VRRP簡介：

定義：

虛擬路由冗餘協議VRRP（Virtual Router Redundancy Protocol）通過把幾臺路由裝置聯合組成一臺虛擬的路由裝置，將虛擬路由裝置的IP地址作為使用者的預設閘道器實現與外部網路通訊。當閘道器裝置發生故障時，VRRP機制能夠選舉新的閘道器裝置承擔資料流量，從而保障網路的可靠通訊。

目的：

VRRP能夠在不改變組網的情況下，採用將多臺路由裝置組成一個虛擬路由器，通過配置虛擬路由器的IP地址為預設閘道器，實現預設閘道器的備份。當閘道器裝置發生故障時，VRRP機制能夠選舉新的閘道器裝置承擔資料流量，從而保障網路的可靠通訊。

收益：

在具有多播或廣播能力的區域網（如乙太網）中，藉助VRRP能在閘道器裝置出現故障時仍然提供高可靠的預設鏈路，無需修改主機及閘道器裝置的配置資訊便可有效避免單一鏈路發生故障後的網路中斷問題。

VRRP原理描述

VRRP概述：

• VRRP路由器（VRRP Router）：執行VRRP協議的裝置，它可能屬於一個或多個虛擬路由器。
• 虛擬路由器（Virtual Router）：又稱VRRP備份組，由一個Master裝置和多個Backup裝置組成，被當作一個共享區域網內主機的預設閘道器。
• Master路由器（Virtual Router Master）：承擔轉發報文任務的VRRP裝置。
• Backup路由器（Virtual Router Backup）：一組沒有擔轉發任務的VRRP裝置，當Master裝置出現故障時，它們將通過競選成為新的Master裝置。
• VRID：虛擬路由器的標識。
• 虛擬IP地址(Virtual IP Address)：虛擬路由器的IP地址，一個虛擬路由器可以有一個或多個IP地址，由使用者配置。
• IP地址擁有者（IP Address Owner）：如果一個VRRP裝置將虛擬路由器IP地址作為真實的介面地址，則該裝置被稱為IP地址擁有者。如果IP地址擁有者是可用的，通常它將成為Master。
• 虛擬MAC地址（Virtual MAC Address）：虛擬路由器根據虛擬路由器ID生成的MAC地址。一個虛擬路由器擁有一個虛擬MAC地址，格式為：00-00-5E-00-01-{VRID}(VRRP for IPv4)；00-00-5E-00-02-{VRID}(VRRP for IPv6)。
  當虛擬路由器迴應ARP請求時，使用虛擬MAC地址，而不是介面的真實MAC地址。

VRRP報文：

VRRP協議報文用來將Master裝置的優先順序和狀態通告給同一備份組的所有Backup裝置。

VRRP協議報文封裝在IP報文中，傳送到分配給VRRP的IP組播地址。在IP報文頭中，源地址為傳送報文介面的主IP地址（不是虛擬IP地址），目的地址是224.0.0.18，TTL是255，協議號是112。

VRRP報文的IP頭中，TTL必須為255。當VRRP路由器收到TTL不等於255的VRRP協議報文後，必須丟棄。

主IP地址（Primary IP Address）：從介面的真實IP地址中選出來的一個主用IP地址，通常選擇配置的第一個IP地址。

目前，VRRP協議包括兩個版本：VRRPv2和VRRPv3。VRRPv2僅適用於IPv4網路，VRRPv3適用於IPv4和IPv6兩種網路。

基於不同的網路型別，VRRP可以分為VRRP for IPv4和VRRP for IPv6（簡稱VRRP6）。VRRP for IPv4支援VRRPv2和VRRPv3，而VRRP for IPv6僅支援VRRPv3。

