【H3C】VRRP2 及Vrrp3基本原理 华为同用

VRRP2

基本概念

• VRRP路由器（VRRP Router）：运行VRRP的设备，它可能属于一个或多个虚拟路由器。
• 虚拟路由器（Virtual Router）：由VRRP管理的抽象设备，又称为VRRP备份组，被当作一个共享局域网内主机的缺省网关。它包括了一个虚拟路由器标识符和一组虚拟IP地址。
• 虚拟IP地址(Virtual IP Address)：虚拟路由器的IP地址，一个虚拟路由器可以有一个或多个IP地址，由用户配置。
• IP地址拥有者（IP Address Owner）：如果一个VRRP路由器将虚拟路由器的IP地址作为真实的接口地址，则该设备是IP地址拥有者。当这台设备正常工作时，它会响应目的地址是虚拟IP地址的报文，如ping、TCP连接等。
• 虚拟MAC地址：是虚拟路由器根据虚拟路由器ID生成的MAC地址。**一个虚拟路由器拥有一个虚拟MAC地址，格式为：00-00-5E-00-01-{VRID}；**VRRP6为0000-5E00-02XX。当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。组播地址224.0.0.18 协议号118
• 主IP地址（Primary IP Address）：从接口的真实IP地址中选出来的一个主用IP地址，通常选择配置的第一个IP地址。VRRP广播报文使用主IP地址作为IP报文的源地址。
• Master路由器（Virtual Router Master）：是承担转发报文或者应答ARP请求的VRRP路由器，转发报文都是发送到虚拟IP地址的。如果IP地址拥有者是可用的，通常它将成为Master。
• Backup路由器（Virtual Router Backup）：一组没有承担转发任务的VRRP路由器，当Master设备出现故障时，它们将通过竞选成为新的Master。
• 抢占模式：在抢占模式下，如果Backup路由器的优先级比当前Master路由器的优先级高，将主动将自己升级成Master。

报文格式

VRRP中仅有Advertisement通告报文，报文格式如下：

       0                   1                   2                   3
       0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-------+-------+---------------+---------------+---------------+
      |Version| Type  | Virtual Rtr ID|   Priority    | Count IP Addrs|
      +-------+-------+---------------+---------------+---------------+
      |   Auth Type   |   Adver Int   |          Checksum             |
      +---------------+---------------+-------------------------------+
      |                         IP Address (1)                        |
      +---------------------------------------------------------------+
      |                            .                                  |
      |                            .                                  |
      |                            .                                  |
      +---------------------------------------------------------------+
      |                         IP Address (n)                        |
      +---------------------------------------------------------------+
      |                     Authentication Data (1)                   |
      +---------------------------------------------------------------+
      |                     Authentication Data (2)                   |
      +---------------------------------------------------------------+

VRRP设备仅有ad报文，目的地址 224.0.0.18，目的mac为0100-5e00-0012，协议号为112

Master设备：

• 定时发送VRRP通告报文
• 以虚拟MAC地址响应对虚拟IP地址的ARP请求
• 转发目的MAC地址为虚拟MAC地址的IP报文
• 如果它是这个虚拟IP地址的拥有者，则接受目的IP地址为这个虚拟IP地址的IP报文，否则，丢弃这个报文。
• 如果收到比自己优先级大的报文，立即成为Backup。
• 如果收到比自己优先级相同的VRRP报文且本地接口IP地址小于对端接口IP，立即成为Backup。

Backup设备：

• 接收Master设备发送的VRRP通告报文，判断Master设备的状态是否正常。
• 对虚拟IP地址的ARP请求IP地址做应答
• 丢弃目的IP地址为虚拟IP地址的IP报文。
• 如果收到优先级与自身相同或者比自己大的报文，则重置 Master down interval 定时器，不进一步比较IP地址。
• 如果收到优先级为0的报文，将定时器设置为skew time。如果优先级不为0，则立即成为master（都需要等待preempt delay）

主备选举规则（优先级）

正常情况：

一般情况下我们使用VRRP的优先级设置主备选举，但是当优先级相同时，主备选举与配置顺序有关，先配置VRRP的作为主设备，后配置VRRP的作为从设备。

特殊场景：

由于网络故障原因造成备份组中存在多台Master路由器时，这些Master路由器会根据优先级和IP地址选举出一个Master路由器：优先级高的路由器成为Master路由器；优先级低的成为Backup路由器；如果优先级相同，则IP地址大的成为Master路由器。

