VRRP原理与用【修订】.doc

VRRP原理与应用 VRRP概述 VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）将可以承担网关功能 的路由器加入到备份组中，形成一台虚拟路由器，由VRRP的选举机制决定哪台路由器 承担转发任务，局域网内的主机只需将虚拟路由器配置为缺省网关 VRRP是一种容错协议，在提高可靠性的同时，简化了主机的配置。在具有多播或广播 能力的局域网（如以太网）中，借助VRRP 能在某台设备出现故障时仍然提供高可靠的 缺省链路，有效避免单一链路发生故障后网络中断的问题，而无需修改动态路由协议、路 由发现协议等配置信息 VRRP协议的实现有VRRPv2和VRRPv3两个版本。其中，VRRPv2基于IPv4，VRRPv3 基于IPv6 VRRP备份组简介 概述 VRRP将局域网内的一组路由器划分在一起，称为一个备份组 备份组由一个Master路由器和多个Backup路由器组成，功能上相当于一台虚拟路 由器 特点 虚拟路由器具有IP地址。局域网内的主机仅需要知道这个虚拟路由器的IP地址， 并将其设置为缺省路由的下一跳地址 网络内的主机通过这个虚拟路由器与外部网络进行通信 备份组内的路由器根据优先级，选举出Master 路由器，承担网关功能。当备份组 内承担网关功能的Master 路由器发生故障时，其余的路由器将取代它继续履行网 关职责，从而保证网络内的主机不间断地与外部网络进行通信 实例分析 拓扑图 说明： 1 Router A、Router B和Router C组成一个虚拟路由器。此虚拟路由器有自 己的IP地址。局域网内的主机将虚拟路由器设置为缺省网关 2 Router A、Router B和Router C中优先级最高的路由器作为Master路由器， 承担网关的功能。其余两台路由器作为Backup路由器 注意事项 虚拟路由器的 IP 地址可以是备份组所在网段中未被分配的IP 地址，也可以和备 份组内的某个路由器的接口IP 地址相同 接口 IP 地址与虚拟IP 地址相同的路由器被称为“IP 地址拥有者” 在同一个 VRRP 备份组中，只允许配置一个IP 地址拥有者 路由器在备份组中的状态可以为Master、Backup和Initialize 备份组中的优先级 VRRP根据优先级来确定备份组中每台路由器的角色（Master 路由器或Backup 路 由器）。优先级越高，则越有可能成为Master 路由器 VRRP优先级的取值范围为0 到255（数值越大表明优先级越高），可配置的范围 是1 到254 优先级0为系统保留给特殊用途来使用，255则是系统保留给IP 地址拥有者。当 路由器为IP 地址拥有者时，其优先级始终为255 因此，当备份组内存在IP地址拥有者时，只要其工作正常，则为Master路由器 备份组中路由器的工作方式 非抢占方式：如果备份组中的路由器工作在非抢占方式下，则只要Master 路由器 没有出现故障，Backup 路由器即使随后被配置了更高的优先级也不会成为Master 路由器 抢占方式：如果备份组中的路由器工作在抢占方式下，它一旦发现自己的优先级 比当前的Master 路由器的优先级高，就会对外发送VRRP 通告报文。导致备份 组内路由器重新选举Master 路由器，并最终取代原有的Master 路由器。相应地， 原来的Master 路由器将会变成Backup路由器 备份组中路由器的认证方式 simple：简单字符认证。在一个有可能受到安全威胁的网络中，可以将认证方式设 置为simple。发送VRRP 报文的路由器将认证字填入到VRRP 报文中， 而收到VRRP 报文的路由器会将收到的VRRP 报文中的认证字和本地配 置的认证字进行比较。如果认证字相同，则认为接收到的报文是真实、合 法的VRRP 报文；否则认为接收到的报文是一个非法报文 md5：MD5 认证。在一个非常不安全的网络中，可以将认证方式设置为md5。发 送VRRP报文的路由器利用认证字和MD5 算法对VRRP 报文进行加密， 加密后的报文保存在Authentication Header（认证头）中。收到VRRP 报文 的路由器会利用认证字解密报文，检查该报文的合法性。 注：在一个安全的网络中，用户也可以不设置认证方式 VRRP的定时器 VRRP通告报文时间间隔定时器 1 VRRP备