CCNA [Part 7] Giao Thức Dự Phòng Gateway (VRRP)

Giao Thức Dự Phòng Gateway (VRRP)​

Trong hệ thống mạng, tính sẵn sàng cao (High Availability) là một yếu tố quan trọng để đảm bảo kết nối liên tục, tránh gián đoạn dịch vụ. Giao thức Dự Phòng Gateway (VRRP - Virtual Router Redundancy Protocol) giúp cung cấp khả năng chuyển đổi dự phòng giữa các bộ định tuyến, đảm bảo rằng nếu một bộ định tuyến chính gặp sự cố, lưu lượng mạng sẽ tự động chuyển sang một bộ định tuyến dự phòng mà không gây gián đoạn.

Bài viết này sẽ giúp bạn hiểu rõ về nguyên lý hoạt động của VRRP, cách thức lựa chọn bộ định tuyến chính (Master) và bộ định tuyến dự phòng (Backup), cũng như lợi ích của việc triển khai giao thức này trong hệ thống mạng doanh nghiệp.
Mục lục

I. Khái niệm​

- VRRP (Virtual Router Redundancy Protocol) là giao thức giúp tăng độ tin cậy và tính sẵn sàng của mạng. Nó tạo ra một "bộ định tuyến ảo" đại diện cho một nhóm các bộ định tuyến vật lý, trong đó một router đảm nhận vai trò chính (master) và các router khác làm dự phòng (backup).
- Nếu master gặp sự cố, một router khác sẽ tự động thay thế để đảm bảo kết nối mạng không bị gián đoạn. Giao thức này chủ yếu được sử dụng trong các mạng IPv4 và IPv6. Nó hoạt động ở tầng 3 của mô hình OSI (tầng Network Layer).

II. Thành phần và cách hoạt động​

VRRP hoạt động dựa trên cơ chế nhóm các router thành một thực thể ảo (virtual router), với các thành phần và quy trình sau:

Các thành phần chính:

• Virtual IP Address: Địa chỉ IP ảo được gán cho nhóm VRRP, đóng vai trò cổng mặc định cho các host trong mạng (ví dụ: 192.168.1.1). Đây là địa chỉ mà các thiết bị như PC hoặc server gửi gói tin đến.
• Virtual MAC Address: Địa chỉ MAC ảo được tạo tự động theo định dạng 00-00-5E-00-01-XX, trong đó XX là số nhóm VRRP (VRID, từ 1-255) dưới dạng hex. Ví dụ, nhóm 1 có MAC ảo là 00-00-5E-00-01-01. Điều này giúp host không cần cập nhật bảng ARP khi router chuyển đổi. Số lượng nhóm nên được giới hạn để tránh quá tải CPU.
• Priority: Giá trị từ 1-254 xác định router nào làm master. Router có priority cao nhất sẽ là master, trong khi các router khác là backup. Mặc định priority là 100, và giá trị 255 được dùng nếu router sở hữu địa chỉ IP thực trùng với IP ảo (IP owner).
• Preemption: Tính năng cho phép router có priority cao hơn tự động chiếm vai trò master khi nó sẵn sàng (mặc định bật). Nếu tắt preemption, master hiện tại giữ vai trò cho đến khi sự cố xảy ra.
• Authentication: Đảm bảo an toàn giao tiếp giữa các router trong nhóm, hỗ trợ xác thực plain-text hoặc MD5 (khuyến nghị MD5 vì bảo mật hơn). VRRP không mã hóa gói tin, nên có thể bị tấn công giả mạo (spoofing) nếu không được bảo vệ thêm

Quy trình hoạt động:

