VRRP介绍与实验配置-白红宇

一、基础知识

虚拟路由器冗余协议VRRP(交换机没有这个功能) 与HSRP相同，VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器。HSRP是cisco私有的，只适用于cisco设备。VRRP是符合internet标准。

在VRRP协议中，有两组重要的概念：

VRRP路由器和虚拟路由器，主控路由器和备份路由器。

VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和 MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP 地址和MAC地址，故对终端使用者系统是透明的。

由于虚拟路由器使用路由器A的物理以太网接口的IP地址，因此路由器A担当了主虚拟路由器的角色，被称为IP地址拥有者（owner）。作为主虚拟路由器，路由器A控制虚拟路由器的IP地址，并负责对发送到该IP地址的数据包进行转发。路由器B和路由器C为备用虚拟路由器。如果主虚拟路由器A发生故障，路由器B和路由器C作为备用虚拟路由器优先级高的将替代为主虚拟路由器。当路由器A恢复正常后，将再次成为主虚拟路由器。

二、工作原理

一个VRRP路由器有唯一的标识：VRID，范围为0-255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E- 00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为 224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送 VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。

在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0-255。默认为100。若VRRP路由器的IP地址和虚拟路由器的接口 IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般 IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1-254。优先级的配置原则可以依据链路的速度和成本路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

VRRP有两个时间：通告间隔和主路由器失效（master-down）间隔。通告间隔是通告之间的间隔时间（秒），默认为1秒。主路由器失效间隔指的是多长时间没有收到通告后，备用路由器将认为主路由器已失效，单位为秒。主路由器失效间隔是不能配置的，其值至少是为通告间隔的3倍。

三、VRRP状态

组成虚拟路由器的路由器会有三种状态分别是Initialize Master和Backup

1）Initialize

系统启动后进入此状态，当收到接口startup的消息，将转入Backup （优先级不为255时）或Master状态（优先级为255时）。在此状态时，路由器不会对VRRP报文做任何处理。

2）Master

当路由器处于Master状态时它将会做下列工作

*定期发送VRRP组播报文

*发送免费（gratuitous）ARP报文，以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址

*响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址

*转发目的MAC地址为虚拟MAC地址的IP报文

*如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文，否则，丢弃这个IP报文。需要注意的是，由于有这一点要求，所以除非主路由器是IP地址拥有者，否则主机ping虚拟IP地址不能ping通。

在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize

3）Backup

当路由器处于Backup状态时它将会做下列工作:

*接收Master发送的VRRP组播报文从中了解Master的状态

l*对虚拟IP地址的ARP请求不做响应

*丢弃目的MAC地址为虚拟MAC地址的IP报文

*丢弃目的IP地址为虚拟IP地址的IP报文

只有当Backup接收到MASTER_DOWN这个定时器到时的事件时，才会转为Master 而当接收到比自己的优先级小的VRRP报文时，它只是做丢弃这个报文的处理，从而就不对定时器做重置处理。这样定时器就会在若干次这样的处理之后到时，于是就转为Master。只有当接收到接口的Shutdown事件时才会转为Initialize

四、HSRP和VRRP的区别

对比项	HSRP	VRRP
通告类型	Hello、Coup、Resign3种	VRRP广播报文通告
状态	Init,listen,learn,speak,standby,active6种	Init，master,backup3种
虚拟IP地址	不能为接口的实际IP地址	可以使用路由器的接口地址
虚拟MAC地址	0000.0007.acxx	0000.5e00.01xx
认证	明文(12.3IOS支持md5)	明文，无认证，md5
报文承载	UDP 1985 224.0.0.1	TCP
路由器特征	一组中只能有一个活动路由器和一个备份路由器	一组中必须有一个主路由器，有一个或多个备份路由器

五、多虚拟路由器的VRRP

如下图，有两台虚拟路由器。对于虚拟路由器1而言，路由器A为其ip地址的拥有者，它是主虚拟路由器，而路由器 b是备用虚拟路由器。在主机1和2上，默认网关为10.0.0.1。虚拟路由器2的IP地址是路由器B的IP地址，路由器B是主虚拟路由器，主机3和主机 4上，默认网关IP地址被配置为10.0.0.2。

六、通过VRRP 监视Track 项功能，可以实现：

对上行链路的监控。当上行链路出现故障，局域网内的主机无法通过交换机访问外部网络时，被监视Track 项的状态会变为negative，并将交换机的优先级降低指定的数额。从而，使得备份组内其它交换机的优先级高于这个交换机的优先级，成为Master 交换机，保证局域网内主机与外部网络的通信不会中断。

在Backup 交换机上监视Master 交换机的状态。当Master 交换机出现故障时，工作在切换模式的Backup 交换机能够迅速成为Master 交换机，以保证通信不会中断。

