VRRP là gì? Hướng dẫn cấu hình VRRP trên Switch và Router Cisco

Trong bài viết này, chúng ta sẽ cùng tìm hiểu về tính năng VRRP, ứng dụng và cách cấu hình VRRP trên Switch và Router Cisco nhé.

VRRP là gì?

VRRP, viết tắt của Virtual Router Redundancy Protocol, là 1 giao thức dự phòng về Gateway cho mạng LAN. VRRP cũng tương tự như giao thức HSRP, tuy nhiên thì VRRP là giao thức chuẩn quốc tế, và được hỗ trợ trên tất cả các hãng, còn HSRP là giao thức độc quyền của Cisco, nên chỉ được hỗ trợ trên các thiết bị Cisco. Với VRRP thì chúng ta sẽ không cần các thiết bị phải cùng hãng, hay cùng modem như stack, miễn sao các thiết bị hỗ trợ VRRP là được.

Các bạn có thể xem mô hình bên dưới:

Mình đang có 1 mô hình mạng gồm 2 Router kết nối ra internet. Trên router mình sẽ tạo 2 sub interface để làm gateway cho 2 VLAN bên dưới. Đối với mô hình thông thường, không có giao thức dự phòng về Gateway, thì nếu PC-A nhận Gateway là 192.168.10.2, thì PC-A sẽ sử dụng Router 1 để đi ra Internet. Nếu Router 1 bị hỏng thì PC-A sẽ mất kết nối, lúc này các bạn sẽ cần phải đổi IP Gateway trên PC-A sang 192.168.10.3 để PC này có thể sử dụng Router 4 để đi ra Internet. Tuy nhiên thì cách này không được áp dụng thực tế vì nó tốn khá nhiều công sức.

Trong trường hợp này, các bạn có thể sử dụng VRRP để cấu hình dự phòng cho 2 Router. Khi cấu hình VRRP, cả 2 Router sẽ sử dụng chung 1 địa chỉ IP ảo, trong ví dụ của mình là 192.168.10.1 cho sub interface 10. Gateway trên máy tính lúc này sẽ là địa chỉ IP này.

Với VRRP, 1 Router sẽ được bầu chọn làm Master, làm nhiệm vụ forward dữ liệu. Các router khác sẽ ở trạng thái Backup, khi Router Master bị lỗi thì 1 trong các router này sẽ chuyển role thành Master và tiếp tục xử lý dữ liệu. Khi đó chúng ta sẽ có cơ chế dự phòng hoàn toàn tự động.

Khi cấu hình VRRP, có 1 số thông số mặc định mà các bạn cần phải nắm được.

• Sau khi cấu hình xong, cả 2 Router sẽ sử dụng chung 1 địa chỉ MAC ảo là 0000.5e00.01xx, với XX là VRRP group mà các bạn cấu hình. Khi đó các PC trong LAN sẽ sử dụng MAC này làm Destination MAC khi đi ra ngoài. Do vậy khi các bạn show bảng MAC hoặc ARP, thì chúng ta sẽ thấy địa chỉ MAC này chứ không phải là MAC thật của thiết bị. Nếu các bạn thấy địa chỉ MAC với phần đầu như này, nghĩa là gateway của các bạn đang sử dụng VRRP.
• VRRP sẽ sử dụng địa chỉ multicast 224.0.0.18 để trao đổi thông tin với nhau, do vậy thì các bạn không sử dụng multicast group này cho các dịch vụ khác, hoặc block multicast group này trên các link sử dụng để giao tiếp giữa 2 VRRP devices. Nếu không thì VRRP sẽ không thể thiết lập được.

VRRP thì các bạn có thể cấu hình trên switch hoặc router đều được, miễn sao các thiết bị đó có  hỗ trợ tính năng này.

Các câu lệnh trong VRRP

Khi cấu hình VRRP, thì các bạn chỉ cần cấu hình 1 số tham số. Các tham số này trên các hãng thì đều tương tự nhau, chỉ khác nhau về lệnh hoặc giao diện thôi. Trên các thiết bị Cisco thì sẽ có 2 kiểu cấu hình chính là Legacy hoặc Hierarchical. Legacy là kiểu cấu hình trên các thiết bị chạy phiên bản IOS cũ, còn Hierarchical là kiểu cấu hình trên các thiết bị sử dụng IOS XE mới. Các bạn chỉ cần ? ra là có thể biết được thiết bị đang sử dụng cách cấu hình nào.

VRRP sẽ được cấu hình trên Interface sử dụng làm Gateway cho mạng LAN bên dưới, nên các bạn sẽ cần truy cập vào mode interface, sub interface, hoặc vlan interface tùy theo mô hình mạng. Mỗi VLAN, sub interface... chúng ta sẽ cần phải cấu hình 1 VRRP group. Trên các Interface, chúng ta sẽ cần cấu hình IP và các thông số cho Interface như với mô hình thông thường.

