通常，同一網段内的所有主機上都存在一個相同的默認網關。主機發往其它網段的報文将通過默認

網關進行轉發，從而實現主機與外部網絡的通信。如 圖 ，當默認網關發生故障時，本網段

内所有主機将無法與外部網絡通信。

默認網關為用戶的配置操作提供了方便，但是對網關設備提出了很高的穩定性要求。增加網關是提

高鍊路可靠性的常見方法，此時如何在多個出口之間進行選路就成為需要解決的問題。

VRRP（Virtual Router Redundancy Protocol，虛拟路由器冗餘協議）可以解決這個問題，VRRP

功能将可以承擔網關功能的一組路由器加入到備份組中，形成一台虛拟路由器，由 VRRP 的選舉機

制決定哪台路由器承擔轉發任務，局域網内的主機隻需将虛拟路由器配置為默認網關。

VRRP 在提高可靠性的同時，簡化了主機的配置。在具有組播或廣播能力的局域網（如以太網）中，

借助 VRRP 能在某台路由器出現故障時仍然提供高可靠的鍊路，有效避免單一鍊路發生故障後網絡

中斷的問題。

1、VRRP備份組

VRRP 将局域網内的可以承擔網關功能的一組路由器劃分在一起，組成一個備份組。備份組由一台

Master 路由器和多台 Backup 路由器組成，對外相當于一台虛拟路由器。虛拟路由器具有 IP 地址，

稱為虛拟 IP 地址。局域網内的主機僅需要知道這台虛拟路由器的 IP 地址，并将其設置為網關的 IP

地址即可。局域網内的主機通過這台虛拟路由器與外部網絡進行通信。

Router A、Router B和Router C組成一台虛拟路由器。此虛拟路由器有自己的IP地

址，由用戶手工指定。局域網内的主機将虛拟路由器設置為默認網關。Router A、Router B和Router

C中優先級最高的路由器作為Master路由器，承擔網關的功能，其餘兩台路由器作為Backup路由器，

當Master路由器發生故障時，取代Master路由器繼續履行網關職責，從而保證局域網内的主機可不

間斷地與外部網絡進行通信。

2、優先級

VRRP 根據優先級來确定備份組中每台路由器的角色（Master 路由器或 Backup 路由器）。優先級

越高，則越有可能成為 Master 路由器。

VRRP 優先級的取值範圍為 0 到 255（數值越大表明優先級越高），可配置的範圍是 1 到 254，優先

級 0 為系統保留給特殊用途來使用，255 則是系統保留給 IP 地址擁有者。當路由器為 IP 地址擁有

者時，其優先級始終為 255。因此，當備份組内存在 IP 地址擁有者時，隻要其工作正常，則為 Master

路由器。

3、工作方式

備份組中的路由器具有以下兩種工作方式：

A、非搶占方式：在該方式下隻要 Master 路由器沒有出現故障，Backup 路由器即使随後被配置

了更高的優先級也不會成為 Master 路由器。非搶占方式可以避免頻繁地切換 Master 路由

器。

B、搶占方式：在該方式下 Backup 路由器一旦發現自己的優先級比當前 Master 路由器的優先級

高，就會觸發 Master 路由器的重新選舉，并最終取代原有的 Master 路由器。搶占方式可以

确保承擔轉發任務的 Master 路由器始終是備份組中優先級最高的路由器。

4、備份組中路由器的認證方式

VRRP 通過在 VRRP 報文中增加認證字的方式，驗證接收到的 VRRP 報文，防止非法用戶構造報

文攻擊備份組内的路由器。VRRP 提供了兩種認證方式：

A、簡單字符認證：發送 VRRP 報文的路由器将認證字填入到 VRRP 報文中，而收到 VRRP 報文

的路由器會将收到的 VRRP 報文中的認證字和本地配置的認證字進行比較。如果認證字相同，

則認為接收到的報文是真實、合法的 VRRP 報文；否則認為接收到的報文是一個非法報文，

将其丢棄。

B、MD5 認證：發送 VRRP 報文的路由器利用認證字和 MD5 算法對 VRRP 報文進行摘要運算，

運算結果保存在 VRRP 報文中。收到 VRRP 報文的路由器會利用本地配置的認證字和 MD5

算法進行同樣的運算，并将運算結果與認證頭的内容進行比較。如果相同，則認為接收到的

報文是合法的 VRRP 報文；否則認為接收到的報文是一個非法報文，然後将其丢棄。

在一個安全的網絡中，用戶也可以不設置認證方式

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!