AnhTuIS
Intern
Giao Thức Dự Phòng Gateway (VRRP)
Trong hệ thống mạng, tính sẵn sàng cao (High Availability) là một yếu tố quan trọng để đảm bảo kết nối liên tục, tránh gián đoạn dịch vụ. Giao thức Dự Phòng Gateway (VRRP - Virtual Router Redundancy Protocol) giúp cung cấp khả năng chuyển đổi dự phòng giữa các bộ định tuyến, đảm bảo rằng nếu một bộ định tuyến chính gặp sự cố, lưu lượng mạng sẽ tự động chuyển sang một bộ định tuyến dự phòng mà không gây gián đoạn.Bài viết này sẽ giúp bạn hiểu rõ về nguyên lý hoạt động của VRRP, cách thức lựa chọn bộ định tuyến chính (Master) và bộ định tuyến dự phòng (Backup), cũng như lợi ích của việc triển khai giao thức này trong hệ thống mạng doanh nghiệp.
Mục lục
I. Khái niệm
- VRRP (Virtual Router Redundancy Protocol) là giao thức giúp tăng độ tin cậy và tính sẵn sàng của mạng. Nó tạo ra một "bộ định tuyến ảo" đại diện cho một nhóm các bộ định tuyến vật lý, trong đó một router đảm nhận vai trò chính (master) và các router khác làm dự phòng (backup).- Nếu master gặp sự cố, một router khác sẽ tự động thay thế để đảm bảo kết nối mạng không bị gián đoạn. Giao thức này chủ yếu được sử dụng trong các mạng IPv4 và IPv6. Nó hoạt động ở tầng 3 của mô hình OSI (tầng Network Layer).

II. Thành phần và cách hoạt động
VRRP hoạt động dựa trên cơ chế nhóm các router thành một thực thể ảo (virtual router), với các thành phần và quy trình sau:Các thành phần chính:
- Virtual IP Address: Địa chỉ IP ảo được gán cho nhóm VRRP, đóng vai trò cổng mặc định cho các host trong mạng (ví dụ: 192.168.1.1). Đây là địa chỉ mà các thiết bị như PC hoặc server gửi gói tin đến.
- Virtual MAC Address: Địa chỉ MAC ảo được tạo tự động theo định dạng 00-00-5E-00-01-XX, trong đó XX là số nhóm VRRP (VRID, từ 1-255) dưới dạng hex. Ví dụ, nhóm 1 có MAC ảo là 00-00-5E-00-01-01. Điều này giúp host không cần cập nhật bảng ARP khi router chuyển đổi. Số lượng nhóm nên được giới hạn để tránh quá tải CPU.
- Priority: Giá trị từ 1-254 xác định router nào làm master. Router có priority cao nhất sẽ là master, trong khi các router khác là backup. Mặc định priority là 100, và giá trị 255 được dùng nếu router sở hữu địa chỉ IP thực trùng với IP ảo (IP owner).
- Preemption: Tính năng cho phép router có priority cao hơn tự động chiếm vai trò master khi nó sẵn sàng (mặc định bật). Nếu tắt preemption, master hiện tại giữ vai trò cho đến khi sự cố xảy ra.
- Authentication: Đảm bảo an toàn giao tiếp giữa các router trong nhóm, hỗ trợ xác thực plain-text hoặc MD5 (khuyến nghị MD5 vì bảo mật hơn). VRRP không mã hóa gói tin, nên có thể bị tấn công giả mạo (spoofing) nếu không được bảo vệ thêm
- Khởi tạo: Các router trong nhóm VRRP được cấu hình với cùng số nhóm (VRID) và IP ảo. Router có priority cao nhất trở thành master, các router còn lại là backup.
- Giao tiếp: Master gửi gói tin VRRP Advertisement (hello message) định kỳ qua địa chỉ multicast 224.0.0.18 (IPv4) hoặc ff02::12 (IPv6). Chu kỳ mặc định là 1 giây (hello timer).
- Theo dõi trạng thái: Các router backup lắng nghe gói tin hello từ master. Nếu không nhận được hello trong khoảng thời gian giữ (hold time, mặc định 3 giây), backup có priority cao nhất sẽ chuyển sang trạng thái master.
- Chuyển đổi dự phòng (Failover): Khi master gặp sự cố (giao diện xuống, mất nguồn, v.v.), backup tiếp quản bằng cách sử dụng IP ảo và MAC ảo, đảm bảo lưu lượng mạng không gián đoạn. Thời gian chuyển đổi thường là 3-4 giây, nhưng có thể tinh chỉnh bằng cách giảm hello timer.
- Phục hồi: Nếu master cũ khôi phục và preemption bật, nó sẽ lấy lại vai trò master từ backup hiện tại.

So sánh VRRP, HSRP, GLBP (Giao thức độc quyển của Cisco)
Tiêu chí | VRRP | HSRP | GLBP |
Chuẩn | Tiêu chuẩn mở (RFC 5798) | Độc quyền Cisco | Độc quyền Cisco |
Cân bằng tải | Không (trong cùng nhóm) | Không (trong cùng nhóm) | Có (trong cùng nhóm) |
Thời gian hello | 1 giây (có thể giảm) | 3 giây (có thể giảm) | 3 giây (có thể giảm) |
Hỗ trợ IPv6 | Có | Có (HSRPv2) | Có |
Tính mở rộng | 255 nhóm/giao diện | 255 nhóm/giao diện | 255 nhóm/giao diện |
Ưu điểm của VRRP
- Tăng độ tin cậy: Đảm bảo kết nối liên tục khi master gặp sự cố.
- Cấu hình đơn giản: Dễ triển khai, chỉ cần IP ảo, VRID, priority.
- Object Tracking: Tự động chuyển đổi master dựa trên trạng thái mạng.
- Không cân bằng tải: Chỉ master xử lý lưu lượng trong cùng nhóm.
- Bảo mật yếu: Không mã hóa gói tin, dễ bị giả mạo nếu không bảo vệ.
Sửa lần cuối:
Bài viết liên quan
Bài viết mới