VRRP報文結構：

圖：VRRPv2報文結構

圖：VRRPv3報文結構

欄位解釋：

欄位	長度	描述
Version	4位元	指VRRP協議版本，VRRPv2此欄位為2，VRRPv3此欄位為3。
Type	4位元	定義了VRRP報文的型別。本版本的協議僅定義了一個報文型別：1：ADVERTISEMENT 帶有未知型別的報文必須被丟棄。
Virtual Rtr ID8	8位元	虛擬路由器標識（VRID）欄位標識了此報文所報告狀態的虛擬路由器。可配置的範圍是1–255。沒有預設值。
Priority	8位元	Priority欄位申明瞭傳送此報文的VRRP路由器的優先順序。值越高優先順序越高。該欄位為8位無符號整型。如果VRRP路由器是虛擬路由器地址的IP地址所有者，那麼其優先順序必須為255。起備用作用的VRRP路由器的優先順序必須在1–254之間。預設的VRRP路由器優先順序為100。優先順序值0 用於指示當前虛擬路由器的主路由器停止參與VRRP組。主要用於觸發備用路由器快速地遷移到主路由器，而不用等待當前主路由器超時。
Count IP Addrs	8位元	在此VRRP通告中包含的IP地址的數量。
Auth Type	8位元	認證型別欄位用於標識要用到的認證方法。在一個虛擬路由器組內認證型別是唯一的。認證型別欄位是一個8位無符號整型。如果報文攜帶未知的認證型別或者該認證型別和本地配置的認證方法不匹配，那麼該報文必須被丟棄。目前定義的認證方法有：0 : No Authentication 不認證該認證型別表明VRRP協議報文的交換不需要認證。在傳送VRRP協議報文時，Authentication Data 欄位將被置為0；而在接收協議報文時，Authentication Data 欄位被忽略。 1 : Simple Text Password，表示明文認證方式。2: IP Authentication Header，表示MD5認證方式。
Adver Int	8位元	VRRP通告間隔時間，單位為秒。預設為1秒。這個欄位主要用於錯誤配置路由器時的故障定位和解決。
Checksum	16位元	16位校驗和，用於檢測VRRP報文中的資料破壞情況。
IP Address	32位元	VRRP備份組的虛擬IPv4地址 或者虛擬IPv6地址
Authentication Data	32位元	VRRP報文的認證字。目前只有明文認證和MD5認證才用到該部分，對於其它認證方式，一律填0。

VRRP報文主要區別：

• 支援的網路型別不同。VRRPv3適用於IPv4和IPv6兩種網路，而VRRPv2僅適用於IPv4網路。

• 認證功能不同。VRRPv3不支援認證功能，而VRRPv2支援認證功能。

  VRRPv2版本保留報文的認證欄位，是為了相容早期版本（RFC2338），VRRP認證並不能提高安全性。

• 傳送通告報文的時間間隔的單位不同。VRRPv3支援的是釐秒級，而VRRPv2支援的是秒級。

VRRP認證：

• 無認證方式：裝置對要傳送的VRRP通告報文不進行任何認證處理，收到通告報文的裝置也不進行任何認證，認為收到的都是真實的、合法的VRRP報文。
• 簡單字元（Simple）認證方式：傳送VRRP通告報文的裝置將認證方式和認證字填充到通告報文中，而收到通告報文的裝置則會將報文中的認證方式和認證字與本端配置的認證方式和認證字進行匹配。如果相同，則認為接收到的報文是合法的VRRP通告報文；否則認為接收到的報文是一個非法報文，並丟棄這個報文。
• MD5認證方式：傳送VRRP通告報文的裝置利用MD5演算法對認證字進行加密，加密後儲存在Authentication Data欄位中。收到通告報文的裝置會對報文中的認證方式和解密後的認證字進行匹配，檢查該報文的合法性。

VRRP報文抓包示例：

圖：VRRPv2報文抓包示例

圖：VRRPv3報文抓包示例

VRRP工作原理：

VRRP狀態機：

VRRP協議中定義了三種狀態機：初始狀態（Initialize）、活動狀態（Master）、備份狀態（Backup）。其中，只有處於Master狀態的裝置才可以轉發那些傳送到虛擬IP地址的報文。

Initialize：

• 該狀態為VRRP不可用狀態，在此狀態時裝置不會對VRRP報文做任何處理。
• 通常剛配置VRRP時或裝置檢測到故障時會進Initialize狀態。
• 收到介面Up的訊息後，如果裝置的優先順序為255，則直接成為Master裝置；如果裝置的優先順序小於255，則會先切換至Backup狀態。

