Giao thức VRRP (Virtual Router Redundancy Protocol) ra đời để giải quyết bài toán này bằng cách tạo ra một gateway ảo được chia sẻ giữa nhiều router vật lý. Khi router Master gặp sự cố, router Backup sẽ tự động tiếp quản, đảm bảo kết nối mạng liên tục cho người dùng.
Bài lab này sẽ triển khai VRRP trên ba router (VCP1, VCP2, VCP3) với các priority khác nhau (200, 150, 100), kết hợp cơ chế tracking interface để tự động failover khi đường ra WAN down. Đồng thời, chúng ta sẽ giới thiệu tính năng bảo mật của VRRP thông qua xác thực MD5, cũng như đánh giá khả năng chịu lỗi khi lần lượt ngắt kết nối các router chính.
Bài lab này sẽ triển khai VRRP trên ba router (VCP1, VCP2, VCP3) với các priority khác nhau (200, 150, 100), kết hợp cơ chế tracking interface để tự động failover khi đường ra WAN down. Đồng thời, chúng ta sẽ giới thiệu tính năng bảo mật của VRRP thông qua xác thực MD5, cũng như đánh giá khả năng chịu lỗi khi lần lượt ngắt kết nối các router chính.
Mục lục
I. Giới thiệu mô hìnhII. Yêu cầu
III. Cấu hình
IV. Kiểm tra yêu cầu
I. Giới thiệu mô hình
VFP1:
- ge-0/0/0: 192.168.1.2 có VRRP 192.168.1.1 priority là 200
- ge-0/0/1: 10.10.10.1 trong mạng 10.10.10.0/30
- ge-0/0/0: 192.168.1.3 có VRRP 192.168.1.1 priority là 150
- ge-0/0/1: 10.10.10.5 trong mạng 10.10.10.4/30
- ge-0/0/0: 192.168.1.4 có VRRP 192.168.1.1 priority là 100
- ge-0/0/1: 10.10.10.13 trong mạng 10.10.10.12/30
- ge-0/0/0: 172.0.0.1 trong mạng 172.0.0.0/24
- ge-0/0/1: 10.10.10.2 trong mạng 10.10.10.0/30
- ge-0/0/2: 10.10.10.5 trong mạng 10.10.10.4/30
- ge-0/0/3: 10.10.10.13 trong mạng 10.10.10.12/30
VPC2: 172.0.0.10 trong mạng 172.0.0.0/24 gateway 172.0.0.1
II. Yêu cầu
Thiết lập VRRP trên Router1, Router2, Router3 (VCP1, VCP2, VCP3)Kiểm tra kết nối giữa VPC1 và VPC2
Thử tính sẵn sàng khi đường VRRP lần lượt trên Router1 và Router2 down(qua tracer)
- Khi đường 1 down
- Khi đường 1 và 2 down
III. Cấu hình
VCP1:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 vrrp-group 1 virtual-address 192.168.1.1 #cấu hình IP thực của interface và tạo IP ảo của VRRP
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 vrrp-group 1 priority 200 #thiết lập priority
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 vrrp-group 1 preempt #đảm bảo router có priority cao luôn giành lại quyền Master khi phục hồi
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 vrrp-group 1 advertise-interval 1 #chỉnh thời gian gửi thông báo VRRP (Advertisement) là 1 giây
set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.1/30 #cấu hình IP cho interface
set routing-options static route 172.0.0.0/24 next-hop 10.10.10.2 #định tuyến tĩnh đến mạng 172.0.0.0/24VCP2:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.3/24 vrrp-group 1 virtual-address 192.168.1.1 #cấu hình IP thực của interface và tạo IP ảo của VRRP giống với Router1
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.3/24 vrrp-group 1 priority 150 #thiết lập priority
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.3/24 vrrp-group 1 preempt #đảm bảo router có priority cao luôn giành lại quyền Master khi phục hồi
set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.5/30 #cấu hình IP cho interface
set routing-options static route 172.0.0.0/24 next-hop 10.10.10.6 #định tuyến tĩnh đến mạng 172.0.0.0/24VCP3:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.4/24 vrrp-group 1 virtual-address 192.168.1. 1 #cấu hình IP thực của interface và tạo IP ảo của VRRP giống với Router1
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.4/24 vrrp-group 1 priority 100 #thiết lập priority
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.4/24 vrrp-group 1 preempt #đảm bảo router có priority cao luôn giành lại quyền Master khi phục hồi
set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.13/30 #cấu hình IP cho interface
