VRRP基本概念

1、简述

VRRP：虚拟网关冗余协议，是为了预防单台网关设备发生单点故障的一项网关冗余技术。

VRRP是运行在三层接口上的，无论这个接口是真实的还是虚拟的，三层交换机、路由器、防火墙等设备均可配置部署。

当三层接口激活了VRRP协议之后，便会发送和侦听VRRP报文，需要协同的VRRP设备必须属于同一个广播域，否则组播VRRP报文无法正常交互。

虚拟路由器是一台逻辑设备，有自己单独的IP和MAC地址，当VRRP开始工作时，R2和R2会进行选举，胜出的路由器成为master，其他的路由器成为backup路由器，master承担虚拟路由器的具体工作，如此一来当PC需要发送数据包到外部网络时，数据包实际被发送给master路由器，而当R1故障之后，通过VRRP协议的运作，R2能够感知到当前的master路由器发生故障，从而将自己的状态自动切换到master，接下来它将接替原来属于R1的工作，在整个VRRP的切换过程当中，用户是完全没有感觉的，PC的配置也不需要任何变更。

2、基本概念

VRRP在不改变组网的情况下，将多台路由设备组成一个虚拟路由器，通过配置虚拟路由器的IP地址为默认网关，实现了默认网关的备份。当网关设备发生故障时，VRRP机制能够选举新的网关设备承担数据流量，从而保障了网络的可靠性。

在VRRP的实现中，除了优先级和主备状态以外，VRRP中还定义了一些其他的概念。

1.虚拟路由器

VRRP将多台物理设备看成逻辑上的一台虚拟路由器。一台虚拟路由器由两部分信息进行标识；虚拟路由器ID(VRID)和所关联的虚拟IP地址。

VRID 的配置范围为1 -255， 配置在同一备份组中的VRID必须一致，一个虚拟路由器的虚拟IP地址允许配置多个，但不同的物理路由器上配置的同一虚拟路由器的虚拟IP地址组必须一致。如果VRID一致，但是虚拟IP地址不同，或者虚拟IP地址相同，但是VRID不一致，VRRP都会认为这是不同的虚拟路由器。

一个虚拟路由器拥有一个虚拟MAC地址。根据规定，虚拟MAC地址的格式为00-00-5E-00-01-{VRID}.当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。

在路由器的一个接口上允许配置多个虚拟路由器。

2、消息通告间隔

消息通告间隔指的是Master发送两个VRRP通告消息中间的间隔，默认为1 s。 关联到同一虚拟路由器的VRRP路由器上配置的消息通告间隔必须一致，如果不一致，VRRP认为是关联到不同的虚拟路由器。

3、抢占模式

在VRRP中，只有Master才能发送VRRP通告消息。Backup路由器在接收到Master发送的VRRP通告消息后，会比较自身的优先级和Master 通告消息中的优先级大小。

如果抢占模式开启，而且自己的优先级比当前Master路由器的优先级要高，就会将自己的状态修改为Master，并向外通告 VRRP 通告消息。如果抢占模式关闭，Backup路由器即使发现自己的优先级比当前Master 路由器的优先级离， 也不会将自己的状态修改为Master。

默认情况下是开启的。

4、延迟时间

在开启了VRRP抢占功能的网络中，如果网络非常繁忙，会出现Master正常工作但是Backup却收不到通告消息的情况。这种情况下可以配置抢占延迟时间，使Backup不会立即成为Master，减少网络报荡。默认情况下，延迟时间的值为0。

5、Master故障间隔

路由器处于Backup状态时，如果在Master故障间隔时间内收不到Master发送的VRRP通告报文，则认为Master出现故障，Backup切换状态为Master， 向外发布VRRP通告消息报文。Master故障间隔的时间是3倍的消息通告间隔再加上延迟时间。

6、报文验证

VRRP支持3种验证方式：不验证、纯文本密码验证的MD5验证。

不验证：此验证方式表示VRRP 报文不需要验证。Authentication Data字段为0，接收时不检查该字段。

纯文本密码验证：此验证方式表示VRRP报文需要进行验证，验证时使用纯文本密码。VRRP报文中的 Authentication Data 字段为端口上配置的密码。

MD5验证：此验证方式表示VRRP报文使用MD5加密数据进行验证。

如果收到的VRRP报文验证方式和本地接口上配置的不一致，则该VRRP报文被丢弃。

3、VRRP协议报文

在VRRP的主备选举，以及选举完成后的VRRP状态维持中，都需要进行虚拟路由器组的信息传递，目前常规的VRRP主备选举用到的报文只有一种—VRRP通告报文。VRRP报文负责将Master设备的优先级和状态通告给同一虚拟路由器的所有VRRP设备，报文被封装在IP报文中，以多播的方式进行发送。

4、VRRP的状态机

在VRRP的工作原理介绍中提到了VRRP协议的两种状态，Master和Backup。实际上，VRRP中定义的状态是三种：初始化状态（initialize），活动状态（Master），备份状态（Backup），其中，只有处于活动状态（Master）的设备才可以转发那些发送到虚拟IP地址的报文。

VRRP的三种状态之间的转换关系如图所示：

1、initialize状态

设备启动时进入此状态，当收到接口Startup的消息后，将转入Backup或Master状态（IP地址拥有者的接口优先级为255 直接转为Master），在此状态时，不会对VRRP通告报文做任何处理。

2、Master状态

当路由器处于Master状态时，它将会做下列工作。

定期发送VRRP通告报文。

以虚拟MAC地址响应对虚拟IP地址的ARP请求。

转发目的MAC地址为虚拟MAC地址的IP报文。

如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。

如果收到比自己优先级大的报文则转为Backup状态。

当接收到接口的Shutdown事件时，转为Initialize状态。

3、Backup状态

当路由器处于Backup状态时，它将会做下列工作。

接收Master发送的VRRP通告报文，判断Master的状态是否正常。

对虚拟IP地址的ARP请求不做响应。

丢弃目的MAC地址为虚拟MAC地址的IP报文。

丢弃目的IP地址为虚拟IP地址的IP报文。

如果收到比自己优先级小的报文，默认立刻升主；如果配置了不抢占，则重置定时器；如果配置了抢占延迟，则重置定时器，待抢占延迟到期再升主；如果收到比自己优先级高的报文，则重置定时器如果收到优先级和自己相同的报文，则重置定时器，不进一步比较IP地址。

当接收到MASTER_DOWN_TIMER定时器超时的事件时， 才会转为Master状态。

当接收到接口的Shutdown 事件时转为Initialize状态。