H3CSE 高性能园区网:VRRP 技术详解
H3CSE 高性能园区网:VRRP 技术详解
- VRRP 技术详解
- 一、VRRP 简介
- 1.1 VRRP 技术背景与定义
- 1.1.1 技术背景
- 1.1.2 VRRP 核心定义
- 1.2 VRRP 核心原理与关键概念
- 1.2.1 主备切换工作流程
- 1.2.2 关键概念解析
- 1.2.3 免费ARP工作原理
- 二、VRRP 核心工作原理
- 2.1 VRRP 基础运行原理概述
- 2.1.1 协议基础定义
- 2.1.2 主备角色与基础流程
- 2.2 VRRP 主备选举规则
- 2.2.1 优先级规则
- 2.2.2 完整选举顺序
- 2.3 VRRP 角色切换机制
- 2.3.1 切换条件
- 1.强制切换
- 2.抢占切换
- 2.3.2 抢占模式与非抢占模式
- 2.3.3 免费ARP 切换机制
- 2.3.4 接口监视功能
- 2.4 VRRP 多备份组与负载分担
- 三、VRRP 接口监视
- 3.1 技术背景:为什么需要接口监视
- 3.2 核心原理与实现机制
- 3.2.1 基本配置逻辑
- 3.2.2 完整触发与恢复流程
- 3.3 关键约束与注意事项
- 四、VRRPv2 协议报文格式
- 4.1 报文头部字段解析
- 4.2 报文数据段
- 五、VRRP 状态机
- 5.1 三种工作状态定义
- 5.2 状态转换流程
- 5.2.1 初始化阶段转换
- 5.2.2 Backup与Master间的双向转换
- 5.2.3 故障恢复转换
- 5.3 核心选举与切换规则
- 5.3.1 主备选举规则
- 5.3.2 角色切换触发条件
- 5.4 关键补充:免费ARP机制
- 六、VRRP 关键配置命令
- 6.1 基础VRRP配置
- 6.2 接口监视配置
- 6.3 查看命令(完整)
VRRP 技术详解
一、VRRP 简介
1.1 VRRP 技术背景与定义
1.1.1 技术背景
传统三层网关组网存在以下核心痛点:
- 终端限制:终端设备通常只能配置一个默认网关,无法同时接入多个网关;
- 切换低效:多网关冗余环境下,网关故障时用户需手动修改配置实现故障切换,操作复杂、业务中断时间长;
- 性能负担:传统网关检测依赖额外报文交互(如故障检测报文),增加设备性能开销;
- 管理不便:多网关场景下终端配置分散,统一维护与管理难度高。
1.1.2 VRRP 核心定义
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是标准化的三层网关冗余协议,核心定义为:
将多个物理网关设备加入同一备份组,形成一台逻辑上的虚拟网关(Virtual Router),所有终端设备仅需配置虚拟网关IP作为默认网关,即可实现网关的冗余备份与故障自动切换。
1.2 VRRP 核心原理与关键概念
1.2.1 主备切换工作流程
下面这张拓扑图直观展示了VRRP主备切换的完整过程:
- 初始状态:左侧设备(IP:10.100.10.3,优先级110)为Master,承担所有流量转发;右侧设备(IP:10.100.10.4,优先级100)为Backup,仅监听状态。
- 故障触发:Master设备故障(图中红色叉号),停止发送VRRP通告报文。
- 角色切换:Backup设备超时未收到通告报文,判定Master故障,自动切换为新的Master。
- 业务恢复:新Master发送免费ARP更新全网ARP表,终端设备无需修改配置,流量自动切换到新Master转发。
1.2.2 关键概念解析
- 虚拟网关标识:
- 虚拟IP:备份组对外提供的网关IP(图中为10.100.10.1),与终端配置的默认网关一致;
- 虚拟MAC:格式为
0000-5E00-01-{VRID},其中VRID为备份组编号(取值范围1-255),用于二层转发识别。
- 协议报文:使用组播地址
224.0.0.18发送VRRP通告报文,默认发送周期1秒,Master故障时Backup超时未收到报文则触发切换。
1.2.3 免费ARP工作原理
- 主动通告:无需终端发送ARP请求,新Master以广播形式主动发送免费ARP报文,通告虚拟IP与虚拟MAC的映射关系;