Masster：

當VRRP裝置處於Master狀態時，它將會做下列工作：

• 定時（Advertisement Interval）傳送VRRP通告報文。
• 以虛擬MAC地址響應對虛擬IP地址的ARP請求。
• 轉發目的MAC地址為虛擬MAC地址的IP報文。
• 如果它是這個虛擬IP地址的擁有者，則接收目的IP地址為這個虛擬IP地址的IP報文。否則，丟棄這個IP報文。
• 如果收到比自己優先順序大的報文，立即成為Backup。
• 如果收到與自己優先順序相等的VRRP報文且本地介面IP地址小於對端介面IP，立即成為Backup。

Backup：

• 當VRRP裝置處於Backup狀態時，它將會做下列工作：

• 接收Master裝置傳送的VRRP通告報文，判斷Master裝置的狀態是否正常。

• 對虛擬IP地址的ARP請求，不做響應。

• 丟棄目的IP地址為虛擬IP地址的IP報文。

• 如果收到優先順序和自己相同或者比自己大的報文，則重置Master_Down_Interval定時器，不進一步比較IP地址。

  Master_Down_Interval定時器：Backup裝置在該定時器超時後仍未收到通告報文，則會轉換為Master狀態。計算公式如下：Master_Down_Interval=(3*Advertisement_Interval) + Skew_time。其中，Skew_Time=(256–Priority)/256。

• 如果收到比自己優先順序小的報文且該報文優先順序是0時，定時器時間設定為Skew_time（偏移時間），如果該報文優先順序不是0，丟棄報文，立刻成為Master。

VRRP的工作過程：

VRRP的工作過程如下：

1. VRRP備份組中的裝置根據優先順序選舉出Master。Master裝置通過傳送免費ARP報文，將虛擬MAC地址通知給與它連線的裝置或者主機，從而承擔報文轉發任務。
2. Master裝置週期性向備份組內所有Backup裝置傳送VRRP通告報文，以公佈其配置資訊（優先順序等）和工作狀況。
3. 如果Master裝置出現故障，VRRP備份組中的Backup裝置將根據優先順序重新選舉新的Master。
4. VRRP備份組狀態切換時，Master裝置由一臺裝置切換為另外一臺裝置，新的Master裝置會立即傳送攜帶虛擬路由器的虛擬MAC地址和虛擬IP地址資訊的免費ARP報文，重新整理與它連線的主機或裝置中的MAC表項，從而把使用者流量引到新的Master裝置上來，整個過程對使用者完全透明。
5. 原Master裝置故障恢復時，若該裝置為IP地址擁有者（優先順序為255），將直接切換至Master狀態。若該裝置優先順序小於255，將首先切換至Backup狀態，且其優先順序恢復為故障前配置的優先順序。

6. Backup裝置的優先順序高於Master裝置時，由Backup裝置的工作方式（搶佔方式和非搶佔方式）決定是否重新選舉Master。

   • 搶佔模式：在搶佔模式下，如果Backup裝置的優先順序比當前Master裝置的優先順序高，則主動將自己切換成Master。

   • 非搶佔模式：在非搶佔模式下，只要Master裝置沒有出現故障，Backup裝置即使隨後被配置了更高的優先順序也不會成為Master裝置。

   • Master裝置的選舉。

   • Master裝置狀態的通告

Master裝置的選舉

VRRP根據優先順序來確定虛擬路由器中每臺裝置的角色（Master裝置或Backup裝置）。優先順序越高，則越有可能成為Master裝置。

• 如果VRRP報文中Master裝置的優先順序高於或等於自己的優先順序，則Backup裝置保持Backup狀態。
• 如果VRRP報文中Master裝置的優先順序低於自己的優先順序，採用搶佔方式的Backup裝置將切換至Master狀態，採用非搶佔方式的Backup裝置仍保持Backup狀態。
• 如果多個VRRP裝置同時切換到Master狀態，通過VRRP通告報文的互動進行協商後，優先順序較低的VRRP裝置將切換成Backup狀態，優先順序最高的VRRP裝置成為最終的Master裝置；優先順序相同時，VRRP裝置上VRRP備份組所在介面主IP地址較大的成為Master裝置。
• 如果建立的VRRP裝置為IP地址擁有者，收到介面Up的訊息後，將會直接切換至Master狀態。

