VRRP配置资料下载.pdf

1、在具有组播或广播能力的局域网（如以太网）中，借助 VRRP 能在某台路由器出现故障时仍然提供高可靠的链路，有效避免单一链路发生故障后网络中断的问题。设备支持两种工作模式的 VRRP：标准协议模式：基于RFC实现的VRRP，详细介绍请参见“1.2 VRRP标准协议模式”。负载均衡模式：在标准协议模式的基础上进行了扩展，实现了负载均衡功能，详细介绍请参见“1.3 VRRP负载均衡模式”。VRRP 包括 VRRPv2 和 VRRPv3 两个版本，VRRPv2 版本只支持 IPv4 VRRP，VRRPv3 版本支持IPv4 VRRP 和 IPv6 VRRP。1-2 1.2 VRRP标准协议模式 1.2

2、.1 VRRP备份组 VRRP 将局域网内的可以承担网关功能的一组路由器划分在一起，组成一个备份组。备份组由一台Master 路由器和多台 Backup 路由器组成，对外相当于一台虚拟路由器。虚拟路由器具有 IP 地址，称为虚拟 IP 地址。局域网内的主机仅需要知道这台虚拟路由器的 IP 地址，并将其设置为网关的 IP地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。图1-2 VRRP 组网示意图 如 图 1-2 所示，Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器有自己的IP地址，由用户手工指定。局域网内的主机将虚拟路由器设置为默认网关。Ro

3、uter A、Router B和Router C中优先级最高的路由器作为Master路由器，承担网关的功能，其余两台路由器作为Backup路由器，当Master路由器发生故障时，取代Master路由器继续履行网关职责，从而保证局域网内的主机可不间断地与外部网络进行通信。虚拟路由器的 IP 地址可以是备份组所在网段中未被分配的 IP 地址，也可以和备份组内的某个路由器的接口 IP 地址相同。接口 IP 地址与虚拟 IP 地址相同的路由器被称为 IP 地址拥有者。在同一个VRRP 备份组中，只能存在一个 IP 地址拥有者。1.备份组中路由器的优先级 VRRP 根据优先级来确定备份组中每台路由器的角

4、色（Master 路由器或 Backup 路由器）。优先级越高，则越有可能成为 Master 路由器。VRRP 优先级的取值范围为 0 到 255（数值越大表明优先级越高），可配置的范围是 1 到 254，优先级 0 为系统保留给特殊用途来使用，255 则是系统保留给 IP 地址拥有者。当路由器为 IP 地址拥有Host AHost BHost CRouter AMasterRouter BBackupRouter CBackupVirtual routerVirtual IP address:10.1.1.1/24Network 1-3 者时，其优先级始终为 255。因此，当备份组内存在 I

5、P 地址拥有者时，只要其工作正常，则为 Master路由器。2.备份组中路由器的工作方式 备份组中的路由器具有以下两种工作方式：非抢占方式：在该方式下只要 Master 路由器没有出现故障，Backup 路由器即使随后被配置了更高的优先级也不会成为 Master 路由器。非抢占方式可以避免频繁地切换 Master 路由器。抢占方式：在该方式下 Backup 路由器一旦发现自己的优先级比当前 Master 路由器的优先级高，就会触发 Master 路由器的重新选举，并最终取代原有的 Master 路由器。抢占方式可以确保承担转发任务的 Master 路由器始终是备份组中优先级最高的路由器。3.备

6、份组中路由器的认证方式 VRRP 通过在 VRRP 报文中增加认证字的方式，验证接收到的 VRRP 报文，防止非法用户构造报文攻击备份组内的路由器。VRRP 提供了两种认证方式：简单字符认证：发送 VRRP 报文的路由器将认证字填入到 VRRP 报文中，而收到 VRRP 报文的路由器会将收到的 VRRP 报文中的认证字和本地配置的认证字进行比较。如果认证字相同，则认为接收到的报文是真实、合法的 VRRP 报文；否则认为接收到的报文是一个非法报文，将其丢弃。MD5 认证：发送 VRRP 报文的路由器利用认证字和 MD5 算法对 VRRP 报文进行摘要运算，运算结果保存在 VRRP 报文中。收到

