VRRP 協議技術詳解

1 VRRP 技術

1.1 VRRP的基本概念

增加網關是提高鏈路可靠性的常見方法，此時如何在多個出口之間進行選路就成爲需要解決的問題。VRRP（Virtual
Router Redundancy
Protocol，虛擬路由器冗餘協議）可解決這個問題，VRRP功能將可以承擔網關功能的一組路由器加入到備份組中，形成一臺虛擬路由器，由VRRP協議的選舉機制決定哪臺路由器承擔轉發任務，局域網內的主機只需將虛擬路由器配置爲默認網關。

VRRP 包括VRRPv2 和VRRPv3 兩個版本，VRRPv2版本只支持IPv4 VRRP，VRRPv3版本支持IPv4
VRRP和IPv6 VRRP。

提示：VRRP必須應用在具有組播或廣播能力的局域網（如以太網）中。

1.2 VRRP協議標準模式詳解

VRRP備份組

VRRP將局域網內的一組路由器劃分在一起，稱爲一個備份組。備份組 = 一個Master路由器

• 一個或多個Backup路由器。

VRRP備份組的特點：

虛擬路由器具有IP地址，稱爲虛擬IP地址。局域網內的主機僅需要知道這個虛擬路由器的IP地址，並將其設置爲默認網關。網絡內的主機通過這個虛擬路由器與外部網絡進行通信。

備份組內的路由器根據優先級，選舉出Master路由器，承擔網關功能。其他路由器作爲Backup路由器，當Master路由器發生故障時，取代Master繼續履行網關職責，從而保證網絡內的主機不間斷地與外部網絡進行通信。

虛擬路由器的IP地址可以是備份組所在網段中未被分配的IP地址，也可以和備份組內的某個路由器的接口IP地址相同。接口IP地址與虛擬IP地址相同的路由器被稱爲“IP地址擁有者”。

備份組成員的優先級

VRRP根據優先級來確定備份組中每臺路由器的角色（Master路由器或Backup路由器）。優先級越高，則越有可能成爲Master路由器。

VRRP優先級的取值範圍爲0到255（數值越大表明優先級越高），可配置的範圍是1到254，優先級0爲系統保留給特殊用途來使用，255則是系統保留給IP地址擁有者。當路由器爲IP地址擁有者時，其優先級始終爲255。因此，當備份組內存在IP地址擁有者時，只要其工作正常，則爲Master路由器。

備份組成員的工作方式

備份組中的路由器具有以下兩種工作方式：

非搶佔方式：只要Master路由器沒有出現故障，Backup路由器即使隨後被配置了更高的優先級也不會成爲Master路由器。

搶佔方式：一旦發現自己的優先級比當前的Master路由器的優先級高，就會對外發送VRRP通告報文。導致備份組內路由器重新選舉Master路由器，並最終取代原有的Master路由器。相應地，原來的Master路由器將會變成Backup路由器。

備份組成員的認證方式

爲了防止非法用戶構造報文攻擊備份組，VRRP通過在VRRP報文中增加認證字的方式，驗證接收到的VRRP報文。VRRP提供了兩種認證方式：

simple：簡單字符認證。發送VRRP報文的路由器將認證字填入到VRRP報文中，而收到VRRP報文的路由器會將收到的VRRP報文中的認證字和本地配置的認證字進行比較。如果認證字相同，則認爲接收到的報文是真實、合法的VRRP報文；否則認爲接收到的報文是一個非法報文。

md5：MD5認證。發送VRRP報文的路由器利用認證字和MD5算法對VRRP報文進行摘要運算，運算結果保存在Authentication
Header（認證頭）中。收到VRRP報文的路由器會利用認證字和MD5算法進行同樣的運算，並將運算結果與認證頭的內容進行比較。如果相同，則認爲接收到的報文是真實、合法的VRRP報文；否則認爲接收到的報文是一個非法報文。

提示：在不安全的網絡中，如果備份組工作在搶佔方式，在沒有認證的情況下容易被攻擊報文搶佔爲Master從而導致業務中斷；在一個安全的網絡中，用戶也可以不設置認證方式。

