VRRP（虚拟路由器冗余协议）知识点梳理

内容导航：

VRRP（虚拟路由器冗余协议）知识点梳理

理解VRRP协议

VRRP-虚拟路由冗余协议

VRRP详解？

一、VRRP（虚拟路由器冗余协议）知识点梳理

VRRP基本概念

VRRP（Virtual Router Redundancy Protocol）虚拟路由器冗余协议，其作用解决静态网关出现的单点故障的路由协议，虚拟出来的VIP地址充当网关，当主路由器失效的情况，备份路由器能快速切换成主路由器上，由于切换非常迅速且不改变IP地址（VIP地址不变）和MAC地址（00-00-5E-00-01-[VRID]，VRID为一个VRRP组ID），所以对终端用户是透明的。

为了能够最大程度理解VRRP的工作原理，我们通过网络实验来验证和总结相关知识内容。下面是网络的实验环境。

工作原理

开启VRRP协议后，路由器根据优先级来选举确定路由器角色，Master和Backup.优先级高的成为主用路由器，优先级低的成为备用路由器。主路由器通过VRRP进行通告，通知备份组其他路由器自己工作正常。备用路由器启动定时器来等待通告报文的宣告。

上图是VRRP的通告信息，我们看下各个设备的MAC地址表项：

没切换前，交换机的MAC地址表项：

在非抢占方式下，只要主用路由器没有出现故障，备份组中的路由器始终保持主用或备用状态，备份组中的路由器即使随后被配置了更高的优先级也不会成为主用路由器。

VRRP切换时，通过实验我们可以看到，备用路由器设备定时器超时未收到主控设备的VRRP通告报文，就会自己切换为主控设备，并向备份组其他成员进行VRRP报文的通告。通过无故ARP（免费ARP）实现交换机虚拟MAC地址与接口对应关系的刷新。

协议特点

VRRP有三种角色状态，分别是INITIALIZE，MASTER和BACKUP。简单地说，INITIALIZE即初始态，MASTER即主用状态，也就是在VRRP备份组中真正起作用的路由器，BACKUP即备用状态，是MASTER的备份。

VRRP报文以组播方式进行通告，注意VRRP报文封装在IP协议里面的。通告的组播地址是224.0.0.18.

VRRP是IETF制定出来的公有化的协议，默认版本是VRRP v2版本，现在最新的是V3版协议。

VRRP支持明文和IP头认证，IP头认证方式能够防止报文重放和伪造攻击。

每个备份组都包括一个主用路由器和若干个备用路由器。每一个路由器在不同的备份组中可以有不同的优先级，因此能够实现流量的负载分担。

VRRP的Track监测功能能够对物理链路、逻辑链路实现网络状态跟踪，通过切换保证了网络的高可用性。

使用VRRP不用改动网络结构，大大提升网络的性能和可靠性，节省成本。

一、理解VRRP协议

VRRP即虚拟路由冗余协议(Virtual Router Redundancy Protocol)，它是为了 避免路由器出现单点故障 的一种容错协议。

如图1所示，我们把 多个运行着VRRP协议的路由器抽象成一个虚拟路由器 （从外边来看，就像只有一个真实的路由器在工作），组成虚拟路由器的一组路由器会有一个会成为 Master路由器 ，其余的会成为 Backup路由器 。
正常情况下， 会由Master完成该虚拟路由器的工作 。Master一旦出现故障，从Backup中选出一个成为Master继续工作，从而避免路由器单点问题。

在详细介绍VRRP协议之前，先弄清楚几个概念。

VIP（Virtual IP）即虚拟IP，是一个不与特定计算机或网络接口卡(NIC)相连的IP地址。

运行VRRP协议的路由器（或设备）。它可能属于一个或多个 虚拟路由器 。

由一组VRRP路由器组成，抽象成一个 虚拟的路由器 。它拥有一个 虚拟路由器标识符（VRID） 和一个 VIP 。

即虚拟路由器根据VRID生成的MAC地址。
一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{VRID}。
当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。