**📖说明：**正常情况下，VRRP选举与配置顺序有关，不看IP地址。网络故障原因造成备份组中存在多台Master路由器时，此时才会看优先级及IP地址

VRRP中通过优先级进行VRRP 主从选举，优先级取值范围为0~255 其中0和255无法使用，即1~254。

0和255

0和255优先级不能被配置，优先级0是用在IP地址所有者放弃master角色时使用。当路由器undo掉VRRP配置时，接口会发送一个优先级为0的信息。

优先级为0：

协议中告诉我们，当状态为Master的路由器接口被shutdown时，将立即发送优先级为0的通告，用来告诉其他的路由器，它退位了。

当处于Master状态的路由器收到优先级为0的报文时，将立即发送自己的VRRP通告报文，用来通知其他的路由器，自己还是处于正常工作状态。

当处于Backup状态的路由器收到优先级为0的报文时，将Master_Down_Timer设置为Skew_Time的时间，根据协议公式这是一个不足1秒的时间间隔，在这段时可以及时收到Master发来的通告报文，有效地阻止了所有Backup不必要的切换，这在一定程度上可以防止优先级为0的报文的攻击；同时，根据公式可以看出优先级高的Backup路由器的Skew_Time较短，这样可以保证所有Backup路由器中优先级较高的VRRP路由器优先进行切换，这同时也是VRRP 优先级的一方面意义所在。

优先级255为：

VRRP路由器的接口IP地址与虚拟路由器的IP地址相同时，称该虚拟路由器作为VRRP组中的IP地址拥有者。即当路由器配置VRRP组虚拟IP地址为自身接口地址时，接口优先级为255。

双Master原因

双Master可能是：

• 存在多个备份组，不同备份组中的路由器互为Master
• 存在一个备份组，相同备份组中的多台路由器均为Master，此情况因为可能链路拥塞导致原Master的ad报文在Master down 时间内没有被backup收到，而拥塞完毕后，原先的Backup已成为Master的情况，该情况会导致备份组频繁切换，建议提高抢占 delay

VRRP认证

VRRP认证存在三种

0：无认证

1：明文

2：密文

VRRP状态机

VRRP协议存在三种状态 Init初始状态，Master活动状态，Backup备份状态。

配置VRRP后，设备进入备份组，初始状态下 若优先级为255则进入Master状态，否则进入Backup状态。

**Master/Backup ——> Initalize ：**设备关闭；

**Master——> Backup ：**收到比自己优先级更高的数据包；

**Backup ——> Master：**若在Backup状态超时时间内没有收到VRRP通告报文或者收到通告报文原Master的优先级为0或者是小于自身，那么在配置了抢占模式的情况下，会在等待抢占时延后，执行Master抢占（默认抢占开启，延迟为0，即立刻抢占）

抢占模式

说明：抢占华为默认配置，默认时间0秒，为立即抢占，在skew time 和master down interval 时间都需要等待preempt time！

出现抢占时延的原因为： 在性能不稳定的网络中，网络拥塞可能导致Backup设备在Master Down interval期间没有收到Master的ad通告报文，那么Backup设备将会主动切换回Master，如此此时原Master设备的报文又到达了，新Master设备再次切换回Backup。 如此就会造成VRRP备份组成员状态频繁切换的现象。为了缓解这种现象，可以配置抢占时延，使得Backup在等待了Master down interval后，还需等到抢占时延。

VRRP主备切换状态

1. 原Master设备上线链路故障自动降低优先级

   Backup设备会收到比自身优先级小的报文，则会在Preempt Delay后立即成为Master

2. 原Master发生故障而无法发出通告报文时。或链路收不到通告报文时

   Backup设备会在Master Down Interval + Preempt Delay超时后，执行抢占成为Master。

3. 原Master设备主动离开role（被shutdown）将会发送0优先级报文。

   Backup设备会在收到0优先级报文后，经过Skew Time + Preempt Delay后，执行抢占成为Master。

**Master_Down_Interval 时间：**3倍的advertise interva （默认为1）+ Shew Time + preempt delay（默认为0）

Skew time：(256-设备优先级)/256 （单位为秒）

项目场景

负载分担和Backup场景

负载分担即为：存在多个VRRP备份组，VRRP路由器分别是不同备份组的Master，他们之间互为备份。

允许一台设备为多个VRRP备份组作备份。通过多个虚拟路由器可以实现负载分担。负载分担方式是指多台虚拟路由器同时承担业务，因此需要建立两个或更多的备份组。

VRRP3

目前VRRP存在v2和v3双版本，v2仅支持ipv4，而v3支持ipv4和ipv6

区别：

1. 支持网络类型不同：VRRP2仅支持ipv4，VRRP3支持ipv4和ipv6
2. 认证功能不同：VRRP2支持认证，VRRP3不支持认证功能
3. 发送报文时间间隔不同：VRRP2支持秒级，而VRRP3支持厘秒级

H3C

说明：

华三模拟器情况下，VRRP 同时配置时，先比较优先级后比较IP地址。

若在优先级相同情况下，低IP地址端先配置VRRP，高地址端后配置VRRP：则 后地址端不会进行抢占，就算开启了 Preempt

参考致谢

HCIE路由交换学习指南
HedEx产品文档
知了社区