VRRP定時器

VRRP定時器分爲兩種：

（1）VRRP通告報文時間間隔定時器

VRRP備份組中的Master路由器會定時（默認1秒，可修改）發送VRRP通告報文，通知備份組內的路由器自己工作正常。如果Backup路由器在等待了3個間隔時間後，依然沒有收到VRRP通告報文，則認爲自己是Master路由器，並對外發送VRRP通告報文，重新進行Master路由器的選舉。

（2）VRRP搶佔延遲時間定時器

爲了避免備份組內的成員頻繁進行主備狀態轉換，讓Backup路由器有足夠的時間蒐集必要的信息（如路由信息），Backup路由器接收到優先級低於本地優先級的通告報文後，不會立即搶佔成Master，而是等待一定時間（搶佔延遲時間後），纔會對外發送VRRP通告報文取代原來的Master路由器。

VRRP工作過程

VRRP的工作過程如下：

(1)
備份組中的路由器根據優先級確定自己在備份組中的角色。優先級高的路由器成爲Master路由器；優先級低的成爲Backup路由器；如果優先級相同，則IP地址大的成爲Master路由器。Master路由器定期發送VRRP通告報文，通知備份組內的其他路由器自己工作正常；Backup路由器則啓動定時器等待通告報文的到來。

(2)在搶佔方式下，當Backup路由器收到VRRP通告報文後，會將自己的優先級與通告報文中的優先級進行比較。如果大於通告報文中的優先級，則成爲Master路由器；否則將保持Backup狀態。搶佔方式可以確保承擔轉發任務的Master路由器始終是備份組中優先級最高的路由器。

(3)在非搶佔方式下，只要Master路由器沒有出現故障，備份組中的路由器始終保持Master或Backup狀態，Backup路由器即使隨後被配置了更高的優先級也不會成爲Master路由器。非搶佔方式可以避免頻繁地切換Master路由器。

(4)如果Backup路由器的定時器超時後仍未收到Master路由器發送來的VRRP通告報文，則認爲Master路由器已經無法正常工作，此時Backup路由器會認爲自己是Master路由器，並對外發送VRRP通告報文。備份組內的路由器根據優先級選舉出Master路由器，承擔報文的轉發功能。

由於路由器上備份組的配置不一致、網絡故障等原因造成備份組中存在多個Master路由器時，這些Master路由器會根據優先級和IP地址選舉出一個Master：優先級高的路由器成爲Master；優先級低的成爲Backup；如果優先級相同，則IP地址大的成爲Master。

VRRP監視功能

配置VRRP監視功能時，需要配置備份組中的路由器工作在搶佔方式，以保證只有優先級最高的路由器才能成爲Master、承擔轉發任務。

（1）監視指定接口功能

VRRP的監視接口功能更好地擴充了備份功能：不僅能在備份組中某路由器的接口出現故障時提供備份功能，還能在路由器的其它接口（如連接上行鏈路的接口）不可用時提供備份功能。

路由器連接上行鏈路的接口出現故障時，備份組無法感知上行鏈路接口的故障，如果該路由器此時處於Master狀態，將會導致局域網內的主機無法訪問外部網絡。通過監視指定接口的功能，可以解決該問題。當連接上行鏈路的接口處於Down或Removed狀態時，路由器主動降低自己的優先級，使得備份組內其它路由器的優先級高於這個路由器，以便優先級最高的路由器成爲Master，承擔轉發任務。

（2）監視Track項功能

通過VRRP監視Track項功能，可以實現：

根據上行鏈路的狀態，改變路由器的優先級。當上行鏈路出現故障，局域網內的主機無法通過路由器訪問外部網絡時，被監視Track項的狀態爲Negative，並將路由器的優先級降低指定的數額。從而，使得備份組內其它路由器的優先級高於這個路由器的優先級，成爲Master路由器，保證局域網內主機與外部網絡的通信不會中斷。

在Backup路由器上監視Master路由器的狀態。當Master路由器出現故障時，工作在切換模式的Backup路由器能夠迅速成爲Master路由器，以保證通信不會中斷。

提示：關於Track功能，請查看“ ”

VRRP報文格式

Master路由器以組播的方式定時發送VRRP報文通告它的存在。這些報文可以用來檢測虛擬路由器的各種參數，還可以用於Master路由器的選舉。VRRP報文封裝在IP報文中，協議號爲112。

