虛擬路由器冗余協議（VRRP）

虛擬路由器冗余協議（VRRP）

5.1 VRRP協議原理

VRRP協議（Virtual Router Redundancy Protocol，虛擬路由器冗余協議）與HSRP類似，能夠提高網絡的穩定性和可靠性，其由IETF標準RFC2338定義。由于VRRP與HSRP原理類似，只是術語和功能上有細微的差別，所以本節簡要介紹VRRP的原理。

1、VRRP的工作原理

如圖5.1所示，VRRP協議將LAN網段上的兩臺或者多臺路由器可以作為一臺“虛擬”路由器使用，通過同一個虛擬IP地址和虛擬MAC地址而對外提供服務。如果其中一臺出現故障，另一臺就能接替它，繼續完成路由功能。

圖5.1 VRRP創建了一個有自己MAC地址和IP地址的虛擬路由器

VRRP協議組中包括一臺主路由器、備份路由器和一臺虛擬路由器組成。VRRP協議中活躍路由器稱為主路由器，其轉發發送到虛擬路由器的數據包。而其他VRRP組中非主路由器的路由器都處于備份狀態。虛擬路由器是向最終用戶代表一臺可以連續工作的路由器。

VRRP與HSRP相同根據優先級大小選擇主路由器，同一個VRRP組中優先級最大的路由器成為主路由器，狀態為Master。組中其他路由器都處于備份狀態，并檢測主路由器的狀態。主路由器每隔一段時間會發送一個VRRP通告，通告其工作正常。如果VRRP組中的備份路由器長時間沒有收到主路由器的通告，就將自己改為Master狀態。VRRP組內可能有多臺備份路由器同時認為自己是主路由器，這時每臺主路由器都會比較收到的VRRP通告中的優先級與本地的優先級的大小。如果本地優先級小于VRRP通告的優先級，則自身路由器狀態為備份狀態，否則為Master狀態不變。最終一個VRRP組中優先級最大的路由器成為新的主路由器。

2、虛擬MAC地址

VRRP組中虛擬路由器的MAC地址格式為0000.5e00.01xx，其中xx為VRRP組號。

例如：VRRP組47，則虛擬路由器的MAC地址是0000.5e00.012f。

3、VRRP通告

VRRP協議中只定義了一種報文即VRRP通告，其使用IP協議協議號為112，目的地址為組播地址224.0.0.18。

4、VRRP的狀態

VRRP協議共定義了三種狀態：Master（主狀態）、Backup（備份狀態）、Initialize（初始狀態）。

n 初始狀態：所有路由器都從初始狀態開始，即進程啟動后進入此狀態。

n 備份狀態：接收主路由器發送的VRRP組播通告，由此判斷主路由器的狀態；丟棄發送到虛擬路由器的MAC地址和IP地址的數據包；不響應對虛擬IP地址的ARP請求。

n 主狀態：定期發送VRRP組播通告；響應對虛擬IP地址的ARP請求，并且發送免費ARP報文使網絡內主機知道虛擬IP地址和虛擬MAC地址的對應關系；轉發目的地址是虛擬MAC地址的IP數據包。

VRRP三種狀態間的轉換關系，如圖5.2所示。

圖5.2 VRRP三種狀態之間的轉換關系

在初始狀態如果接收到startup消息，并且優先級為255（優先級范圍0～255）時，則路由器狀態轉為主狀態；如果優先級小于255時，則路由器狀態轉為備份狀態。

在備份狀態如果接口收到shutdown消息，則路由器狀態轉為初始狀態；如果Master_Down_Interval時間超時，則路由器轉為主狀態。

在主狀態如果接口收到shutdown消息，則路由器狀態轉為初始狀態；如果接收到的VRRP組播通告中的優先級大于本地優先級，則路由器狀態轉為備份狀態。

名稱解釋：

1、Master_Down_Interval相當于HSRP中的保持時間，即備份路由器一段時間沒有收到主路由器的VRRP通告，則認為主路由器異常，自身成為主路由器。

