您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
VRRP协议的研究改进及其在路由器上的实现.pdf70页
本文档一共被下载：
次 ,您可免费全文在线阅读后下载本文档
文档加载中...广告还剩秒
需要金币：200 &&
你可能关注的文档：
··········
··········
硕士学位论文
VRRP协议的研究改进及其在路由器上的实现
姓名：孙虎
申请学位级别：硕士
专业：软件工程
指导教师：成良玉
中山人学硕I：学位论文
VRRP协议的研究改进及其在路由器上的实现
论文题目：
VRRP协议的研究改进及其在路由器上的实现
指导教师：
成良玉教授
Protocol―VRRP 是为
虚拟路由器冗余协议 VirtualRedundancy
解决静态路由单一故障点的问题提出来的，该协议一般运行在局域网边界网关
上，实现终端用户与网络的联系可靠、稳定、不中断。
本文以VRRP协议为研究对象，从理论分析和实现两个层面对其做了一次完整
而深入的探讨。并针对VRRP协议及其应用中的问题提出了一些解决思路。对于实
现VRRP对客户端的“完全透明”给出了具体可行的方案。
本文详细介绍了VRRP的工作原理和协议内容。分析总结了VRRP协议相对于类
似协议的优点和不足。
深入研究分析了VRRP协议及其在实际应用中存在的问题，并给出了相应的解
决方案。包括安全认证机制的改进、动态负载均衡解决思路、VRRP协议性能的优
化以及其他问题的处理。
其中，创新性的提出了DHCP协议和VRRP协议配合使用，以简化VRRP网络中终
端主机的配置，提高其性能；这一创新实现了VRRP对客户端的“完全透明”。
台，给出了VRRP协议的一个完整可
正在加载中，请稍后...VRRP原理和配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者贡献于
评价文档：
24页免费26页免费26页免费26页免费26页免费 26页免费26页免费25页免费26页免费14页免费
喜欢此文档的还喜欢23页免费60页免费26页免费25页1下载券6页免费
VRRP原理和配置|V​R​R​P​原​理​和​配​置
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
大小：1.27MB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢文档贡献者
免责声明：本人所有资料来自网络和个人所创，版权归原作者所有，请注意保护知识产权，如有需要请购买正版图书，请您下载后勿作商用，于24小时内删除，本人所提供资料仅为方便学习交流。 本人如有侵犯作者权益，请作者联系官方或本人,本人将立即删除。
下载此文档
正在努力加载中...
交换机VRRP配置
文档星级：
内容提示：交换机VRRP配置
文档格式：DOC|
浏览次数：17|
上传日期： 08:07:50|
下载积分：
该用户还上传了这些文档
官方公共微信
下载文档:交换机VRRP配置.DOC补充： VRRP原理及配置_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
文档贡献者贡献于
评价文档：
24页免费26页1下载券18页2下载券40页1下载券34页1下载券 24页1下载券15页免费13页免费25页免费22页2下载券
喜欢此文档的还喜欢7页2下载券12页1下载券2页3下载券3页1下载券6页7下载券
补充： VRRP原理及配置|第​一​讲​ ​网​络​系​统​集​成​概​述​
​
​第​二​讲​ ​家​庭​/​S​O​H​O​网​络​
​
​第​三​讲​ ​中​小​型​办​公​网​络​
​
​第​四​讲​ ​中​小​企​业​双​出​口​网​络​
​
​第​五​讲​ ​大​型​单​核​网​络​
​
​第​六​讲​ ​大​型​安​全​网​络​
​
​第​七​讲​ ​大​型​双​核​网​络​
​
​第​八​讲​ ​锐​捷​网​络​防​火​墙​技​术​
​
​第​九​讲​ ​项​目​集​成​实​施​
​
​第​十​讲​ ​网​络​设​备​接​口​互​联