六、配置过程：

1）进入全局模式
configure terminal

2）进入接口模式
interface 接口

3）配置vrrp组和虚拟路由器的IP地址(可选)

vrrp 组号
ip ip地址

4）配置优先级

vrrp 组号
priority 优先级别

5）配置抢占

vrrp 组号
preempt

6）配置vrrp通告时间

vrrp 组号
timer advertise [msec] 秒数

默认为1秒

7）配置认证

(1)MD5认证:

vrrp 组号
authentication md5
key-string [0|7] 密码
timeout 秒数

0：表示不以加密方式显示密码

7：表示以加密的方式显示密码（service password-encryption命令配置）

(2)MD5钥匙串认证：

vrrp 组号
authentication md5 key-chain key串名称

必须事先定义了key串

(3) 明文认证：

vrrp 组号
authentication text 密码

8）跟踪端口

(1) 定义跟踪,全局模式：
track 编号
interface 接口 [line-protocol | ip-routing]

(2)
vrrp 组号
track 编号
decrement 优先级

decrement 优先级：减少的优先级

9）验证结果

show vrrp [brief]

show vrrp interface 接口

show track

七、案例：

【配置要求】

R4与R5是出口的网关，R6是局域网中的设备，当R5或R4任意一条链路失效时，能够自动切换到另外1条链路

【实验配置】

R1:

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.1 255.255.255.0

frame-relay map ip 155.1.0.5 105 broadcast

frame-relay map ip 155.1.0.4 104 broadcast

ip ospf network broadcast

no shutdown

router ospf 1

router-id 150.1.1.1

network 155.1.0.1 0.0.0.0 area 0

R4:

track 1 interface Serial0/0 line-protocol

interface Ethernet0/1

ip address 155.1.100.4 255.255.255.0

half-duplex

vrrp 1 ip 155.1.100.254

vrrp 1 priority 110

vrrp 1 authentication md5 key-string CISCO

vrrp 1 track 1 decrement 20

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.4 255.255.255.0

frame-relay map ip 155.1.0.5 401 broadcast

frame-relay map ip 155.1.0.1 401

ip ospf priority 0

ip ospf network broadcast

no shutdown

interface Loopback0

ip address 150.1.45.4 255.255.255.0

router ospf 1

router-id 150.1.4.4

redistribute connected subnets metric 400

network 155.1.0.4 0.0.0.0 area 0

R5:

interface Ethernet0/0

ip address 155.1.100.5 255.255.255.0

half-duplex

vrrp 1 ip 155.1.100.254

vrrp 1 authentication md5 key-string CISCO

no shutdown

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.5 255.255.255.0

frame-relay map ip 155.1.0.1 501 broadcast

frame-relay map ip 155.1.0.4 501

ip ospf network broadcast

ip ospf priority 0

no shutdown

interface Loopback0

ip address 150.1.45.5 255.255.255.0

router ospf 1

router-id 150.1.5.5

network 155.1.0.5 0.0.0.0 area 0

redistribute connected subnets metric 500

R6:

interface Gig 0/0

ip address 155.1.100.6 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 155.1.100.254

【校验】

R4#show vrrp

Ethernet0/1 - Group 1

State is Master

Virtual IP address is 155.1.100.254

Virtual MAC address is 0000.5e00.0101

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 110

Track object 1 state Up decrement 20

Authentication MD5, key-string "CISCO"

Master Router is 155.1.100.4 (local), priority is 110

Master Advertisement interval is 1.000 sec

Master Down interval is 3.570 sec

R6#ping 155.1.0.1 repeat 1000 size 1000

Type escape sequence to abort.

Sending 1000, 1000-byte ICMP Echos to 155.1.0.1, timeout is 2 seconds:

.!!!!!!!!

R4#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R4(config)#interface serial 0/0

R4(config-if)#shut

R4(config-if)#

Rack1AS>6

[Resuming connection 6 to r6 ... ]

!!.U....................!!!!!!!!!!!!!!!!!!!!!!.