Master裝置狀態的通告

• 當Master裝置主動放棄Master地位（如Master裝置退出備份組）時，會發送優先順序為0的通告報文，用來使Backup裝置快速切換成Master裝置，而不用等到Master_Down_Interval定時器超時。這個切換的時間稱為Skew time，計算方式為：（256－Backup裝置的優先順序）/256，單位為秒。
• 當Master裝置發生網路故障而不能傳送通告報文的時候，Backup裝置並不能立即知道其工作狀況。等到Master_Down_Interval定時器超時後，才會認為Master裝置無法正常工作，從而將狀態切換為Master。其中，Master_Down_Interval定時器取值為：3×Advertisement_Interval＋Skew_time，單位為秒。

在效能不穩定的網路中，網路堵塞可能導致Backup裝置在Master_Down_Interval期間沒有收到Master裝置的報文，Backup裝置則會主動切換為Master。如果此時原Master裝置的報文又到達了，新Master裝置將再次切換回Backup。如此則會出現VRRP備份組成員狀態頻繁切換的現象。為了緩解這種現象，可以配置搶佔延時，使得Backup裝置在等待了Master_Down_Interval後，再等待搶佔延遲時間。如在此期間仍沒有收到通告報文，Backup裝置才會切換為Master裝置。

VRRP負載分擔：

負載分擔是指多個VRRP備份組同時承擔業務，VRRP負載分擔與VRRP主備備份的基本原理和報文協商過程都是相同的。同樣對於每一個VRRP備份組，都包含一個Master裝置和若干Backup裝置。與主備備份方式不同點在於：負載分擔方式需要建立多個VRRP備份組，各備份組的Master裝置可以不同；同一臺VRRP裝置可以加入多個備份組，在不同的備份組中具有不同的優先順序。

多閘道器負載分擔：

通過建立多個帶虛擬IP地址的VRRP備份組，為不同的使用者指定不同的VRRP備份組作為閘道器，實現負載分擔。

VRRP筆記：

VRRP報文通告是通過組播來通告的，組播地址：224.0.0.18,組播MAC：01-00-5e-00-00-12,VRRP是三層協議，通過IP協議承載，協議號112。同時IP包中的TTL值為255。

VRRP需要通過VRRP報文來選舉Master和Backup,只有Master才能裝發資料，而backup不裝發資料，收到資料幀後丟棄。

如何選舉Master和Backup？

1. 比較優先順序，預設情況下優先順序為100，最大可以配置的優先順序為1-254，優先順序越大越優。

   255（V-IP = Interface ip），優先順序如果為0，說明退出Master（Master離組，例如在Master的介面下刪除VRRP配置）

2. 如果優先順序一樣，IP地址大的一端成為Master。

Master：

1. 可以裝發報文。
2. 應答 ARP請求。
3. 通告基於VIP的免費ARP。
4. master定時通告VRRP報文。

Backup：

1. 如果backup接收到目標mac為虛擬mac地址的資料幀，丟棄不轉發。
2. backup被動接收vrrp報文，不通告。

影響VRRP協商的條件：

1. IP包頭中的TTL值必須為255.
2. 版本必須一致。
3. VRRP報文中的欄位必須一致。（Authen date）
4. VRID必須一致。
5. 認證型別和認證必須一致。
6. VIP（Count ip address）列表必須一致。
7. VRRP報文通告間隔必須一致（華為Backup會使用master端的通告間隔）
8. checksum必須一致。

VRRP應用

VRRP與介面狀態聯動監視上行介面：

VRRP備份組只能感知其所在介面狀態的變化，當VRRP裝置上行介面或直連鏈路發生故障時，VRRP無法感知，此時會引起業務流量中斷。通過部署VRRP與介面狀態聯動監視上行介面可以有效地解決上述問題，當Master裝置的上行介面或直連鏈路發生故障時，通過調整自身優先順序，觸發主備切換，確保流量正常轉發。

• 如果VRRP裝置上配置以Increased方式監視一個介面，當被監視的介面狀態變成Down後，該VRRP裝置的優先順序增加指定值。
• 如果VRRP裝置上配置以Reduced方式監視一個介面，當被監視的介面狀態變為Down後，該VRRP裝置的優先順序降低指定值。

