理论+实验：虚拟路由冗余协议 VRRP--------------------------------一看就会，一做就废！

一、VRRP概述

VRRP是一种容错协议，可以实现下一跳网关设备的备份，当连接主机的下一跳网关设备出现故障时，由网络中另一台设备代替故障设备进行工作，从而保证网络通信的连续性和可靠性。

随着网络的快速普及和相关应用的日益深入，各种增值业务（如IPTV、视频会议等）已开始广泛部署。基础网络的可靠性日益成为用户关注的焦点，能够保证网络传输不中断对于终端用户非常重要。

通常情况下，用户通过网关设备与外部网络通信（如图1所示）。当网关设备发生故障时，用户与外部网络的通信就会中断。配置多个出口网关是提高设备可靠性的常见方法，但终端用户设备通常不支持动态路由协议，无法实现多个出口网关的选路。

图1 局域网缺省网关示意图

VRRP能够有效解决上述问题，通过将多台设备虚拟为一台网关设备，将虚拟网关设备的IP地址作为用户的缺省网关实现与外部网络通信。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障网络的可靠性。

如图2所示，在SwitchA和SwitchB上配置VRRP备份组后，VRRP备份组将两台设备虚拟成一台网关设备，虚拟网关设备具有虚拟IP地址和虚拟MAC地址，主机只感知这个虚拟网关设备的存在，以它为网关与外部进行通信。

正常情况下，用户侧的流量通过Master设备转发。当Master设备出现故障时，通过VRRP协商，从Backup设备中选举出新的Master设备，即SwitchB，继续承担流量转发工作。

图2 VRRP备份组示意图

二、VRRP特性

VRRP配置逻辑

• 根据不同的网络类型，可以选择配置基于IPv4的VRRP或基于IPv6的VRRP，配置逻辑如下：

• 配置VRRP基本功能：包括VRRP主备备份和VRRP负载分担。VRRP主备备份是VRRP实现网关备份的基本方式；VRRP负载分担通过配置多个VRRP备份组，在实现网关备份的同时，也实现流量的负载分担。

• 配置管理VRRP：配置管理VRRP备份组，可以减少协议报文对带宽的占用。创建VRRP备份组后，可以将其配置为管理VRRP，还可以配置成员VRRP备份组与管理VRRP备份组绑定，实现成员VRRP备份组和管理VRRP备份组状态机的同步。

• 配置VRRP联动功能：实现VRRP在自身或上行链路故障时能够及时感知并进行主备切换。配置VRRP基本功能后，可以配置VRRP联动功能，以优化VRRP主备切换功能，进一步增强网络的可靠性。

VRRP基本功能

• VRRP主备备份

现网中，用户一般通过网关设备与外部网络通信，当网关设备故障时，用户与外部网络的通信就会中断。VRRP主备备份可以有效解决这个问题，通过将多台设备虚拟成一台网关设备，此虚拟网关设备由一个Master设备和若干Backup设备组成，正常情况下，用户侧的流量通过Master设备转发。当Master设备出现故障时，通过VRRP协商，从Backup设备选举出新的Master设备，继续承担流量转发工作，实现了网关的冗余备份。

• VRRP负载分担

局域网中，所有用户通过一台网关设备与外部网络进行通信时，可能导致网关因流量过高而出现流量拥塞或丢失。VRRP负载分担可以有效解决这个问题。配置多个VRRP备份组，其中每个备份组都由一个Master设备和若干Backup设备组成，且各VRRP备份组的Master设备各不相同。通过将每个备份组分别配置为部分主机的缺省网关，实现了流量转发的负载分担，同时，也实现了网关的相互备份。

三、工作原理

3.1 VRRP状态机

VRRP协议中定义了三种状态机：初始状态（Initialize）、活动状态（Master）、备份状态（Backup）。其中，只有处于Master状态的设备才可以转发那些发送到虚拟IP地址的报文。

表1 VRRP协议状态

3.2 VRRP工作过程

VRRP的工作过程如下：

• VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文，将虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务。
• Master设备周期性向备份组内所有Backup设备发送VRRP通告报文，以公布其配置信息（优先级等）和工作状况。
• 如果Master设备出现故障，VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
• VRRP备份组状态切换时，Master设备由一台设备切换为另外一台设备，新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文，刷新与它连接的主机或设备中的MAC表项，从而把用户流量引到新的Master设备上来，整个过程对用户完全透明。
• 原Master设备故障恢复时，若该设备为IP地址拥有者（优先级为255），将直接切换至Master状态。若该设备优先级小于255，将首先切换至Backup状态，且其优先级恢复为故障前配置的优先级。
• Backup设备的优先级高于Master设备时，由Backup设备的工作方式（抢占方式和非抢占方式）决定是否重新选举Master。

