虚拟路由冗余协议VRRP配置指南

小乔

VRRP简介
介绍VRRP的定义和作用。

定义
虚拟路由冗余协议VRRP（Virtual Router Redundancy Protocol）通过把几台路由设备联合组成一台虚拟的路由设备，将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

目的
随着网络的快速普及和相关应用的日益深入，各种增值业务（如IPTV、视频会议等）已经开始广泛部署，基础网络的可靠性日益成为用户关注的焦点，能够保证网络传输不中断对于终端用户非常重要。

通常，同一网段内的所有主机上都设置一条相同的、以网关为下一跳的缺省路由。主机发往其他网段的报文将通过缺省路由发往网关，再由网关进行转发，从而实现主机与外部网络的通信。当网关发生故障时，本网段内所有以网关为缺省路由的主机将无法与外部网络通信。增加出口网关是提高系统可靠性的常见方法，此时如何在多个出口之间进行选路就成为需要解决的问题。

VRRP的出现很好的解决了这个问题。VRRP能够在不改变组网的情况下，采用将多台路由设备组成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现默认网关的备份。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠通信。

受益
在具有多播或广播能力的局域网（如以太网）中，借助VRRP能在网关设备出现故障时仍然提供高可靠的缺省链路，无需修改主机及网关设备的配置信息便可有效避免单一链路发生故障后的网络中断问题。
创建VRRP备份组
背景信息
VRRP备份组能够在不改变组网的情况下，采用将多台设备虚拟成一台网关设备，将虚拟交换机设备的IP地址作为用户的默认网关的方式实现下一跳网关的备份。配置VRRP备份组后，流量通过Master设备转发，当Master设备故障时，迅速选举出新的Master设备继续承担流量转发，实现了网关冗余备份。

如果在网关冗余备份的同时，需要实现对流量的负载分担，则可以配置多网关负载分担。

操作步骤
主备备份

执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令vrrp vrid virtual-router-id virtual-ip virtual-address，创建VRRP备份组并给备份组配置虚拟IP地址。

缺省情况下，设备上无VRRP备份组。

多网关负载分担

实现多网关负载分担，需要重复执行上述“主备备份”的操作步骤，在接口上配置两个或多个VRRP备份组，各备份组之间以备份组号（virtual-router-id）区分。

配置设备在备份组中的优先级
背景信息
VRRP根据优先级决定设备在备份组中的地位，优先级越高，越可能成为Master设备。通过配置优先级，可以指定Master设备，以承担流量转发业务。

操作步骤
执行命令system-view，进入系统视图。

执行命令interface interface-type interface-number，进入接口视图。

执行命令vrrp vrid virtual-router-id priority priority-value，配置路由器在备份组中的优先级。

缺省情况下，优先级的取值是100。数值越大，优先级越高。

优先级0被系统保留作为特殊用途；优先级值255保留给IP地址拥有者。通过命令可以配置的优先级取值范围是1～254。

IP地址拥有者的优先级固定为255，用户不能手动修改。但是，用户可以通过vrrp vrid virtual-router-id priority priority-value为IP地址拥有者配置一个非255的优先级（该优先级不会取代255，不生效），当VRRP备份组不再是IP地址拥有者时，其优先级为配置的优先级。

优先级取值相同的情况下，同时竞争Master时，备份组所在接口的主IP地址较大的成为Master设备；VRRP备份组中先切换至Master状态的设备为Master设备，其余Backup设备不再进行抢占。

（可选）配置VRRP协议的版本
背景信息
基于IPv4的VRRP支持VRRPv2和VRRPv3两个版本。如果VRRP备份组内各路由器上配置的协议版本不同，可能导致VRRP报文不能互通。
配置了v2版本的备份组：只能发送和接收v2版本的VRRP通告报文。如果接收到v3版本的VRRP通告报文，则将此报文丢弃。
配置了v3版本的备份组：能接收v2或v3版本的VRRP通过报文，发送报文的格式可以选择配置，包括仅发送v2版本报文、仅发送v3版本报文和既发送v2版本报文也发送v3版本报文。使用时可以根据需要进行配置。
操作步骤
执行命令system-view，进入系统视图。
执行命令vrrp version { v2 | v3 }，配置当前设备的VRRP协议版本号。
缺省情况下，VRRP协议版本号为2。

如果选择v3版本，可以执行命令vrrp version-3 send-packet-mode { v2-only | v3-only | v2v3-both }，配置VRRPv3发送通告报文的模式。缺省情况下，VRRPv3版本备份组发送通告报文的模式为v3-only。