Success

R4#

show vrrp

Ethernet0/1 - Group 1

State is Backup

Virtual IP address is 155.1.100.254

Virtual MAC address is 0000.5e00.0101

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 90 (cfgd 110)

Track object 1 state Down decrement 20

Authentication MD5, key-string "CISCO"

Master Router is 155.1.100.5, priority is 100

Master Advertisement interval is 1.000 sec

Master Down interval is 3.570 sec (expires in 3.422 sec)

R4# show track 1

Track 1

Interface Serial0/0 line-protocol

Line protocol is Down (hw admin-down)

3 changes, last change 00:02:03

Tracked by:

VRRP Ethernet0/1 1

一、基础知识

虚拟路由器冗余协议VRRP(交换机没有这个功能) 与HSRP相同，VRRP也是一种默认网关冗余方法，它让一组路由器构成一台虚拟路由器。HSRP是cisco私有的，只适用于cisco设备。VRRP是符合internet标准。

在VRRP协议中，有两组重要的概念：

VRRP路由器和虚拟路由器，主控路由器和备份路由器。

VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创建的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和 MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用改变IP 地址和MAC地址，故对终端使用者系统是透明的。

由于虚拟路由器使用路由器A的物理以太网接口的IP地址，因此路由器A担当了主虚拟路由器的角色，被称为IP地址拥有者（owner）。作为主虚拟路由器，路由器A控制虚拟路由器的IP地址，并负责对发送到该IP地址的数据包进行转发。路由器B和路由器C为备用虚拟路由器。如果主虚拟路由器A发生故障，路由器B和路由器C作为备用虚拟路由器优先级高的将替代为主虚拟路由器。当路由器A恢复正常后，将再次成为主虚拟路由器。

二、工作原理

一个VRRP路由器有唯一的标识：VRID，范围为0-255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E- 00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为 224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送 VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。

在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0-255。默认为100。若VRRP路由器的IP地址和虚拟路由器的接口 IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般 IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1-254。优先级的配置原则可以依据链路的速度和成本路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

VRRP有两个时间：通告间隔和主路由器失效（master-down）间隔。通告间隔是通告之间的间隔时间（秒），默认为1秒。主路由器失效间隔指的是多长时间没有收到通告后，备用路由器将认为主路由器已失效，单位为秒。主路由器失效间隔是不能配置的，其值至少是为通告间隔的3倍。

三、VRRP状态

组成虚拟路由器的路由器会有三种状态分别是Initialize Master和Backup

1）Initialize

系统启动后进入此状态，当收到接口startup的消息，将转入Backup （优先级不为255时）或Master状态（优先级为255时）。在此状态时，路由器不会对VRRP报文做任何处理。

2）Master

当路由器处于Master状态时它将会做下列工作

*定期发送VRRP组播报文

*发送免费（gratuitous）ARP报文，以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址

*响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址

*转发目的MAC地址为虚拟MAC地址的IP报文

*如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文，否则，丢弃这个IP报文。需要注意的是，由于有这一点要求，所以除非主路由器是IP地址拥有者，否则主机ping虚拟IP地址不能ping通。

在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize

3）Backup

当路由器处于Backup状态时它将会做下列工作:

*接收Master发送的VRRP组播报文从中了解Master的状态

l*对虚拟IP地址的ARP请求不做响应

*丢弃目的MAC地址为虚拟MAC地址的IP报文

*丢弃目的IP地址为虚拟IP地址的IP报文

只有当Backup接收到MASTER_DOWN这个定时器到时的事件时，才会转为Master 而当接收到比自己的优先级小的VRRP报文时，它只是做丢弃这个报文的处理，从而就不对定时器做重置处理。这样定时器就会在若干次这样的处理之后到时，于是就转为Master。只有当接收到接口的Shutdown事件时才会转为Initialize

四、HSRP和VRRP的区别

对比项	HSRP	VRRP
通告类型	Hello、Coup、Resign3种	VRRP广播报文通告
状态	Init,listen,learn,speak,standby,active6种	Init，master,backup3种
虚拟IP地址	不能为接口的实际IP地址	可以使用路由器的接口地址
虚拟MAC地址	0000.0007.acxx	0000.5e00.01xx
认证	明文(12.3IOS支持md5)	明文，无认证，md5
报文承载	UDP 1985 224.0.0.1	TCP
路由器特征	一组中只能有一个活动路由器和一个备份路由器	一组中必须有一个主路由器，有一个或多个备份路由器

五、多虚拟路由器的VRRP

六、通过VRRP 监视Track 项功能，可以实现：

对上行链路的监控。当上行链路出现故障，局域网内的主机无法通过交换机访问外部网络时，被监视Track 项的状态会变为negative，并将交换机的优先级降低指定的数额。从而，使得备份组内其它交换机的优先级高于这个交换机的优先级，成为Master 交换机，保证局域网内主机与外部网络的通信不会中断。

在Backup 交换机上监视Master 交换机的状态。当Master 交换机出现故障时，工作在切换模式的Backup 交换机能够迅速成为Master 交换机，以保证通信不会中断。