把文档贴到Blog、BBS或个人站等：
普通尺寸(450*500pix)
较大尺寸(630*500pix)
大小：429.00KB
登录百度文库，专享文档复制特权，财富值每天免费拿！
你可能喜欢HSRP、VRRP、GLBP
●IP主机可以使用许多方法来确定其默认网关——前面我们介绍的DHCP、BOOTP以及IRDP（ICMP路由器发现协议）、手工配置都可以做到。而HSRP（Hot
Standby Router Protocol）、VRRP（Virtual Router Redundancy
Protocol）和GLBP（Gateway Load Balancing
Protocol）用来解决确定这个网关之后的一些相关问题。
●HSRP允许多个路由器共享一个虚拟IP和MAC地址，这样如果其中一台路由器失效了，终端用户也不会察觉到。HSRP的关键特性如下：
1）在主路由器上激活虚拟IP地址和虚拟MAC地址
2）备用路由器监听由激活的路由器发来的Hello消息
3）由最高优先权决定激活路由器，默认情况下不允许抢占
4）支持追踪（Tracking），当追踪对象失效时，路由器的优先值随之降低
5）一个接口最多有255个HSRP组，支持管理级别的负载均衡
6）虚拟MAC地址的格式：.ACxx（xx表示HSRP组的十六进制表示）
7）虚拟IP地址必须与路由器的端口在同一子网中
8）支持明文和MD5认证（通过密钥链）
因为HSRP一次仅使用一个激活路由器，而其他路由器都是空闲的。为了提供负载均衡，又引入了MHSRP（多HSRP）。在MHSRP中，在每个HSRP的LAN接口上配置了两个或更多HSRP组，由配置的优先级决定哪个路由器对哪个HSRP组是激活的。
●HSRP是Cisco私有协议，而VRRP（RFC 3768）是提供同样功能的标准化协议。它与HSRP的区别在于：
1）VRRP使用多播虚拟MAC地址（.01xx）（xx是VRRP组号的十六进制表示）
2）VRRP使用IOS对象追踪特性，而不采用内部追踪机制来追踪接口状态
3）VRRP的主（Master）与HSRP的激活（Active）同义
4）在VRRP中，VRRP组的IP地址就是某个VRRP路由器的接口IP地址
●GLBP是更新的Cisco私有协议，它加入了负载均衡特性和网关冗余特性。虽然主机仍然指向一个默认网关，但是GLBP使得不同主机发送流量到GLBP组中四个路由器中的一个。为此，GLBP动态虚拟网关（AVG）分配组中每个路由器一个唯一虚拟MAC地址，格式为.xxyy（这里xx是GLBP组号，而yy是每个路由器的不同号（01，02，0或04））。当客户端ARP其默认网关时，GLBP
AVG响应四个可能虚拟MAC中的一个，这样就实现了负载均衡。
Cisco对每条物理连接支持最多1024个GLBP组，每组最多支持4台主机。
————————————————————&
　　HSRP：热备份路由器协议（HSRP：Hot Standby Router Protocol）
　　热备份路由器协议（HSRP）的设计目标是支持特定情况下 IP
流量失败转移不会引起混乱、并允许主机使用单路由器，以及即使在实际第一跳路由器使用失败的情形下仍能维护路由器间的连通性。换句话说，当源主机不能动态知道第一跳路由器的
IP 地址时，HSRP 协议能够保护第一跳路由器不出故障。该协议中含有多种路由器，对应一个虚拟路由器。HSRP
协议只支持一个路由器代表虚拟路由器实现数据包转发过程。终端主机将它们各自的数据包转发到该虚拟路由器上。
　　负责转发数据包的路由器称之为主动路由器（Active Router）。一旦主动路由器出现故障，HSRP
将激活备份路由器（Standby Routers）取代主动路由器。HSRP
协议提供了一种决定使用主动路由器还是备份路由器的机制，并指定一个虚拟的 IP
地址作为网络系统的缺省网关地址。如果主动路由器出现故障，备份路由器（Standby
Routers）承接主动路由器的所有任务，并且不会导致主机连通中断现象。
　　HSRP 运行在 UDP 上，采用端口号1985。路由器转发协议数据包的源地址使用的是实际 IP
地址，而并非虚拟地址，正是基于这一点，HSRP 路由器间能相互识别.
