置认证后

• 查看vrrp信息

总的来说，在实际应用场景中，跟踪接口和认证必须配置，跟踪接口可以防止网络上行链路故障，导致VRRP功能失效，内网与外网直接不通。认证功能的配置可以有效防止不合法的外来设备接入网络，造成网络通信数据泄露或被监听，提高网络的安全性。

三、拓展思考

VRRP的跟踪接口功能主要是监控本地直连接口的状态，对非直连接口或更广泛网络中的故障，它本身并没有感知能力。然而，这并不意味着无法监控非直连接口或其他网络状况，有一些方法可以实现这种监控。

VRRP监控非直连接口的方案

1. 静态路由和动态路由协议：
   • 通过使用动态路由协议（如OSPF、BGP等），可以监控更广泛的网络状况。路由器可以根据路由表的变化来调整VRRP的优先级。例如，当OSPF邻居关系断开时，触发优先级降低，从而切换主备路由器。
2. IP SLA（Service Level Agreement）：
   • 一些高级路由器支持IP SLA功能，可以用来监控网络性能和连通性。通过配置IP SLA，可以定期发送探测包到特定目标，监控网络延迟、抖动或丢包率。如果探测失败，可以触发VRRP优先级降低。
   • 举个例子，你可以配置IP SLA去监控网络中的关键点，比如你的网关或者一个外部服务器，如果检测到这些关键点不可达，就可以降低VRRP优先级。
3. 脚本和自动化工具：
   • 使用脚本和自动化工具来增强VRRP的监控能力。例如，可以编写一个脚本定期进行网络连通性检查（比如ping远程地址），如果检测到连接问题，可以通过CLI命令调整VRRP的优先级。