虚拟路由冗余协议（VRRP）

VRRP路由器（VRRP Router）：运行VRRP协议的设备，它可能属于一个或多个虚拟路由器。
虚拟路由器（Virtual Router）：又称VRRP备份组，由一个Master设备和多个Backup设备组成，被当作一个共享局域网内主机的缺省网关。
Master路由器（Virtual Router Master）：承担转发报文任务的VRRP设备。
Backup路由器（Virtual Router Backup）：一组没有担转发任务的VRRP设备，当Master设备出现故障时，它们将通过竞选成为新的Master设备。
VRID：虚拟路由器的标识。
虚拟IP地址(Virtual IP Address)：虚拟路由器的IP地址，一个虚拟路由器可以有一个或多个IP地址，由用户配置。
IP地址拥有者（IP Address Owner）：如果一个VRRP设备将虚拟路由器IP地址作为真实的接口地址，则该设备被称为IP地址拥有者。如果IP地址拥有者是可用的，通常它将成为Master。
虚拟MAC地址（Virtual MAC Address）：虚拟路由器根据虚拟路由器ID生成的MAC地址。一个虚拟路由器拥有一个虚拟MAC地址。当虚拟路由器回应ARP请求时，使用虚拟MAC地址，而不是接口的真实MAC地址。

2.VRRP报文

VRRP协议报文用来将Master设备的优先级和状态通告给同一备份组的所有Backup设备。
VRRP协议报文封装在IP报文中，发送到分配给VRRP的IP组播地址。在IP报文头中，源地址为发送报文接口的主IP地址（不是虚拟IP地址），目的地址是224.0.0.18，TTL是255，协议号是112。
VRRP报文的IP头中，TTL必须为255。当VRRP路由器收到TTL不等于255的VRRP协议报文后，必须丢弃。
主IP地址（Primary IP Address）：从接口的真实IP地址中选出来的一个主用IP地址，通常选择配置的第一个IP地址。
目前，VRRP协议包括两个版本：VRRPv2和VRRPv3。VRRPv2仅适用于IPv4网络，VRRPv3适用于IPv4和IPv6两种网络。
基于不同的网络类型，VRRP可以分为VRRP for IPv4和VRRP for IPv6（简称VRRP6）。VRRP for IPv4支持VRRPv2和VRRPv3，而VRRP for IPv6仅支持VRRPv3。

3.VRRP报文结构

VRRPv2：

VRRPv3：

4.字段解释

字段	长度	描述
Version	4比特	指VRRP协议版本，VRRPv2此字段为2，VRRPv3此字段为3。
Type	4比特	定义了VRRP报文的类型。本版本的协议仅定义了一个报文类型：1：ADVERTISEMENT 带有未知类型的报文必须被丢弃。
Virtual Rtr ID8	8比特	虚拟路由器标识（VRID）字段标识了此报文所报告状态的虚拟路由器。可配置的范围是1–255。没有缺省值。
Priority	8比特	Priority字段申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。该字段为8位无符号整型。如果VRRP路由器是虚拟路由器地址的IP地址所有者，那么其优先级必须为255。起备用作用的VRRP路由器的优先级必须在1–254之间。缺省优先级为100。优先级值0 用于指示当前虚拟路由器的主路由器停止参与VRRP组。主要用于触发备用路由器快速地迁移到主路由器，而不用等待当前主路由器超时。
Count IP Addrs	8比特	在此VRRP通告中包含的IP地址的数量。
Auth Type	8比特	认证类型字段用于标识要用到的认证方法。在一个虚拟路由器组内认证类型是唯一的。认证类型字段是一个8位无符号整型。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配，那么该报文必须被丢弃。目前定义的认证方法有：0 : No Authentication 不认证该认证类型表明VRRP协议报文的交换不需要认证。在发送VRRP协议报文时，Authentication Data 字段将被置为0；而在接收协议报文时，Authentication Data 字段被忽略。 1 : Simple Text Password，表示明文认证方式。2: IP Authentication Header，表示MD5认证方式。
Adver Int	8比特	VRRP通告间隔时间，单位为秒。缺省为1秒。这个字段主要用于错误配置路由器时的故障定位和解决。
Checksum	16比特	16位校验和，用于检测VRRP报文中的数据破坏情况。
IP Address	32比特	VRRP备份组的虚拟IPv4地址或者虚拟IPv6地址
Authentication Data	32比特	VRRP报文的认证字。目前只有明文认证和MD5认证才用到该部分，对于其它认证方式，一律填0。