　　HSRP技术在网络中的应用
　　随着Internet的日益普及，人们对网络的依赖性也越来越强。这同时对网络的稳定性提出了更高的要求，人们自然想到了基于设备的备份结构，就像在服务器中为提高数据的安全性而采用双硬盘结构一样。路由器是整个网络的核心和心脏，如果路由器发生致命性的故障，将导致本地网络的瘫痪，如果是骨干路由器，影响的范围将更大，所造成的损失也是难以估计的。因此，对路由器采用热备份是提高网络可靠性的必然选择。在一个路由器完全不能工作的情况下，它的全部功能便被系统中的另一个备份路由器完全接管，直至出现问题的路由器恢复正常，这就是热备份路由协议（HotStandbyRouterProtocal），HSR�PRFC2281技术要解决的问题。
　　　一、HSRP协议概述
　　实现HSRP的条件是系统中有多台路由器，它们组成一个“热备份组”，这个组形成一个虚拟路由器。在任一时刻，一个组内只有一个路由器是活动的，并由它来转发数据包，如果活动路由器发生了故障，将选择一个备份路由器来替代活动路由器，但是在本网络内的主机看来，虚拟路由器没有改变。所以主机仍然保持连接，没有受到故障的影响，这样就较好地解决了路由器切换的问题。
　　为了减少网络的数据流量，在设置完活动路由器和备份路由器之后，只有活动路由器和备份路由器定时发送HSRP报文。如果活动路由器失效，备份路由器将接管成为活动路由器。如果备份路由器失效或者变成了活跃路由器，将由另外的路由器被选为备份路由器。
　　在实际的一个特定的局域网中，可能有多个热备份组并存或重叠。每个热备份组模仿一个虚拟路由器工作，它有一个Well－known－MAC地址和一个IP地址。该IP地址、组内路由器的接口地址、主机在同一个子网内，但是不能一样。当在一个局域网上有多个热备份组存在时，把主机分布到不同的热备份组，可以使负载得到分担。
　　　二、HSRP的工作原理
　　HSRP协议利用一个优先级方案来决定哪个配置了HSRP协议的路由器成为默认的主动路由器。如果一个路由器的优先级设置的比所有其他路由器的优先级高，则该路由器成为主动路由器。路由器的缺省优先级是100，所以如果只设置一个路由器的优先级高于100，则该路由器将成为主动路由器。
　　通过在设置了HSRP协议的路由器之间广播HSRP优先级，HSRP协议选出当前的主动路由器。当在预先设定的一段时间内主动路由器不能发送hello消息时，优先级最高的备用路由器变为主动路由器。路由器之间的包传输对网络上的所有主机来说都是透明的。
　　配置了HSRP协议的路由器交换以下三种多点广播消息：
　　Hello———hello消息通知其他路由器发送路由器的HSRP优先级和状态信息，HSRP路由器默认为每3秒钟发送一个hello消息；
　　Coup———当一个备用路由器变为一个主动路由器时发送一个coup消息；
　　Resign———当主动路由器要宕机或者当有优先级更高的路由器发送hello消息时，主动路由器发送一个resign消息。在任一时刻，配置了HSRP协议的路由器都将处于以下六种状态之一：
　　Initial———HSRP启动时的状态，HSRP还没有运行，一般是在改变配置或端口刚刚启动时进入该状态。
　　learn———路由器已经得到了虚拟IP地址，但是它既不是活动路由器也不是等待路由器。它一直监听从活动路由器和等待路由器发来的HELLO报文。
　　Listen———路由器正在监听hello消息。
　　Speak———在该状态下，路由器定期发送HELLO报文，并且积极参加活动路由器或等待路由器的竞选。
　　Standby———当主动路由器失效时路由器准备接管包传输功能。
　　Active———路由器执行包传输功能。
　　　三、本方案的特点：
　　1.高度的可靠性，两台路由器之间采用HSRP（热备份冗余协议）协议，来保证两台路由器中的任意一台down掉，或路由器的广域网口down，都会迅速切换到另外一台。如果两条线路均出现问题，就采用路由策略停掉邮政子网业务，启用拨号线路。
　　2.有效的实现了负载均衡，在STAR－S1924F＋上划分出各自的VLAN，储蓄子网VLAN在左侧路由器上的HSRP的优先级较高，默认使用网通的FR线路；邮政系统（办公、报刊、EMS、VOIP等等）子网VLAN在右侧路由器上的HSRP的优先级较高，默认使用联通的FR线路。充分利用了带宽资源，而且实现了负载均衡。
　　3.充分利用了多以太口路由器在划分多业务网段上的功能，也只有多以太口路由器在HSRP应用中才能实现两个路由器间的负载分担，这是具有四个以太口路由器的极大的优点。
　　4.在右侧路由器上启用QoS策略，VoIP业务需要较低的延时，所以将VoIP业务设置成较高的优先级。
　　5.通过在交换机上设置VLAN，有效的控制了两个子网间的安全。