7、VRRP 报文的路由器会利用本地配置的认证字和 MD5算法进行同样的运算，并将运算结果与认证头的内容进行比较。如果相同，则认为接收到的报文是合法的 VRRP 报文；否则认为接收到的报文是一个非法报文，然后将其丢弃。在一个安全的网络中，用户也可以不设置认证方式。VRRPv3 版本的 IPv4 VRRP 和 IPv6 VRRP 均不支持对 VRRP 报文进行认证。1.2.2 VRRP定时器 1.偏移时间 偏移时间（Skew_Time）用来避免 Master 路由器出现故障时，备份组中的多个 Backup 路由器在同一时刻同时转变为 Master 路由器，导致备份组中存在多台 Master 路由器。

8、Skew_Time 的值不可配置，其计算方法与使用的 VRRP 协议版本有关：使用 VRRPv2 版本（RFC 3768）时，计算方法为：（256路由器在备份组中的优先级）/256 使用 VRRPv3 版本（RFC 5798）时，计算方法为：（256路由器在备份组中的优先级）VRRP 通告报文的发送时间间隔）/256 2.VRRP通告报文发送间隔定时器 VRRP 备份组中的 Master 路由器会定时发送 VRRP 通告报文，通知备份组内的路由器自己工作正常。1-4 用户可以通过命令行来调整 Master 路由器发送 VRRP 通告报文的发送间隔。如果 Backup 路由器在等待了 3发送间隔

9、Skew_Time 后，依然没有收到 VRRP 通告报文，则认为自己是 Master 路由器，并向本组其它路由器发送 VRRP 通告报文，重新进行 Master 路由器的选举。3.VRRP抢占延迟定时器 为了避免备份组内的成员频繁进行主备状态转换、让 Backup 路由器有足够的时间搜集必要的信息（如路由信息），在抢占方式下，Backup 路由器接收到优先级低于本地优先级的 VRRP 通告报文后，不会立即抢占成为 Master 路由器，而是等待一定时间抢占延迟时间Skew_Time 后，才会对外发送 VRRP 通告报文通过 Master 路由器选举取代原来的 Master 路由器。1.2.3

10、Master路由器选举 备份组中的路由器根据优先级确定自己在备份组中的角色。路由器加入备份组后，初始处于 Backup状态：如果等待 3发送间隔Skew_Time 后还没有收到 VRRP 通告报文，则转换为 Master 状态；如果在 3发送间隔Skew_Time 内收到优先级大于或等于自己优先级的 VRRP 通告报文，则保持 Backup 状态；如果在 3发送间隔Skew_Time 内收到优先级小于自己优先级的 VRRP 通告报文，且路由器工作在非抢占方式，则保持 Backup 状态；否则，路由器抢占成为 Master 路由器。通过上述步骤选举出的 Master 路由器启动 VRRP 通告报

11、文发送间隔定时器，定期向外发送 VRRP通告报文，通知备份组内的其它路由器自己工作正常；Backup 路由器则启动定时器等待 VRRP 通告报文的到来。当 Backup 路由器收到 VRRP 通告报文后，只会将自己的优先级与通告报文中的优先级进行比较，不会比较 IP 地址。由于网络故障原因造成备份组中存在多台 Master 路由器时，这些 Master 路由器会根据优先级和 IP 地址选举出一个 Master 路由器：优先级高的路由器成为 Master 路由器；优先级低的成为Backup 路由器；如果优先级相同，则 IP 地址大的成为 Master 路由器。1.2.4 VRRP监视功能 VRRP 监视功能只能工作在抢占方式下，用以保证只有优先级最高的路由器才能成为 Master 路由器。VRRP 监视功能通过 NQA（Network Quality Analyzer，网络质量分析）、BFD（Bidirectional Forwarding Detection，双向转发检测）等监测 Master 路由器和上行链路的状态，并通过 Track 功能在 VRRP 设备状态和 NQA/BFD 之间建立关联：1-5 监视上行链路，根据上行链路的状态，改变路由器的优先级。当 Master 路由器的上行链路出现故障，局域网内的主机无法通过网关