5.VRRPv2和v3的区别

支持的网络类型不同。VRRPv3适用于IPv4和IPv6两种网络，而VRRPv2仅适用于IPv4网络。
认证功能不同。VRRPv3不支持认证功能，而VRRPv2支持认证功能。
VRRPv2版本保留报文的认证字段，是为了兼容早期版本（RFC2338），VRRP认证并不能提高安全性。
发送通告报文的时间间隔的单位不同。VRRPv3支持的是厘秒级，而VRRPv2支持的是秒级。

6.VRRP认证

无认证方式：设备对要发送的VRRP通告报文不进行任何认证处理，收到通告报文的设备也不进行任何认证，认为收到的都是真实的、合法的VRRP报文。
简单字符（Simple）认证方式：发送VRRP通告报文的设备将认证方式和认证字填充到通告报文中，而收到通告报文的设备则会将报文中的认证方式和认证字与本端配置的认证方式和认证字进行匹配。如果相同，则认为接收到的报文是合法的VRRP通告报文；否则认为接收到的报文是一个非法报文，并丢弃这个报文。
MD5认证方式：发送VRRP通告报文的设备利用MD5算法对认证字进行加密，加密后保存在Authentication Data字段中。收到通告报文的设备会对报文中的认证方式和解密后的认证字进行匹配，检查该报文的合法性。

7.VRRP报文抓包示例

VRRPv2：

VRRPv3：

三、VRRP工作原理

1.VRRP状态机

VRRP协议中定义了三种状态机：初始状态（Initialize）、活动状态（Master）、备份状态（Backup）。其中，只有处于Master状态的设备才可以转发那些发送到虚拟IP地址的报文。

Initialize：

该状态为VRRP不可用状态，在此状态时设备不会对VRRP报文做任何处理。
通常刚配置VRRP时或设备检测到故障时会进Initialize状态。
收到接口Up的消息后，如果设备的优先级为255，则直接成为Master设备；如果设备的优先级小于255，则会先切换至Backup状态。

Master：

定时（Advertisement Interval）发送VRRP通告报文。
以虚拟MAC地址响应对虚拟IP地址的ARP请求。
转发目的MAC地址为虚拟MAC地址的IP报文。
如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文。否则，丢弃这个IP报文。
如果收到比自己优先级大的报文，立即成为Backup。
如果收到与自己优先级相等的VRRP报文且本地接口IP地址小于对端接口IP，立即成为Backup。

Backup：

接收Master设备发送的VRRP通告报文，判断Master设备的状态是否正常。
对虚拟IP地址的ARP请求，不做响应。
丢弃目的IP地址为虚拟IP地址的IP报文。
如果收到优先级和自己相同或者比自己大的报文，则重置Master_Down_Interval定时器，不进一步比较IP地址。
Master_Down_Interval定时器：Backup设备在该定时器超时后仍未收到通告报文，则会转换为Master状态。计算公式如下：Master_Down_Interval=(3*Advertisement_Interval) + Skew_time。其中，Skew_Time=(256–Priority)/256。
如果收到比自己优先级小的报文且该报文优先级是0时，定时器时间设置为Skew_time（偏移时间），如果该报文优先级不是0，丢弃报文，立刻成为Master。

2.VRRP工作过程

VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文，将虚拟MAC地址通知给与它连接的设备或者主机，从而承担报文转发任务。
Master设备周期性向备份组内所有Backup设备发送VRRP通告报文，以公布其配置信息（优先级等）和工作状况。
如果Master设备出现故障，VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
VRRP备份组状态切换时，Master设备由一台设备切换为另外一台设备，新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文，刷新与它连接的主机或设备中的MAC表项，从而把用户流量引到新的Master设备上来，整个过程对用户完全透明。
原Master设备故障恢复时，若该设备为IP地址拥有者（优先级为255），将直接切换至Master状态。若该设备优先级小于255，将首先切换至Backup状态，且其优先级恢复为故障前配置的优先级。
Backup设备的优先级高于Master设备时，由Backup设备的工作方式（抢占方式和非抢占方式）决定是否重新选举Master。
1. 抢占模式：在抢占模式下，如果Backup设备的优先级比当前Master设备的优先级高，则主动将自己切换成Master。
2. 非抢占模式：在非抢占模式下，只要Master设备没有出现故障，Backup设备即使随后被配置了更高的优先级也不会成为Master设备。

