如何设置虚拟路由器冗余协议

随着Internet的迅猛发展，基于网络的应用也逐渐增多，这就对网络的可靠性提出了越来越高的要求。对所有网络设备进行更新当然是一种很好的解决方案，但从保护现有投资的角度考虑，可以采用廉价冗余的思路，在可靠性和经济性方面找到平衡点。虚拟路由器冗余协议（Virtual Router Redundancy Protocol，VRRP）就是一种很好的解决方案。在该协议中，对共享多存取访问介质（如以太网）上终端IP设备的默认网关（Default Gateway）进行冗余备份，从而在其中一台路由设备不可用时，备份路由设备及时接管转发工作，向用户提供透明的切换，提高了网络服务质量。

1.协议概述

在基于TCP/IP的网络中，为了保证物理上不直接连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（如RIP和OSPF）动态学习；另一种是静态配置。在每一个终端都运行动态路由协议是不现实的，大多数客户端的操作系统平台都不支持动态路由协议，即使支持也受到管理开销、收敛度、安全性等许多问题的限制。因此普遍采用对终端IP设备进行静态路由配置，一般是给终端设备指定一个或者多个默认网关。静态路由的方法简小了网络管理的复杂度并减轻了终端设备的通信开销，但是它仍然有一个缺点：如果作为默认网关的路由器损坏，所有使用该网关为下一跳主机的通信必然要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由器冗余协议可以很好地避免静态指定网关的缺陷。

在VRRP中，VRRP路由器是指运行VRRP的路由器，是物理实体；虚拟路由器是由VRRP创建的，是个逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器可以具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP使用选择策略从路由器组中选出一台作为主控，负责ARP响应和转发IP数据包，组中的其他路由器作为备份的角色处于待命状态。当由于某种原因主控路由器发生故障时，备份路由器能在几秒钟的时延后升级为主控路由器。由于此切换非常迅速而且不用改变IP地址和MAC地址，故对终端设备来说是透明的。

2.工作原理

VRRP路由器有唯一的标识VRID，范围为0～255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00⁃00⁃5E⁃00⁃01⁃[VRID]。主控路由器负责对ARP请求用该MAC地址进行应答。这样，无论如何切换，始终保证给终端设备的是唯一且一致的IP和MAC地址，减少了切换对终端设备的影响。

VRRP控制报文只有一种：VRRP通告（Advertisement）。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内，这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗，只有主控路由器才可以周期性地发送VRRP通告。备份路由器在连续3个通告间隔内收不到VRRP通告或收到优先级为0的通告后启动新一轮的VRRP选举。

在VRRP路由器组中，按优先级选举主控路由器，优先级范围是0～255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器为VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用，可配置的优先级范围为1～254。优先级的配置原则是依据链路的速度和成本、路由器性能和可靠性以及其他管理策略来进行设定。主控路由器的选举过程中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由器的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

为了保证VRRP的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的VRID和明文密码。这适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。

3.应用实例

最典型的VRRP应用：路由器RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，主机H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。

在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，这样就闲置了路由器RTB和某些链路。通过合理的网络设计，可以达到备份和负载均衡的双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。

VRRP的工作机理与Cisco的HSRP有许多相似之处。但二者主要的区别是在HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。

使用VRRP，不用改造目前的网络结构，可以最大限度地保护当前投资，因此只需少量费用，却大大提升了网络性能，具有重大的应用价值。

【实现过程】

1）进入接口模式，配置VRRP组和虚拟路由器的IP地址（可选）。格式为：vrrp组号ip地址。

2）配置优先级。格式为：vrrp组号priority优先级别。

3）配置抢占。格式为：vrrp组号preempt。(www.xing528.com)

4）配置vrrp通告时间。格式为：vrrp组号timer advertise[msec]（秒数默认为1 s）。

5）配置认证。①md5认证：vrrp组号authentication md5 key⁃string[0|7]密码timeout秒数。0表示不以加密方式显示密码；7表示以加密的方式显示密码（使用“service pass⁃word⁃encryption”语句命令配置）。②md5钥匙串认证：vrrp组号authentication md5 key⁃chain key串名称。必须事先定义了key串。③明文认证：vrrp组号authentication text密码。

6）跟踪端口。定义跟踪，在全局模式下：

track编号interface接口[line⁃protocol|ip⁃routing]

vrrp组号track编号decrement优先级

其中decrement优先级为减少的优先级。

举例如图3-12所示。

图3-12 VRRP网络拓扑图

图中两台三层交换机S3A和S3B的fa0/1、fa0/2、fa0/3分别与S2A、S2B、S2C的fa0/1、fa0/2口相连接，S3A和S3B的fa0/0分别接到上一个设备，S3A和S3B分别创建VLAN1、2、3、4，且地址分别为：192.168.1.1/24、192.168.2.1/24、192.168.3.1/24和192.168.4.1/24。S3A的端口fa0/14、faA0/15与S3B的端口fa0/14、fa0/15之间采用端口聚合。配置VRRP进行冗余备份。

三层交换机S3A的配置如下。

三层交换机S3B的配置如下。