VRRP在企業網中的應用

VRRP概念

VRRP全稱是虛擬路由器冗餘協議（Virtual Router Redundancy Protocol）。爲了理解VRRP，首先需要確定下列術語：
● VRRP路由器：運行VRRP協議的路由器。該路由器可以是一個或多個虛擬路由器。
● 虛擬路由器：一個由VRRP協議管理的抽象對象，作爲一個共享LAN內主機的缺省路由器。它由一個虛擬路由器標識符（VRID）和同一LAN中一組關聯IP地址組成。一個VRRP路由器可以備份一個或多個虛擬路由器。
● IP地址所有者：將局域網的接口地址作爲虛擬路由器的IP地址的路由器。當運行時，該路由器將響應尋址到該IP地址的數據包。
● 主虛擬路由器：該VRRP路由器將承擔下列任務：轉發那些尋址到與虛擬路由器關聯的IP地址的數據包，應答對該IP地址的ARP請求。注意，如果存在IP地址所有者，那麼該所有者總是主虛擬路由器。
● 備份虛擬路由器：一組可用的VRRP路由器，當主虛擬路由器失效後將承擔主虛擬路由器的轉發功能。

VRRP和HSRP的區別：

VRRP協議的工作機理與CISCO公司的HSRP（Hot Standby Routing Protocol）有許多相似之處。但二者主要的區別是在CISCO的HSRP中，需要單獨配置一個IP地址作爲虛擬路由器對外體現的地址，這個地址不能是組中任何一個成員的接口地址。

使用VRRP協議，不用改造目前的網絡結構，最大限度保護了當前投資，只需最少的管理費用，卻大大提升了網絡性能，具有重大的應用價值。

vrrp簡介：

如圖 1所示，通常，同一網段內的所有主機都設置一條相同的、以網關爲下一跳的缺省路由。主機發往其他網段的報文將通過缺省路由發往網關，再由網關進行轉發，從而實現主機與外部網絡的通信。當網關發生故障時，本網段內所有以網關爲缺省路由的主機將無法與外部網絡通信。

圖 1 局域網組網方案

缺省路由爲用戶的配置操作提供了方便，但是對缺省網關設備提出了很高的穩定性要求。增加出口網關是提高系統可靠性的常見方法，此時如何在多個出口之間進行選路就成爲需要解決的問題。

VRRP（Virtual Router Redundancy Protocol，虛擬路由器冗餘協議）將可以承擔網關功能的一組路由器加入到備份組中，形成一臺虛擬路由器，由VRRP的選舉機制決定哪臺路由器承擔轉發任務，局域網內的主機只需將虛擬路由器配置爲缺省網關。

VRRP是一種容錯協議，在提高可靠性的同時，簡化了主機的配置。在具有多播或廣播能力的局域網（如以太網）中，藉助VRRP能在某臺路由器出現故障時仍然提供高可靠的缺省鏈路，有效避免單一鏈路發生故障後網絡中斷的問題，而無需修改動態路由協議、路由發現協議等配置信息。

VRRP協議的實現有VRRPv2和VRRPv3兩個版本。其中，VRRPv2基於IPv4，VRRPv3基於IPv6。VRRPv2和VRRPv3在功能實現上並沒有區別，只是應用的網絡環境不同。

VRRP備份組簡介

VRRP將局域網內的一組路由器劃分在一起，稱爲一個備份組。備份組由一個Master路由器和多個Backup路由器組成，功能上相當於一臺虛擬路由器。

VRRP備份組具有以下特點：

? 虛擬路由器具有IP地址，稱爲虛擬IP地址。局域網內的主機僅需要知道這個虛擬路由器的IP地址，並將其設置爲缺省路由的下一跳地址。

? 網絡內的主機通過這個虛擬路由器與外部網絡進行通信。

? 備份組內的路由器根據優先級，選舉出Master路由器，承擔網關功能。其他路由器作爲Backup路由器，當Master路由器發生故障時，取代Master繼續履行網關職責，從而保證網絡內的主機不間斷地與外部網絡進行通信。

圖 2 VRRP組網示意圖

如圖 2所示，Router A、Router B和Router C組成一個虛擬路由器。此虛擬路由器有自己的IP地址。局域網內的主機將虛擬路由器設置爲缺省網關。Router A、Router B和Router C中優先級最高的路由器作爲Master路由器，承擔網關的功能。其餘兩臺路由器作爲Backup路由器。