VRRP與BFD/NQA/路由聯動監視上行鏈路：

VRRP只能感知VRRP備份組之間的故障，而配置VRRP監視上行介面僅能感知Master裝置上行介面或直連鏈路的故障，當Master裝置上行非直連鏈路故障時，VRRP無法感知，此時會導致使用者流量丟失。通過部署VRRP與BFD/NQA/路由聯動監視上行鏈路，可以有效地解決上述問題。通過配置BFD/NQA/路由檢測Master上行鏈路的連通狀況，當Master裝置的上行鏈路發生故障時，BFD/NQA/路由可以快速檢測故障並通知Master裝置調整自身優先順序，觸發主備切換，確保流量正常轉發。

VRRP與BFD聯動實現快速切換：

VRRP備份組通過收發VRRP協議報文進行主備狀態的協商，以實現裝置的冗餘備份功能。當VRRP備份組之間的鏈路出現故障時，Backup裝置需要等待Master_Down_Interval後才能感知故障並切換為Master裝置，切換時間通常在3秒以上。在等待切換期間內，業務流量仍會發往Master裝置，此時會造成資料丟失。通過部署VRRP與BFD聯動功能，可以有效解決上述問題。通過在Master裝置和Backup裝置之間建立BFD會話並與VRRP備份組進行繫結，快速檢測VRRP備份組之間的連通狀態，並在出現故障時及時通知VRRP備份組進行主備切換，實現了毫秒級的切換速度，減少了流量丟失。

VRRP支援與靜態的BFD會話型別或靜態識別符號自協商的BFD會話型別的聯動。

VRRP配置

配置注意事項：

在路由器上部署VRRP功能時需注意：

• 不同備份組之間的虛擬IP地址不能重複，並且必須和介面的IP地址在同一網段。
• 保證同一備份組的裝置上配置相同的備份組號（virtual-router-id）。
• 不同介面上可以繫結相同virtual-router-id的VRRP備份組。
• 在裝置上同時配置VRRP和靜態ARP時，需要注意：當在Dot1q終結子介面、QinQ終結子介面或者VLANIF介面下配置VRRP時，不能將與這些介面相關的靜態ARP表項對應的對映IP地址作為VRRP的虛擬地址。否則會生成錯誤的主機路由，影響裝置之間的正常轉發。
• 如果VRRP備份組內各路由器上配置的VRRP協議版本不同，可能導致VRRP報文不能互通。

預設配置：

引數	預設值
裝置在VRRP備份組中的優先順序	100
搶佔方式	立即搶佔
通告報文傳送間隔	1秒
傳送免費ARP報文時間間隔	120秒

配置基於IPv4的VRRP基本功能：

建立VRRP備份組：

[介面檢視] vrrp vrid 1 virtual-ip 192.168.1.1
//建立VRRP備份組並給備份組配置虛擬IP地址。

• 多閘道器負載分擔

  實現多閘道器負載分擔，需要重複執行上述“主備備份”的操作步驟，在介面上配置兩個或多個VRRP備份組，各備份組之間以備份組號（virtual-router-id）區分。

配置裝置在備份組中的優先順序：

VRRP根據優先順序決定裝置在備份組中的地位，優先順序越高，越可能成為Master裝置。通過配置優先順序，可以指定Master裝置，以承擔流量轉發業務。

[介面檢視] vrrp vrid 1 priority 100
//配置路由器在備份組中的優先順序。
//預設情況下，優先順序的取值是100。數值越大，優先順序越高。

• 優先順序0被系統保留作為特殊用途；優先順序值255保留給IP地址擁有者。通過命令可以配置的優先順序取值範圍是1～254。
• IP地址擁有者的優先順序固定為255，使用者不能手動修改。但是，使用者可以通過vrrp vrid virtual-router-id priority priority-value為IP地址擁有者配置一個非255的優先順序（該優先順序不會取代255，不生效），當VRRP備份組不再是IP地址擁有者時，其優先順序為配置的優先順序。
• 優先順序取值相同的情況下，同時競爭Master時，備份組所在介面的主IP地址較大的成為Master裝置；VRRP備份組中先切換至Master狀態的裝置為Master裝置，其餘Backup裝置不再進行搶佔。

