VRRP概念、工作原理以及配置詳解

VRRP概念

VRRP是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到區域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱為主路由器， 它負責轉發數據包到這些虛擬 IP位址。

一旦主路由器不可用， 這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的IP位址可以作為終端主機的默認第一跳路由器。 是一種LAN接入設備備份協議.一個區域網路內的所有主機都設置預設網關， 這樣主機發出的目的地址不在本網段的報文將被通過預設網關發往三層交換機，從而實現了主機和外部網絡的通信。

VRRP是一種路由容錯協議，也可以叫做備份路由協議。一個區域網路內的所有主機都設置預設路由，當網內主機發出的目的地址不在本網段時，報文將被通過預設路由發往外部路由器，從而實現了主機與外部網絡的通信。當預設路由器down掉（即埠關閉）之後，內部主機將無法與外部通信，如果路由器設置了VRRP時，那麼這時，虛擬路由將啟用備份路由器，從而實現全網通信。

VRRP（ Virtual Router Redundancy Protocol ，虛擬路由冗餘協議）是一種容錯協議。通常，一個網絡內的所有主機都設置一條預設路由，這樣，主機發出的目的地址不在本網段的報文將被通過預設路由發往路由器 RouterA，從而實現了主機與外部網絡的通信。當路由器 RouterA 壞掉時，本網段內所有以 RouterA 為預設路由下一跳的主機將斷掉與外部的通信產生單點故障。VRRP就是為解決上述問題而提出的，它為具有多播組播或廣播能力的區域網（如：乙太網）設計。

VRRP 將區域網的一組路由器（包括一個 Master 即活動路由器和若干個 Backup 即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的 IP位址10.100.10.1（這個IP位址可以和備份組內的某個路由器的接口地址相同，相同的則稱為 ip擁有者），備份組內的路由器也有自己的 IP 地址（如 Master 的 IP 地址為 10.100.10.2，Backup的 IP位址為10.100.10.3）。區域網內的主機僅僅知道這個虛擬路由器的 IP 地址 10.100.10.1，而並不知道具體的 Master 路由器的 IP 地址 10.100.10.2 以及 Backup 路由器的 IP 地10.100.10.3 。它們將自己的預設路由下一跳地址設置為該虛擬路由器的 IP 地址10.100.10.1。於是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的 Master 路由器壞掉， Backup 路由器將會通過選舉策略選出一個新的 Master 路由器，繼續向網絡內的主機提供路由服務。 從而實現網絡內的主機不間斷地與外部網絡進行通信。

工作原理：

VRRP的工作過程如下：

1、路由器開啟 VRRP功能後，會根據優先級確定自己在備份組中的角色。優先級高的路由器成為主用路由器，優先級低的成為備用路由器。主用路由器定期發送 VRRP通告報文，通知備份組內的其他路由器自己工作正常；備用路由器則啟動定時器等待通告報文的到來。

2、VRRP在不同的主用搶佔方式下，主用角色的替換方式不同：

3、如果備用路由器的定時器超時後仍未收到主用路由器發送來的 VRRP通告報文，則認為主用路由器已經無法正常工作，此時備用路由器會認為自己是主用路由器，並對外發送 VRRP通告報文。備份組內的路由器根據優先級選舉出主用路由器，承擔報文的轉發功能。

在實際組網中一般會進行 VRRP負載分擔方式的設置。負載分擔方式是指多臺路由器同時承擔業務，避免設備閒置，因此需要建立兩個或更多的備份組實現負載分擔。VRRP負載分擔方式具有以下特點：

VRRP在提高可靠性的同時，簡化了主機的配置。在具有多播或廣播能力的區域網中，藉助VRRP能在某臺路由器出現故障時仍然提供高可靠的預設鏈路，有效避免單一鏈路發生故障後網絡中斷的問題，而無需修改動態路由協議、路由發現協議等配置信息。

一個 VRRP路由器有唯一的標識： VRID，範圍為 0—255，該路由器對外表現為唯一的虛擬 MAC地址，地址的格式為 00-00-5E-00-01-[VRID]，主控路由器負責對ARP請求用該MAC地址做應答，這樣 ,無論如何切換，保證給終端設備的是唯一一致的 IP 和 MAC地址，減少了切換對終端設備的影響。

VRRP控制報文只有一種： VRRP通告 (advertisement) ?它使用 IP多播數據包進行封裝，組地址為224.0.0.18，發布範圍只限於同一區域網內，這保證了VRID在不同網絡中可以重複使用。

為了減少網絡帶寬消耗，只有主控路由器才可以周期性的發送 VRRP通告報文，備份路由器在連續三個通告間隔內收不到 VRRP或收到優先級為0的通告後啟動新的一輪 VRRP選舉。

在VRRP路由器組中，按優先級選舉主控路由器，VRRP協議中優先級範圍是 0—255，若 VRRP路由器的IP位址和虛擬路由器的接口 IP位址相同，則該VRRP路由器被稱為該IP位址的所有者；