- 切换触发:仅在主备切换时由新Master发送,确保所有终端及时更新ARP表,避免流量转发异常;
- 报文优势:广播形式覆盖全网,无需终端交互,切换过程对终端完全透明。
二、VRRP 核心工作原理
2.1 VRRP 基础运行原理概述
- 主备选举:依靠优先级机制自动选举出Master主设备,设备默认优先级为100
- 状态同步:Master设备周期性发送组播心跳报文,完成组内设备状态同步与故障检测
- 多备份组应用:网络中可创建多个不同VRRP备份组,实现全网流量负载分担,不同网段可指定不同设备作为Master转发流量
2.1.1 协议基础定义
VRRP(Virtual Router Redundancy Protocol,虚拟路由器冗余协议)是由RFC 3768定义的三层容错协议,核心作用是通过虚拟网关实现三层网关冗余,简化主机配置,提升网络可靠性。
- 协议报文采用固定组播地址224.0.0.18发送;
- 虚拟路由器由VRID(Virtual Router ID,取值1~255)唯一标识;
- 虚拟MAC地址格式固定为:
00-00-5E-00-01-{VRID},VRID与备份组编号一一对应。
2.1.2 主备角色与基础流程
一个VRRP备份组中,会选举出一个Master(主网关)和若干Backup(备份网关):
- Master:负责转发全网流量,周期性发送VRRP心跳报文宣告自身状态;
- Backup:监听心跳报文,不主动转发流量,仅在Master故障时接管角色;
- 流量转发:终端仅配置虚拟网关IP,ARP请求由Master响应,将虚拟IP映射到虚拟MAC,流量实际由Master转发。
2.2 VRRP 主备选举规则
2.2.1 优先级规则
- 优先级默认值为100,可配置范围1~254;
- 特殊优先级:
- 255:当设备真实IP与备份组虚拟IP一致时自动获取,直接成为Master;
- 0:设备接口Down状态时向外发送此优先级报文,主动退出VRRP组。
2.2.2 完整选举顺序
- 优先级高者优先:优先级数值越大,优先当选Master
- 运行时间长者优先:优先级一致时,设备运行VRRP时间更长者胜出
- IP地址大者优先:优先级、运行时间均相同,仅初始选举阶段IP地址大的设备优先
注意事项:已经稳定建立完成的Master与Backup对应关系,不会受后期IP地址修改变更影响。
2.3 VRRP 角色切换机制
2.3.1 切换条件
1.强制切换
- Master设备整机故障,Backup设备超时收不到心跳报文,自动触发切换
- Master直连VRRP组接口Down,主动发送优先级为0报文,通知备份设备快速切换
2.抢占切换
- VRRP设备默认开启抢占模式
- 备份组内接入优先级更高的设备时,高优先级设备会直接抢占成为新Master
2.3.2 抢占模式与非抢占模式
- 抢占模式(默认):当原Master故障恢复、优先级更高时,会主动抢占回Master角色,可能导致流量二次切换;
- 非抢占模式:原Master故障恢复后,不会主动抢占,Backup继续作为Master运行,避免网络震荡;
- 场景建议:对业务稳定性要求极高的场景,可配置为非抢占模式,或设置抢占延迟。
2.3.3 免费ARP 切换机制
当VRRP主备角色切换完成后,新的Master会主动发送免费ARP报文:
- 无需终端发起ARP请求,直接以广播形式通告虚拟IP与虚拟MAC的映射关系;
- 强制刷新全网终端、交换机的ARP缓存表,确保流量无缝切换,避免转发黑洞。
2.3.4 接口监视功能
实际组网存在典型隐患:仅内网接口正常、上行外网链路中断时,Master依旧正常发送心跳报文,VRRP无法自动切换,造成内网断网不通外网,出现Master上行链路故障但VRRP不切换的问题。
解决办法:配置VRRP上行接口监视功能,指定上行链路接口,一旦被监视的上行接口状态Down,自动降低本机VRRP优先级(如降低30),优先级低于Backup后自动完成主备切换,恢复外网访问。
2.4 VRRP 多备份组与负载分担
VRRP支持在同一设备上创建多个备份组,实现流量负载分担:
- 一台设备可同时加入多个VRRP备份组;