配置VRRP協議的版本：

基於IPv4的VRRP支援VRRPv2和VRRPv3兩個版本。如果VRRP備份組內各路由器上配置的協議版本不同，可能導致VRRP報文不能互通。

• 配置了v2版本的備份組：只能傳送和接收v2版本的VRRP通告報文。如果接收到v3版本的VRRP通告報文，則將此報文丟棄。
• 配置了v3版本的備份組：能接收v2或v3版本的VRRP通過報文，傳送報文的格式可以選擇配置，包括僅傳送v2版本報文、僅傳送v3版本報文和既傳送v2版本報文也傳送v3版本報文。使用時可以根據需要進行配置。

vrrp version { v2 | v3 }
//配置當前裝置的VRRP協議版本號。 預設v2。

vrrp version-3 send-packet-mode { v2-noly | v3-only | v2v3-both }
//配置VRRPv3傳送通告報文的模式。
//預設情況下，VRRPv3版本備份組傳送通告報文的模式為v3-only。

配置VRRP的時間引數:

功能	應用場景
配置VRRP通告報文的傳送間隔	Master裝置定時（Advertisement_Interval）向組內的Backup裝置傳送VRRP通告報文，通告自己工作正常。如果Backup裝置在Master_Down_Interval定時器超時後仍未收到VRRP通告報文，則重新選舉Master。網路流量過大或裝置的定時器差異等因素會導致Backup裝置無法及時接收到VRRP報文而發生狀態轉換，當原Master傳送的報文到達新Master時，新Master將再次發生狀態切換。通過延長Master裝置傳送VRRP報文的時間間隔可以解決此類問題。
配置路由器在VRRP備份組中的搶佔延時	在不穩定的網路中，可能存在VRRP備份組監測的BFD等狀態頻繁振盪或Backup裝置不能及時收到VRRP通告報文的情況，導致VRRP發生頻繁切換而造成網路振盪。通過調整路由器在VRRP備份組中的搶佔延時，使Backup裝置在指定的時間後再進行搶佔，有效避免了VRRP備份組狀態的頻繁切換。
配置Master裝置傳送免費ARP報文的超時時間	VRRP備份組中，為了確保下游交換機的MAC表項正確，Master裝置會定時傳送免費ARP報文，用來重新整理下游交換機上的MAC地址表項。說明： 為避免VRRP協議震盪，請不要在VRRP備用裝置上把系統MAC或VRRP虛MAC等一些特殊的MAC地址配置成黑洞MAC。
配置VRRP備份組的狀態恢復延遲時間	在不穩定的網路中，VRRP備份組監測的BFD或介面等狀態頻繁振盪會導致VRRP備份組狀態頻繁切換。通過配置VRRP備份組的狀態恢復延遲時間，VRRP備份組在接收到介面或BFD會話的Up事件時不會立刻響應，而是等待配置的狀態恢復的延遲時間後，再進行相應的處理，防止因介面或BFD會話的頻繁震盪而導致的VRRP狀態的頻繁切換。

[介面檢視] vrrp vrid 1 timer advertise 1
  //置傳送VRRP通告報文的時間間隔。 
  //預設情況下，傳送VRRP通告報文的時間間隔是1秒。

 [介面檢視] vrrp vrid 1 preempt-mode timer delay 0
 //配置備份組中路由器的搶佔延遲時間。 
 //預設情況下，搶佔延遲時間為0，即立即搶佔。
 vrrp vrid 1 preempt-mode disable
 //設定備份組中路由器採用非搶佔方式。

 vrrp gratuitous-arp timeout 120
//配置Master傳送免費ARP報文的超時時間。 
//預設情況下，Master每隔120秒傳送一次免費ARP報文。
vrrp gratutious-arp timeout disable
//禁止傳送免費ARP

vrrp recover-deley 0
//配置VRRP備份組的狀態恢復延遲時間。 
//預設情況下，VRRP備份組狀態恢復延遲時間為0秒。

• 在配置VRRP備份組內各路由器的延遲方式時，建議Backup裝置配置為立即搶佔，Master裝置配置為延時搶佔，指定一定的延遲時間。這樣配置的目的是為了在網路環境不穩定時，為上下行鏈路的狀態恢復一致性等待一定時間，以免出現雙Master裝置或由於主備雙方頻繁搶佔導致使用者裝置學習到錯誤的Master裝置地址。
• 配置的Master裝置傳送免費ARP報文超時時間應小於使用者側裝置的MAC地址表項老化時間。