如果一个VRRP路由器将VIP作为 真实的接口地址 ，则该设备是IP地址拥有者。
当这台设备正常工作时，它会响应目的地址是VIP的报文，如ping、TCP连接等。

用来标识虚拟路由器中各成员路由器的优先级。
虚拟路由器根据优先级选举出Master和Backup。

当路由器配置了VRRP（VRID、VIP、优先级等信息）后，它就成了一台VRRP路由器，即组成某个虚拟路由器的一个成员路由器。

分别为 初始状态（Initialize） 、 活动状态（Master） 、 备份状态（Backup） 。

VRRP根据优先级来确定虚拟路由器中每台设备的角色，Master设备或Backup设备。优先级越高，则越有可能成为Master设备。

Master设备会周期性的发送VRRP通告报文，在VRRP备份组中公布其配置信息（优先级等）和工作状态。Backup设备通过接收到Master设备发来的VRRP报文的情况来判断Master设备是否工作正常。

在性能不稳定的网络中，网络堵塞可能导致Backup设备在Master_Down_Interval定时器超时后仍没有收到Master设备的报文后，使得Backup设备主动切换为Master。如果此时原Master设备的报文又到达了，新Master设备将再次切换回Backup。如此会出现VRRP设备组成员状态频繁切换的现象。为缓解这种现象，可以配置抢占时延，使得Backup设备在等待了Master_Down_Interval定时器后再等待抢占时延时间。

二、VRRP-虚拟路由冗余协议

随着对网络可用性的要求越来越高，局域网内的设备时刻能够保持与外网通信变得十分重要。

通常情况下，内部网络中的所有设备都通过一个路由设备来实现与外部网络的通信。当路由设备故障时，局域网内的所有设备都将无法与外网联通。

配置多个路由设备来保证出口网关的可靠性是非常常见的方法，但是局域网内的设备无法支持动态路由协议，多个出口网关之间的选路动作无法实现。

因此，IETF 推出了 VRRP（Virtual Router Redundancy Protocol）虚拟路由冗余协议 ，来解决局域网主机访问外部网络的可靠性问题。

VRRP是一种容错协议，它通过把几台路由设备联合组成一台虚拟的路由设备，并通过一定的机制来保证当主机的下一跳设备出现故障时，可以及时将业务切换到其它设备，从而保持通讯的连续性和可靠性。

使用VRRP的优势在于：既不需要改变组网情况，也不需要在主机上配置任何动态路由或者路由发现协议，就可以获得更高可靠性的缺省路由。

VRRP协议对应的是RFC3768，该协议仅适用于IPv4。

VRRP的基本概念

以下是与VRRP协议相关的基本概念：

概念 解释

VRRP路由器（VRRP Router运行VRRP的设备，它可能属于一个或多个虚拟路由器。

虚拟路由器（Virtual Router）由VRRP管理的抽象设备，又称为VRRP备份组，被当作一个共享局域网内主机的缺省网关。

它包括了一个虚拟路由器标识符和一组虚拟IP地址。

虚拟IP地址(Virtual IP Address)虚拟路由器的IP地址，一个虚拟路由器可以有一个或多个IP地址，由用户配置。

IP地址拥有者（IP Address Owner）如果一个VRRP路由器将虚拟路由器的IP地址作为真实的接口地址，则该设备是IP地址拥有者。

当这台设备正常工作时，它会响应目的地址是虚拟IP地址的报文，如ping、TCP连接等。

虚拟MAC地址是虚拟路由器根据虚拟路由器ID生成的MAC地址。

一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{VRID}。

当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。

主IP地址（Primary IP Address）从接口的真实IP地址中选出来的一个主用IP地址，通常选择配置的第一个IP地址。

VRRP广播报文使用主IP地址作为IP报文的源地址。

Master路由器（Virtual Router Master）是承担转发报文或者应答ARP请求的VRRP路由器，转发报文都是发送到虚拟IP地址的。

如果IP地址拥有者是可用的，通常它将成为Master。

Backup路由器（Virtual Router Backup）一组没有承担转发任务的VRRP路由器，当Master设备出现故障时，它们将通过竞选成为新的Master。

