[Juniper] Junos虛擬路由冗餘協定(VRRP)備援架構

邊做邊學,順便留個筆記,若有錯誤請不吝指教。

Junos基本操作及root密碼設定可參考我之前的文章:Juniper Junos基本操作、root密碼設定

所有Juniper相關文章列表:Juniper JunOS 系列文章列表

為了追求更高的可用性,備援機制也相對越來越重要,虛擬路由冗餘協定(VRRP)有效的提供了第一跳的備援機制,避免作為閘道(Gateway)的設備故障造成網路服務中斷。

由於VRRP是標準協定,所以可以在不同廠牌的設備之間建立VRRP的備援機制,以下使用一個簡單的VRRP備援架構來說明Juniper交換器設備VRRP的設定方式。

首先我們在兩台L3交換器上建立同樣的vlan,這裡我們使用vlan 100,並為該vlan 指定L3 介面(interface),vlan相關的設定說明可以參考 Juniper Junos基本vlan設定

    KerKer@sw1# set vlans v100 vlan-id 100
    KerKer@sw1# set vlans v100 l3-interface irb.100

    KerKer@sw2# set vlans v100 vlan-id 100
    KerKer@sw2# set vlans v100 l3-interface irb.100

需要特別注意的是這兩台switch的vlan 100要接在同一個區域網路架構下(LAN),比較簡單的方式是直接個別設定一個實體介面access vlan 100之後對接即可:

    KerKer@sw1# set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access
    KerKer@sw1# set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 100

    KerKer@sw2# set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode access
    KerKer@sw2# set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members 100

接下來我們要在這兩個L3介面上分別給定一個IP,並加入同一個vrrp-group,且指定同一個virtual-address來作為vlan 100的閘道:

    KerKer@sw1# set interfaces irb unit 100 family inet address 192.168.100.252/24 vrrp-group 1 virtual-address 192.168.100.254

    KerKer@sw2# set interfaces irb unit 100 family inet address 192.168.100.253/24 vrrp-group 1 virtual-address 192.168.100.254

通常來說我們會手動給定priority,並設定成preempt來保證主要的閘道及備援閘道的角色,這裡我們讓sw1作為我們的主要閘道:

    KerKer@sw1# set interfaces irb unit 100 family inet address 192.168.100.252/24 vrrp-group 1 priority 254
    KerKer@sw1# set interfaces irb unit 100 family inet address 192.168.100.252/24 vrrp-group 1 preempt

    KerKer@sw2# set interfaces irb unit 100 family inet address 192.168.100.253/24 vrrp-group 1 priority 253
    KerKer@sw2# set interfaces irb unit 100 family inet address 192.168.100.253/24 vrrp-group 1 preempt

另外VRRP的virtual-address預設是不接受任何除了arp以外的封包,為了方便透過icmp ping測試是否有正確連通,可以設定accept-data來允許arp以外的封包:

    KerKer@sw1# set interfaces irb unit 100 family inet address 192.168.100.252/24 vrrp-group 1 accept-data

    KerKer@sw2# set interfaces irb unit 100 family inet address 192.168.100.253/24 vrrp-group 1 accept-data

這樣一來只要將在vlan 100的設備都設定成以 virtual-address 作為閘道(Gateway),就可以有效的避免單台設備故障造成第一跳失效的問題了。