H3CSE 高性能园区网VRRP 技术详解VRRP 技术详解一、VRRP 简介1.1 VRRP 技术背景与定义1.1.1 技术背景1.1.2 VRRP 核心定义1.2 VRRP 核心原理与关键概念1.2.1 主备切换工作流程1.2.2 关键概念解析1.2.3 免费ARP工作原理二、VRRP 核心工作原理2.1 VRRP 基础运行原理概述2.1.1 协议基础定义2.1.2 主备角色与基础流程2.2 VRRP 主备选举规则2.2.1 优先级规则2.2.2 完整选举顺序2.3 VRRP 角色切换机制2.3.1 切换条件1.强制切换2.抢占切换2.3.2 抢占模式与非抢占模式2.3.3 免费ARP 切换机制2.3.4 接口监视功能2.4 VRRP 多备份组与负载分担三、VRRP 接口监视3.1 技术背景为什么需要接口监视3.2 核心原理与实现机制3.2.1 基本配置逻辑3.2.2 完整触发与恢复流程3.3 关键约束与注意事项四、VRRPv2 协议报文格式4.1 报文头部字段解析4.2 报文数据段五、VRRP 状态机5.1 三种工作状态定义5.2 状态转换流程5.2.1 初始化阶段转换5.2.2 Backup与Master间的双向转换5.2.3 故障恢复转换5.3 核心选举与切换规则5.3.1 主备选举规则5.3.2 角色切换触发条件5.4 关键补充免费ARP机制六、VRRP 关键配置命令6.1 基础VRRP配置6.2 接口监视配置6.3 查看命令完整VRRP 技术详解一、VRRP 简介1.1 VRRP 技术背景与定义1.1.1 技术背景传统三层网关组网存在以下核心痛点终端限制终端设备通常只能配置一个默认网关无法同时接入多个网关切换低效多网关冗余环境下网关故障时用户需手动修改配置实现故障切换操作复杂、业务中断时间长性能负担传统网关检测依赖额外报文交互如故障检测报文增加设备性能开销管理不便多网关场景下终端配置分散统一维护与管理难度高。1.1.2 VRRP 核心定义VRRPVirtual Router Redundancy Protocol虚拟路由器冗余协议是标准化的三层网关冗余协议核心定义为将多个物理网关设备加入同一备份组形成一台逻辑上的虚拟网关Virtual Router所有终端设备仅需配置虚拟网关IP作为默认网关即可实现网关的冗余备份与故障自动切换。1.2 VRRP 核心原理与关键概念1.2.1 主备切换工作流程下面这张拓扑图直观展示了VRRP主备切换的完整过程初始状态左侧设备IP:10.100.10.3优先级110为Master承担所有流量转发右侧设备IP:10.100.10.4优先级100为Backup仅监听状态。故障触发Master设备故障图中红色叉号停止发送VRRP通告报文。角色切换Backup设备超时未收到通告报文判定Master故障自动切换为新的Master。业务恢复新Master发送免费ARP更新全网ARP表终端设备无需修改配置流量自动切换到新Master转发。1.2.2 关键概念解析虚拟网关标识虚拟IP备份组对外提供的网关IP图中为10.100.10.1与终端配置的默认网关一致虚拟MAC格式为0000-5E00-01-{VRID}其中VRID为备份组编号取值范围1-255用于二层转发识别。协议报文使用组播地址224.0.0.18发送VRRP通告报文默认发送周期1秒Master故障时Backup超时未收到报文则触发切换。1.2.3 免费ARP工作原理主动通告无需终端发送ARP请求新Master以广播形式主动发送免费ARP报文通告虚拟IP与虚拟MAC的映射关系切换触发仅在主备切换时由新Master发送确保所有终端及时更新ARP表避免流量转发异常报文优势广播形式覆盖全网无需终端交互切换过程对终端完全透明。二、VRRP 核心工作原理2.1 VRRP 基础运行原理概述主备选举依靠优先级机制自动选举出Master主设备设备默认优先级为100状态同步Master设备周期性发送组播心跳报文完成组内设备状态同步与故障检测多备份组应用网络中可创建多个不同VRRP备份组实现全网流量负载分担不同网段可指定不同设备作为Master转发流量2.1.1 协议基础定义VRRPVirtual Router Redundancy Protocol虚拟路由器冗余协议是由RFC 3768定义的三层容错协议核心作用是通过虚拟网关实现三层网关冗余简化主机配置提升网络可靠性。协议报文采用固定组播地址224.0.0.18发送虚拟路由器由VRIDVirtual Router ID取值1~255唯一标识虚拟MAC地址格式固定为00-00-5E-00-01-{VRID}VRID与备份组编号一一对应。2.1.2 主备角色与基础流程一个VRRP备份组中会选举出一个Master主网关和若干Backup备份网关Master负责转发全网流量周期性发送VRRP心跳报文宣告自身状态Backup监听心跳报文不主动转发流量仅在Master故障时接管角色流量转发终端仅配置虚拟网关IPARP请求由Master响应将虚拟IP映射到虚拟MAC流量实际由Master转发。