抢占模式在抢占模式下，如果Backup的优先级比当前Master的优先级高，将主动将自己升级成Master。

-------------------------------------------------------------------

VRRP的工作原理

VRRP将局域网的一组路由器构成一个备份组，相当于一台虚拟路由器。局域网内的主机只需要知道这个虚拟路由器的IP地址，并不需知道具体某台设备的IP地址，将网络内主机的缺省网关设置为该虚拟路由器的IP地址，主机就可以利用该虚拟网关与外部网络进行通信。

VRRP将该虚拟路由器动态关联到承担传输业务的物理路由器上，当该物理路由器出现故障时，再次选择新路由器来接替业务传输工作，整个过程对用户完全透明，实现了内部网络和外部网络不间断通信。

如 图1 所示，虚拟路由器的组网环境如下：

RouterA、RouterB和RouterC属于同一个VRRP组，组成一个虚拟路由器，这个虚拟路由器有自己的IP地址10.110.10.1。虚拟IP地址可以直接指定，也可以借用该VRRP组所包含的路由器上某接口地址。

物理路由器RouterA、RouterB和RouterC的实际IP地址分别是10.110.10.5、10.110.10.6和10.110.10.7。

局域网内的主机只需要将缺省路由设为10.110.10.1即可，无需知道具体路由器上的接口地址。

主机利用该虚拟网关与外部网络通信。 路由器工作机制如 下：

根据优先级的大小挑选Master设备。 Master的选举有两种方法：

比较优先级的大小，优先级高者当选为Master。

当两台优先级相同的路由器同时竞争Master时，比较接口IP地址大小。 接口地址大者当选为Master。

其它路由器作为 备份路由器，随时监听Master的状态。

当主路由器正常工作时，它会每隔一段时间（Advertisement_Interval）发送一个VRRP组播报文，以通知组内的备份路由器，主路由器处于正常工作状态。

当组内的备份路由器一段时间（Master_Down_Interval）内没有接收到来自主路由器的报文，则将自己转为主路由器。 一个VRRP组里有多台备份路由器时，短时间内可能产生多个Master，此时，路由器将会将收到的VRRP报文中的优先级与本地优先级做比较。从而选取优先级高的设备做Master。

从上述分析可以看到，主机不需要增加额外工作，与外界的通信也不会因某台路由器故障而受到影响。

注：1.什么是Master_Down_Timer？====主路由器死亡时间间隔，如果此计时器超时，那么Backup路由器就会宣布主路由器死亡。

2.什么是Master_Down_Interval？====Master_Down_Interval = （3*Advertisement_Interval）+ Skew_time举例来说，一个VRRP实例（也就是一个VRRP虚器）的优先级是100，报文发送间隔是1秒，那么Master_Down_Interval = 3*1s + （256-100）/256s = 3.609秒。

-----------------------------------------------------------

VRRP协议介绍

VRRP的报文结构

VRRP的状态机

----------------------------------------------------

VRRP的报文结构

VRRP协议只有一种报文，即VRRP报文。VRRP报文用来将Master设备的优先级和状态通告给同一虚拟路由器的所有VRRP路由器。

VRRP报文封装在IP报文中，发送到分配给VRRP的IPv4组播地址。在IP报文头中，源地址为发送报文的主接口地址（不是虚拟地址或辅助地址），目的地址是224.0.0.18，TTL是255，协议号是112。VRRP报文的结构如 图1 所示。

图1  VRRP报文结构

各字段的含义：

Version：协议版本号，现在的VRRP为版本2。

Type：报文类型，只有一种取值，1，表示Advertisement。

Virtual Rtr ID（VRID）：虚拟路由器ID，取值范围是1～255。

Priority：发送报文的VRRP路由器在虚拟路由器中的优先级。取值范围是0～255，其中可用的范围是1～254。0表示设备停止参与VRRP，用来使备份路由器尽快成为主路由器，而不必等到计时器超时；255则保留给IP地址拥有者。缺省值是100。