1. 備份組中路由器的優先級

VRRP根據優先級來確定備份組中每臺路由器的角色（Master路由器或Backup路由器）。優先級越高，則越有可能成爲Master路由器。

VRRP優先級的取值範圍爲0到255（數值越大表明優先級越高），可配置的範圍是1到254，優先級0爲系統保留給特殊用途來使用，255則是系統保留給IP地址擁有者。當路由器爲IP地址擁有者時，其優先級始終爲255。因此，當備份組內存在IP地址擁有者時，只要其工作正常，則爲Master路由器。

2. 備份組中路由器的工作方式

備份組中的路由器具有以下兩種工作方式：

? 非搶佔方式：如果備份組中的路由器工作在非搶佔方式下，則只要Master路由器沒有出現故障，Backup路由器即使隨後被配置了更高的優先級也不會成爲Master路由器。

? 搶佔方式：如果備份組中的路由器工作在搶佔方式下，它一旦發現自己的優先級比當前的Master路由器的優先級高，就會對外發送VRRP通告報文。導致備份組內路由器重新選舉Master路由器，並最終取代原有的Master路由器。相應地，原來的Master路由器將會變成Backup路由器。

3. 備份組中路由器的認證方式

爲了防止非法用戶構造報文***備份組，VRRP通過在VRRP報文中增加認證字的方式，驗證接收到的VRRP報文。VRRP提供了兩種認證方式：

? simple：簡單字符認證。發送VRRP報文的路由器將認證字填入到VRRP報文中，而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同，則認爲接收到的報文是真實、合法的VRRP報文；否則認爲接收到的報文是一個非法報文。

? md5：MD5認證。發送VRRP報文的路由器利用認證字和MD5算法對VRRP報文進行摘要運算，運算結果保存在Authentication Header（認證頭）中。收到VRRP報文的路由器會利用認證字和MD5算法進行同樣的運算，並將運算結果與認證頭的內容進行比較。如果相同，則認爲接收到的報文是真實、合法的VRRP報文；否則認爲接收到的報文是一個非法報文。

在一個安全的網絡中，用戶也可以不設置認證方式。

VRRP定時器

VRRP定時器分爲兩種：VRRP通告報文間隔時間定時器和VRRP搶佔延遲時間定時器。

1. VRRP通告報文時間間隔定時器

VRRP備份組中的Master路由器會定時發送VRRP通告報文，通知備份組內的路由器自己工作正常。

用戶可以通過設置VRRP定時器來調整Master路由器發送VRRP通告報文的時間間隔。如果Backup路由器在等待了3個間隔時間後，依然沒有收到VRRP通告報文，則認爲自己是Master路由器，並對外發送VRRP通告報文，重新進行Master路由器的選舉。

2. VRRP搶佔延遲時間定時器

爲了避免備份組內的成員頻繁進行主備狀態轉換，讓Backup路由器有足夠的時間蒐集必要的信息（如路由信息），Backup路由器接收到優先級低於本地優先級的通告報文後，不會立即搶佔成爲Master，而是等待一定時間——搶佔延遲時間後，纔會對外發送VRRP通告報文取代原來的Master路由器。

VRRP報文格式

Master路由器以組播的方式定時發送VRRP報文通告它的存在。這些報文可以用來檢測虛擬路由器的各種參數，還可以用於Master路由器的選舉。

VRRPv2的報文格式如圖 3所示，VRRPv3的報文格式如圖 4所示。

圖 3 VRRPv2的報文格式

圖 4 VRRPv3的報文格式

各字段解釋如下：

? Version：協議版本號。VRRPv2對應的版本號爲2；VRRPv3對應的版本號爲3。

? Type：VRRP報文的類型。VRRPv2和VRRPv3報文只有一種類型，即VRRP通告報文（Advertisement），該字段取值爲1。

? Virtual Rtr ID（VRID）：虛擬路由器號（即備份組號），取值範圍1～255。

? Priority：路由器在備份組中的優先級，取值範圍0～255，數值越大表明優先級越高。

? Count IP Addrs/Count IPv6 Addrs：備份組虛擬IP地址的個數。1個備份組可對應多個虛擬IP地址。

? Auth Type：認證類型。該值爲0表示無認證，爲1表示簡單字符認證，爲2表示MD5認證。VRRPv3不支持MD5認證。

? Adver Int：發送通告報文的時間間隔。VRRPv2中單位爲秒，缺省爲1秒；VRRPv3中單位爲釐秒，缺省爲100釐秒。

? Checksum：16位校驗和，用於檢測VRRP報文中的數據破壞情況。

? IP Address/IPv6 Address：備份組虛擬IP地址表項。所包含的地址數定義在Count IP Addrs/Count IPv6 Addrs字段。