3.Master设备的选举

VRRP根据优先级来确定虚拟路由器中每台设备的角色（Master设备或Backup设备）。优先级越高，则越有可能成为Master设备。

如果VRRP报文中Master设备的优先级高于或等于自己的优先级，则Backup设备保持Backup状态。
如果VRRP报文中Master设备的优先级低于自己的优先级，采用抢占方式的Backup设备将切换至Master状态，采用非抢占方式的Backup设备仍保持Backup状态。
如果多个VRRP设备同时切换到Master状态，通过VRRP通告报文的交互进行协商后，优先级较低的VRRP设备将切换成Backup状态，优先级最高的VRRP设备成为最终的Master设备；优先级相同时，VRRP设备上VRRP备份组所在接口主IP地址较大的成为Master设备。
如果创建的VRRP设备为IP地址拥有者，收到接口Up的消息后，将会直接切换至Master状态。

4.Master设备状态的通告

当Master设备主动放弃Master地位（如Master设备退出备份组）时，会发送优先级为0的通告报文，用来使Backup设备快速切换成Master设备，而不用等到Master_Down_Interval定时器超时。这个切换的时间称为Skew time，计算方式为：（256－Backup设备的优先级）/256，单位为秒。
当Master设备发生网络故障而不能发送通告报文的时候，Backup设备并不能立即知道其工作状况。等到Master_Down_Interval定时器超时后，才会认为Master设备无法正常工作，从而将状态切换为Master。其中，Master_Down_Interval定时器取值为：3×Advertisement_Interval＋Skew_time，单位为秒。

在性能不稳定的网络中，网络堵塞可能导致Backup设备在Master_Down_Interval期间没有收到Master设备的报文，Backup设备则会主动切换为Master。如果此时原Master设备的报文又到达了，新Master设备将再次切换回Backup。如此则会出现VRRP备份组成员状态频繁切换的现象。为了缓解这种现象，可以配置抢占延时，使得Backup设备在等待了Master_Down_Interval后，再等待抢占延迟时间。如在此期间仍没有收到通告报文，Backup设备才会切换为Master设备。

5.VRRP负载分担

负载分担是指多个VRRP备份组同时承担业务，VRRP负载分担与VRRP主备备份的基本原理和报文协商过程都是相同的。同样对于每一个VRRP备份组，都包含一个Master设备和若干Backup设备。与主备备份方式不同点在于：负载分担方式需要建立多个VRRP备份组，各备份组的Master设备可以不同；同一台VRRP设备可以加入多个备份组，在不同的备份组中具有不同的优先级。

6.多网关负载分担

通过创建多个带虚拟IP地址的VRRP备份组，为不同的用户指定不同的VRRP备份组作为网关，实现负载分担。

7.如何选举Master和Backup？

比较优先级，默认情况下优先级为100，最大可以配置的优先级为1-254，优先级越大越优。优先级如果为0，说明退出Master（Master离组，例如在Master的接口下删除VRRP配置）
如果优先级一样，IP地址大的一端成为Master。

Master：

可以装发报文。

应答 ARP请求。

通告基于VIP的免费ARP。

master定时通告VRRP报文。

Backup：

如果backup接收到目标mac为虚拟mac地址的数据帧，丢弃不转发。

backup被动接收vrrp报文，不通告。

8.影响VRRP协商的条件

IP包头中的TTL值必须为255.
版本必须一致。
VRRP报文中的字段必须一致。（Authen date）
VRID必须一致。
认证类型和认证必须一致。
VIP（Count ip address）列表必须一致。
VRRP报文通告间隔必须一致（华为Backup会使用master端的通告间隔）
checksum必须一致。

四、VRRP应用

1.VRRP与接口状态联动监视上行接口

VRRP备份组只能感知其所在接口状态的变化，当VRRP设备上行接口或直连链路发生故障时，VRRP无法感知，此时会引起业务流量中断。通过部署VRRP与接口状态联动监视上行接口可以有效地解决上述问题，当Master设备的上行接口或直连链路发生故障时，通过调整自身优先级，触发主备切换，确保流量正常转发。

如果VRRP设备上配置以Increased方式监视一个接口，当被监视的接口状态变成Down后，该VRRP设备的优先级增加指定值。
如果VRRP设备上配置以Reduced方式监视一个接口，当被监视的接口状态变为Down后，该VRRP设备的优先级降低指定值。