配置VRRP報文在Sub-VLAN中的傳送方式：

當VRRP備份組配置在VLAN聚合時，使用者可以通過命令列配置，使VRRP報文在指定的Sub-VLAN中傳輸，避免VRRP通告報文在所有Sub-VLAN內廣播，以節約網路頻寬。

vrrp advertise send-mode { sub-vlan | all}
//配置VRRP通告報文在Super-VLAN中的傳送方式。

預設情況下，Master裝置向Super-VLAN中狀態為Up且VLAN ID最小的Sub-VLAN傳送VRRP通告報文。

• 如果指定引數sub-vlan-id，VRRP通告報文只發送給指定ID的Sub-VLAN。
• 如果指定引數all，VRRP通告報文傳送給本Super-VLAN的所有Sub-VLAN。

配置禁止檢測VRRP報文跳數：

系統對收到的VRRP通告報文的TTL值進行檢測，如果TTL值不等於255，則丟棄這個報文。在不同裝置製造商的裝置配合使用的組網環境中，檢測VRRP報文的TTL值可能導致錯誤地丟棄合法報文，此時使用者可以配置系統不檢測VRRP報文的TTL值，以實現不同裝置製造商裝置之間的互通。

vrrp un-check ttl
//禁止檢測VRRP報文的TTL值。 

配置VRRP報文的認證方式：

VRRPv2支援在通告報文中設定不同的認證方式和認證字。

• 無認證方式：裝置對要傳送的VRRP通告報文不進行任何認證處理，收到通告報文的裝置也不進行任何認證，認為收到的都是真實的、合法的VRRP報文。
• 簡單字元（Simple）認證方式：傳送VRRP通告報文的裝置將認證方式和認證字填充到通告報文中，而收到通告報文的裝置則會將報文中的認證方式和認證字與本端配置的認證方式和認證字進行匹配。如果相同，則認為接收到的報文是合法的VRRP通告報文；否則認為接收到的報文是一個非法報文，並丟棄這個報文。
• MD5認證方式：傳送VRRP通告報文的裝置利用MD5演算法對認證字進行加密，加密後儲存在Authentication Data欄位中。收到通告報文的裝置會對報文中的認證方式和解密後的認證字進行匹配，檢查該報文的合法性。

注：目前僅VRRPv2版本支援認證，VRRPv3版本不支援認證。VRRPv2版本保留報文的認證欄位，是為了相容早期版本（RFC2338），VRRP認證並不能提高安全性。

vrrp vrid 1 authentication-mode { simple {key | plain key | cipher cipher-key} | md5 md5-key}
//配置VRRP報文認證方式。 

使能虛擬IP地址Ping功能：

路由器支援對虛擬IP地址的Ping功能，可用於：

• 檢測備份組中的Master裝置是否起作用。
• 檢測是否能通過使用某虛擬IP地址作為預設閘道器與外部通訊。

vrrp virtual-ip ping enable
//使能虛擬地址可達性功能。 
//預設情況下，該功能處於使能狀態，Master裝置響應對本備份組虛擬IP地址的Ping報文。

vrrp arp send-mode simple
//使能Master裝置使用QinQ終結子介面下配置的外層Tag
//的VLAN和內層Tag段內的第一個VLAN傳送免費ARP報文。

VRRP配置綜合實驗示例：

如下圖拓撲，AR1，AR2為內網路由器，配置VRRP虛擬IP實現備份。同時在AR1與AR2之間配置了BFD，使它們之間可以快速檢測鏈路故障。

AR3,4,5為外網路由器。在AR1與AR3上配置了上行介面檢測，當上行介面GE1/0/0狀態Down時，VRRP備份組能夠及時感知並進行主備切換，由AR2接替作為閘道器繼續承擔業務轉發，以減小介面狀態Down對業務傳輸的影響。

在AR2和上還配置了IP檢測，檢測到4.4.4.4 的鏈路是否有故障。 配置VRRP與路由聯動監視上行鏈路。當非直連上行鏈路Down時，VRRP優先順序自動降低，實現主備快速切換。