Count IP Addrs：VRRP广播中包含的虚拟IP地址个数。

Authentication Type：验证类型，协议中指定了3种类型：

0：Non Authentication

1：Simple Text Password

2：Reserved

各字段的含义：

RFC2338中Authentication Type取值如下：

0 - No Authentication

1 - Simple Text Password

2 - IP Authentication Header

随后的RFC3768中将Authentication Type取值变更如下：

0 - No Authentication

1 - Reserved

2 - Reserved

说明：

变更的原因：实践和分析证明，这些认证方式不能提供真正的安全。而限制TTL＝255可以阻止大多数对本地脆弱性的攻击。

实现了Simple Text Password认证方式

Advertisement Interval：发送通告报文的时间间隔，缺省为1秒。

Checksum：校验和。

IP Address(es)：虚拟路由器IP地址，地址个数是Count IP Addrs的值。

Authentication Data：验证字，目前只有明文认证才用到该部分，对于其它认证方式，一律填0。

---------------------------------

VRRP的状态机

VRRP协议中定义了三种状态机：初始状态（Initialize）、活动状态（Master）、备份状态（Backup）。其中，只有处于活动状态的设备才可以转发那些发送到虚拟IP地址的报文。

VRRP状态转换如 图1 所示。

Initialize

设备启动时进入此状态，当收到接口Startup的消息，将转入Backup或Master状态（IP地址拥有者的接口优先级为255，直接转为Master）。在此状态时，不会对VRRP报文做任何处理。

Master

当路由器处于Master状态时，它将会做下列工作：

定期发送VRRP报文。

以虚拟MAC地址响应对虚拟IP地址的ARP请求。

转发目的MAC地址为虚拟MAC地址的IP报文。

如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。

如果收到比自己优先级大的报文则转为Backup状态。

如果收到优先级和自己相同的报文，并且发送端的主IP地址比自己的主IP地址大，则转为Backup状态。

当接收到接口的Shutdown事件时，转为Initialize。

Backup

当路由器处于Backup状态时，它将会做下列工作：

接收Master发送的VRRP报文，判断Master的状态是否正常。

对虚拟IP地址的ARP请求，不做响应。

丢弃目的MAC地址为虚拟MAC地址的IP报文。

丢弃目的IP地址为虚拟IP地址的IP报文。

Backup状态下如果收到比自己优先级小的报文时，丢弃报文，不重置定时器；如果收到优先级和自己相同的报文，则重置定时器，不进一步比较IP地址。

当Backup接收到MASTER_DOWN_TIMER定时器超时的事件时，才会转为Master（Master_Down_Timer）。

当接收到接口的Shutdown事件时，转为Initialize。

------------------------------------------------

提供的VRRP功能，包括主备备份、负载分担备份、VRRP监视接口状态、VRRP快速切换等。

主备备份

负载分担

监视接口状态

VRRP快速切换

虚拟IP地址Ping开关

VRRP的安全功能

VRRP平滑倒换

VRRP管理组

mVRRP

-----------------------------------------

主备备份

这是VRRP提供IP地址备份功能的基本方式。主备备份方式需要建立一个虚拟路由器，该虚拟路由器包括一个Master和若干Backup设备。

正常情况下，业务全部由Master承担。

Master出现故障时，Backup设备接替工作。

---------------------------------------------------------------------------------------

负载分担

现在允许一台路由器为多个作备份。通过多虚拟路由器设置可以实现负载分担。

负载分担方式是指多台路由器同时承担业务，因此需要建立两个或更多的备份组。

负载分担方式具有以下特点。

每个备份组都包括一个Master设备和若干Backup设备。

各备份组的Master可以不同。

同一台路由器可以加入多个备份组，在不同备份组中有不同的优先级。

如 图1 所示：

配置两个备份组：组1和组2；

RouterA在备份组1中作为Master，在备份组2中作为Backup；

RouterB在备份组1和2中都作为Backup；

RouterC在备份组2中作为Master，在备份组1中作为Backup。

一部分主机使用备份组1作网关，另一部分主机使用备份组2作为网关。

这样，以达到分担数据流，而又相互备份的目的。

----------------------------------------------------------------------------------

