VRRP概念

VRRP是一種選擇協議，它可以把一個虛擬路由器的責任動態分配到局域網上的 VRRP 路由器中的一臺。控制虛擬路由器 IP 地址的 VRRP 路由器稱爲主路由器， 它負責轉發數據包到這些虛擬 IP地址。

一旦主路由器不可用， 這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的IP地址可以作爲終端主機的默認第一跳路由器。 是一種LAN接入設備備份協議.一個局域網絡內的所有主機都設置缺省網關， 這樣主機發出的目的地址不在本網段的報文將被通過缺省網關發往三層交換機，從而實現了主機和外部網絡的通信。

VRRP是一種路由容錯協議，也可以叫做備份路由協議。一個局域網絡內的所有主機都設置缺省路由，當網內主機發出的目的地址不在本網段時，報文將被通過缺省路由發往外部路由器，從而實現了主機與外部網絡的通信。當缺省路由器down掉（即端口關閉）之後，內部主機將無法與外部通信，如果路由器設置了VRRP時，那麼這時，虛擬路由將啓用備份路由器，從而實現全網通信。

VRRP（ Virtual Router Redundancy Protocol ，虛擬路由冗餘協議）是一種容錯協議。通常，一個網絡內的所有主機都設置一條缺省路由，這樣，主機發出的目的地址不在本網段的報文將被通過缺省路由發往路由器 RouterA，從而實現了主機與外部網絡的通信。當路由器 RouterA 壞掉時，本網段內所有以 RouterA 爲缺省路由下一跳的主機將斷掉與外部的通信產生單點故障。VRRP就是爲解決上述問題而提出的，它爲具有多播組播或廣播能力的局域網（如：以太網）設計。

VRRP 將局域網的一組路由器（包括一個 Master 即活動路由器和若干個 Backup 即備份路由器）組織成一個虛擬路由器，稱之爲一個備份組。這個虛擬的路由器擁有自己的 IP地址10.100.10.1（這個IP地址可以和備份組內的某個路由器的接口地址相同，相同的則稱爲 ip擁有者），備份組內的路由器也有自己的 IP 地址（如 Master 的 IP 地址爲 10.100.10.2，Backup的 IP地址爲10.100.10.3）。局域網內的主機僅僅知道這個虛擬路由器的 IP 地址 10.100.10.1，而並不知道具體的 Master 路由器的 IP 地址 10.100.10.2 以及 Backup 路由器的 IP 地10.100.10.3 。它們將自己的缺省路由下一跳地址設置爲該虛擬路由器的 IP 地址10.100.10.1。於是，網絡內的主機就通過這個虛擬的路由器來與其它網絡進行通信。如果備份組內的 Master 路由器壞掉， Backup 路由器將會通過選舉策略選出一個新的 Master 路由器，繼續向網絡內的主機提供路由服務。 從而實現網絡內的主機不間斷地與外部網絡進行通信。

工作原理：

VRRP的工作過程如下：

1、路由器開啓 VRRP功能後，會根據優先級確定自己在備份組中的角色。優先級高的路由器成爲主用路由器，優先級低的成爲備用路由器。主用路由器定期發送 VRRP通告報文，通知備份組內的其他路由器自己工作正常；備用路由器則啓動定時器等待通告報文的到來。

2、VRRP在不同的主用搶佔方式下，主用角色的替換方式不同：

在搶佔方式下，當主用路由器收到 VRRP通告報文後，會將自己的優先級與通告報文中的優先級進行比較。如果大於通告報文中的優先級， 則成爲主用路由器； 否則將保持備用狀態。在非搶佔方式下，只要主用路由器沒有出現故障，備份組中的路由器始終保持主用或備用狀態，備份組中的路由器即使隨後被配置了更高的優先級也不會成爲主用路由器。

3、如果備用路由器的定時器超時後仍未收到主用路由器發送來的 VRRP通告報文，則認爲主用路由器已經無法正常工作，此時備用路由器會認爲自己是主用路由器，並對外發送 VRRP通告報文。備份組內的路由器根據優先級選舉出主用路由器，承擔報文的轉發功能。

在實際組網中一般會進行 VRRP負載分擔方式的設置。負載分擔方式是指多臺路由器同時承擔業務，避免設備閒置，因此需要建立兩個或更多的備份組實現負載分擔。VRRP負載分擔方式具有以下特點：

每個備份組都包括一個主用路由器和若干個備用路由器。各備份組的主用路由器可以不相同。同一臺路由器可以加入多個備份組， 在不同備份組中有不同的優先級， 使得該路由器可以在一個備份組中作爲主用路由器，在其他的備份組中作爲備用路由器。

VRRP在提高可靠性的同時，簡化了主機的配置。在具有多播或廣播能力的局域網中，藉助VRRP能在某臺路由器出現故障時仍然提供高可靠的缺省鏈路，有效避免單一鏈路發生故障後網絡中斷的問題，而無需修改動態路由協議、路由發現協議等配置信息。

一個 VRRP路由器有唯一的標識： VRID，範圍爲 0—255，該路由器對外表現爲唯一的虛擬 MAC地址，地址的格式爲 00-00-5E-00-01-[VRID]，主控路由器負責對ARP請求用該MAC地址做應答，這樣 ,無論如何切換，保證給終端設備的是唯一一致的 IP 和 MAC地址，減少了切換對終端設備的影響。

VRRP控制報文只有一種： VRRP通告 (advertisement) ?它使用 IP多播數據包進行封裝，組地址爲224.0.0.18，發佈範圍只限於同一局域網內，這保證了VRID在不同網絡中可以重複使用。