各字段解釋如下：

Version：協議版本號。VRRPv2對應的版本號爲2；VRRPv3對應的版本號爲3。

Type：VRRP報文的類型。VRRPv2和VRRPv3報文只有一種類型，即VRRP通告報文（Advertisement），該字段取值爲1。

Virtual Rtr ID（VRID）：虛擬路由器號（即備份組號），取值範圍1～255。

Priority：路由器在備份組中的優先級，取值範圍0～255，數值越大表明優先級越高。

Count IP Addrs/Count IPv6
Addrs：備份組虛擬IP地址的個數。1個備份組可對應多個虛擬IP地址。

Auth
Type：認證類型。該值爲0表示無認證，爲1表示簡單字符認證，爲2表示MD5認證。VRRPv3不支持MD5認證。

Adver
Int：發送通告報文的時間間隔。VRRPv2中單位爲秒，缺省爲1秒；VRRPv3中單位爲釐秒，缺省爲100釐秒。

Checksum：16位校驗和，用於檢測VRRP報文中的數據破壞情況。

IP Address/IPv6 Address：備份組虛擬IP地址表項。所包含的地址數定義在Count IP
Addrs/Count IPv6 Addrs字段。

Authentication Data：驗證字，目前只用於簡單字符認證，對於其它認證方式一律填0。

1.3 VRRP協議負載模式詳解

VRRP負載均衡模式基本概念

在VRRP標準協議模式中，只有Master路由器可以轉發報文，Backup路由器處於監聽狀態，無法轉發報文。雖然創建多個備份組可以實現多個路由器之間的負載分擔，但是局域網內的主機需要使用不同的網關，在個別組網中不太現實。

VRRP負載均衡模式在VRRP提供的虛擬網關冗餘備份功能基礎上，增加了負載均衡功能。其實現原理爲：將一個虛擬IP地址與多個虛擬MAC地址對應，VRRP備份組中的每個路由器都對應一個虛擬MAC地址；Master使用不同的虛擬MAC地址應答主機的ARP（IPv4網絡中）/ND（IPv6網絡中）請求，從而使得不同主機的流量發送到不同的路由器，備份組中的每個路由器都能轉發流量。在VRRP負載均衡模式中，只需創建一個備份組，就可以實現備份組中多個路由器之間的負載分擔，避免了VRRP備份組中Backup路由器始終處於空閒狀態、網絡資源利用率不高的問題。

虛擬MAC地址的分配

VRRP負載均衡模式中，Master路由器負責爲備份組中的路由器分配虛擬MAC地址，併爲來自不同主機的ARP/ND請求，應答不同的虛擬MAC地址，從而實現流量在多個路由器之間分擔。備份組中的Backup路由器不會應答主機的ARP/ND請求。

虛擬轉發器

虛擬MAC地址的分配，實現了不同主機將流量發送給備份組中不同的路由器。爲了使備份組中的路由器能夠轉發主機發送的流量，需要在路由器上創建虛擬轉發器。每個虛擬轉發器都對應備份組的一個虛擬MAC地址，負責轉發目的MAC地址爲該虛擬MAC地址的流量。

虛擬轉發器的創建過程爲：

(1)備份組中的路由器獲取到Master爲其分配的虛擬MAC地址後，創建該MAC地址對應的虛擬轉發器，該路由器稱爲此虛擬MAC地址對應虛擬轉發器的VF
Owner（Virtual Forwarder Owner，虛擬轉發器擁有者）。

(2)該路由器將虛擬轉發器的信息通告給備份組內其他的路由器。

(3)備份組內的路由器接收到虛擬轉發器信息後，在本地創建該虛擬MAC地址對應的虛擬轉發器。

由此可見，備份組中的路由器上不僅需要創建Master爲其分配的虛擬MAC地址對應的虛擬轉發器，還需要創建其他路由器通告的虛擬MAC地址對應的虛擬轉發器。
(2)該路由器將虛擬轉發器的信息通告給備份組內其他的路由器。

(3)備份組內的路由器接收到虛擬轉發器信息後，在本地創建該虛擬MAC地址對應的虛擬轉發器。

由此可見，備份組中的路由器上不僅需要創建Master爲其分配的虛擬MAC地址對應的虛擬轉發器，還需要創建其他路由器通告的虛擬MAC地址對應的虛擬轉發器。