2.VRRP与BFD/NQA/路由联动监视上行链路

VRRP只能感知VRRP备份组之间的故障，而配置VRRP监视上行接口仅能感知Master设备上行接口或直连链路的故障，当Master设备上行非直连链路故障时，VRRP无法感知，此时会导致用户流量丢失。通过部署VRRP与BFD/NQA/路由联动监视上行链路，可以有效地解决上述问题。通过配置BFD/NQA/路由检测Master上行链路的连通状况，当Master设备的上行链路发生故障时，BFD/NQA/路由可以快速检测故障并通知Master设备调整自身优先级，触发主备切换，确保流量正常转发。

VRRP支持与静态的BFD会话类型或静态标识符自协商的BFD会话类型的联动。

3.VRRP与MSTP结合应用

MSTP是将一个或多个VLAN映射到一个生成树的实例，若干个VLAN共用一个生成树，MSTP可以实现负载均衡。
VRRP配置网关可以灵活根据网络拓扑变化而自动切换，提高网络可靠性。
VRRP+MSTP可以保证网络冗余备份。

五、VRRP配置

1.配置注意事项

不同备份组之间的虚拟IP地址不能重复，并且必须和接口的IP地址在同一网段。
保证同一备份组的设备上配置相同的备份组号（virtual-router-id）。
不同接口上可以绑定相同virtual-router-id的VRRP备份组。
在设备上同时配置VRRP和静态ARP时，需要注意：当在Dot1q终结子接口、QinQ终结子接口或者VLANIF接口下配置VRRP时，不能将与这些接口相关的静态ARP表项对应的映射IP地址作为VRRP的虚拟地址。否则会生成错误的主机路由，影响设备之间的正常转发。
如果VRRP备份组内各路由器上配置的VRRP协议版本不同，可能导致VRRP报文不能互通。

参数	缺省值
设备在VRRP备份组中的优先级	100
抢占方式	立即抢占
通告报文发送间隔	1秒
发送免费ARP报文时间间隔	120秒

2.配置基于IPv4的VRRP基本功能

1.创建VRRP备份组

[接口视图] vrrp vrid 1 virtual-ip 192.168.1.1
//创建VRRP备份组并给备份组配置虚拟IP地址。

多网关负载分担
实现多网关负载分担，需要重复执行上述“主备备份”的操作步骤，在接口上配置两个或多个VRRP备份组，各备份组之间以备份组号（virtual-router-id）区分。

2.配置设备在备份组中的优先级：

[接口视图] vrrp vrid 1 priority 100
//配置路由器在备份组中的优先级。
//缺省情况下，优先级的取值是100。数值越大，优先级越高。

优先级0被系统保留作为特殊用途；优先级值255保留给IP地址拥有者。通过命令可以配置的优先级取值范围是1～254。

IP地址拥有者的优先级固定为255，用户不能手动修改。但是，用户可以通过vrrp vrid virtual-router-id priority priority-value为IP地址拥有者配置一个非255的优先级（该优先级不会取代255，不生效），当VRRP备份组不再是IP地址拥有者时，其优先级为配置的优先级。

优先级取值相同的情况下，同时竞争Master时，备份组所在接口的主IP地址较大的成为Master设备；VRRP备份组中先切换至Master状态的设备为Master设备，其余Backup设备不再进行抢占。

3.配置VRRP协议的版本

基于IPv4的VRRP支持VRRPv2和VRRPv3两个版本。如果VRRP备份组内各路由器上配置的协议版本不同，可能导致VRRP报文不能互通。

vrrp version { v2 | v3 }
//配置当前设备的VRRP协议版本号。 默认v2。

vrrp version-3 send-packet-mode { v2-noly | v3-only | v2v3-both }
//配置VRRPv3发送通告报文的模式。
//缺省情况下，VRRPv3版本备份组发送通告报文的模式为v3-only。