（可选）配置VRRP的时间参数
背景信息
用户可以根据需要配置VRRP的时间参数，具体应用场景如表6-6所示。

表6-6  VRRP时间参数的应用场景
功能        应用场景
配置VRRP通告报文的发送间隔        Master设备定时（Advertisement_Interval）向组内的Backup设备发送VRRP通告报文，通告自己工作正常。如果Backup设备在Master_Down_Interval定时器超时后仍未收到VRRP通告报文，则重新选举Master。
网络流量过大或设备的定时器差异等因素会导致Backup设备无法及时接收到VRRP报文而发生状态转换，当原Master发送的报文到达新Master时，新Master将再次发生状态切换。通过延长Master设备发送VRRP报文的时间间隔可以解决此类问题。

配置路由器在VRRP备份组中的抢占延时        在不稳定的网络中，可能存在VRRP备份组监测的BFD等状态频繁振荡或Backup设备不能及时收到VRRP通告报文的情况，导致VRRP发生频繁切换而造成网络振荡。通过调整路由器在VRRP备份组中的抢占延时，使Backup设备在指定的时间后再进行抢占，有效避免了VRRP备份组状态的频繁切换。
配置Master设备发送免费ARP报文的超时时间        VRRP备份组中，为了确保下游交换机的MAC表项正确，Master设备会定时发送免费ARP报文，用来刷新下游交换机上的MAC地址表项。
说明：
为避免VRRP协议震荡，请不要在VRRP备用设备上把系统MAC或VRRP虚MAC等一些特殊的MAC地址配置成黑洞MAC。

配置VRRP备份组的状态恢复延迟时间        在不稳定的网络中，VRRP备份组监测的BFD或接口等状态频繁振荡会导致VRRP备份组状态频繁切换。通过配置VRRP备份组的状态恢复延迟时间，VRRP备份组在接收到接口或BFD会话的Up事件时不会立刻响应，而是等待配置的状态恢复的延迟时间后，再进行相应的处理，防止因接口或BFD会话的频繁震荡而导致的VRRP状态的频繁切换。
操作步骤
配置VRRP通告报文的发送间隔
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令vrrp vrid virtual-router-id timer advertise advertise-interval，配置发送VRRP通告报文的时间间隔。
缺省情况下，发送VRRP通告报文的时间间隔是1秒。

说明：
设备发送VRRP通告报文的时间间隔不能小于NSR主备板倒换所需的时间，否则在发生主备板倒换时可能出现协议闪断，建议将发送VRRP通告报文的时间间隔配置在1秒以上。

配置路由器在VRRP备份组中的抢占延时
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令vrrp vrid virtual-router-id preempt-mode timer delay delay-value，配置备份组中路由器的抢占延迟时间。
缺省情况下，抢占延迟时间为0，即立即抢占。立即抢占方式下，Backup设备一旦发现自己的优先级比当前的Master的优先级高，就会抢占成为Master。

可以执行vrrp vrid virtual-router-id preempt-mode disable命令设置备份组中路由器采用非抢占方式。在非抢占方式下，一旦备份组中的某台路由器成为Master，只要它没有出现故障，其它路由器即使随后被配置更高的优先级也不会成为Master。

执行undo vrrp vrid virtual-router-id preempt-mode命令可以恢复缺省的抢占方式。

说明：
在配置VRRP备份组内各路由器的延迟方式时，建议Backup设备配置为立即抢占，Master设备配置为延时抢占，指定一定的延迟时间。这样配置的目的是为了在网络环境不稳定时，为上下行链路的状态恢复一致性等待一定时间，以免出现双Master设备或由于主备双方频繁抢占导致用户设备学习到错误的Master设备地址。

配置Master设备发送免费ARP报文的超时时间
执行命令system-view，进入系统视图。
执行命令vrrp gratuitous-arp timeout time，配置Master发送免费ARP报文的超时时间。
缺省情况下，Master每隔120秒发送一次免费ARP报文。

说明：
配置的Master设备发送免费ARP报文超时时间应小于用户侧设备的MAC地址表项老化时间。

如果要恢复Master发送免费ARP报文的缺省超时时间，请在系统视图下执行undo vrrp gratuitous-arp timeout命令。

如果不需要发送免费ARP报文，请在系统视图下执行vrrp gratuitous-arp timeout disable命令。

配置VRRP备份组的状态恢复延迟时间
执行命令system-view，进入系统视图。
执行命令vrrp recover-delay delay-value，配置VRRP备份组的状态恢复延迟时间。
缺省情况下，VRRP备份组状态恢复延迟时间为0秒。

说明：
执行此命令后，该路由器上所有VRRP备份组配置了相同的状态恢复延迟时间。

VRRP备份组中设备重启时，可能会出现VRRP状态震荡，因此建议用户根据组网情况配置一定的状态恢复延迟时间。

（可选）配置VRRP报文在Super-VLAN中的发送方式
背景信息
当VRRP备份组配置在VLAN聚合时，用户可以通过命令行配置，使VRRP报文在指定的Sub-VLAN中传输，避免VRRP通告报文在所有Sub-VLAN内广播，以节约网络带宽。

