如圖1所示，局域網中隻有一個路由器RTA，所有PC使用RTA做為網關，此時如果RTA故障，所有PC将不能和外網通信。

圖1 單網關場景

通過部署多網關的方式實現網關的備份，但多網關可能會出現一些問題：網關間IP地址沖突；主機會頻繁切換網絡出口。

圖2 多網關場景

VRRP的出現很好的解決了這個問題，它在不改變組網的情況下，将多台路由設備組成一個虛拟路由器，通過配置虛拟路由器的IP地址為默認網關，實現默認網關的備份。

圖3 VRRP多網關場景邏輯圖

如圖4所示，HostA雙歸到RouterA和RouterB。在RouterA和RouterB上配置VRRP備份組，對外體現為一台虛拟路由器，實現冗餘備份。

圖4 VRRP備份組示意圖

在圖4所示的網絡中部署VRRP協議，下面結合該圖介紹VRRP協議的基本概念：

• VRRP路由器（VRRP Router）：運行VRRP協議的設備，如RouterA和RouterB。
• 虛拟路由器（Virtual Router）：又稱VRRP備份組，由一個Master設備和多個Backup設備組成，被當作一個共享局域網内主機的缺省網關。如RouterA和RouterB共同組成了一個虛拟路由器。
• Master路由器（Virtual Router Master）：承擔轉發報文任務的VRRP設備，如RouterA。
• Backup路由器（Virtual Router Backup）：一組沒有承擔轉發任務的VRRP設備，當Master設備出現故障時，它們将通過競選成為新的Master設備，如RouterB。
• vrid：虛拟路由器的标識，如圖中RouterA和RouterB組成的虛拟路由器的vrid為1，需手工指定，範圍1-255。
• 虛拟IP地址(Virtual IP Address)：虛拟路由器的IP地址，一個虛拟路由器可以有一個或多個IP地址，由用戶配置。如RouterA和RouterB組成的虛拟路由器的虛拟IP地址為10.1.1.254/24。
• IP地址擁有者（IP Address Owner）：如果一個VRRP設備将真實的接口IP地址配置為虛拟路由器IP地址，則該設備被稱為IP地址擁有者。如果IP地址擁有者是可用的，則它将一直成為Master。
• 虛拟MAC地址（Virtual MAC Address）：虛拟路由器根據vrid生成的MAC地址。一個虛拟路由器擁有一個虛拟MAC地址，格式為：00-00-5E-00-01-{vrid}。當虛拟路由器回應ARP請求時，使用虛拟MAC地址，而不是接口的真實MAC地址。如RouterA和RouterB組成的虛拟路由器的vrid為1，因此這個VRRP備份組的MAC地址為00-00-5E-00-01-01。

VRRP協議隻有一種報文類型－VRRP通告（ADVERTISEMENT），隻有Master才能發送VRRP通告。VRRP協議報文封裝在IP報文中，在IP報文頭中，源地址為發送報文接口的主IP地址（不是虛拟IP地址），目的地址是224.0.0.18，TTL是255，協議号是112。

目前，VRRP協議包括兩個版本：VRRPv2和VRRPv3。VRRPv2僅适用于IPv4網絡，VRRPv3适用于IPv4和IPv6兩種網絡。

VRRPv2的報文結構分别如圖5所示。

圖5 VRRPv2報文結構

各字段的含義如下表所示：

如圖6 所示，VRRP協議狀态機有三種狀态：Initialize（初始狀态）、Master（活動狀态）、Backup（備狀态）。

圖6 VRRP狀态的轉換

VRRP的工作過程如下：

1. VRRP備份組中的設備根據優先級選舉出Master。Master設備通過發送免費ARP報文，将虛拟MAC地址通知給與它連接的設備或者主機，從而承擔報文轉發任務。
2. Master設備周期性向備份組内所有Backup設備發送VRRP通告報文，以公布其配置信息（優先級等）和工作狀況。
3. 如果Master設備出現故障，VRRP備份組中的Backup設備将根據優先級重新選舉新的Master。
4. VRRP備份組狀态切換時，Master設備由一台設備切換為另外一台設備，新的Master設備會立即發送攜帶虛拟路由器的虛拟MAC地址和虛拟IP地址信息的免費ARP報文，刷新與它連接的主機或設備中的MAC表項，從而把用戶流量引到新的Master設備上來，整個過程對用戶完全透明。
5. 原Master設備故障恢複時，若該設備為IP地址擁有者（優先級為255），将直接切換至Master狀态。若該設備優先級小于255，将首先切換至Backup狀态，且其優先級恢複為故障前配置的優先級。

下面以圖7 VRRP冗餘備份的基本過程為例進行簡要說明

• SwitchA為Master設備，優先級設置為120，搶占方式為延遲搶占。
• SwitchB為Backup設備，優先級為默認值100，搶占方式為立即搶占。
• SwitchC為Backup設備，優先級設置為110，搶占方式為立即搶占。