4.配置VRRP的时间参数

功能	应用场景
配置VRRP通告报文的发送间隔	Master设备定时（Advertisement_Interval）向组内的Backup设备发送VRRP通告报文，通告自己工作正常。如果Backup设备在Master_Down_Interval定时器超时后仍未收到VRRP通告报文，则重新选举Master。网络流量过大或设备的定时器差异等因素会导致Backup设备无法及时接收到VRRP报文而发生状态转换，当原Master发送的报文到达新Master时，新Master将再次发生状态切换。通过延长Master设备发送VRRP报文的时间间隔可以解决此类问题。
配置路由器在VRRP备份组中的抢占延时	在不稳定的网络中，可能存在VRRP备份组监测的BFD等状态频繁振荡或Backup设备不能及时收到VRRP通告报文的情况，导致VRRP发生频繁切换而造成网络振荡。通过调整路由器在VRRP备份组中的抢占延时，使Backup设备在指定的时间后再进行抢占，有效避免了VRRP备份组状态的频繁切换。
配置Master设备发送免费ARP报文的超时时间	VRRP备份组中，为了确保下游交换机的MAC表项正确，Master设备会定时发送免费ARP报文，用来刷新下游交换机上的MAC地址表项。说明：为避免VRRP协议震荡，请不要在VRRP备用设备上把系统MAC或VRRP虚MAC等一些特殊的MAC地址配置成黑洞MAC。
配置VRRP备份组的状态恢复延迟时间	在不稳定的网络中，VRRP备份组监测的BFD或接口等状态频繁振荡会导致VRRP备份组状态频繁切换。通过配置VRRP备份组的状态恢复延迟时间，VRRP备份组在接收到接口或BFD会话的Up事件时不会立刻响应，而是等待配置的状态恢复的延迟时间后，再进行相应的处理，防止因接口或BFD会话的频繁震荡而导致的VRRP状态的频繁切换。

[接口视图] vrrp vrid 1 timer advertise 1
  //置发送VRRP通告报文的时间间隔。 
  //缺省情况下，发送VRRP通告报文的时间间隔是1秒。
  
 [接口视图] vrrp vrid 1 preempt-mode timer delay 0
 //配置备份组中路由器的抢占延迟时间。 
 //缺省情况下，抢占延迟时间为0，即立即抢占。
 vrrp vrid 1 preempt-mode disable
 //设置备份组中路由器采用非抢占方式。
 
 vrrp gratuitous-arp timeout 120
//配置Master发送免费ARP报文的超时时间。 
//缺省情况下，Master每隔120秒发送一次免费ARP报文。
vrrp gratutious-arp timeout disable
//禁止发送免费ARP

vrrp recover-deley 0
//配置VRRP备份组的状态恢复延迟时间。 
//缺省情况下，VRRP备份组状态恢复延迟时间为0秒。

在配置VRRP备份组内各路由器的延迟方式时，建议Backup设备配置为立即抢占，Master设备配置为延时抢占，指定一定的延迟时间。这样配置的目的是为了在网络环境不稳定时，为上下行链路的状态恢复一致性等待一定时间，以免出现双Master设备或由于主备双方频繁抢占导致用户设备学习到错误的Master设备地址。
配置的Master设备发送免费ARP报文超时时间应小于用户侧设备的MAC地址表项老化时间。

5.配置VRRP报文在Sub-VLAN中的发送方式

当VRRP备份组配置在VLAN聚合时，用户可以通过命令行配置，使VRRP报文在指定的Sub-VLAN中传输，避免VRRP通告报文在所有Sub-VLAN内广播，以节约网络带宽。

vrrp advertise send-mode { sub-vlan | all}
//配置VRRP通告报文在Super-VLAN中的发送方式。

缺省情况下，Master设备向Super-VLAN中状态为Up且VLAN ID最小的Sub-VLAN发送VRRP通告报文。

如果指定参数sub-vlan-id，VRRP通告报文只发送给指定ID的Sub-VLAN。
如果指定参数all，VRRP通告报文发送给本Super-VLAN的所有Sub-VLAN。

6.配置禁止检测VRRP报文跳数

系统对收到的VRRP通告报文的TTL值进行检测，如果TTL值不等于255，则丢弃这个报文。在不同设备制造商的设备配合使用的组网环境中，检测VRRP报文的TTL值可能导致错误地丢弃合法报文，此时用户可以配置系统不检测VRRP报文的TTL值，以实现不同设备制造商设备之间的互通。

vrrp un-check ttl
//禁止检测VRRP报文的TTL值。

7.配置VRRP报文的认证方式

VRRPv2支持在通告报文中设定不同的认证方式和认证字。

注：目前仅VRRPv2版本支持认证，VRRPv3版本不支持认证。VRRPv2版本保留报文的认证字段，是为了兼容早期版本（RFC2338），VRRP认证并不能提高安全性。

vrrp vrid 1 authentication-mode { simple {key | plain key | cipher cipher-key} | md5 md5-key}
//配置VRRP报文认证方式。