　　6.不存在单点故障问题。
VRRP：Virtual Router Redundancy Protocol
虚拟路由器冗余协议
虚拟路由器冗余协议（VRRP）是一种选择协议，它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP
路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器，它负责转发数据包到这些虚拟 IP
地址。一旦主路由器不可用，这种选择过程就提供了动态的故障转移机制，这就允许虚拟路由器的 IP
地址可以作为终端主机的默认第一跳路由器。使用 VRRP
的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送。
使用 VRRP ，可以通过手动或 DHCP 设定一个虚拟 IP 地址作为默认路由器。虚拟 IP
地址在路由器间共享，其中一个指定为主路由器而其它的则为备份路由器。如果主路由器不可用，这个虚拟 IP 地址就会映射到一个备份路由器的
IP 地址（这个备份路由器就成为了主路由器）。 VRRP 也可用于负载均衡。 VRRP 是 IPv4 和 IPv6
的一部分。
VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）是一种容错协
议。通常，一个网络内的所有主机都设置一条缺省路由（如图3-1所示，10.100.10.1），
这样，主机发出的目的地址不在本网段的报文将被通过缺省路由发往路由器
RouterA，从而实现了主机与外部网络的通信。当路由器RouterA 坏掉时，本网段
内所有以RouterA 为缺省路由下一跳的主机将断掉与外部的通信。
VRRP 就是为解决上述问题而提出的，它为具有多播或广播能力的局域网（如：以
太网）设计。我们结合下图来看一下VRRP 的实现原理。VRRP 将局域网的一组路
由器（包括一个Master 即活动路由器和若干个Backup 即备份路由器）组织成一个
虚拟路由器，称之为一个备份组。
这个虚拟的路由器拥有自己的IP 地址10.100.10.1（这个IP 地址可以和备份组内的
某个路由器的接口地址相同），备份组内的路由器也有自己的IP 地址（如Master
的IP 地址为10.100.10.2，Backup 的IP 地址为10.100.10.3）。局域网内的主机仅
仅知道这个虚拟路由器的IP 地址10.100.10.1，而并不知道具体的Master 路由器的
IP 地址10.100.10.2 以及Backup 路由器的IP 地址10.100.10.3，它们将自己的缺省
路由下一跳地址设置为该虚拟路由器的IP 地址10.100.10.1。于是，网络内的主机
就通过这个虚拟的路由器来与其它网络进行通信。如果备份组内的Master 路由器坏
掉，Backup 路由器将会通过选举策略选出一个新的Master 路由器，继续向网络内
的主机提供路由服务。从而实现网络内的主机不间断地与外部网络进行通信。
关于VRRP 协议的详细信息，可以参考RFC 2338。
一、 应用实例
最典型的VRRP应用：RTA、RTB组成一个VRRP路由器组，假设RTB的处理能力高于RTA，则将RTB配置成IP地址所有者，H1、H2、H3的默认网关设定为RTB。则RTB成为主控路由器，负责ICMP重定向、ARP应答和IP报文的转发；一旦RTB失败，RTA立即启动切换，成为主控，从而保证了对客户透明的安全切换。
在VRRP应用中，RTA在线时RTB只是作为后备，不参与转发工作，闲置了路由器RTA和链路L1。通过合理的网络设计，可以到达备份和负载分担双重效果。让RTA、RTB同时属于互为备份的两个VRRP组：在组1中RTA为IP地址所有者；组2中RTB为IP地址所有者。将H1的默认网关设定为
RTA；H2、H3的默认网关设定为RTB。这样，既分担了设备负载和网络流量，又提高了网络可靠性。
VRRP协议的工作机理与CISCO公司的HSRP（Hot Standby Routing
Protocol）有许多相似之处。但二者主要的区别是在CISCO的HSRP中，需要单独配置一个IP地址作为虚拟路由器对外体现的地址，这个地址不能是组中任何一个成员的接口地址。
使用VRRP协议，不用改造目前的网络结构，最大限度保护了当前投资，只需最少的管理费用，却大大提升了网络性能，具有重大的应用价值。
二、工作原理
一个VRRP路由器有唯一的标识：VRID，范围为0—255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-