2.2 VRRP 主备选举规则2.2.1 优先级规则优先级默认值为100可配置范围1~254特殊优先级255当设备真实IP与备份组虚拟IP一致时自动获取直接成为Master0设备接口Down状态时向外发送此优先级报文主动退出VRRP组。2.2.2 完整选举顺序优先级高者优先优先级数值越大优先当选Master运行时间长者优先优先级一致时设备运行VRRP时间更长者胜出IP地址大者优先优先级、运行时间均相同仅初始选举阶段IP地址大的设备优先注意事项已经稳定建立完成的Master与Backup对应关系不会受后期IP地址修改变更影响。2.3 VRRP 角色切换机制2.3.1 切换条件1.强制切换Master设备整机故障Backup设备超时收不到心跳报文自动触发切换Master直连VRRP组接口Down主动发送优先级为0报文通知备份设备快速切换2.抢占切换VRRP设备默认开启抢占模式备份组内接入优先级更高的设备时高优先级设备会直接抢占成为新Master2.3.2 抢占模式与非抢占模式抢占模式默认当原Master故障恢复、优先级更高时会主动抢占回Master角色可能导致流量二次切换非抢占模式原Master故障恢复后不会主动抢占Backup继续作为Master运行避免网络震荡场景建议对业务稳定性要求极高的场景可配置为非抢占模式或设置抢占延迟。2.3.3 免费ARP 切换机制当VRRP主备角色切换完成后新的Master会主动发送免费ARP报文无需终端发起ARP请求直接以广播形式通告虚拟IP与虚拟MAC的映射关系强制刷新全网终端、交换机的ARP缓存表确保流量无缝切换避免转发黑洞。2.3.4 接口监视功能实际组网存在典型隐患仅内网接口正常、上行外网链路中断时Master依旧正常发送心跳报文VRRP无法自动切换造成内网断网不通外网出现Master上行链路故障但VRRP不切换的问题。解决办法配置VRRP上行接口监视功能指定上行链路接口一旦被监视的上行接口状态Down自动降低本机VRRP优先级如降低30优先级低于Backup后自动完成主备切换恢复外网访问。2.4 VRRP 多备份组与负载分担VRRP支持在同一设备上创建多个备份组实现流量负载分担一台设备可同时加入多个VRRP备份组在不同备份组中分别作为Master和Backup不同网段的网关流量由不同设备转发避免单设备资源浪费充分利用设备性能提升整体网络利用率。三、VRRP 接口监视3.1 技术背景为什么需要接口监视VRRP默认仅通过备份组内的心跳报文检测主备设备的故障无法感知网关设备上行链路的故障会出现典型的“假活”问题当Master网关的上行链路如连接Internet的出口故障但设备本身、连接备份组的内网接口仍正常时Master会继续发送VRRP心跳报文Backup设备无法感知上行链路的中断不会触发主备切换结果是终端流量仍被转发到故障的Master无法连通外部网络形成“内网正常、外网断网”的异常状态。3.2 核心原理与实现机制3.2.1 基本配置逻辑配置位置在Master设备上配置上行接口监视功能指定需要检测的上行链路接口优先级联动为该接口配置“优先级降低值”典型值为30用于触发主备切换。3.2.2 完整触发与恢复流程故障触发阶段被监视的上行接口状态变为DownMaster设备自动降低自身VRRP优先级例如从120降至90当优先级低于Backup设备的优先级默认100且VRRP工作在抢占模式时Backup会自动抢占为新的Master接管流量转发。故障恢复阶段被监视的上行接口状态恢复为UpMaster设备自动恢复VRRP优先级至原值如120若抢占模式开启原Master会重新抢占回主设备角色。3.3 关键约束与注意事项网络要求参与VRRP备份组的两台网关设备必须处于同一网段才能正常接收心跳报文完成状态检测抢占模式依赖接口监视触发的优先级变化仅在VRRP开启抢占模式时才能触发主备切换若配置为非抢占模式Backup不会主动抢占优先级差值设计建议配置的“优先级降低值”大于主备设备的初始优先级差值确保故障时能可靠触发切换例如Master初始优先级110Backup为100降低值配置为20即可。四、VRRPv2 协议报文格式VRRPv2 协议报文由Master 路由器以组播方式目的地址224.0.0.18定时发送用于备份组内的状态同步与故障检测。