IP位址所有者自動具有最高優先級： 255優先級0一般用在IP位址所有者主動放棄主控者角色時使用可配置的優先級範圍為1—254，優先級的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定，主控路由器的選舉中， 高優先級的虛擬路由器獲勝，因此，如果在 VRRP組中有IP位址所有者， 則它總是作為主控路由的角色出現，對於相同優先級的候選路由器，按照 IP位址大小順序選舉VRRP還提供了優先級搶佔策略，如果配置了該策略，高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成為新的主控路由器。

為了保證VRRP協議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證，明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的 VRID 和明文密碼，適合於避免在區域網內的配置錯誤，但不能防止通過網絡監聽方式獲得密碼，IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。

應用實例

VRRP協議的工作機理與 CISCO公司的 HSRP

（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在 CISCO的 HSRP中，需要單獨配置一個IP位址作為虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

使用 VRRP協議，不用改造網絡結構，最大限度保護了投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的運用價值。 

最典型的VRRP應用： RTA、 RTB組成一個 VRRP路由器組，假設RTB的處理能力高於 RTA，則將 RTB配置成 IP 地址所有者， H1、H2、H3 的默認網關設定為 RTB。則 RTB成為主控路由器，負責 ICMP 重定向、 ARP 應答和 IP 報文的轉發；一旦 RTB失敗， RTA立即啟動切換，成為主控，從而保證了對客戶透明的安全切換。

在 VRRP應用中，RTB在線時 RTA只是作為後備，不參與轉發工作，閒置了路由器RTA和鏈路L1。通過合理的網絡設計，可以達到備份和負載分擔雙重效果。讓RTA、RTB同時屬於互為備份的兩個 VRRP組：在組1中 RTA為 IP 地址所有者；組 2 中 RTB為 IP 地址所有者。將H1的默認網關設定為 RTA； H2、 H3 的默認網關設定為 RTB。這樣，既分擔了設備負載和網絡流量，又提高了網絡可靠性。

配置方式

spanning-tree 開啟生成樹（默認為 mstp）

spanning-tree mst configuration 進入 mst 配置模式

revision 1 指定MST revision number為 1 

name region1 指定 mst 配置名稱

instance 0 vlan 1-9, 11-19, 21-4094 預設情況下vlan都屬於實例 0 

instance 1 vlan 10 手工指定 vlan10 屬於實例 1 

instance 2 vlan 20 手工指定 vlan20 屬於實例 2 

spanning-tree mst 1 priority 0 指定實例 1 的優先級為0（為根橋）

spanning-tree mst 2 priority 4096 指定實例 2 的優先級為 4096 

interface GigabitEthernet 0/1 

switchport access vlan 10 配置 g0/1 屬於 vlan10 

interface GigabitEthernet 0/2 

switchport access vlan 20 配置 g0/2 屬於 vlan 20!interface GigabitEthernet 0/3! 

interface GigabitEthernet 0/24 設置 g0/24 為 trunk 接口且允許 vlan10/20 通過switchport mode trunk!interface VLAN 10 創建 vlan 10 svi 接口

ip address 192.168.10.1 255.255.255.0 配置 ip 地址

vrrp 1 priority 120配置 vrrp 組 1 優先級為 120 

vrrp 1 ip 192.168.10.254配置 vrrp 組 1 虛擬 ip 地址為 192.168.10.254! 

interface VLAN 20創建 vlan 20 svi 接口

ip address 192.168.20.1 255.255.255.0 配置 ip 地址

vrrp 2 ip 192.168.20.254 配置 vrrp 組 2 虛擬 ip 地址為 192.168.20.254 

默認 vrrp 組的優先級為 100 默認不顯示 ! 

line con 0 

line vty 0 4 

login[4] 

驗證配置：

s1#show vlan 

VLAN Name Status Ports1 VLAN0001 STATIC Gi0/3, Gi0/4, Gi0/5, Gi0/6 

Gi0/7, Gi0/8, Gi0/9, Gi0/10 

Gi0/11, Gi0/12, Gi0/13, Gi0/14 

Gi0/15, Gi0/16, Gi0/17, Gi0/18 

Gi0/19, Gi0/20, Gi0/21, Gi0/22 

Gi0/23, Gi0/24 

10 VLAN0010 STATIC Gi0/1, Gi0/24 

20 VLAN0020 STATIC Gi0/2, Gi0/24 

接下來的同級設備照上面大體框架配置既可。

跟蹤配置

一般對網關的上聯接口監控，如果上聯接口故障，則自動讓出轉發權，配置 vrrp需要監控的對象。對應的no命令取消對接口的監控。

vrrp group-number track {interface-name | track-id} [decrement] 

no vrrp group-number track {interface-name | track-id} 

描述 group-number指定group-number號，取值範圍是1-255。

interface-name 指定監控的接口。

track-id 指定監控的 track 對象 ID。

Decrement 指定優先級降低幅度。預設10。

這裡還要在全局模式下配置 track 組

track track-ip intface intface-id line-protocol 

注意： 在啟動了 vrrp 後，才可以配置該命令。

為了方便廣大網絡愛好學習者，特開設QQ群-思科華為資料庫二群658708720（一群已滿），裡面已經上傳大量網絡學習資料，歡迎廣大網絡工程師進群學習！