00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。
VRRP控制报文只有一种：VRRP通告(advertisement)。它使用IP多播数据包进行封装，组地址为224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0—255。若VRRP路由器的IP地址和虚拟路由器的接口IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般用在IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1—254。优先级的配置原则可以依据链路的速度和成本、路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。
VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
为了保证VRRP协议的安全性，提供了两种安全认证措施：明文认证和IP头认证。明文认证方式要求：在加入一个VRRP路由器组时，必须同时提供相同的
VRID和明文密码。适合于避免在局域网内的配置错误，但不能防止通过网络监听方式获得密码。IP头认证的方式提供了更高的安全性，能够防止报文重放和修改等攻击。
　　GLBP介绍及配置
　　1）GLBP介绍
　　全称Gateway Load Banancing Protocol，
　　和HRSP、VRRP不同的是，GLBP不仅提供冗余网关，还在各网关之间提供负载均衡，
　　而HRSP、VRRP都必须选定一个活动路由器，而备用路由器则处于闲置状态。
　　和HRSP不同的是，GLBP可以绑定多个MAC地址到虚拟IP，
　　从而允许客户端选择不同的路由器作为其默认网关，而网关地址仍使用相同的虚拟IP，
　　从而实现一定的冗余。
　　2）活动网关选举
　　使用类似于HRSP的机制选举活动网关，
　　优先级最高的路由器成为活动落由器，称作Acitve Virtual Gateway，其他非AVG提供冗余。
　　某路由器被推举为AVG后，和HRSP不同的工作开始了，AVG分配虚拟的MAC地址给其他GLBP组成员。
　　所有的GLBP组中的路由器都转发包，
　　但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。
　　3）地址分配
　　每个GLBP组中最多有4个虚拟MAC地址，非AVG路由器有AVG按序分配虚拟MAC地址，
　　非AVG也被称作Active Virtual Forwarder(AVF)。
　　AVF分为两类：Primary Virtual Forwarder和Secondary Virtual
Forwarder。
　　直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder，
　　后续不知道AVG真实IP地址的组成员，只能使用hellos包来识别其身份，然后被分配虚拟MAC地址，此类被称作Secondary
Virtual Forwarder。
　　4）GLBP配置
　　如果AVG失效，则推举就会发生，决定哪个AVF替代AVG来分配MAC地址，推举机制依赖于优先级。
　　最多可以配置1024个GLBP组，不同的用户组可以配置成使用不同的组AVG来作为其网关。
　　router#conf t
　　router(config)#int fastethernet 0/0
　　router(config-if)#ip address 10.1.1.1
　　router(config-if)#glbp 99 ip 10.1.1.254
　　router(config-if)#glbp 99 priority 105
　　router(config-if)#glbp 99 preempt delay 10
　　router(config-if)#glbp 99 weighting track int s0 10
　　router(config-if)#exit
　　router(config)#^Z
————————————————
GLBP- Gateway Load Balancing Protocol 大家都知道，
HSRP,VRRP只有一个虚拟的网关地址，一个虚拟的MAC地址，同时只能有一个物理端口处于ACTIVE状态，其他物理端口都处于
stadby/backup状态。GLBP是一个类似于HSRP，VRRP的虚拟网关协议，和HSRP，VRRP不一样的是GLBP组可以同时使用多个物理端口进行数据转发,从而达到网关的备份与负载均衡。
GLBP是如何达到网关备份与负载均衡的呢？ 1.