? Authentication Data：驗證字，目前只用於簡單字符認證，對於其它認證方式一律填0。

VRRP工作過程

VRRP的工作過程如下：

(1) 路由器使能VRRP功能後，會根據優先級確定自己在備份組中的角色。優先級高的路由器成爲Master路由器，優先級低的成爲Backup路由器。Master路由器定期發送VRRP通告報文，通知備份組內的其他路由器自己工作正常；Backup路由器則啓動定時器等待通告報文的到來。

(2) 在搶佔方式下，當Backup路由器收到VRRP通告報文後，會將自己的優先級與通告報文中的優先級進行比較。如果大於通告報文中的優先級，則成爲Master路由器；否則將保持Backup狀態。

(3) 在非搶佔方式下，只要Master路由器沒有出現故障，備份組中的路由器始終保持Master或Backup狀態，Backup路由器即使隨後被配置了更高的優先級也不會成爲Master路由器。

(4) 如果Backup路由器的定時器超時後仍未收到Master路由器發送來的VRRP通告報文，則認爲Master路由器已經無法正常工作，此時Backup路由器會認爲自己是Master路由器，並對外發送VRRP通告報文。備份組內的路由器根據優先級選舉出Master路由器，承擔報文的轉發功能。

VRRP監視功能 1. 監視指定接口功能

VRRP的監視接口功能更好地擴充了備份功能：不僅能在備份組中某路由器的接口出現故障時提供備份功能，還能在路由器的其它接口（如連接上行鏈路的接口）不可用時提供備份功能。

路由器連接上行鏈路的接口出現故障時，備份組無法感知上行鏈路的故障，如果該路由器此時處於Master狀態，將會導致局域網內的主機無法訪問外部網絡。通過監視指定接口的功能，可以解決該問題。當連接上行鏈路的接口處於Down或Removed狀態時，路由器主動降低自己的優先級，使得備份組內其它路由器的優先級高於這個路由器，以便優先級最高的路由器成爲Master，承擔轉發任務。

2. 監視Track項功能

通過VRRP監視Track項功能，可以實現：

? 根據上行鏈路的狀態，改變路由器的優先級。當上行鏈路出現故障，局域網內的主機無法通過路由器訪問外部網絡時，被監視Track項的狀態爲Negative，並將路由器的優先級降低指定的數額。從而，使得備份組內其它路由器的優先級高於這個路由器的優先級，成爲Master路由器，保證局域網內主機與外部網絡的通信不會中斷。

? 在Backup路由器上監視Master路由器的狀態。當Master路由器出現故障時，工作在切換模式的Backup路由器能夠迅速成爲Master路由器，以保證通信不會中斷。

VRRP應用（以基於IPv4的VRRP爲例） 1. 主備備份

主備備份方式表示轉發任務僅由Master路由器承擔。當Master路由器出現故障時，纔會從其他Backup路由器選舉出一個接替工作。主備備份方式僅需要一個備份組，不同路由器在該備份組中擁有不同優先級，優先級最高的路由器將成爲Master路由器，如圖 5中所示。

圖 5 主備備份VRRP

初始情況下，Router A爲Master路由器並承擔轉發任務，Router B和Router C是Backup路由器且都處於就緒監聽狀態。如果Router A發生故障，則備份組內處於Backup狀態的Router B和Router C路由器將根據優先級選出一個新的Master路由器，這個新Master路由器繼續向網絡內的主機提供路由服務。

2. 負載分擔

在路由器的一個接口上可以創建多個備份組，使得該路由器可以在一個備份組中作爲Master路由器，在其他的備份組中作爲Backup路由器。

負載分擔方式是指多臺路由器同時承擔業務，因此負載分擔方式需要兩個或者兩個以上的備份組，每個備份組都包括一個Master路由器和若干個Backup路由器，各備份組的Master路由器各不相同，如圖 6中所示。

圖 6 負載分擔VRRP