网关冗余和负载平衡

王娜

HSRP

HSRP 是Cisco 的专有协议。HSRP（Hot Standby Router Protocol）把多台路由器组成一个“热备份组”，形成一个虚拟路由器。这个组内只有一个路由器是活动的（Active），并由它来转发数据包，如果活动路由器发生了故障，备份路由器将成为活动路由器。从网络内的主机来看，网关并没有改变。

HSRP 路由器利用HELLO 包来互相监听各自的存在。当路由器长时间没有接收到HELLO包，就认为活动路由器故障，备份路由器就会成为活动路由器。HSRP 协议利用优先级决定哪个路由器成为活动路由器。如果一个路由器的优先级比其它路由器的优先级高，则该路由器成为活动路由器。路由器的缺省优先级是100。 一个组中，最多有一个活动路由器和一个备份路由器。

HSRP 路由器发送的多播消息有以下三种：

（1） HELLO: HELLO 消息通知其它路由器发送路由器的HSRP 优先级和状态信息，HSRP 路由器默认为每3 秒钟发送一个HELLO 消息；

（2） Coup：当一个备用路由器变为一个活动路由器时发送一个coup 消息；

（3） Resign：当活动路由器要宕机或者当有优先级更高的路由器发送HELLO 消息时，主动发送一个resign 消息。

HSRP 路由器有以下六种状态：

（1） Initial：HSRP 启动时的状态，HSRP 还没有运行，一般是在改变配置或接口刚刚启动时进入该状态；

（2） Learn：路由器已经得到了虚拟IP 地址，但是它既不是活动路由器也不是备份路由器。它一直监听从活动路由器和备份路由器发来的HELLO 报文；

（3） Listen：路由器正在监听HELLO 消息；

（4） Speak：在该状态下，路由器定期发送HELLO 报文，并且积极参加活动路由器或备份路由器的竞选；

（5） Standby：当活动路由器失效时路由器准备接管数据传输功能；

（6） Active：路由器执行数据传输功能。

VRRP

VRRP 的工作原理和HSRP 非常类似，不过VRRP 是国际上的标准，允许在不同厂商的设备之间运行。VRRP 中虚拟网关的地址可以和接口上的地址相同，VRRP 中接口只有3 个状态：

初始状态(Initialize)、主状态(Master)、备份状态(Backup)。VRRP 有一种报文。

GLBP

HSRP和VRRP能实现网关的冗余，然而如果要实现负载平衡，需要创建多个组，并让客户端指向不同的网关。GLBP（Gateway Load Balance Protocol）也是Cisco的专有协议，不仅提供冗余网关功能，还在各网关之间提供负载均衡。GLBP也是由多个路由器组成一个组，虚拟一个网关出来。GLBP选举出一个AVG(Avtive Virtual Gateway)，AVG不是负责转发数据的。

AVG分配最多四个MAC地址给一个虚拟网关，并在计算机进行ARP请求时，用不同的MAC进行响应，这样计算机实际就把数据发送给不同的路由器了，从而实现负载平衡。在GLBP中，真正负责转发数据的是AVF(Avtive Virtual Forwarder)，GLBP会控制GLBP组中哪个路由器是哪个MAC地址的活动路由器。

AVG的选举和HRSP中活动路由器的选举非常类似，优先级最高的路由器成为AVG，次之的为Backup AVG，其余的为监听状态。一个GLBP组只能有一个AVG和一个Backup AVG，主的AVG失败，备份AVG顶上。一台路由器可以同时是AVG和AVF。AVF是某些MAC的活动路由器，也就是说如果计算机把数据发往这个MAC，它将接收。当某一MAC的活动路由器故障，其它AVF将成为这一MAC的新的活动路由器，从而实现冗余功能。

GLBP 的负载平衡策略可以是根据不同主机、简单的轮询或者根据路由器的权重平衡，默认是轮询方式。

配置HSRP

R1(config)#interface g0/0

R1(config-if)#standby 1 ip 192.168.13.254

//启用 HSRP 功能，并设置虚拟IP 地址，1 为standby 的组号。相同组号的路由器属于同一个HSRP 组，所有属于同一个HSRP 组的路由器的虚拟地址必须一致