提供一个统一的虚拟IP实现网关的热备份：这个IP分配给加入到GLBP组中的所有路由器，当中一个作为ACTIVE的路由器（AVG）为所有发到这个虚拟IP的数据包进行转发。其中一台路由器一直处于standby状态（SVG），假若有其他剩余的路由器将延于Listen状态，当主路由器停止工作时自动切换。
2. 提供虚拟MAC地址实现负载均衡：Active virtual
gateway（AVG）负责为组里的每个路由器分配虚拟的MAC地址，同时负责响应虚拟IP的请求，根据负载均衡的算法分配不同的虚拟MAC匹配这个虚拟IP，实现负载均衡。
假如有r1,r2,r3三台路由器在共享同一网段192.168.0.0/24，IP分别为192.168.0.1/24,192.168.0.2
/24,192.168.0.3/24,因此，你可能配置192.168.0.254/24作为虚拟网关。在这三台路由器中，哪台将成为AVG呢？我们可以使用glbp
x priority
x来设置r2作为AVG负责数据包的转发，配置r1为SVG，那么r3则为其他（处于listen状态）.这样，当r2（AVG）失效时，r1(SVG)
会马上顶替上来，达到网关的热备份。
有人也许会问，如果我想50%的流量发送到r1;20%的流量发送到r2;30%的流量发送到r3,这样有没有办法实现呢？答案当然是肯定的，让我们想像一下同一网段内主机通信的情况，在192.168.0.0/24上的每台主机都需要使用ARP协议把192.168.0.254/24这个IP的mac地址解析出来，然后把数据封装成数据帧发送出去，这里面，我们就有文章可做了，
HSRP和VRRP，只是把活动路由器的虚拟MAC地址响应给客户端主机，但GLBP可以把组内路由器的虚拟MAC地址
(192.168.0.254/24的虚拟MAC地址)响应给客户端主机，这样就可以做到负载的分担了，同时起用了GLBP的AVG路由器会执行负载均衡的算法，手工在不同的物理接口设置不同的权重值(如50,30,20)可以影响和调整负载均衡的效果。至此虚拟网关的备份与负载均衡已经介绍完了。
————————————————————
1.在功能上,VRRP和HSRP非常相似,但是就安全而言,VRRP对HSRP的一个主要优势:它允许参与VRRP组的设备间建立认证机制.并且,不像
HSRP那样要求虚拟路由器不能是其中一个路由器的ip地址,但是VRRP允许这种情况发生(如果”拥有”虚拟路由器地址的路由器被建立并且正在运行,那么应该总是由这个虚拟路由器管理—等价于HSRP中的活动路由器),但是为了确保万一失效发生的时候终端主机不必重新学习MAC地址，它指定使用的MAC
地址00-00-5e-00-01-VRID,这里的VRID是虚拟路由器的ID(等价于一个HSRP的组标识符).
　　2.另外一个不同是VRRP不使用HSRP中的政变或者一个等价消息,VRRP的状态机比HSRP的要简单,HSRP有6个状态(初始
(Initial)状态，学习(Learn)状态，监听(Listen)状态，对话(Speak)状态，备份(Standby)状态，活动
(Active)状态)和8个事件,
VRRP只有3个状态(初始状态(Initialize)、主状态(Master)、备份状态(Backup))和5个事件.