在AR1和AR2上還配置了負載分擔。現在內網流量通過不同閘道器走不同路由器。

在AR2上配置的檢測到4.4.4.4網段的NQA，ICMP直連檢測，當傳輸質量低於百分之八十時，VRRP vrid 2 優先順序自動降低，實現主備快速切換。

圖：VRRP綜合實驗拓撲圖

配置檔案：

AR1：

<AR1>dis current-configuration 
#
 sysname AR1
#
vrrp gratuitous-arp timeout 100
//配置免費ARP傳送時間間隔為100s
vrrp version v3
//VRRP選擇版本v3
vrrp recover-delay 3
//VRRP 恢復延遲3s
#
bfd
#
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 10 permit source 192.168.2.0 0.0.0.255 
 rule 15 deny 
#
interface GigabitEthernet0/0/0
 ip address 13.1.1.1 255.255.255.0 
 nat outbound 2000 
  //nat ，easy IP，實現內網到外網的地址轉換
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.1 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.1.254
 vrrp vrid 1 priority 110
 vrrp vrid 1 timer advertise 2
 vrrp vrid 1 track interface GigabitEthernet0/0/0 reduced 30
 vrrp vrid 1 version-3 send-packet-mode v2v3-both
 vrrp vrid 1 track ip route 4.4.4.4 255.255.255.0 reduced 30
 vrrp vrid 1 authentication-mode md5 %$%$[U*W7Y)upJ3N*0#HA_x~~A=8%$%$
 //VRRP vrid 1 認證密碼 huawei
 vrrp vrid 2 virtual-ip 192.168.1.253
 vrrp vrid 2 version-3 send-packet-mode v2v3-both
#
bfd 1 bind peer-ip 192.168.1.2 source-ip 192.168.1.1 auto
 commit
#
rip 1
 version 2
 network 13.0.0.0
#

AR2：

<AR2>display current-configuration 
#
 sysname AR2
#
bfd
#
acl number 2000  
 rule 5 permit source 192.168.1.0 0.0.0.255 
 rule 10 permit source 192.168.2.0 0.0.0.255 
 rule 15 deny 
#
interface GigabitEthernet0/0/0
 ip address 25.1.1.2 255.255.255.0 
 nat outbound 2000
#
interface GigabitEthernet0/0/1
 ip address 192.168.1.2 255.255.255.0 
 vrrp vrid 1 virtual-ip 192.168.1.254
 vrrp vrid 1 preempt-mode timer delay 3
 vrrp vrid 1 authentication-mode md5 %$%$)[email protected]_0,Yx^/~BLU%$%$
 vrrp vrid 2 virtual-ip 192.168.1.253
 vrrp vrid 2 track nqa vrrp test reduced 20
#
interface GigabitEthernet0/0/2
#
interface NULL0
#
bfd 1 bind peer-ip 192.168.1.1 source-ip 192.168.1.2 auto
 commit
#
rip 1
 version 2
 network 25.0.0.0
#
nqa test-instance vrrp test 
 test-type icmp
 destination-address ipv4 4.4.4.4
 fail-percent 80
 frequency 20
 probe-count 5
 start now
#

AR3：

<AR3>dis current-configuration 
#
 sysname AR3
#
interface GigabitEthernet0/0/0
 ip address 13.1.1.3 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 23.1.1.3 255.255.255.0 
#
interface GigabitEthernet0/0/2
 ip address 34.1.1.3 255.255.255.0 
#
rip 1
 version 2
 network 34.0.0.0
 network 13.0.0.0
#

AR4：

<AR4>dis current-configuration 
#
 sysname AR4
#
interface GigabitEthernet0/0/0
 ip address 34.1.1.4 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 45.1.1.4 255.255.255.0 
#
interface LoopBack0
 ip address 4.4.4.4 255.255.255.255 
#
rip 1
 version 2
 network 34.0.0.0
 network 45.0.0.0
 network 4.0.0.0
#

AR5：

[AR5]dis current-configuration 
#
 sysname AR5
#
interface GigabitEthernet0/0/0
 ip address 45.1.1.5 255.255.255.0 
#
interface GigabitEthernet0/0/1
 ip address 25.1.1.5 255.255.255.128 
#
rip 1
 version 2
 network 25.0.0.0
 network 45.0.0.0

在AR1上VRRP的資訊狀態：

圖：AR1上的VRRP的資訊