R1(config-if)#standby 1 priority 120

//配置HSRP 的优先级，如果不设置该项，缺省优先级为100，该值大抢占为活动路由器的优先权越高。

R1(config-if)#standby 1 preempt

//该设置允许该路由器在优先级是最高时成为活动路由器。如果不设置，即使该路由器权值再高，也不会成为活动路由器。

R1(config-if)#standby 1 timers 3 10

//其中3 为HELLO time，表示路由器每间隔多长时间发送HELLO 信息。10 为HOLD time，表示在多长时间内同组的其它路由器没有收到活动路由器的信息，则认为活动路由器故障。该设置的缺省值分别为3 秒和10 秒。如果要更改缺省值，所有同HSRP 组的路由器的该项设置必须一致。

R1(config-if)#standby 1 track s0/0/0 30

//以上表明跟踪的是s0/0/0 接口，如果该接口故障，优先级降低30。降低的值应该选取合适的值，使得其它路由器能成为活动路由器。按照步骤3 测试HSRP 的端口跟踪是否生效。

R1(config-if)#standby 1 authentication md5 key-string cisco

//以上是配置认证密码，防止非法设备加入到HSRP 组中，同一个组的密码必须一致。

Vrrp配置：

R1(config)#track 100 interface Serial0/0/0 line-protocol

R1(config)#interface GigabitEthernet0/0

R1(config-if)#vrrp 1 ip 192.168.13.254

R1(config-if)#vrrp 1 priority 120

R1(config-if)#vrrp 1 preempt

R1(config-if)#vrrp 1 authentication md5 key-string cisco

R1(config-if)#vrrp 1 track 100 decrement 30

R1(config-if)#vrrp 2 ip 192.168.13.253

R1(config-if)#vrrp 2 preempt

R1(config-if)#vrrp 2 authentication md5 key-string cisco

//VRRP 的端口跟踪和HSRP 有些不同，需要在全局配置模式下先定义跟踪目标，才配置vrrp中跟踪该目标，我们这里定义了目标100 是s0/0/0 接口。

配置GLBP

R1(config)#interface GigabitEthernet0/0

R1(config-if)#glbp 1 ip 192.168.1.254

//和HSRP 类似，创建GLBP 组，虚拟网关的IP 为192.168.1.254

R1(config-if)#glbp 1 priority 200

//配置优先级，优先级高的路由器成为AVG，默认为100

R1(config-if)#glbp 1 preempt

//配置AVG 抢占，否则即使优先级再高，也不会成为AVG

R1(config-if)#glbp 1 authentication md5 key-string cisco

//以上是配置认证，防止非法设备接入

所有配置命令：

standby 1 ip 192.168.13.254 启用 HSRP 功能，并设置虚拟IP 地址

standby 1 priority 120 配置本路由器的HSRP 优先级

standby 1 preempt 配置HSRP 抢占

standby 1 timers 3 10 设置HSRP 的HELLO time 和HOLD time

standby 1 authentication md5 key-stringcisco

配置HSRP 认证密码，认证方式为MD5

show standby brief 查看HSRP 的简要情况

standby 1 track Serial0/0/0 30 跟踪s0/0/0 接口，当接口故障时，HSRP 优先级降低30

vrrp 1 ip 192.168.13.254 启用 VRRP 功能，并设置虚拟IP 地址

vrrp 1 priority 120 配置本路由器的VRRP 优先级

vrrp 1 preempt 配置VRRP 抢占

vrrp 1 authentication md5 key-stringcisco

配置VRRP 认证密码，认证方式为MD5

track 100 interface Serial0/0/0 定义一个跟踪目标号，被跟踪对象为s0/0/0

line-protocol 接口

vrrp 1 track 100 decrement 30 跟踪目标100，当目标故障时，优先级降低

30

show vrrp brief 查看VRRP 的简要情况

glbp 1 ip 192.168.1.254 启用 GLBP 功能，并设置虚拟IP 地址

glbp 1 priority 200 配置本路由器的GLBP 优先级

glbp 1 preempt 配置GLBP 抢占

glbp 1 authentication md5 key-stringcisco

配置GLBP 认证密码，认证方式为MD5

show glbp 查看GLBP 情况

Rockyw

感谢楼主分享！

dmcflysky

好人一生平安

听雨丶

对vrrp认证正好有点不足，感谢楼主！