- 在不同备份组中,分别作为Master和Backup;
- 不同网段的网关流量由不同设备转发,避免单设备资源浪费,充分利用设备性能,提升整体网络利用率。
三、VRRP 接口监视
3.1 技术背景:为什么需要接口监视
VRRP默认仅通过备份组内的心跳报文检测主备设备的故障,无法感知网关设备上行链路的故障,会出现典型的“假活”问题:
- 当Master网关的上行链路(如连接Internet的出口)故障,但设备本身、连接备份组的内网接口仍正常时,Master会继续发送VRRP心跳报文;
- Backup设备无法感知上行链路的中断,不会触发主备切换;
- 结果是终端流量仍被转发到故障的Master,无法连通外部网络,形成“内网正常、外网断网”的异常状态。
3.2 核心原理与实现机制
3.2.1 基本配置逻辑
- 配置位置:在Master设备上配置上行接口监视功能,指定需要检测的上行链路接口;
- 优先级联动:为该接口配置“优先级降低值”(典型值为30),用于触发主备切换。
3.2.2 完整触发与恢复流程
故障触发阶段:
- 被监视的上行接口状态变为Down;
- Master设备自动降低自身VRRP优先级(例如从120降至90);
- 当优先级低于Backup设备的优先级(默认100),且VRRP工作在抢占模式时,Backup会自动抢占为新的Master,接管流量转发。
故障恢复阶段:
- 被监视的上行接口状态恢复为Up;
- Master设备自动恢复VRRP优先级至原值(如120);
- 若抢占模式开启,原Master会重新抢占回主设备角色。
3.3 关键约束与注意事项
- 网络要求:参与VRRP备份组的两台网关设备必须处于同一网段,才能正常接收心跳报文,完成状态检测;
- 抢占模式依赖:接口监视触发的优先级变化,仅在VRRP开启抢占模式时才能触发主备切换;若配置为非抢占模式,Backup不会主动抢占;
- 优先级差值设计:建议配置的“优先级降低值”大于主备设备的初始优先级差值,确保故障时能可靠触发切换(例如Master初始优先级110,Backup为100,降低值配置为20即可)。
四、VRRPv2 协议报文格式
VRRPv2 协议报文由Master 路由器以组播方式(目的地址224.0.0.18)定时发送,用于备份组内的状态同步与故障检测。
4.1 报文头部字段解析
| 字段 | 长度(bit) | 含义说明 |
|---|---|---|
| Version | 4 | 协议版本号,VRRPv2固定为2 |
| Type | 4 | 报文类型,VRRP仅定义了1种报文:1=Advertisement(通告报文) |
| Virtual Rtr ID (VRID) | 8 | 虚拟路由器ID,取值1~255,对应备份组编号 |
| Priority | 8 | 设备在备份组中的优先级,取值1~255,越大越优先;255为IP地址拥有者专用,0为设备退出组时发送 |
| Count IP Addrs | 8 | 该报文携带的虚拟IP地址数量,通常为1个 |
| Auth Type | 8 | 认证类型,VRRPv2支持无认证、简单明文认证两种 |
| Adver Int | 8 | 通告报文发送间隔,单位为秒,默认值1秒 |
| Checksum | 16 | 报文校验和,用于检测报文传输错误 |
4.2 报文数据段
- IP address 1~n:该备份组对应的虚拟IP地址列表,与Count IP Addrs字段对应;
- Authentication data1/2:认证数据,当启用简单明文认证时,此处存放明文密码,共8字节。
说明:VRRPv2 报文由 Master 周期性发送,Backup 设备通过接收该报文判断 Master 状态;若连续3个周期未收到报文,则判定 Master 故障,触发主备切换。
五、VRRP 状态机
VRRP设备在备份组中存在三种工作状态:Initialize(初始化)、Master(主网关)、Backup(备份网关),设备根据选举结果和故障事件在三种状态间切换。
5.1 三种工作状态定义
Initialize(初始化状态)
- 设备启动VRRP协议后的初始状态,不发送、不处理任何VRRP报文;