• Khởi tạo: Các router trong nhóm VRRP được cấu hình với cùng số nhóm (VRID) và IP ảo. Router có priority cao nhất trở thành master, các router còn lại là backup.
• Giao tiếp: Master gửi gói tin VRRP Advertisement (hello message) định kỳ qua địa chỉ multicast 224.0.0.18 (IPv4) hoặc ff02::12 (IPv6). Chu kỳ mặc định là 1 giây (hello timer).
• Theo dõi trạng thái: Các router backup lắng nghe gói tin hello từ master. Nếu không nhận được hello trong khoảng thời gian giữ (hold time, mặc định 3 giây), backup có priority cao nhất sẽ chuyển sang trạng thái master.
• Chuyển đổi dự phòng (Failover): Khi master gặp sự cố (giao diện xuống, mất nguồn, v.v.), backup tiếp quản bằng cách sử dụng IP ảo và MAC ảo, đảm bảo lưu lượng mạng không gián đoạn. Thời gian chuyển đổi thường là 3-4 giây, nhưng có thể tinh chỉnh bằng cách giảm hello timer.
• Phục hồi: Nếu master cũ khôi phục và preemption bật, nó sẽ lấy lại vai trò master từ backup hiện tại.

So sánh VRRP, HSRP, GLBP (Giao thức độc quyển của Cisco)

Ưu điểm của VRRP

• Tăng độ tin cậy: Đảm bảo kết nối liên tục khi master gặp sự cố.
• Cấu hình đơn giản: Dễ triển khai, chỉ cần IP ảo, VRID, priority.
• Object Tracking: Tự động chuyển đổi master dựa trên trạng thái mạng.

Hạn chế của VRRP

• Không cân bằng tải: Chỉ master xử lý lưu lượng trong cùng nhóm.
• Bảo mật yếu: Không mã hóa gói tin, dễ bị giả mạo nếu không bảo vệ.

Phần cấu hình sẽ ở đây Cấu hình Giao Thức Dự Phòng Gateway (VRRP)

Cho mình hỏi trong cụm VRRP, thiết bị nào đóng vai trò gửi và nhận gói tin VRRP Advertisement (hello message)? Các thiết bị PC và Switch có nhận được gói tin này không, nếu không thì làm cách nào Switch biết được thiết bị nào đang Master để chuyển tiếp gói tin đi?

HanaLink nói:

Cho mình hỏi trong cụm VRRP, thiết bị nào đóng vai trò gửi và nhận gói tin VRRP Advertisement (hello message)? Các thiết bị PC và Switch có nhận được gói tin này không, nếu không thì làm cách nào Switch biết được thiết bị nào đang Master để chuyển tiếp gói tin đi?

Nhấn để mở rộng...

Chào chị, cảm ơn về câu hỏi của chị. Sau đây sẽ là lời giải thích của em
+ Thiết bị nào đóng vai trò gửi và nhận gói tin VRRP Advertisement (hello message):

• Trong VRRP (Virtual Router Redundancy Protocol), chỉ có Router Master gửi gói tin VRRP Advertisement (hello message) định kỳ
• Các Router Backup sẽ lắng nghe gói tin này để biết rằng Master vẫn đang hoạt động. Nếu không nhận được trong một khoảng thời gian, một router Backup với priority cao nhất sẽ tự động trở thành Master.

+ Các thiết bị PC và Switch có nhận được gói tin này không, nếu không thì làm cách nào Switch biết được thiết bị nào đang Master để chuyển tiếp gói tin đi?

• Các gói tin này được gửi đến địa chỉ multicast 224.0.0.18 chỉ có các router chạy VRRP nhận được

+ Switch biết thiết bị nào là Master như thế nào?

• Trong nhóm VRRP có định dạng MAC ảo: 00:00:5E:00:01:XX (trong đó XX là VRRP Group ID)
• Switch biết Router Master nhờ MAC ảo (Virtual MAC), mà Router Master trả lời trong ARP Reply khi PC gửi ARP Request.
• Nếu Master thay đổi (do lỗi), Router Backup trở thành Master và gửi GARP (Gratuitous ARP) để cập nhật bảng MAC trên Switch.