ACL應用之VRRP

ACL應用之VRRP

VRRP發送報文方式是什麼？
組播 地址：224.0.0.18
VRRP報文是由哪一個設備發送的？
master 主路由設備發送
VRRP的報文協議號是多少？
112
可能存在的一種ACL拒絕VRRP報文產生MASTER錯誤的狀況
案例
1.如圖配置IP地址
2.配置 VRRP 虛擬網關和優先級
3.配置 ACL 確保 R2 也成爲 Master
-acl不能控制本身發出流量因此要在r2設置acl
4.確保其餘類型的流量能夠互通
-由於要確保全部流量互通因此不能用ip協議
-因此須要使用高級ACL針對性阻止vrrp報文進入

VRRP多master的常見緣由：

1.IP地址必須相同
2.vrid必須相同
3.virtual-ip（虛擬ip）必須相同
4.認證必須成功
5.經過ACL拒絕vrrp報文後備份網關自動變成網關

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 192.168.1.251 24
[R1-GigabitEthernet0/0/0]q
[R1]interface GigabitEthernet 0/0/0
[R1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R1-GigabitEthernet0/0/0]vrrp vrid 1 priority 200
[R1-GigabitEthernet0/0/0]q

<R1>telnet 192.168.1.252
Press CTRL_] to quit telnet mode
Trying 192.168.1.252 ...
Connected to 192.168.1.252 ...

Login authentication

Pasword:

[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]ip add 192.168.1.252 24
[R2-GigabitEthernet0/0/0]q
[R2]ping 192.168.1.251
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.1.254
[R2-GigabitEthernet0/0/0]vrrp vrid 1 priority 150
[R2-GigabitEthernet0/0/0]q
[R2]dis vrrp b
[R2]acl 3000
[R2-acl-adv-3000]rule 10 deny 112 source 192.168.1.251 0.0.0.0 destination 224.0
.0.18 0.0.0.0
[R2-acl-adv-3000]q
[R2]int g0/0/0
[R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3000
[R2-GigabitEthernet0/0/0]q
[R2]dis vrrp b
Total:1 Master:1 Backup:0 Non-active:0
VRID State Interface Type Virtual IP

1 Master GE0/0/0 Normal 192.168.1.254
[R2]dis acl all
rule 10 deny 112 source 192.168.1.251 0 destination 224.0.0.18 0 (22 matches)
[R2]user-interface vty 0 4
[R2-ui-vty0-4]authentication-mode pas
Please configure the login pas (maximum length 16):HCIE
[R2-ui-vty0-4]q