【幹貨】VRRP基礎知識詳解

VRRP是一種容錯協定，它為具有多點傳播或廣播能力的區域網路(如以太網)設計，它保證當區域網路内主機的下一跳路由器出現故障時，可以及時的由另一台路由器來代替，進而保持通訊的連續性和可靠性。

為了使VRRP工作，要在路由器上配置虛拟路由器号和虛拟IP位址，同時産生一個虛拟MAC位址，這樣在這個網絡中就加入了一個虛拟路由器。

而網絡上的主機與虛拟路由器通信，無需了解這個網絡上實體路由器的任何資訊，一個虛拟路由器由一個主路由器和若幹個備份路由器組成，主路由器實作真正的轉發功能。當主路由器出現故障時，一個備份路由器将成為新的主路由器，接替它的工作。

VRRP中隻定義了一種封包——VRRP封包，這是一種多點傳播封包，封裝在IP封包上，由主路由器定時發出來通告它的存在，使用這些封包可以檢測虛拟路由器各種參數，還可以用于主路由器的選舉。

VRRP還定義了三種狀态模型：初始狀态Initialize， 活動狀态Master， 備份狀态Backup 。其中隻有活動狀态可以為到虛拟IP位址的轉發請求服務。

VRRP協定僅僅适用于IPv4版本的路由器。對于IPv6版本的路由器将會有新的規範來規定相關内容。

VRRP封包

VRRP 協定封包用來将 Master 裝置的優先級和狀态通告給同一備份組的所有 Backup 裝置。VRRP 協定封包封裝在 IP 封包中源位址為發送封包接口的主 IP 位址（不是虛拟 IP 位址），目的位址是224.0.0.18，TTL 是 255，協定号是 112。

目前，VRRP 協定包括兩個版本：VRRPv2 和 VRRPv3，兩者的主要差別為：

1、支援的網絡類型不同：VRRPv3适用于 IPv4和 IPv6兩種網絡，而 VRRPv2僅适用于 IPv4網絡。

2、認證功能不同：VRRPv3 不支援認證功能而 VRRPv2 支援該功能。

3、發送通告封包的時間間隔機關不同。VRRPv3 支援的是厘秒級，而 VRRPv2 支援秒級。

VRRP工作原理

1、初始建立的VRRP 裝置工作在 Initialize 狀态，接口up後，若此裝置的優先級小于 255，則會先切換至 Backup 狀态；若此裝置優先級為 255（即虛拟 IP 位址也是該裝置的實體接口位址），則會切換成 Master 狀态并定時發送 VRRP 通告封包。

2、切換成Backup 狀态的裝置，在 Master_Down_Interval 定時器[ Master_Down_Interval定時器取值為：（3×Advertisement_Interval）＋Skew_time，Skew_time=（256－Backup 裝置的優先級）/256；預設情況下 Advertisement_Interval 為1（ 秒 ）]，逾時後再切換至 Master 狀态。

3、首先切換至Master 狀态的裝置向外發送 VRRP 通告封包，如果 Backup 裝置中有裝置優先級高于 Master 裝置，且該裝置采用搶占方式，則該 Buckup 裝置變為 Master。

4、如果多個 VRRP 裝置同時切換到 Master 狀态，通過 VRRP 通告封包的互動進行協商後，優先級最高的 VRRP 裝置成為最終的 Master 裝置；優先級相同時，VRRP 裝置上 VRRP備份組所在接口主 IP 位址較大的成為 Master 裝置。

5、新的 Master 裝置會立即發送攜帶虛拟路由器的虛拟 MAC 位址（格式為：

00-00-5E-00-01-{VRID}（VRRP for IPv4）；00-00-5E-00-02-{VRID}（VRRP for IPv6））和虛拟 IP位址資訊的免費 ARP 封包，重新整理與它連接配接的主機或裝置中的 MAC 表項，進而把使用者流量引到新的 Master 裝置上來。

6、原 Master 裝置故障恢複時，若該裝置為 IP 位址擁有者（優先級為 255），将直接切換至 Master 狀态。

7、優先級0 和 255 不可以手動設定，隻有虛拟 IP 和接口 IP 為同一個 IP 位址時，該裝置的優先級會自動調為255。Master 裝置要退出該VRRP 時，會發送優先級為0 的VRRP通告封包。

VRRP狀态轉換

組成虛拟路由器的路由器會有三種狀态，分别是Initialize Master和Backup

下面對這三種狀态進行說明：

Initialize

系統啟動後進入此狀态，當收到接口startup的消息，将轉入Backup (優先級不為255時)或Master狀态(優先級為255時)。在此狀态時，路由器不會對VRRP封包做任何處理。

Master

當路由器處于Master狀态時，它将會做下列工作：

· 定期發送VRRP多點傳播封包；

· 發送免費(gratuitous) ARP封包，以使網絡内各主機知道虛拟IP位址所對應的虛拟MAC位址；

· 響應對虛拟IP位址的ARP請求，并且響應的是虛拟MAC位址，而不是接口的真實MAC位址；

· 轉發目的MAC位址為虛拟MAC位址的IP封包；

· 如果它是這個虛拟IP位址的擁有者，則接收目的IP位址為這個虛拟IP位址的IP封包，否則，丢棄這個IP封包。需要注意的是，由于有這一點要求，是以除非主路由器是IP位址擁有者，否則主機ping虛拟IP位址不能ping通；

在Master狀态中隻有接收到比自己的優先級大的VRRP封包時，才會轉為Backup ，隻有當接收到接口的Shutdown事件時才會轉為Initialize

Backup

隻有當Backup接收到MASTER_DOWN這個定時器到時的事件時，才會轉為Master ；而當接收到比自己的優先級小的VRRP封包時，它隻是做丢棄這個封包的處理，進而就不對定時器做重置處理。這樣定時器就會在若幹次這樣的處理之後轉為Master ，隻有當接收到接口的Shutdown事件時才會轉為Initialize

VRRP安全性

對于安全程度不同的網絡環境可以在報頭上設定不同的認證方式和認證字，任何沒有通過認證的封包将做丢棄處理， VRRP定義了三種認證方式：無認證(no authentication)，簡單字元認證(simple clear text passwords)和MD5認證(MD5)

END

為了更好地幫助大家學習并了解網絡工程師，等相關内容，我特意将所有資料進行了系統整理，這裡也免費分享大家。為大家整理的網工必備資料，包括：

華為認證思維導圖(超細)；

華為認證必備知識文檔（pdf）；

網工必備知識文檔合集；

網工必備工具包；

網工必備實驗包；

網工必備視訊面試包。

……

資料有點多 我就不全列出來了，先寫到這，需要資料或者是有任何問題，都可以歡留言、私信交流讨論~