4.1 报文头部字段解析字段长度(bit)含义说明Version4协议版本号VRRPv2固定为2Type4报文类型VRRP仅定义了1种报文1Advertisement通告报文Virtual Rtr ID (VRID)8虚拟路由器ID取值1~255对应备份组编号Priority8设备在备份组中的优先级取值1~255越大越优先255为IP地址拥有者专用0为设备退出组时发送Count IP Addrs8该报文携带的虚拟IP地址数量通常为1个Auth Type8认证类型VRRPv2支持无认证、简单明文认证两种Adver Int8通告报文发送间隔单位为秒默认值1秒Checksum16报文校验和用于检测报文传输错误4.2 报文数据段IP address 1~n该备份组对应的虚拟IP地址列表与Count IP Addrs字段对应Authentication data1/2认证数据当启用简单明文认证时此处存放明文密码共8字节。说明VRRPv2 报文由 Master 周期性发送Backup 设备通过接收该报文判断 Master 状态若连续3个周期未收到报文则判定 Master 故障触发主备切换。五、VRRP 状态机VRRP设备在备份组中存在三种工作状态Initialize初始化、Master主网关、Backup备份网关设备根据选举结果和故障事件在三种状态间切换。5.1 三种工作状态定义Initialize初始化状态设备启动VRRP协议后的初始状态不发送、不处理任何VRRP报文当VRRP接口Shutdown、设备退出VRRP组或主动发送优先级为0的报文时会回到此状态。Master主网关状态负责转发本网段所有流量周期性发送VRRP通告报文Advertisement仅IP地址拥有者真实IP与虚拟IP一致优先级自动为255可直接从Initialize进入此状态。Backup备份网关状态不主动转发流量仅监听Master发送的VRRP心跳报文非IP地址拥有者设备初始化完成后默认进入此状态等待参与主备选举。5.2 状态转换流程5.2.1 初始化阶段转换Initialize → Master设备为IP地址拥有者优先级255直接切换为Master状态Initialize → Backup非IP地址拥有者设备初始化完成后进入Backup状态。5.2.2 Backup与Master间的双向转换Backup → Master主备切换连续3个通告周期未收到Master的VRRP报文判定Master故障收到Master发送的优先级为0的报文触发快速切换抢占模式下Backup收到比本地优先级低的报文会抢占为新Master。Master → Backup主退为备收到更高优先级设备的VRRP报文且抢占模式开启收到优先级相同但接口IP更大的设备报文主动退为Backup。5.2.3 故障恢复转换Master → Initialize接口Down时主动发送优先级为0的报文先进入Initialize状态再转为BackupBackup → Initialize接口Shutdown时直接回到初始化状态。5.3 核心选举与切换规则5.3.1 主备选举规则优先级优先数值越大优先级越高默认值100可配置范围1~254特殊优先级255设备真实IP与虚拟IP一致时自动获得直接成为Master运行时间优先优先级相同时运行VRRP时间更长的设备优先IP地址优先优先级和运行时间均相同时仅初始选举阶段IP地址大的设备优先。注意主备关系稳定建立后后续IP地址变更不会影响已确定的角色。5.3.2 角色切换触发条件心跳丢失Backup设备连续3个周期未收到Master的VRRP报文优先级变化备份组内出现更高优先级的设备默认开启抢占模式主动退出Master设备接口Down发送优先级为0的报文通知Backup切换上行故障通过接口监视功能自动降低Master优先级触发Backup抢占。5.4 关键补充免费ARP机制主备切换完成后新的Master会主动发送免费ARP报文无需终端请求以广播形式通告虚拟IP与虚拟MAC的映射关系强制刷新全网终端、交换机的ARP缓存确保流量无感知切换避免转发黑洞。六、VRRP 关键配置命令6.1 基础VRRP配置进入三层接口interface Vlan-interface10创建VRRP备份组并配置虚拟IPvrrp vrid1virtual-ip10.100.10.1配置VRRP优先级主设备高优先级vrrp vrid1priority120配置抢占延迟vrrp vrid1preempt-mode timer delay56.2 接口监视配置上行接口故障时降低优先级触发主备切换vrrp vrid1track interface GigabitEthernet1/0/1 reduced30说明GigabitEthernet 1/0/2 为上行接口故障时优先级降低 30110→80触发备份设备抢占。6.3 查看命令完整查看VRRP简要信息最常用display vrrp查看VRRP详细状态状态机、优先级、抢占、接口监视display vrrp verbose查看VRRP统计信息报文收发计数display vrrp statistics查看VRRP接口信息display vrrp interface查看指定VRID备份组信息display vrrp vrid1