前置条件
在配置此任务之前，需要完成Super-VLAN的配置。

操作步骤
执行命令system-view，进入系统视图。
执行命令interface vlanif vlan-id，进入VLANIF接口视图。
执行命令vrrp advertise send-mode { sub-vlan-id | all }，配置VRRP通告报文在Super-VLAN中的发送方式。
缺省情况下，Master设备向Super-VLAN中状态为Up且VLAN ID最小的Sub-VLAN发送VRRP通告报文。

如果指定参数sub-vlan-id，VRRP通告报文只发送给指定ID的Sub-VLAN。

如果指定参数all，VRRP通告报文发送给本Super-VLAN的所有Sub-VLAN。

（可选）配置禁止检测VRRP报文跳数
背景信息
系统对收到的VRRP通告报文的TTL值进行检测，如果TTL值不等于255，则丢弃这个报文。在不同设备制造商的设备配合使用的组网环境中，检测VRRP报文的TTL值可能导致错误地丢弃合法报文，此时用户可以配置系统不检测VRRP报文的TTL值，以实现不同设备制造商设备之间的互通。

操作步骤
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令vrrp un-check ttl，禁止检测VRRP报文的TTL值。
缺省情况下，系统检测VRRP报文的TTL值。

（可选）配置VRRP报文的认证方式
背景信息
VRRPv2支持在通告报文中设定不同的认证方式和认证字。
无认证方式：设备对要发送的VRRP通告报文不进行任何认证处理，收到通告报文的设备也不进行任何认证，认为收到的都是真实的、合法的VRRP报文。
简单字符（Simple）认证方式：发送VRRP通告报文的设备将认证方式和认证字填充到通告报文中，而收到通告报文的设备则会将报文中的认证方式和认证字与本端配置的认证方式和认证字进行匹配。如果相同，则认为接收到的报文是合法的VRRP通告报文；否则认为接收到的报文是一个非法报文，并丢弃这个报文。
MD5认证方式：发送VRRP通告报文的设备利用MD5算法对认证字进行加密，加密后保存在Authentication Data字段中。收到通告报文的设备会对报文中的认证方式和解密后的认证字进行匹配，检查该报文的合法性。
说明：
目前仅VRRPv2版本支持认证，VRRPv3版本不支持认证。VRRPv2版本保留报文的认证字段，是为了兼容早期版本（RFC2338），VRRP认证并不能提高安全性。

操作步骤
执行命令system-view，进入系统视图。
执行命令interface interface-type interface-number，进入接口视图。
执行命令vrrp vrid virtual-router-id authentication-mode { simple { key | plain key | cipher cipher-key } | md5 md5-key }，配置VRRP报文认证方式。
缺省情况下，VRRP备份组采用无认证方式。

说明：
同一VRRP备份组配置的认证方式和认证字必须相同，否则Master设备和Backup设备无法协商成功。

为了保证更好的安全性，建议您使用更安全的MD5算法作为VRRP的认证算法。

（可选）使能虚拟IP地址Ping功能
背景信息
路由器支持对虚拟IP地址的Ping功能，可用于：
检测备份组中的Master设备是否起作用。
检测是否能通过使用某虚拟IP地址作为默认网关与外部通信。

使能虚拟地址可达性功能后，外部网络能够Ping通虚拟IP地址，可能遭受ICMP攻击的隐患，可以执行undo vrrp virtual-ip ping enable命令来去使能虚拟地址可达性功能。

操作步骤
执行命令system-view，进入系统视图。
执行命令vrrp virtual-ip ping enable，使能虚拟地址可达性功能。
缺省情况下，该功能处于使能状态，Master设备响应对本备份组虚拟IP地址的Ping报文。

检查基于IPv4的VRRP基本功能配置结果
操作步骤
执行以下命令查看VRRP备份组的状态信息和配置参数。
display vrrp [ interface interface-type interface-number ] [ virtual-router-id ] [ brief ]
display vrrp { interface interface-type interface-number [ virtual-router-id ] | virtual-router-id } verbose
执行display vrrp protocol-information命令查看VRRP协议的相关信息。
执行display vrrp [ interface interface-type interface-number ] [ virtual-router-id ] statistics命令查看VRRP备份组的报文收发统计信息。

游客，如果您要查看本帖隐藏内容请回复

acecttgd

谢谢分享，回复下载

finfet

很不错的讲解

↙之后

谢谢楼主分享

sudenwin

看看学习下

dalaohu

谢谢分享

xephang

谢谢分享