2、VRRP優先級與HSRP優先級相同，范圍是0～255，可以配置的范圍是1～254，默認為100。如果，VRRP配置的虛擬IP地址和路由器的實際物理接口地址相同時這個VRRP路由器稱為IP地址擁有者，這時此路由器的VRRP優先級為255。

5、VRRP計時器

VRRP通告的發送時間默認為1s，而Master_Down_Interval時間是3倍的主路由器VRRP通告發送時間再加上一個偏移時間，具體的計算公式詳見RFC2338。

6、VRRP認證

VRRP協議提供了三種認證方式（無認證、簡單字認證和MD5認證）可以根據不同的網絡環境使用不同的認證方式。在一個安全的網絡中可以使用無認證，在一個十分不安全的網絡中可以使用MD5認證。

5.2 VRRP協議的相關配置

前面簡單的講解了VRRP協議的原理，本節介紹VRRP協議的相關配置。

5.2.1 VRRP的配置命令

1、將路由器配置為VRRP組成員

將路由器或三層交換機配置為VRRP組的成員，并指定虛擬IP地址：

Switch(config-if)#vrrp group-number ip virtual-ip-address

其中：

n group-number：表示該端口所屬的VRRP組。可配置范圍是1～255。

n virtual-ip-address：表示虛擬VRRP路由器的IP地址，即網段的網關地址。如果虛擬IP地址和接口的物理IP地址相同，則此VRRP組中本地路由器的優先級為255。

2、配置VRRP優先級

用戶可以指定端口在組內的優先級。這樣，在發生出現故障時，用戶可以靈活地指定端口順序。優先級數值高的將成為主路由器，指定優先級可使用下面的命令：

Switch(config-if)#vrrp group-number priority priority-value

其中，priority-value范圍是0～255，可配置范圍是1～254，默認值是100。

需要注意如果路由器是IP地址擁有者則優先級為255，無法配置優先級。

3、配置占先權

占先權的含義與HSRP相同，但是VRRP協議中占先權默認是開啟的。

關閉VRRP占先權的命令為：

Switch(config-if)#no vrrp group-number preempt

可以使用vrrp group-number preempt命令開啟VRRP占先權。

4、配置VRRP定時器

配置VRRP路由器的VRRP通告發送時間的命令為：

Switch(config-if)#vrrp 1 timers advertise [ msec ] interval

其中，使用msec參數配置的時間間隔為毫秒，范圍50～999；不使用msec參數參數配置的時間間隔為秒，范圍是1～255。

命令vrrp group-number timers learn為從主路由器那里獲悉VRRP通告時間間隔，由此計算Master_Down_Interval的時間。

5、配置VRRP認證

VRRP配置明文認證的命令為：

Switch(config-if)#vrrp 1 authentication word

VRRP配置MD5認證的命令為：

Switch(config-if)#vrrp 1 authentication md5 key- string word

6、配置VRRP端口跟蹤

VRRP配置端口跟蹤的方式與HSRP稍有不同。VRRP配置端口跟蹤時，首先，需要定義跟蹤的端口命令如下：

Switch(config-if)#track number interface type mod/mun line-protocol

其中，number為編號，范圍1～500；line-protocol表示接口鏈路層狀態。

然后，在接口模式下配置VRRP端口跟蹤，命令為：

Switch(config-if)#vrrp group-number track number decrement interface-priority

其中：

n group-number：采用跟蹤功能的端口的VRRP組號；

n number：跟蹤由track number所定義的端口；

n interface-priority：當端口失效時路由器的熱備份優先級將降低的數值；當端口變為可用時，路由器的優先級將加上該數值。

要關閉端口跟蹤功能時，可以使用no standby group-number track命令。

需要注意如果路由器是IP地址擁有者則優先級為255，不能配置端口跟蹤。

7、查看VRRP路由器狀態

要顯示VRRP路由器的狀態，在特權模式下輸入如下命令：

Switch#show vrrp [interface type mod/mun] [group group-number] [brief]