8.使能虚拟IP地址Ping功能

路由器支持对虚拟IP地址的Ping功能，可用于：

检测备份组中的Master设备是否起作用。
检测是否能通过使用某虚拟IP地址作为默认网关与外部通信。

vrrp virtual-ip ping enable
//使能虚拟地址可达性功能。 
//缺省情况下，该功能处于使能状态，Master设备响应对本备份组虚拟IP地址的Ping报文。

vrrp arp send-mode simple
//使能Master设备使用QinQ终结子接口下配置的外层Tag
//的VLAN和内层Tag段内的第一个VLAN发送免费ARP报文。

六、VRRP配置综合实验示例

如下图拓扑，AR1，AR2为内网路由器，配置VRRP虚拟IP实现备份。同时在AR1与AR2之间配置了BFD，使它们之间可以快速检测链路故障。

AR3，4，5为外网路由器。在AR1与AR3上配置了上行接口检测，当上行接口GE1/0/0状态Down时，VRRP备份组能够及时感知并进行主备切换，由AR2接替作为网关继续承担业务转发，以减小接口状态Down对业务传输的影响。

在AR2和上还配置了IP检测，检测到4.4.4.4 的链路是否有故障。配置VRRP与路由联动监视上行链路。当非直连上行链路Down时，VRRP优先级自动降低，实现主备快速切换。

在AR1和AR2上还配置了负载分担。现在内网流量通过不同网关走不同路由器。

在AR2上配置的检测到4.4.4.4网段的NQA，ICMP直连检测，当传输质量低于百分之八十时，VRRP vrid 2 优先级自动降低，实现主备快速切换。

配置文件：

AR1：

<AR1>dis current-configuration 
#
 sysname AR1
#
vrrp gratuitous-arp timeout 100
//配置免费ARP发送时间间隔为100s
vrrp version v3
//VRRP选择版本v3
vrrp recover-delay 3
//VRRP 恢复延迟3s
#
bfd
#
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 10 permit source 192.168.2.0 0.0.0.255 
 rule 15 deny 
#
interface GigabitEthernet0/0/0
 ip address 13.1.1.1 255.255.255.0 
 nat outbound 2000 
  //nat ，easy IP，实现内网到外网的地址转换
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.1.254
 vrrp vrid 1 priority 110
 vrrp vrid 1 timer advertise 2
 vrrp vrid 1 track interface GigabitEthernet0/0/0 reduced 30
 vrrp vrid 1 version-3 send-packet-mode v2v3-both
 vrrp vrid 1 track ip route 4.4.4.4 255.255.255.0 reduced 30
 vrrp vrid 1 authentication-mode md5 %$%$[U*W7Y)upJ3N*0#HA_x~~A=8%$%$
 //VRRP vrid 1 认证密码 huawei
 vrrp vrid 2 virtual-ip 192.168.1.253
 vrrp vrid 2 version-3 send-packet-mode v2v3-both
#
bfd 1 bind peer-ip 192.168.1.2 source-ip 192.168.1.1 auto
 commit
#
rip 1
 version 2
 network 13.0.0.0
#

AR2：

<AR2>display current-configuration 
#
 sysname AR2
#
bfd
#
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 10 permit source 192.168.2.0 0.0.0.255 
 rule 15 deny 
#
interface GigabitEthernet0/0/0
 ip address 25.1.1.2 255.255.255.0 
 nat outbound 2000
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.2 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.1.254
 vrrp vrid 1 preempt-mode timer delay 3
 vrrp vrid 1 authentication-mode md5 %$%$)vYYTI4Nv=@M5_0,Yx^/~BLU%$%$
 vrrp vrid 2 virtual-ip 192.168.1.253
 vrrp vrid 2 track nqa vrrp test reduced 20
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
bfd 1 bind peer-ip 192.168.1.1 source-ip 192.168.1.2 auto
 commit
#
rip 1
 version 2
 network 25.0.0.0
#
nqa test-instance vrrp test 
 test-type icmp
 destination-address ipv4 4.4.4.4
 fail-percent 80
 frequency 20
 probe-count 5
 start now
#

