VRRP路由協議介紹及配置

王軼群

（赤峰學院網路與信息管理處，內蒙古赤峰024000）

VRRP路由協議介紹及配置

王軼群

（赤峰學院網路與信息管理處，內蒙古赤峰024000）

作為信息化應用的載體——計算機網絡的可靠性受到越來越多的重視.VRRP（虛擬路由器冗余協議）是一種選擇協議，它的優勢在于不需要在終端進行動態路由和路由發現協議的配置，即可獲得一個高可靠性的缺省路由通道.通過以S9300系列交換機為載體，分析和研究VRRP虛擬路由器冗余性協議的原理和配置，實現園區網絡的路由冗余.

VRRP；IPAddressOwner；VRRP跟蹤；虛擬路由器；動態路由協議；路由發現協議；協議交互；VirtualRouterMaster；

1 VRRP介紹

VRRP（VirtualRouterRedundancyProtocol）是虛擬路由器冗余協議的簡稱，是一個重要的三層可靠性協議，用于缺省網關的冗余備份，它可以把一個虛擬路由器的責任動態分配到局域網上的VRRP路由器中的一臺.控制虛擬路由器IP地址的VRRP路由器稱為主路由器，它負責轉發數據包到這些虛擬IP地址.一旦主路由器不可用，這種選擇過程就提供了動態的故障轉移機制，這就允許虛擬路由器的IP地址可以作為終端主機的默認第一跳路由器.使用VRRP的好處是有更高的默認路徑的可用性而無需在每個終端主機上配置動態路由或路由發現協議.

2 VRRP概述

舉一個典型的內部網組網方案的例子.交換機的一個接口與外部網絡相連，一個接口與內部網絡相連，與內部網相連的接口的IP地址是10.5.10.1，主機1，2，3都配置了IP地址，都在網段10.5.10.0/24內.主機1，2，3上都配置了一個默認網關，下一跳指向交換機，下一跳的IP地址是10.5.10.1.這樣，主機發送一個目的IP地址不在本網段內的報文會匹配缺省路由而發送到交換機，交換機再把報文轉發出去，交換機也把外部網絡發來的報文轉發給相應的主機，這樣主機就實現了與外部網絡的通信.

在上面這種組網方案中，主機與外部網絡之間的通信只能通過這個唯一的交換機，當交換機出現故障時，所有的主機都與外部中斷.為了解決這個問題，有一種解決方案就是把一臺交換機擴展為兩臺或多臺交換機，在主機和交換機之間都運行動態路由協議OSPF或RIP.

當主機運行了動態路由協議后，主機上能夠學習到外部網絡所有的路由，主機在與外部網絡的通信時，根據報文的目的IP地址查找路由得到下一跳來決定報文是發送給switch1還是switch2.當其中的一臺交換機出現故障時，主機中的路由在很短的時間內能夠重新學習，路由的下一跳會指向沒有故障的路由器，這樣，主機與外部網絡的通信不會中斷.

但是，在主機上實現動態路由協議是不現實的.對于主機來說，運行動態路由協議負載太大，對于網絡來說，主機上運行動態路由協議會造成網絡上過多的不必要的數據流量，況且有些主機根本就不支持動態路由協議.

為了根本解決這個單點故障的問題，VRRP協議是最好的選擇.VRRP協議是專門針對這個問題而提出來的.使用VRRP協議，主機只需要設置默認網關，而不需要在主機上運行別的協議，主機的負載小，而網絡上只需要增加很少的VRRP協議流.

3 VRRP術語

下面介紹幾個經常要用到的術語：

3.1 VirtualRouter

虛擬路由器，一個抽象對象，基于子網接口，包括一個虛擬路由器標識符（VRID）和一個或多個IP地址，這個（些）IP地址又稱為虛擬IP地址，虛擬IP地址作為主機的默認網關.

3.2 VRRPRouter

VRRP路由器，即運行VRRP協議的路由器，一個VRRP路由器可以加入到一個或多個虛擬路由器中.

3.3 IPAddressOwner

IP地址擁有者，虛擬路由器的虛擬IP地址與接口的真實IP地址相同的VRRP路由器.

3.4 VirtualRouterMaster

虛擬主路由器，負責轉發通過虛擬路由器的三層數據包，對虛擬路由器的IP地址的ARP請求進行回應.如果某個VRRP路由器是IP地址擁有者，則它總是虛擬主路由器.