六、配置过程：

1）进入全局模式
configure terminal

2）进入接口模式
interface 接口

3）配置vrrp组和虚拟路由器的IP地址(可选)

vrrp 组号
ip ip地址

4）配置优先级

vrrp 组号
priority 优先级别

5）配置抢占

vrrp 组号
preempt

6）配置vrrp通告时间

vrrp 组号
timer advertise [msec] 秒数

默认为1秒

7）配置认证

(1)MD5认证:

vrrp 组号
authentication md5
key-string [0|7] 密码
timeout 秒数

0：表示不以加密方式显示密码

7：表示以加密的方式显示密码（service password-encryption命令配置）

(2)MD5钥匙串认证：

vrrp 组号
authentication md5 key-chain key串名称

必须事先定义了key串

(3) 明文认证：

vrrp 组号
authentication text 密码

8）跟踪端口

(1) 定义跟踪,全局模式：
track 编号
interface 接口 [line-protocol | ip-routing]

(2)
vrrp 组号
track 编号
decrement 优先级

decrement 优先级：减少的优先级

9）验证结果

show vrrp [brief]

show vrrp interface 接口

show track

七、案例：

【配置要求】

R4与R5是出口的网关，R6是局域网中的设备，当R5或R4任意一条链路失效时，能够自动切换到另外1条链路

【实验配置】

R1:

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.1 255.255.255.0

frame-relay map ip 155.1.0.5 105 broadcast

frame-relay map ip 155.1.0.4 104 broadcast

ip ospf network broadcast

no shutdown

router ospf 1

router-id 150.1.1.1

network 155.1.0.1 0.0.0.0 area 0

R4:

track 1 interface Serial0/0 line-protocol

interface Ethernet0/1

ip address 155.1.100.4 255.255.255.0

half-duplex

vrrp 1 ip 155.1.100.254

vrrp 1 priority 110

vrrp 1 authentication md5 key-string CISCO

vrrp 1 track 1 decrement 20

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.4 255.255.255.0

frame-relay map ip 155.1.0.5 401 broadcast

frame-relay map ip 155.1.0.1 401

ip ospf priority 0

ip ospf network broadcast

no shutdown

interface Loopback0

ip address 150.1.45.4 255.255.255.0

router ospf 1

router-id 150.1.4.4

redistribute connected subnets metric 400

network 155.1.0.4 0.0.0.0 area 0

R5:

interface Ethernet0/0

ip address 155.1.100.5 255.255.255.0

half-duplex

vrrp 1 ip 155.1.100.254

vrrp 1 authentication md5 key-string CISCO

no shutdown

interface Serial 0/0

encapsulation frame-relay

no frame-relay inverse-arp

ip address 155.1.0.5 255.255.255.0

frame-relay map ip 155.1.0.1 501 broadcast

frame-relay map ip 155.1.0.4 501

ip ospf network broadcast

ip ospf priority 0

no shutdown

interface Loopback0

ip address 150.1.45.5 255.255.255.0

router ospf 1

router-id 150.1.5.5

network 155.1.0.5 0.0.0.0 area 0

redistribute connected subnets metric 500

R6:

interface Gig 0/0

ip address 155.1.100.6 255.255.255.0

no shutdown

ip route 0.0.0.0 0.0.0.0 155.1.100.254

【校验】

R4#show vrrp

Ethernet0/1 - Group 1

State is Master

Virtual IP address is 155.1.100.254

Virtual MAC address is 0000.5e00.0101

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 110

Track object 1 state Up decrement 20

Authentication MD5, key-string "CISCO"

Master Router is 155.1.100.4 (local), priority is 110

Master Advertisement interval is 1.000 sec

Master Down interval is 3.570 sec

R6#ping 155.1.0.1 repeat 1000 size 1000

Type escape sequence to abort.

Sending 1000, 1000-byte ICMP Echos to 155.1.0.1, timeout is 2 seconds:

.!!!!!!!!

R4#conf t

Enter configuration commands, one per line. End with CNTL/Z.

R4(config)#interface serial 0/0

R4(config-if)#shut

R4(config-if)#

Rack1AS>6

[Resuming connection 6 to r6 ... ]

!!.U....................!!!!!!!!!!!!!!!!!!!!!!.

Success

R4#

show vrrp

Ethernet0/1 - Group 1

State is Backup

Virtual IP address is 155.1.100.254

Virtual MAC address is 0000.5e00.0101

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 90 (cfgd 110)

Track object 1 state Down decrement 20

Authentication MD5, key-string "CISCO"

Master Router is 155.1.100.5, priority is 100

Master Advertisement interval is 1.000 sec

Master Down interval is 3.570 sec (expires in 3.422 sec)

R4# show track 1

Track 1

Interface Serial0/0 line-protocol

Line protocol is Down (hw admin-down)

3 changes, last change 00:02:03

Tracked by:

VRRP Ethernet0/1 1

本文转自zcm8483 51CTO博客，原文链接:http://blog.51cto.com/haolun/993065