AR3：

<AR3>dis current-configuration 
#
 sysname AR3
#
interface GigabitEthernet0/0/0
 ip address 13.1.1.3 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 23.1.1.3 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 34.1.1.3 255.255.255.0 
#
rip 1
 version 2
 network 34.0.0.0
 network 13.0.0.0
#

AR4：

<AR4>dis current-configuration 
#
 sysname AR4
#
interface GigabitEthernet0/0/0
 ip address 34.1.1.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 45.1.1.4 255.255.255.0 
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
#
rip 1
 version 2
 network 34.0.0.0
 network 45.0.0.0
 network 4.0.0.0
#

AR5：

[AR5]dis current-configuration 
#
 sysname AR5
#
interface GigabitEthernet0/0/0
 ip address 45.1.1.5 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 25.1.1.5 255.255.255.128 
#
rip 1
 version 2
 network 25.0.0.0
 network 45.0.0.0

七、VRRP VS HSRP

区别：

1、两个都支持认证

2、两个都支持抢占，VRRP抢占默认开启

3、都可以做负载均衡（不同组之间）

4、HSRP中路由状态有6中，VRRP有3种

5、HSRP中叫做active路由器和standby路由器，VRRP叫做master路由器和backup路由器

6、HSRP standby路由器也主动发送hello包，这样HSRP活动路由器可以发现网络当中的备份路由器。

VRRP backup路由器不主动发送hello包，所以master路由器不可以主动发现网络当中的backup路由器。

7、HSRP虚拟路由器的IP不能是活动路由器接口的IP，VRRP可以

8、HSRP是cisco私有，VRRP公有

9、HSRP支持追踪,VRRP不支持追踪

10、HSRP的standby路由器选举只有优先级起作用，ip地址不起作用。

VRRP的活动路由器选举优先级和ip地址都起作用

11、HSRP的hello时间为3秒，间隔hold时间为10秒

VRRP中失效间隔时间是通告间隔时间的3倍，通告间隔时间默认1秒

12、VRRP支持辞职，HSRP不支持辞职(辞职是指将接口优先级改为0后不参加活动路由器的选举)

13、MAC：00-00-5e-00-01-01 VRRP 组播地址224.0.0.18

00-00-0c-07-ac-01 HSRP 组播地址 224.0.0.2

八、VGMP组控制VRRP备份组状态（防火墙）

华为交换机或路由器设备上，VRRP备份组的状态是由VRRP优先级大小决定。同一个VRRP备份组中，VRRP优先级最大的设备的VRRP备份组状态为Master，其他设备的VRRP备份组状态为Backup。FW的VRRP备份组状态则不是由VRRP优先级大小决定。实际上，FW的VRRP优先级是不可配置的。FW启用双机热备功能后，VRRP优先级固定为120。

在FW上，接口故障时，接口下VRRP备份组状态为Initialize。接口无故障时，接口下VRRP备份组状态由VGMP组的状态决定，具体如下：

当VGMP组状态为active时，VRRP备份组的状态都是Master。
当VGMP组状态为standby时，VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时，VRRP备份组状态由VRRP备份组的配置决定。

VRRP备份组的配置命令如下：

vrrp vrid virtual-router-id virtual-ip virtual-address { active | standby }

其中，active表示指定VRRP备份组的状态为Master，standby表示指定VRRP备份组的状态为Backup。

HRP心跳线配置：

心跳线和心跳接口的配置建议：

心跳接口的连线方式可以是直连，也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上，心跳接口使用网线或者光纤直连。
建议规划专门的接口作为心跳接口，该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文，不要将业务报文引导到该接口上转发。同时，建议将多个以太网接口绑定成Eth-Trunk接口，使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性，又可以增加备份通道的带宽。
对于USG9000V系列设备，vLPU上的接口均可作为心跳接口。请安装多个vLPU，并将不同接口板上的以太网接口绑定成Eth-Trunk接口，使用该Eth-Trunk接口作为心跳接口。
心跳接口需要发送业务相关的表项备份报文，心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
建议至少配置2个心跳接口。一个心跳接口作为主用，另一个心跳接口作为备份。

心跳线和心跳接口的配置注意事项：

MGMT接口（GigabitEthernet0/0/0）不能作为心跳接口。
配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口，Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口（VLANIF）作为心跳接口，实际收发报文的二层物理接口也必须相同。
两台FW心跳接口必须加入相同的安全区域。
接口MTU值小于1500的接口不能作为心跳接口