3.5 VirtualRouterBackup

虛擬備份路由器，不轉發三層數據包，不應答虛擬IP地址的ARP請求，當虛擬主路由器出現故障時接替虛擬主路由器的工作.

4 虛擬主路由器的選舉

在一個虛擬路由器中虛擬主路由器的選擇由以下因素來決定：

4.1 VRRP優先級

一個虛擬路由器中的每一個VRRP路由器都需要配置一個優先級priority.優先級的范圍從0到255，其中0和255有特殊的用途，可配置的優先級范圍從1到254，缺省為100.

優先級的值越大，優先級越高，越有可能成為虛擬主路由器[1].

在一個虛擬路由器中當某個VRRP路由器是IP地址擁有者時，它的優先級是255.

當虛擬主路由器需要通告給其它備份路由器它不再是主時，發送優先級為0的VRRP包給其它備份路由器，這樣可以快速觸發其它備份路由器成為虛擬主路由器.

4.2 VRRP包交互

VRRP協議只有一種類型的包，ADVERTISEMENT通告包.在一個虛擬路由器中，虛擬主路由器每隔AdvertisementInterval時間（缺省為1秒）發送一個通告包.虛擬備份路由器根據收到的VRRP通告包來決定是否需要狀態遷移.

5 VRRP跟蹤

VRRP協議本身只能檢測虛擬路由器內部的故障，如虛擬路由器所在的接口LINKDOWN或VRRP路由器死機等，而檢測不到虛擬路由器外部的故障.當虛擬路由器外部出現故障時，虛擬路由器不能根據這些故障進行虛擬主路由器的選擇，這樣會造成網絡數據的中斷[2].VRRP跟蹤可以解決此問題，VRRP路由器對指定的外部事件進行跟蹤，當出現外部故障時VRRP路由器改變自己的運行優先級，重新選擇虛擬主路由器，保證網絡數據不中斷.

當虛擬主路由器Switch1的外部接口LINK DOWN時，如果沒有啟用VRRP跟蹤功能，Switch1不能檢測到此外部故障，Swith1繼續是虛擬主路由器，主機不能訪問外部網絡.如果啟用了VRRP跟蹤功能，Switch1能夠發現外部故障，并且修改自己的運行優先級，重新進行虛擬主路由器的選擇，Switch1改變為虛擬備份路由器，Switch2改變為虛擬主路由器，這樣主機可以繼續訪問外部網絡.

6 VRRP配置

6.1 創建和刪除虛擬路由器

虛擬路由器是建立在子網接口上的，并且需要指定一個VRID.在同一個接口下，不能有兩個相同VRID的虛擬路由器存在，而不同的接口下可以存在兩個相同的VRID的虛擬路由器.理論上一個接口下最多可以創建255個虛擬路由器，而目前交換機只實現了一個接口下最多創建4個虛擬路由器[3].系統缺省情況下沒有創建虛擬路由器.

當一個虛擬路由器不再需要使用時，可以刪除此虛擬路由器，如果虛擬路由器已經啟動了，則會先關閉虛擬路由器，再把虛擬路由器刪除.

在創建虛擬路由器之前，必須先保證接口已經存在并且在接口上已經配置了IP地址.

在刪除VLAN接口、刪除VLAN接口上的IP地址或修改VLAN接口的IP地址時，該接口上的所有虛擬路由器都會被刪除.

6.2 配置虛擬路由器的虛擬IP地址

虛擬路由器上必須配置虛擬IP地址，理論上一個虛擬路由器可以存在一個或多個虛擬IP地址，但交換機在實現時一個虛擬路由器只支持一個虛擬IP地址.在配置時，一個虛擬路由器中的多個VRRP路由器必須配置相同的虛擬IP地址.缺省情況下交換機沒有配置虛擬IP地址.

配置虛擬路由器的虛擬IP地址必須在虛擬路由器已經關閉的情況下才能成功，當虛擬路由器啟動時不能配置成功.

設置的虛擬IP地址必須與接口的主IP地址在同一個網段，否則配置不成功.

主機PING不通虛擬IP地址，當對交換機進行網管時，使用交換機的真實的IP地址，不要用虛擬IP地址.

6.3 配置虛擬路由器的參數

虛擬路由器的參數包括優先級，搶占模式，通告時間間隔，認證方法和認證數據.

在配置時，對于虛擬路由器的多個VRRP路由器，通告時間間隔，認證方法和認證數據必須配置一樣，而優先級和搶占模式參數可以配置一樣，也可以配置不一樣.