爲了減少網絡帶寬消耗，只有主控路由器纔可以週期性的發送 VRRP通告報文，備份路由器在連續三個通告間隔內收不到 VRRP或收到優先級爲0的通告後啓動新的一輪 VRRP選舉。

在VRRP路由器組中，按優先級選舉主控路由器，VRRP協議中優先級範圍是 0—255，若 VRRP路由器的IP地址和虛擬路由器的接口 IP地址相同，則該VRRP路由器被稱爲該IP地址的所有者；

IP地址所有者自動具有最高優先級： 255優先級0一般用在IP地址所有者主動放棄主控者角色時使用可配置的優先級範圍爲1—254，優先級的配置原則可以依據鏈路的速度和成本、路由器性能和可靠性以及其它管理策略設定，主控路由器的選舉中， 高優先級的虛擬路由器獲勝，因此，如果在 VRRP組中有IP地址所有者， 則它總是作爲主控路由的角色出現，對於相同優先級的候選路由器，按照 IP地址大小順序選舉VRRP還提供了優先級搶佔策略，如果配置了該策略，高優先級的備份路由器便會剝奪當前低優先級的主控路由器而成爲新的主控路由器。

爲了保證VRRP協議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證，明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的 VRID 和明文密碼，適合於避免在局域網內的配置錯誤，但不能防止通過網絡監聽方式獲得密碼，IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。

應用實例

VRRP協議的工作機理與 CISCO公司的 HSRP

（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在 CISCO的 HSRP中，需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

使用 VRRP協議，不用改造網絡結構，最大限度保護了投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的運用價值。

最典型的VRRP應用： RTA、 RTB組成一個 VRRP路由器組，假設RTB的處理能力高於 RTA，則將 RTB配置成 IP 地址所有者， H1、H2、H3 的默認網關設定爲 RTB。則 RTB成爲主控路由器，負責 ICMP 重定向、 ARP 應答和 IP 報文的轉發；一旦 RTB失敗， RTA立即啓動切換，成爲主控，從而保證了對客戶透明的安全切換。

在 VRRP應用中，RTB在線時 RTA只是作爲後備，不參與轉發工作，閒置了路由器RTA和鏈路L1。通過合理的網絡設計，可以達到備份和負載分擔雙重效果。讓RTA、RTB同時屬於互爲備份的兩個 VRRP組：在組1中 RTA爲 IP 地址所有者；組 2 中 RTB爲 IP 地址所有者。將H1的默認網關設定爲 RTA； H2、 H3 的默認網關設定爲 RTB。這樣，既分擔了設備負載和網絡流量，又提高了網絡可靠性。

配置方式

spanning-tree 開啓生成樹（默認爲 mstp）

spanning-tree mst configuration 進入 mst 配置模式

revision 1 指定MST revision number爲 1

name region1 指定 mst 配置名稱

instance 0 vlan 1-9, 11-19, 21-4094 缺省情況下vlan都屬於實例 0

instance 1 vlan 10 手工指定 vlan10 屬於實例 1

instance 2 vlan 20 手工指定 vlan20 屬於實例 2

spanning-tree mst 1 priority 0 指定實例 1 的優先級爲0（爲根橋）

spanning-tree mst 2 priority 4096 指定實例 2 的優先級爲 4096

interface GigabitEthernet 0/1

switchport access vlan 10 配置 g0/1 屬於 vlan10

interface GigabitEthernet 0/2

switchport access vlan 20 配置 g0/2 屬於 vlan 20!interface GigabitEthernet 0/3!

interface GigabitEthernet 0/24 設置 g0/24 爲 trunk 接口且允許 vlan10/20 通過switchport mode trunk!interface VLAN 10 創建 vlan 10 svi 接口

ip address 192.168.10.1 255.255.255.0 配置 ip 地址

vrrp 1 priority 120配置 vrrp 組 1 優先級爲 120

vrrp 1 ip 192.168.10.254配置 vrrp 組 1 虛擬 ip 地址爲 192.168.10.254!

interface VLAN 20創建 vlan 20 svi 接口

ip address 192.168.20.1 255.255.255.0 配置 ip 地址

vrrp 2 ip 192.168.20.254 配置 vrrp 組 2 虛擬 ip 地址爲 192.168.20.254

默認 vrrp 組的優先級爲 100 默認不顯示 !

line con 0

line vty 0 4

login[4]

驗證配置：

s1#show vlan

VLAN Name Status Ports1 VLAN0001 STATIC Gi0/3, Gi0/4, Gi0/5, Gi0/6

Gi0/7, Gi0/8, Gi0/9, Gi0/10

Gi0/11, Gi0/12, Gi0/13, Gi0/14

Gi0/15, Gi0/16, Gi0/17, Gi0/18

Gi0/19, Gi0/20, Gi0/21, Gi0/22

Gi0/23, Gi0/24

10 VLAN0010 STATIC Gi0/1, Gi0/24

20 VLAN0020 STATIC Gi0/2, Gi0/24

接下來的同級設備照上面大體框架配置既可。

跟蹤配置

一般對網關的上聯接口監控，如果上聯接口故障，則自動讓出轉發權，配置 vrrp需要監控的對象。對應的no命令取消對接口的監控。

vrrp group-number track {interface-name | track-id} [decrement]

no vrrp group-number track {interface-name | track-id}

描述 group-number指定group-number號，取值範圍是1-255。

interface-name 指定監控的接口。

track-id 指定監控的 track 對象 ID。

Decrement 指定優先級降低幅度。缺省10。

這裏還要在全局模式下配置 track 組

track track-ip intface intface-id line-protocol

注意： 在啓動了 vrrp 後，纔可以配置該命令。