监视接口状态

VRRP可以监视所有接口的状态。当被监视的接口Down或Up时，该路由器的优先级会自动降低或升高一定的数值，使得备份组中各设备优先级高低顺序发生变化，VRRP路由器重新进行Master竞选。

-------------------------------------------------

VRRP快速切换

双向转发检测BFD（Bidirectional Forwarding Detection）机制，能够快速检测、监控网络中链路或者IP路由的连通状况，VRRP通过监视BFD会话状态实现主备快速切换，主备切换的时间控制在1秒以内。

对于以下情况，BFD都能够将检测到的故障通知接口板，从而加快VRRP主备倒换的速度。

备份组包含的接口出现故障。

Master和Backup不直接相连。

Master和Backup直接相连，但在中间链路上存在传输设备。

BFD对Backup和Master之间的实际地址通信情况进行检测，如果通信不正常，Backup就认为Master已经不可用，升级成Master。在以下两种情况下Backup转换为Master：

当两台路由器之间的背靠背连接全部断开时，Backup主动升级成Master，承载上行流量；

当Master重新启动、或Master与交换机之间的链路断开、或与Master相连的交换机重新启动时，Backup主动升级成Master，承载上行流量。

VRRP快速切换的环境要求：

在Backup上，BFD Session检测的接口必须和Master设备相连；

在Master不可用时，Backup的优先级增加并大于原来Master的优先级，促使自己快速切换为Master。

---------------------------------------------------------------

虚拟IP地址Ping开关

RFC3768并没有规定虚拟IP地址应不应该Ping通。不能Ping通虚拟IP地址，会给监控虚拟路由器的工作情况带来一定的麻烦，能够Ping通虚拟IP地址可以比较方便的监控虚拟路由器的工作情况，但是带来可能遭到ICMP攻击的隐患。控制Ping通虚拟IP地址的开关命令，用户可以选择是否打开。

--------------------------------------------------------------------------------

VRRP的安全功能

对于安全程度不同的网络环境，可以在报头上设定不同的认证方式和认证字。

在一个安全的网络中，可以采用缺省设置：路由器对要发送的VRRP报文不进行任何认证处理，收到VRRP报文的路由器也不进行任何认证，认为收到的都是真实的、合法的VRRP报文。这种情况下，不需要设置认证字。

在有可能受到安全威胁的网络中，VRRP提供简单字符认证，可以设置长度为1～8的认证字。

--------------------------------------------------------

VRRP平滑倒换

概述

CE设备作为业务系统的网关，需要启用VRRP（Virtual Router Redundancy Protocol）冗余备份功能。

在路由器主板和备板状态都正常的情况下，VRRP备份组中的Master设备会以Advertisement_Interval间隔定时发送VRRP广播报文，Backup通过不断检测接收到的广播报文来判断Master状态是否正常。

当Master设备发生主备倒换后，从发生主备倒换到新主板正常工作，需要一段时间，该时间随不同设备和不同配置差别较大，结果可能导致Master设备不能正常处理VRRP协议报文，Backup设备因为收不到广播报文而抢占到Master状态，并针对每一个虚拟路由器的虚IP地址发送免费ARP，给相关绑定模块发送状态变化通知。

由于倒换过程中系统过于繁忙，Master端的Hello协议报文无法正常发送，而Backup端无法及时收到报文，会抢占成为Master，引起链路切换，导致丢包。因此需要启用了VRRP功能的CE设备支持VRRP的平滑倒换（SS，Smoth Switch）功能，避免因主备倒换影响业务流量。

基本原理

在VRRP平滑倒换的过程中，Master和Backup分工不同，相互配合，共同保证业务的平滑传输。

要进行VRRP整机平滑倒换处理， 必须分别在Master和Backup上使能VRRP协议报文时间间隔学习功能。 如图所示，设备1和设备2都使能VRRP协议报文时间间隔学习功能。