對于優先級，分為配置優先級和運行優先級，大部分情況下，運行優先級使用的是配置優先級，但當VRRP路由器是IP地址擁有者時，運行優先級為255，不使用配置優先級.對于認證方法，交換機目前只實現了不做認證和簡單口令認證兩種方式，而對于IP認證頭方式沒有實現.

6.4 配置VRRP跟蹤

目前交換機只實現了VRRP接口跟蹤功能. VRRP路由器可以同時跟蹤一個或多個接口，接口可以是三層VLAN接口，也可以是二層接口.交換機缺省沒有配置被跟蹤的接口.

如果VRRP路由器是IP地址擁有者時[4]，管理員可以配置VRRP跟蹤，但實際上VRRP跟蹤不會生效，也就是說即使虛擬路由器出現了外部故障，也不會重新選擇虛擬主路由器.

如果要使用VRRP跟蹤功能，就不要把虛擬路由器配置成IP地址擁有者.

當管理員配置了VRRP跟蹤，指定了要跟蹤的一個或多個接口并且啟動了虛擬路由器時，VRRP跟蹤就開始生效.當VRRP路由器發現被跟蹤的一個接口LINKDOWN時，認為出現了外部故障，把虛擬路由器的運行優先級設置為1，通過VRRP協議包的交互，可重新選擇虛擬主路由器.當被跟蹤的接口都是LINKUP時，故障恢復，虛擬路由器的運行優先級重新設置為配置優先級.

6.5 啟動和關閉虛擬路由器

當創建了虛擬路由器并且設置了虛擬IP地址和參數后，虛擬路由器并沒有真正運行，還處于Initialize狀態.啟動虛擬路由器會啟動協議的運行，給協議發送一個Startup事件，狀態機遷移到Master狀態或者Backup狀態.關閉虛擬路由器會關閉協議的運行，給協議發送一個Shutdown事件，狀態遷回到Initialize狀態[5].

在啟動虛擬路由器前必須保證已經配置了虛擬IP地址.在虛擬路由器啟動的情況下，如果需要修改虛擬IP地址或者參數，必須先關閉虛擬路由器再進行配置，配置完成后再啟動虛擬路由器.

7 VRRP配置示例

7.1 配置

在兩臺交換機上啟用VRRP功能，為局域網中的用戶提供三層路由冗余功能，消除網絡中的路由故障，設置交換機1為主用交換機Master，交換機2為備份交換機Backup.

交換機1上的配置：

Switch#configureterminal

Switch(config)#vlandatabase

Switch(config-vlan)#vlan2

Switch(config-vlan)#exit

Switch(config)#interfacege1/1

Switch(config-ge1/1)#switchportaccessvlan2

Switch(config-ge1/1)#exit

Switch(config)#interfacevlan2

Switch(config-vlan2)#ipaddress192.168.1.1/24

Switch(config-vlan2)#exit

Switch(config)#routervrrpvlan21

Switch(config-vrrp)#vrrpip-address192.168.1.1

Switch(config-vrrp)#enablevrrp

交換機2上的配置：

Switch#configureterminal

Switch(config)#vlandatabase

Switch(config-vlan)#vlan2

Switch(config-vlan)#exit

Switch(config)#interfacege1/1

Switch(config-ge1/1)#switchportaccessvlan2

Switch(config-ge1/1)#exit

Switch(config)#interfacevlan2

Switch(config-vlan2)#ipaddress192.168.1.2/24

Switch(config-vlan2)#exit

Switch(config)#routervrrpvlan21

Switch(config-vrrp)#vrrpip-address192.168.1.1

Switch(config-vrrp)#enablevrrp

7.2 驗證

通過以下命令查看VRRP的信息：

showrunning-config

showvrrp

showvrrpvlan2

〔1〕陳顯毅.VRRP技術在局域網中的應用[J].中國科技信息，2009(10).

〔2〕傅慧斌.基于VRRP的核心交換機冗余系統的設計與應用[J].辦公自動化，2009(16).

〔3〕蒲寶卿.一種提高校園網可靠性的VRRP協議解決方案[J].甘肅高師學報，2011(02).

〔4〕嚴華.VRRP技術在校園網中的應用[J].福建電腦，2007(12).

〔5〕張衛東.虛擬路由器的設計與實現[J].西南科技大學學報，2003(02).

TP39

A

1673-260X（2013）03-0020-03