set routing-options static route 172.0.0.0/24 next-hop 10.10.10.14 #định tuyến tĩnh đến mạng 172.0.0.0/24VCP4:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 172.0.0.1/24 #cấu hình IP cho interface
set interfaces ge-0/0/1 unit 0 family inet address 10.10.10.2/30
set interfaces ge-0/0/2 unit 0 family inet address 10.10.10.6/30
set interfaces ge-0/0/3 unit 0 family inet address 10.10.10.10/30
set routing-options static route 192.168.1.0/24 qualified-next-hop 10.10.10.1 #định tuyến tĩnh đến mạng 192.168.1.0/24
set routing-options static route 192.168.1.0/24 qualified-next-hop 10.10.10.5
set routing-options static route 192.168.1.0/24 qualified-next-hop 10.10.10.13RE:
Mã:
set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode access
set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members VLAN10
set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode access
set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members VLAN10
set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode access
set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members VLAN10
set interfaces xe-0/0/3 unit 0 family ethernet-switching interface-mode access
set interfaces xe-0/0/3 unit 0 family ethernet-switching vlan members VLAN10
set vlans VLAN10 vlan-id 10VPC1:
Mã:
ip 192.168.1.10/24 192.168.1.1VPC2:
Mã:
ip 172.0.0.10/24 172.0.0.1Cơ chế đảm bảo dự phòng (tracker interface)
Nếu đường ra VRRP của Router1 down, nó sẽ hạ priority của Router1 xuống và đưa Router2 lên làm Master, cũng như thế lần lượt với các router sau.
Nhưng phải đảm bảo cấu hình thông số priority-cost hợp lý, nếu không priority bị hạ trước đó vẫn cao hơn priority của router backup như thế sẽ gây lỗi VRRP, vì nó sẽ chọn router đang bị down làm master.
VCP1:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.2/24 vrrp-group 1 track interface ge-0/0/1 priority-cost 150 #cấu hình tracker interface với thông số priority-cost hợp lýVCP2:
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.3/24 vrrp-group 1 track interface ge-0/0/1 priority-cost 100VCP3: khỏi set vì nó là phương án dự phòng cuối cùng, nên không cần giảm nữa, vì nó có priority thấp nhất
Cơ chế bảo vệ của VRRP
Config cho từng router , chỉ thay đổi tùy theo IP interface từng cục, Router mã hóa toàn bộ thông điệp VRRP (bao gồm cả priority, virtual IP) bằng thuật toán MD5 + key bí mật
Mã:
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 vrrp-group 1 virtual-address 192.168.1.254
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 vrrp-group 1 authentication-type md5
set interfaces ge-0/0/0 unit 0 family inet address 192.168.1.1/24 vrrp-group 1 authentication-key "mykey"IV. Kiểm tra yêu cầu
Kiểm tra thiết lập VRRP trên Router1, Router2, Router3 (VCP1, VCP2, VCP3)VCP1:
Hiện tại Router1 có priority cao nhất nên được chọn làm master, các router còn lại là backup
VCP2:
VCP3:
Router3 không có phần tracking vì nó là router backup cuối, nếu nó cũng down thì coi như hệ thống cũng down, không cần tracking đường ra của nó nữa
Kiểm tra kết nối giữa VPC1 và VPC2
Thử tính sẵn sàng khi đường VRRP lần lượt trên Router1 và Router2 down(qua tracer)
Khi đường 1 down: lúc ta tracer nó sẽ đi theo hướng của đường 2:
Khi đường 1 và 2 down: nó sẽ đi theo đường 3
Kết luận
Bài lab đã kiểm chứng hiệu quả của VRRP trong việc đảm bảo tính sẵn sàng cao cho gateway mạng. Cơ chế ưu tiên (priority) và tracking interface giúp hệ thống tự động chuyển đổi Master khi có sự cố, duy trì kết nối ổn định. Đồng thời, bảo mật MD5 bảo vệ VRRP khỏi tấn công giả mạo.Các thử nghiệm khi lần lượt down Router1 và Router2 cho thấy VRRP hoạt động đúng kỳ vọng, giúp kết nối giữa VPC1 và VPC2 không bị gián đoạn. Tóm lại, VRRP là một giải pháp hiệu quả, linh hoạt và an toàn cho hệ thống mạng doanh nghiệp.
Bài viết liên quan
Bài viết mới