如果使能了VRRP协议报文时间间隔学习功能，Master状态的VRRP不学习也不检查协议报文时间间隔的一致性。

非Master状态的VRRP收到Master状态VRRP发来的协议报文后， 会检查报文中的时间间隔值，如果和自己的不同，非Master状态的VRRP就会学习到报文中的时间间隔，并调整自己的协议报文时间间隔值，与报文中的值保持一致。

设备1配置整机VRRP平滑倒换功能。设 备主备倒换新的主板启动后，VRRP根据设备主备倒换前的状态判断，保存当前配置的VRPP协议报文时间间隔，并对Master状态的VRRP进行协议报文时间间隔调整， 然后以当前配置的时间间隔发出VRRP平滑倒换报文，报文中携带着新的时间间隔发送到对端设备2。

设备2收到的VRRP协议报文中携带的时间间隔和自己本地的间隔不一致，将对自己的运行时间间隔调整，并调整自己的定时器，与其保持一致。

设备1平滑结束时将发出VRRP恢复报文，报文中携带着主备倒换前配置的时间间隔，此时设备2上的VRRP会再进行一次时间间隔学习。

注意事项

学习功能优先于抢占功能，即如果收到的协议报文时间间隔和自己当前的不一致，并且报文中携带的优先级低于自己当前的配置优先级，这种情况VRRP首先考虑的是学习功能和重置定时器，而后才会考虑是否抢占。

VRRP整机平滑倒换功能还依赖于系统本身，如果设备自身从主备倒换一开始系统便非常繁忙，无法调度VRRP模块运行的情况，VRRP整机平滑倒换功能无效。

VRRP加入了VGMP之后，VRRP的运行将依赖于VGMP，此时的VRRP将不受平滑倒换的影响。该功能不能用于业务VRRP。

----------------------------

VRRP管理组

在配置大量VRRP备份组时：

过多VRRP协议报文占用较大的链路带宽

大量VRRP报文的处理对系统造成一定的负担

每个VRRP备份组都要维护协议定时器，对系统来说也是个很大的开销

此外，每个VRRP备份组状态相对独立，无法保证同一路由器上相关联的接口上VRRP状态都为主用，在严格要求来回路径一致的应用中存在局限性：

基于NAT网关的可靠性组网

基于Proxy服务器的可靠性组网

基于状态防火墙的可靠性组网

为防止VRRP状态不一致现象的发生，华为公司在VRRP的基础上自主开发了扩展协议VGMP（VRRP Group Management Protocol），即VRRP组管理协议。基于VGMP协议建立的VRRP管理组负责统一管理加入其中的各VRRP备份组的状态，保证一台路由器上的接口同时处于主用或备用状态，实现路由器VRRP状态的一致性。

VRRP管理组有Master设备和Slave设备之分。

Master设备： VRRP管理组状态为Master的设备，该路由器上被管理的VRRP备份组状态都是Master（因接口Down而变成Initialize的除外），承担流量传输的任务，并定时发送Hello报文。

Slave设备： VRRP管理组状态为Slave的设备，该路由器上被管理的VRRP备份组状态都是非Master，不传输流量，处于监听状态，一旦Master设备出现故障，Slave将竞选成为Master。

VRRP管理组相当于在VRRP备份组的基础上叠加了一层逻辑层。VRRP备份组加入VGMP之后，不再发送传统VRRP报文，由VRRP管理组负责统一管理加入其中的各VRRP备份组的状态。