- 当VRRP接口Shutdown、设备退出VRRP组或主动发送优先级为0的报文时,会回到此状态。
Master(主网关状态)
- 负责转发本网段所有流量,周期性发送VRRP通告报文(Advertisement);
- 仅IP地址拥有者(真实IP与虚拟IP一致,优先级自动为255)可直接从Initialize进入此状态。
Backup(备份网关状态)
- 不主动转发流量,仅监听Master发送的VRRP心跳报文;
- 非IP地址拥有者设备初始化完成后,默认进入此状态,等待参与主备选举。
5.2 状态转换流程
5.2.1 初始化阶段转换
Initialize → Master:设备为IP地址拥有者(优先级255),直接切换为Master状态;Initialize → Backup:非IP地址拥有者设备,初始化完成后进入Backup状态。
5.2.2 Backup与Master间的双向转换
Backup → Master(主备切换)
- 连续3个通告周期未收到Master的VRRP报文,判定Master故障;
- 收到Master发送的优先级为0的报文,触发快速切换;
- 抢占模式下,Backup收到比本地优先级低的报文,会抢占为新Master。
Master → Backup(主退为备)
- 收到更高优先级设备的VRRP报文,且抢占模式开启;
- 收到优先级相同但接口IP更大的设备报文,主动退为Backup。
5.2.3 故障恢复转换
Master → Initialize:接口Down时,主动发送优先级为0的报文,先进入Initialize状态,再转为Backup;Backup → Initialize:接口Shutdown时,直接回到初始化状态。
5.3 核心选举与切换规则
5.3.1 主备选举规则
- 优先级优先:数值越大优先级越高,默认值100,可配置范围1~254;
- 特殊优先级255:设备真实IP与虚拟IP一致时自动获得,直接成为Master;
- 运行时间优先:优先级相同时,运行VRRP时间更长的设备优先;
- IP地址优先:优先级和运行时间均相同时,仅初始选举阶段IP地址大的设备优先。
注意:主备关系稳定建立后,后续IP地址变更不会影响已确定的角色。
5.3.2 角色切换触发条件
- 心跳丢失:Backup设备连续3个周期未收到Master的VRRP报文;
- 优先级变化:备份组内出现更高优先级的设备(默认开启抢占模式);
- 主动退出:Master设备接口Down,发送优先级为0的报文通知Backup切换;
- 上行故障:通过接口监视功能,自动降低Master优先级,触发Backup抢占。
5.4 关键补充:免费ARP机制
主备切换完成后,新的Master会主动发送免费ARP报文:
- 无需终端请求,以广播形式通告虚拟IP与虚拟MAC的映射关系;
- 强制刷新全网终端、交换机的ARP缓存,确保流量无感知切换,避免转发黑洞。
六、VRRP 关键配置命令
6.1 基础VRRP配置
- 进入三层接口
interface Vlan-interface10- 创建VRRP备份组并配置虚拟IP
vrrp vrid1virtual-ip10.100.10.1- 配置VRRP优先级(主设备高优先级)
vrrp vrid1priority120- 配置抢占延迟
vrrp vrid1preempt-mode timer delay56.2 接口监视配置
上行接口故障时降低优先级,触发主备切换
vrrp vrid1track interface GigabitEthernet1/0/1 reduced30说明:GigabitEthernet 1/0/2 为上行接口,故障时优先级降低 30(110→80),触发备份设备抢占。
6.3 查看命令(完整)
- 查看VRRP简要信息(最常用)
display vrrp- 查看VRRP详细状态(状态机、优先级、抢占、接口监视)
display vrrp verbose- 查看VRRP统计信息(报文收发计数)
display vrrp statistics- 查看VRRP接口信息
display vrrp interface- 查看指定VRID备份组信息
display vrrp vrid1