VRRP简介

随着Internet的迅猛发展，基于网络的利用逐渐增多。这就对网络的可靠性提出了越来越高的恳求。斥资对所有网络设备进行更新当然是一种很好的可靠性解决方案；但本着掩护现有投资的角度考虑，可以采用便宜冗余的思路，在可靠性和经济性方面找到平衡点。

　　虚拟路由冗余协议就是一种很好的解决方案。在该协议中，对共享多存取访问介质（如以太网）上终端IP设备的默认网关(Default Gateway)进行冗余备份，从而在其中一台路由设备宕机时，备份路由设备及时吸收转发工作，向用户供给透明的切换，进步了网络服务质量。 

一、协议概述

　　在基于TCP/IP协议的网络中，为了保证不直接物理连接的设备之间的通信，必须指定路由。目前常用的指定路由的方法有两种：一种是通过路由协议（比如：内部路由协议RIP和OSPF）动态学习；另一种是静态配置。在每一个终端都运举动态路由协议是不现实的，大多客户端操作系统平台都不支撑动态路由协议，即使支撑也受到管理开销、收敛度、安全性等许多问题的限制。因此广泛采用对终端IP设备静态路由配置，一般是给终端设备指定一个或者多个默认网关(Default Gateway)。静态路由的方法简化了网络管理的复杂度和减轻了终端设备的通信开销，但是它仍然有一个弊病：如果作为默认网关的路由器损坏，所有利用该网关为下一跳主机的通信必定要中断。即便配置了多个默认网关，如不重新启动终端设备，也不能切换到新的网关。采用虚拟路由冗余协议 (Virtual Router Redundancy Protocol，简称VRRP)可以很好的避免静态指定网关的毛病。

　　在VRRP协议中，有两组重要的概念：VRRP路由器和虚拟路由器，主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器，是物理实体，虚拟路由器是指VRRP协议创立的，是逻辑概念。一组VRRP路由器协同工作，共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色：主控路由器和备份路由器，一个VRRP组中有且只有一台处于主控角色的路由器，可以有一个或者多个处于备份角色的路由器。VRRP协议利用选择策略从路由器组中选出一台作为主控，负责ARP相应和转发IP数据包，组中的其它路由器作为备份的角色处于待命状态。当由于某种原因主控路由器产生故障时，备份路由器能在几秒钟的时延后升级为主路由器。由于此切换非常迅速而且不用转变IP地址和MAC地址，故对终端利用者系统是透明的。 

二、工作原理

　　一个VRRP路由器有唯一的标识：VRID，领域为0—255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-00-01-[VRID]。主控路由器负责对ARP恳求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。

　　VRRP把持报文只有一种：VRRP通告(advertisement)。它利用IP多播数据包进行封装，组地址为224.0.0.18，发布领域只限于同一局域网内。这保证了VRID在不同网络中可以重复利用。为了减少网络带宽耗费只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在持续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。

　　在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级领域是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址雷同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者主动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时利用。可配置的优先级领域为1—254。优先级的配置原则可以根据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色涌现。对于雷同优先级的候选路由器，按照IP地址大小次序选举。VRRP还供给了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。

　　为了保证VRRP协议的安全性，供给了两种安全认证措施：明文认证和IP头认证。明文认证方法恳求：在参加一个VRRP路由器组时，必须同时供给雷同的VRID和明文密码。合适于避免在局域网内的配置弊病，但不能防止通过网络监听方法获得密码。IP头认证的方法供给了更高的安全性，能够防止报文重放和修正等攻击。

三、 利用实例

　　最范例的VRRP利用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。

　　在VRRP利用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以达到备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又进步了网络可靠性。

　　VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing Protocol）有许多类似之处。但二者重要的差别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。

　　利用VRRP协议，不用改革目前的网络结构，最大限度掩护了当前投资，只需最少的管理费用，却大大提升了网络性能，具有重大的利用价值。