VRRP备份组感知到接口状态变化后，会改变自身的状态。VGMP将感知到这种状态迁移，然后来确定是否切换VGMP的状态，从而切换VGMP组内VRRP备份组的状态。

VRRP管理组提供的功能

状态一致性管理

VRRP管理组对所属VRRP组的主备切换进行裁决，改变了传统VRRP中各设备VRRP状态相对独立的现象，从而确保了同一路由器上VRRP备份组的状态一致性。

抢占管理

对于加入VRRP管理组的VRRP备份组来说，无论各备份组内路由器是否启动了抢占功能，抢占行为发生与否必须由VRRP管理组统一决定。

通道管理

配置专门的数据通道传输VGMP报文，提高VGMP报文传输的可靠性。

一个VRRP管理组中至少要有一条数据通道。数据通道可以和业务通道在同一条物理链路上。

图1 描述了业务通道和数据通道的关系。A1-S-B1、A2-S-B2、A3-S-B3可以是数据通道也可以是业务通道，A4-H-B4只能作为数据通道。

VRRP管理组工作方式

VRRP管理组的工作方式有主备备份和负载分担。

主备备份方式

仅有 一个VRRP管理组 ；

正常情况下，VRRP管理组优先级高的路由器作为Master，承担传输业务传输，VRRP管理组优先级低的路由器作为Slave；

当Master设备出现故障时，主备状态发生切换。

负载分担方式

至少 有两个VRRP管理组 ；

路由器上的 VRRP备份组加入不同的管理组 ；

正常情况下， 同一路由器上有状态为Master的VRRP管理组，也有状态为Slave的VRRP管理组 ，网络内的传输流量在多个路由器之间进行负载分担；

当Master设备出现故障时，主备状态进行切换。

如 图3 所示。

RouterA上的VRRP管理组1包含备份组1、2、3，优先级为Level1；VRRP管理组2包含备份组4、5、6，优先级为Level2；Level1>Level2

RouterB上的VRRP管理组1包括备份组1、2、3，优先级为Level3；VRRP管理组2包含备份组4、5、6，优先级为Level4；Level3

Level1=Level4，Level2=Level3

RouterA是VRRP管理组1协商出的Master，也是管理组2协商出的Slave

RouterB是VRRP管理组1协商出的Slave，也是管理组2协商出的Master

Network1内部分主机的默认网关是备份组1，部分主机的默认网关是备份组4；Network2、Network3内主机默认网关的设置原理同Network1

正常情况下，RouterA和RouterB两台路由器对对业务流量进行分担

如果RouterB出现故障，则VRRP管理组2将重新裁决各设备的状态，管理组2中的RouterA状态切换为Master，RouterB状态切换为Slave，此时RouterA承担全部会话业务。当RouterB恢复正常后，RouterB将继续作为VRRP管理组2的Master，流量将在两个路由器之间分担。

mVRRP

mVRRP是指管理VRRP。 管理VRRP备份组从本质上讲就是普通的VRRP备份组，唯一特殊之处在于：普通的VRRP备份组被配置为管理VRRP备份组之后，可以绑定其他的业务备份组，并根据绑定关系，决定相关业务备份组的状态。

一个管理VRRP备份组可以绑定多个业务备份组，但它不能作为业务备份组与其他管理备份组进行绑定。

管理VRRP备份组也可以作为一般成员加入VGMP组中。 在将管理VRRP备份组加入VGMP组后， 也可以配置管理VRRP监视Peer BFD和Link BFD会话状态 ， 但管理VRRP备份组状态机会丧失自己的独立性 ， 除了Initialize状态之外，Backup和Master状态需要根据所加入的VGMP组的状态来决定。