四、缺省配置

• 介绍VRRP常用参数的缺省配置。
  表1 VRRP常用参数缺省值
  

五、实验

实验拓扑图

5.1 实验设备

一台路由器、两台三层交换机、一台二层交换机、两台PC。

5.2 配置命令

PC1和PC2配置IP


路由和交换机配置

################SW3配置##################
system-view

sysname sw3

vlan batch 10 20

interface Ethernet0/0/1
 port link-type access
 port default vlan 10

interface Ethernet0/0/2
 port link-type access
 port default vlan 20

interface GigabitEthernet0/0/1
 port link-type trunk
 port trunk allow-pass vlan 10 20

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

################SW1配置##################
system-view

sysname sw1

vlan batch 10 20 100                           ##划分VLAN 10 20

interface GigabitEthernet0/0/1              ##配置G0/0/1为access口 VLAN100 
 port link-type access
 port default vlan 100

interface GigabitEthernet0/0/2               ##配置G0/0/1为Trunk口，只允许VLAN10 VLAN20流量过
 port link-type trunk
 port trunk allow-pass vlan 10 20

quit

interface Vlanif10
 ip address 192.168.10.10 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.10.1                               ##配置虚拟IP地址
 vrrp vrid 1 priority 120                                               ##配置优先级120  越大越优先
 vrrp vrid 1 track interface GigabitEthernet0/0/1        ##配置监听端口G0/0/1，当这个地方down 优先级减10
 vrrp vrid 1 track interface GigabitEthernet0/0/2        ##配置监听端口G0/0/1，当这个地方down 优先级减10

quit

interface Vlanif20
 ip address 192.168.20.10 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.20.1                               ##配置虚拟IP地址
 vrrp vrid 2 priority 115                                                ##配置优先级115  越大越优先

quit

interface Vlanif100
 ip address 11.0.0.2 255.255.255.252                           ##配置互联口IP地址

quit

ip route-static 0.0.0.0 0.0.0.0 11.0.0.1                          ##配置默认路由

################SW2配置##################
system-view

sysname sw1

vlan batch 10 20 100

interface GigabitEthernet0/0/1
 port link-type access
 port default vlan 100

interface GigabitEthernet0/0/2
 port link-type trunk
 port trunk allow-pass vlan 10 20

quit

interface Vlanif10
 ip address 192.168.10.20 255.255.255.0
 vrrp vrid 1 virtual-ip 192.168.10.1
 vrrp vrid 1 priority 115

quit

interface Vlanif20
 ip address 192.168.20.20 255.255.255.0
 vrrp vrid 2 virtual-ip 192.168.20.1
 vrrp vrid 2 priority 120
 vrrp vrid 2 track interface GigabitEthernet0/0/1
 vrrp vrid 2 track interface GigabitEthernet0/0/2

quit

interface Vlanif100
 ip address 12.0.0.2 255.255.255.252

quit

ip route-static 0.0.0.0 0.0.0.0 12.0.0.1

################AR1配置##################
system-view

sysname AR1

interface GigabitEthernet0/0/0
 ip address 11.0.0.1 255.255.255.252 

interface GigabitEthernet0/0/1
 ip address 12.0.0.1 255.255.255.252 

quit

interface LoopBack0
 ip address 1.1.1.1 255.255.255.0 

quit

ip route-static 192.168.10.0 255.255.255.0 11.0.0.2
ip route-static 192.168.10.0 255.255.255.0 12.0.0.2 preference 70
ip route-static 192.168.20.0 255.255.255.0 11.0.0.2 preference 70
ip route-static 192.168.20.0 255.255.255.0 12.0.0.2

5.3 验证

配置完成后，我们抓包看一下。里面的源地址和目的地址和协议都没有问题。

优先级是刚刚配置的120

我们down掉SW1上的G0/0/1的线路，抓包看一下是否切换到备用线路了。

抓包前我们用pc1 ping 一下回环口看一下down掉时会丢一个包。

通过抓包可以看到由ip地址192.168.10.10切换成了192.168.10.20备用线路，而且使用ARP宣告出去。

我们在恢复down掉的那条线路，看一下pc1 ping回环口地址会和down一样出现丢包情况，这里因为Ensp模拟器bug原因出现多个丢包，应该真实环境也是丢一个包左右。

我们再用PC1和PC2 ping 一下环回口地址看一下。