Sau đó chúng ta sẽ cấu hình VRRP bằng lệnh vrrp, sau đó là VRRP group, Group thì các bạn có thể sử dụng các số từ 1 đến 255, miễn sao cả 2 thiết bị đều có cùng VRRP group là được. Thông thường chúng ta hay sử dụng VRRP Group tương tự với VLAN, dải mạng hoặc Interface. Ví dụ mình cấu hình VRRP cho VLAN 10, thì sẽ sử dụng luôn VRRP Group 10 cho dễ phân biệt.

Đối với kiểu Legacy, thì mỗi lần khai báo 1 thông số thì các bạn sẽ cần khi bao bằng câu lệnh vrrp 10 ở phía trước, sau đó là các tham số, còn với Hierarchical, thì các bạn chỉ cần vào vrrp 10, sau đó khai báo các tham số bên trong. Chỉ khác nhau vậy thôi.

Đầu tiên chúng ta sẽ khai báo 1 địa chỉ IP ảo cho các thiết bị, IP này sẽ được sử dụng như IP gateway cho các thiết bị trong mạng LAN. Thiết bị nào được bầu chọn làm Master thì sẽ sử dụng IP này để forward dữ liệu.

Còn lại các thông số bên dưới là tùy chọn thôi, các bạn có thể cấu hình hết, hoặc chỉ 1 vài tham số tùy thiết kế của các bạn.

Tham số priority sẽ cho phép chúng ta cấu hình role của các thiết bị trong VRRP Group. Thiết bị nào có priority cao hơn sẽ làm master, còn lại sẽ là backup. Mặc định tham số này sẽ là 100 nếu các bạn không cấu hình. Các bạn muốn chỉ định thiết bị nào là master thì chỉ cần cấu hình priority cao hơn 100 là được.

Phần xác thực cũng là tùy chọn. Các bạn có thể cấu hình bằng md5 hoặc clear text password, khi đó chỉ những thiết bị nào trùng kiểu xác thực và password mới có thể tham gia vào VRRP group. Các bạn nên cấu hình để tránh các thiết bị lạ Joint vào group.

Tùy chọn preempt thì mặc định đã được enable trên VRRP. Đây là tính năng chiếm lại quyền master. Ví dụ các bạn cấu hình Router 1 là master cho VLAN 10. Trong 1 số trường hợp Router 1 bị lỗi thì Router 4 sẽ chuyển role từ Backup sang Master để chuyển tiếp dữ liệu. Khi Router 1 hoạt động bình thường trở lại, thì nếu preempt được enable thì router 1 sẽ quay lại role Master, còn nếu preempt bị disable thì router 4 sẽ vẫn giữ nguyên role master, cho đến khi router 4 bị lỗi thì router 1 mới chuyển lại Master. Các bạn có thể bật tắt tùy nhu cầu.

Mặc định thì VRRP chỉ đổi role khi 1 trong 2 thiết bị bị lỗi, hoặc các thiết bị không ping được đến nhau qua  dải LAN đang sử dụng để cấu hình VRRP. Ví dụ như mô hình của mình thì 2 IP 192.168.10.2 và 192.168.10.3 không ping được đến nhau hoặc phần cứng của Router 1 bị lỗi thì Router 2 mới chuyển sang làm master và xử lý dữ liệu của VLAN 10. Tuy nhiên trong trường hợp cổng WAN trên Router 1 bị down hoặc không có kết nối internet, thì Router 1 vẫn giữ role Master. Khi đó thì người dùng thuộc VLAN 10 sẽ bị mất kết nối internet.

Trong trường hợp này các bạn có thể sử dụng track để monitor các cổng khác. Ví dụ mình sử dụng 2 câu lệnh bên dưới. Câu lệnh phía trên để theo dõi trạng thái UP/DOWN của cổng e0/1 bằng tùy chọn line-protocol, là cổng WAN của Router 1, câu lệnh phía dưới là gán track vào VRRP. Trong trường hợp cổng e0/1 bị down, thì track 10 sẽ down, khi đó thì vrrp trên router 1 sẽ giảm chỉ số priority đi 60 bằng tùy chọn decrement 60. Lúc này priority của Router 1 sẽ là 150 - 60 = 90. Trong khi priority của Router 4 mặc định là 100, khi đó Router 4 sẽ lên làm Master trong trường hợp cổng WAN của router 1 bị down hoặc mất kết nối internet.