三、VRRP详解？

（VRRP）虚拟路由器冗余协议是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
详细参数
　　VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协议。通常，一个网络内的所有主机都设置一条缺省路由（如图3-1所示，10.100.10.1），这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器RouterA，从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时，本网段内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。VRRP 就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以太网）设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路由器（包括一个Master 即活动路由器和若干个Backup 即备份路由器）组织成一个虚拟路由器，称之为一个备份组。这个虚拟的路由器拥有自己的IP 地址10.100.10.1（这个IP 地址可以和备份组内的某个路由器的接口地址相同），备份组内的路由器也有自己的IP 地址（如Master的IP 地址为10.100.10.2，Backup 的IP 地址为10.100.10.3）。局域网内的主机仅仅知道这个虚拟路由器的IP 地址10.100.10.1，而并不知道具体的Master 路由器的IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3，它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是，网络内的主机就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏掉，Backup 路由器将会通过选举策略选出一个新的Master 路由器，继续向网络内的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。关于VRRP 协议的详细信息，可以参考RFC 2338。
互相区别
　　VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。 　　使用VRRP协议，不用改造目前的网络结构，最大限度保护了当前投资，只需最少的管理费用，却大大提升了网络性能，具有重大的应用价值。
工作原理
　　vrrp只定义了一种报文——vrrp报文，这是一种组播报文，由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数，还可以用于主三层交换机的选举。 　　VRRP中定义了三种状态模型，初始状态Initialize，活动状态Master和备份状态Backup，其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。 　　vrrp报文是封装在IP报文上的，支持各种上层协议，同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。 　　那么如何从备份组的多台交换机中选举Master？这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。 　　虚拟交换机根据配置的优先级的大小选择主交换机，优先级最大的作为主交换机，状态为Master，若优先级相同（如果交换机没有配置优先级，就采用默认值100），则比较接口的主IP地址，主IP地址大的就成为主交换机，由它提供实际的路由服务。其他交换机作为备份交换机，随时监测主交换机的状态。当主交换机正常工作时，它会每隔一段时间发送一个VRRP组播报文，以通知组内的备份交换机，主交换机除正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机，则将自己状态转换为Master。当组内有多台备份交换机，将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级，如果本地的优先级小于VRRP中的优先级，则将自己的状态转换为Backup，否则保持自己的状态不变。通过这样一个过程，就会将优先级最大的交换机选成新的主交换机，完成VRRP的备份功能。
应用实例
　　最典型的VRRP应用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。 　　在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。 　　VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。 　　使用VRRP协议，不用改造目前的网络结构，最大限度保护了当前投资，只需最少的管理费用，却大大提升了网络性能，具有重大的应用价值。
大多数使用的锐捷设备配置方式
　　spanning-tree 开启生成树（默认为mstp） 　　spanning-tree mst configuration 进入mst配置模式 　　revision 1 指定MST revision number 为1 　　name region1 指定mst配置名称 　　instance 0 vlan 1-9, 11-19, 21-4094 缺省情况下vlan都属于实例0 　　instance 1 vlan 10 手工指定vlan10属于实例1 　　instance 2 vlan 20 手工指定vlan20属于实例2 　　spanning-tree mst 1 priority 0 指定实例1的优先级为0（为根桥） 　　spanning-tree mst 2 priority 4096 指定实例2的优先级为4096 　　interface GigabitEthernet 0/1 　　switchport access vlan 10 配置g0/1属于vlan10 　　! 　　interface GigabitEthernet 0/2 　　switchport access vlan 20 配置g0/2属于vlan 20 　　! 　　interface GigabitEthernet 0/3 　　! 　　. 　　. 　　interface GigabitEthernet 0/24 设置g0/24为trunk接口且允许vlan10/20通过 　　switchport mode trunk 　　! 　　interface VLAN 10 创建vlan 10 svi接口 　　ip address 192.168.10.1 255.255.255.0 配置ip地址 　　vrrp 1 priority 120 配置vrrp组1 优先级为120 　　vrrp 1 ip 192.168.10.254 配置vrrp组 1虚拟ip地址为 192.168.10.254 　　! 　　interface VLAN 20 创建vlan 20 svi接口 　　ip address 192.168.20.1 255.255.255.0 配置ip地址 　　vrrp 2 ip 192.168.20.254 配置vrrp组 2虚拟ip地址为 192.168.20.254 　　默认vrrp组的优先级为100默认不显示 　　! 　　line con 0 　　line vty 0 4 　　login 　　验证配置： 　　s1#show vlan 　　VLAN Name Status Ports 　　---- -------------------------------- --------- ------------------------------- 　　--- 　　1 VLAN0001 STATIC Gi0/3, Gi0/4, Gi0/5, Gi0/6 　　Gi0/7, Gi0/8, Gi0/9, Gi0/10 　　Gi0/11, Gi0/12, Gi0/13, Gi0/14 　　Gi0/15, Gi0/16, Gi0/17, Gi0/18 　　Gi0/19, Gi0/20, Gi0/21, Gi0/22 　　Gi0/23, Gi0/24 　　10 VLAN0010 STATIC Gi0/1, Gi0/24 　　20 VLAN0020 STATIC Gi0/2, Gi0/24 　　接下来的同级设备照上面大体框架配置既可。