其中：

n interface type mod/mun:要顯示的端口類型和序號；

n group group-number:要顯示的具體VRRP組；

n brief：顯示摘要信息，每個備份組總結顯示一行輸出；

如果沒有指定這些任選端口參數，那么，show vrrp 命令可以顯示所有端口的VRRP信息。

使用show vrrp brief命令的輸出結果如下：

SW1#show vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr

Vl2 2 150 3414 Y Master 192.168.2.1 192.168.2.254

此輸出表明，VLAN2端口參與了VRRP 2組，優先級為150，啟用了占先權，不是IP地址擁有者，這個路由器處于Master狀態，組中主路由器的IP地址192.168.2.1，VRRP組的虛擬IP地址是192.168.2.254。

使用show vrrp可以查看VRRP的詳細信息，如下所示：

SW1#show vrrp

Vlan2 - Group 2 //VRRP組號

State is Master //狀態為Master

Virtual IP address is 192.168.2.254 //VRRP組的虛擬IP地址

Virtual MAC address is 0000.5e00.0102 //VRRP組的虛擬MAC地址

Advertisement interval is 1.000 sec //VRRP通告發送時間間隔

Preemption enabled //占先權為啟動狀態

Priority is 150 //優先級為150

Track object 1 state Up decrement 100 //端口跟蹤，降低優先級100

Master Router is 192.168.2.1 (local), priority is 150 //主路由器的信息

Master Advertisement interval is 1.000 sec //主路由器的VRRP通告時間間隔

Master Down interval is 3.414 sec //主路由器的Down interval時間

Vlan3 - Group 3

State is Backup

Virtual IP address is 192.168.3.254

Virtual MAC address is 0000.5e00.0103

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 100

Master Router is 192.168.3.2, priority is 150

Master Advertisement interval is 1.000 sec

Master Down interval is 3.609 sec (expires in 3.217 sec) Learning

//學習到的主路由器Down interval時間

5.2.2 VRRP的配置實例

與HSRP相同，要實現網絡流量的負載均衡，需要通過配置VRRP和生成樹來實現。

下面通過一個配置實例來說明如何配置VRRP的負載均衡。

BENET公司組建網絡如圖5.3所示，要求使用SW1和SW2使用VRRP加強網絡穩定，為了充分利用網絡資源還要求實現VLAN的負載均衡。VRRP參數規劃如表5.1所示。

表5.1 VRRP參數規劃表

注：

u 對于VLAN2：SW1為主路由器、SW2為備份路由器；

u 對于VLAN3：SW1為備份路由器、SW2為主路由器；

其它網絡規劃如下：

n 在SW1交換機VLAN 虛接口物理IP地址：

l VLAN 2：192.168.2.1/24

l VLAN 3：192.168.3.1/24

n 在SW2交換機VLAN 虛接口物理IP地址：

l VLAN 2：192.168.2.2/24

l VLAN 3：192.168.3.2/24

n PC1的IP地址：192.168.2.10/24，虛擬網關為192.168.2.254/24；PC2的IP地址：192.168.3.10/24，虛擬網關為192.168.3.254/24；