Các bạn có thể sử dụng track để monitor các cổng dịch vụ, track cũng có tùy chọn để các bạn ping đến các IP cụ thể để monitor. Các bạn có thể tìm hiểu thêm phần cấu hình track trên Router.

Đây là các câu lệnh mà các bạn sẽ sử dụng để cấu hình VRRP. VRRP sẽ cấu hình trên từng Interface, VLAN Interface hoặc Sub Interface. Do vậy các bạn có thể cấu hình VRRP để chia tải. Ví dụ các bạn có 2 router và 4 VLAN là 10,20,30,40, chúng ta sẽ sử dụng sub Interface trên router để làm Gateway cho 4 VLAN này. Để chia tải trên các router, các bạn có thể cấu hình cho router 1 làm master cho VLAN 10 và 20, router 4 làm master cho VLAN 30 và 40 bằng cách cấu hình chỉ số priority của Router 1 trên sub interface 10 và 20 cao hơn router 4, nhưng priority trên VLAN 30 và 40 thì thấp hơn router 4. Khi đó VLAN 10 và 20 sẽ sử dụng Router 1 làm Gateway, còn VLAN 30 và 40 sẽ sử dụng Router 4 làm gateway. Như vậy là chúng ta sẽ chia tải người dùng ra cả 2 router. Đơn giản vậy thôi.

Cấu hình VRRP trên Router Cisco

Ok bây giờ mình sẽ demo cấu hình VRRP trên Router Cisco như mô hình bên dưới.

Mình sẽ cấu hình cho Router 1 làm Master cho VLAN 10, còn Router 4 làm Master cho VLAN 20. Các thông số Priority và track, các bạn chỉ cần cấu hình trên Router Master là được. Track mình sẽ monitor trạng thái UP/DOWN của 2 cổng WAN trên 2 Router, nếu cổng WAN bị down thì sẽ giảm Priority đi 60.

Cấu hình VRRP 10 làm Master cho VLAN 10 trên Router 1:

Cấu hình VRRP 20 làm Backup cho VLAN 20 trên Router 1. Với Router Backup thì mình sẽ không cấu hình Priority và Track, khi đó priority mặc định sẽ là 100.

Tương tự mình sẽ cấu hình VRRP 10 trên Router 4 làm Backup cho VLAN 10.

Router 4 làm Master cho VLAN 20.

Bây giờ các bạn có thể sử dụng ip 192.168.10.1, vaf 192.168.20.1 để cấu hình làm gateway cho các PC trong LAN.

Để xem chi tiết các thông số đang cấu hình, các bạn có thể sử dụng lệnh show vrrp. Chúng ta sẽ xem được trạng thái và các thông số VRRP đã cấu hình, như: trạng thái của router, địa chỉ IP và MAC ảo mà 2 router đang sử dụng, tính năng chiếm quyền có đang được bật hay không, router có IP nào đang là master...

Các bạn cũng có thể xem thông tin ngắn gọn bằng lệnh show vrrp brief.

Mình đã cấu hình track rồi, nên mình sẽ test với trường hợp cổng e0/1 trên 1 trong 2 router bị down. Mình sẽ shutdown cổng e0/1 trên Router 1.

Các bạn sẽ thấy, sau khi cổng e0/1 bị down, thì track 10 cũng sẽ chuyển sang down, và vrrp 10 trên Router 1 cũng sẽ chuyển sang backup.

Bây giờ thì priority giảm còn 90 (trừ đi 60 theo tùy chọn decrement 60) do track 10 bị down.

Khi đó Router 4 sẽ chuyển sang Master cho VLAN 10 do lúc này priority của router 4 cao hơn, và cả 2 VLAN sẽ sử dụng Router 4 để ra Internet.

Khi cổng e0/1 được khôi phục, thì router 1 sẽ chuyển sang master cho VLAN 10 do chúng ta đã bật tính năng chiếm quyền preempt, các PC thuộc VLAN 10 sẽ sử dụng router 1 làm gateway.

Như vậy chúng ta sẽ có cơ chế backup hoàn toàn tự động với VRRP.

Kết luận

Phần cấu hình VRRP chỉ có vậy thôi, quan trọng là các bạn cần thiết kế mô hình kết nối sao cho hợp lý, và phân chia tải phù hợp giữa các thiết bị dựa trên nhu cầu hoặc hiệu suất phần cứng, do vrrp thì không yêu cầu các thiết bị phải giống nhau.

Ok Như vậy là chúng ta đã cùng nhau tìm hiểu về tính năng VRRP và cách cấu hình trên Switch Cisco. Nếu các bạn có thắc mắc hay góp ý nào thì hãy để lại comment để mọi người cùng trao đổi nhé.

Chúc các bạn thành công!