圖7 VRRP冗餘備份示意圖

1. 正常情況下，SwitchA為Master設備并承擔業務轉發任務，SwitchB和SwitchC為Backup設備且不承擔業務轉發。用戶側的上行流量路徑為：Switch1->SwitchA->Router。此時，SwitchA定期發送VRRP報文通知SwitchB和SwitchC自己工作正常。
2. 當SwitchA發生故障時，SwitchA上的VRRP會處于不可用狀态。由于SwitchC優先級高于SwitchB，因此SwitchC變為Master設備，并開始發送VRRP報文和免費ARP報文，SwitchB繼續保持為Backup設備。用戶側的上行流量路徑為：Switch1->SwitchC->Router。
3. 當SwitchA故障恢複時，VRRP的優先級為120，狀态變為Backup。此時SwitchC繼續定期發送VRRP報文，當SwitchA收到VRRP報文後，會比較優先級，發現自己的優先級更高，等待搶占延遲後搶占為Master設備，并開始發送VRRP報文和免費ARP報文。用戶側的上行流量路徑恢複為：Switch1->SwitchA->Router。

為了提高網絡可靠性，通常部署主備雙歸屬。為了滿足不同的業務需要，設備之間可以運行多個VRRP備份組。此時每個VRRP備份組都需要維護自己的狀态機，這樣設備之間就會存在大量的VRRP協議報文。

如圖8所示，為了減少協議報文對帶寬的占用及CPU資源的消耗，可以将其中一個VRRP備份組配置為管理VRRP備份組（mVRRP），其餘的業務VRRP備份組與管理VRRP備份組進行綁定。此時，管理VRRP負責發送協議報文來協商設備的主備狀态；業務VRRP不發送協議報文，其主備狀态與管理VRRP的主備保持一緻，以此減少協議報文對CPU與帶寬資源的消耗。

圖8 管理VRRP示意圖

管理VRRP備份組

管理VRRP備份組與普通VRRP備份組一樣，會通過VRRP協議報文來協商VRRP設備的主備狀态。管理VRRP可以部署在網絡中的以下位置：

• 管理VRRP與業務VRRP部署在同一側。此時管理VRRP備份組作為網關使用（如圖8中的mVRRP1），管理VRRP既負責協商設備的主備狀态，也承擔業務流量。此時在配置管理VRRP之前必須先創建普通VRRP備份組并配置虛拟IP地址，該虛拟IP地址即為用戶設置的網關地址。
• 管理VRRP部署在SwitchA和SwitchB之間的直連鍊路上。此時管理VRRP備份組不作為網關使用時（如圖8中的mVRRP2），管理VRRP隻負責協商設備的主備狀态，不承擔業務流量。因此管理VRRP不需要具有虛拟IP地址，用戶可以直接在接口上創建管理VRRP備份組。該配置在一定程度上降低了用戶維護的複雜度。

業務VRRP備份組

普通VRRP備份組與管理VRRP備份組綁定後成為業務VRRP備份組（也叫成員VRRP備份組）。業務VRRP備份組不再發送VRRP協議報文，它的狀态由所在接口狀态及與其綁定的管理VRRP備份組的狀态共同決定。

VRRP冗餘備份功能有時需要額外的技術來完善其工作。例如，Master設備到達某網絡的鍊路突然斷掉時，VRRP無法感知故障進行切換，此時主機無法通過Master設備遠程訪問該網絡。此時，可以通過VRRP監視鍊路狀态，解決這個問題。

VRRP直接監視連接上行鍊路的接口狀态

當連接上行鍊路的接口Down時，Master設備通過降低自身的優先級，使得Backup設備搶占成為Master，承擔轉發任務。

圖9 VRRP監視上行接口的典型組網圖

如圖9所示，SwitchA和SwitchB之間配置VRRP備份組，其中SwitchA為Master設備，SwitchB為Backup設備，SwitchA和SwitchB皆工作在搶占方式下。在SwitchA上配置VRRP監視上行接口Interface1，當Interface1故障時，SwitchA降低自身優先級，通過報文協商，SwitchB搶占成為Master，确保用戶流量正常轉發。

VRRP利用BFD/NQA/路由技術監視上行鍊路連接的遠端主機或者網絡狀況

BFD/NQA/路由用于檢測Master設備上行鍊路的連通狀況，當Master設備的上行鍊路發生故障時，BFD/NQA/路由可以檢測故障并通知Master設備調整自身優先級，觸發主備切換，确保流量正常轉發。

圖10 VRRP與BFD/NQA/路由聯動監視上行鍊路典型組網圖

如圖10所示，SwitchA和SwitchB之間配置VRRP備份組，其中SwitchA為Master設備，SwitchB為Backup設備，SwitchA和SwitchB皆工作在搶占方式下。配置BFD/NQA/路由監測SwitchA到SwitchE之間的鍊路，并在SwitchA上配置VRRP與BFD/NQA/路由聯動。當BFD/NQA/路由檢測到SwitchA到SwitchE之間的鍊路故障時，通知SwitchA降低自身優先級，通過VRRP報文協商，SwitchB搶占成為Master，确保用戶流量正常轉發。

如圖11所示，在VRRP STP場景中，SwitchA和SwitchB上配置VRRP備份組。若與用戶相連的Switch1不能轉發VRRP協議報文（如配置了未知組播丢棄），或者為了防止VRRP協議報文（心跳報文）所經過的鍊路不通或不穩定，可以在SwitchA和SwitchB之間部署一條心跳線，用于傳遞VRRP協議報文。

由于配置了心跳線之後，需要将Interface1和Interface2加入與VRRP備份組相對應的VLAN（例如，VRRP備份組配置在VLANIF100接口下，則需要配置Interface1和Interface2加入VLAN100），SwitchA、SwitchB和Switch1之間會存在環路，因此還需要配置破環協議來破除環路（例如，可以配置STP協議來破除環路）。

圖11 VRRP心跳線示意圖

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!