n SW1和R1的互聯地址為192.168.0.0/30；SW2和R1的互聯地址為192.168.1.0/30；

n 配置R1路由器的Loopback接口地址192.168.100.1/24模擬外網地址；

n 交換機之間鏈路均為中繼鏈路，并使用靜態路由實現網絡互通；

圖5.3 VRRP案例網絡拓撲圖

根據網絡規劃配置網絡。

1、配置設備基本信息（接口IP、VLAN、TRUNK、路由等配置），配置省略；

配置時需要注意三層交換機啟用路由功能、VLAN虛端口需要開啟、三層交換機端口啟用三層功能等配置，以及接口配置的物理IP地址。

2、配置VRRP

分別在SW1和SW2上配置VRRP，如下所示：

SW1配置

SW1(config)#track 1 interface FastEthernet0/1 line-protocol //定義跟蹤的端口

SW1(config)#interface Vlan2

SW1(config-if)#ip address 192.168.2.1 255.255.255.0

SW1(config-if)#vrrp 2 ip 192.168.2.254 //配置虛擬IP地址

SW1(config-if)#vrrp 2 timers learn

SW1(config-if)#vrrp 2 priority 150 //配置優先級150

SW1(config-if)#vrrp 2 track 1 decrement 100 //配置端口跟蹤

SW1(config-if)#exit

SW1(config)#interface Vlan3 //優先級使用默認配置為100，并且不需要跟蹤端口

SW1(config-if)#ip address 192.168.3.1 255.255.255.0

SW1(config-if)#vrrp 3 ip 192.168.3.254

SW1(config-if)#vrrp 3 timers learn //配置從主路由器獲悉VRRP通告時間

SW1(config-if)#exit

SW2配置

SW2(config)#track 1 interface FastEthernet0/1 line-protocol

SW2(config)#interface Vlan2

SW2(config-if)#ip address 192.168.2.2 255.255.255.0

SW2(config-if)#vrrp 2 ip 192.168.2.254

SW2(config-if)#vrrp 2 timers learn

SW2(config-if)#exit

SW2(config)#interface Vlan3

SW2(config-if)#ip address 192.168.3.2 255.255.255.0

SW2(config-if)#vrrp 3 ip 192.168.3.254

SW2(config-if)#vrrp 3 timers learn

SW2(config-if)#vrrp 3 priority 150

SW2(config-if)#vrrp 3 track 1 decrement 100

SW2(config-if)#exit

3、配置STP實現VLAN負載均衡

SW1的配置信息如下：

SW1(config)#spanning-tree vlan 2 root primary

SW1(config)#spanning-tree vlan 3 root secondary

SW2的配置信息如下：

SW2(config)#spanning-tree vlan 2 root secondary

SW2(config)#spanning-tree vlan 3 root primary

由此可以保證VLAN2的STP實例阻塞的端口是SW2和SW3連接端口中的一個，而VLAN3的STP實例阻塞的端口是SW1和SW3連接端口中的一個。由此保證了不同VLAN從SW3到主路由器的鏈路不被阻塞。

4、驗證VRRP

使用show vrrp命令查看VRRP詳細信息，如下所示：

SW1#show vrrp

Vlan2 - Group 2

State is Master

Virtual IP address is 192.168.2.254

Virtual MAC address is 0000.5e00.0102

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 150

Track object 1 state Up decrement 100

Master Router is 192.168.2.1 (local), priority is 150

Master Advertisement interval is 1.000 sec

Master Down interval is 3.414 sec

Vlan3 - Group 3

State is Backup

Virtual IP address is 192.168.3.254

Virtual MAC address is 0000.5e00.0103

Advertisement interval is 1.000 sec

Preemption enabled

Priority is 100

Master Router is 192.168.3.2, priority is 150

Master Advertisement interval is 1.000 sec

Master Down interval is 3.609 sec (expires in 3.225 sec) Learning

還可以使用show vrrp brief命令查看VRRP的簡要信息，如下所示：

SW1#show vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr

Vl2 2 150 3414 Y Master 192.168.2.1 192.168.2.254

Vl3 3 100 3609 Y Backup 192.168.3.2 192.168.3.254

分別在PC1和PC2（網關為虛擬IP地址）上使用ping命令，能夠正常和R1(192.168.100.1)通信。

驗證熱備份，斷開SW1交換機和R1的鏈路，然后使用show vrrp brief命令查看交換機上VRRP狀態，如下所示：

SW1#show vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr

Vl2 2 50 3414 Y Backup 192.168.2.2 192.168.2.254

Vl3 3 100 3609 Y Backup 192.168.3.2 192.168.3.254

SW2#show vrrp brief

Interface Grp Pri Time Own Pre State Master addr Group addr

Vl2 2 100 3609 Y Master 192.168.2.2 192.168.2.254

Vl3 3 150 3414 Y Master 192.168.3.2 192.168.3.254

主交換機優先級下降，備份交換機成為主交換機，并且PC1和PC2與路由器R1通信正常。

然后恢復SW1交換機和R1的鏈路，然后斷開SW2交換機和SW3的鏈路，驗證熱備份。同樣，主交換機優先級下降，備份交換機成為主交換機，并且PC1和PC2與路由器R1通訊正常。