　　3. HSRP有三种报文，而且有三种状态可以发送报文 呼叫(Hello)报文 告辞(Resign)报文
突变(Coup)报文
　　VRRP有一种报文
　　VRRP广播报文:由主路由器定时发出来通告它的存在，使用这些报文可以检测虚拟路由器各种参数，还可以用于主路由器的选举。
　　4. HSRP将报文承载在UDP报文上，而VRRP承载在TCP报文上(HSRP 使用UDP
1985端口，向组播地址224.0.0.2 发送hello消息。)
　　5.VRRP的安全:VRRP协议包括三种主要的认证方式:无认证,简单的明文密码和使用 MD5 HMAC
ip认证的强认证.
　　强认证方法使用IP认证头(AH)协议.AH是与用在IPSEC中相同的协议,AH为认证VRRP分组中的内容和分组头提供了一个方法.
MD5 HMAC 的使用表明使用一个共享的密钥用于产生hash值.路由器发送一个VRRP分组产生MD5
hash值,并将它置于要发送的通告中,在接收时,接受方使用相同的密钥和MD5值,重新计算分组内容和分组头的hash值,如果结果相同,这个消息就是真正来自于一个可信赖的主机,如果不相同,它必须丢弃,这可以防止攻击者通过访问LAN而发出能影响选择过程的通告消息或者其他一些方法中断网络
　　另外,VRRP包括一个保护VRRP分组不会被另外一个远程网络添加内容的机制(设置TTL值=255,并在接受时检查),这限制了可以进行本地攻击的大部分缺陷.而另一方面,HSRP在它的消息中使用的TTL值是1.
　　6.VRRP的崩溃间隔时间:3*通告间隔+时滞时间(skew-time)
———————————————————&
VRRP(Virtual Router Redundancy Protocol)
全称Virtual Router Redundancy
Protocol，在功能上与HSRP类似，只是HSRP是Cisco专有的协议，只应用在Cisco设备上。VRRP符合Internet标准，定义见
RFC2338，是不同厂家之间共同遵循的标准。VRRP负责从VRRP路由器组中选择一个作为Master，然后客户端使用虚拟路由器地址作为其默认网关。
与HSRP的区别：
1）VRRP使用多播虚拟MAC地址（.01xx）（xx是VRRP组号的十六进制表示）
2）VRRP使用IOS对象追踪特性，而不采用内部追踪机制来追踪接口状态
3）VRRP的主（Master）与HSRP的激活（Active）同义
4）在VRRP中，VRRP组的IP地址就是某个VRRP路由器的接口IP地址
VRRP工作原理
一个VRRP路由器有唯一的标识：VRID，范围为0-255。该路由器对外表现为唯一的虚拟MAC地址，地址的格式为00-00-5E-
00-01-[VRID]。主控路由器负责对ARP请求用该MAC地址做应答。这样，无论如何切换，保证给终端设备的是唯一一致的IP和MAC地址，减少了切换对终端设备的影响。VRRP控制报文只有一种：VRRP通告（advertisement)。它使用IP多播数据包进行封装，组地址为
224.0.0.18，发布范围只限于同一局域网内。这保证了VRID在不同网络中可以重复使用。为了减少网络带宽消耗只有主控路由器才可以周期性的发送
VRRP通告报文。备份路由器在连续三个通告间隔内收不到VRRP或收到优先级为0的通告后启动新的一轮VRRP选举。
在VRRP路由器组中，按优先级选举主控路由器，VRRP协议中优先级范围是0-255。默认为100。若VRRP路由器的IP地址和虚拟路由器的接口
IP地址相同，则称该虚拟路由器作VRRP组中的IP地址所有者；IP地址所有者自动具有最高优先级：255。优先级0一般
IP地址所有者主动放弃主控者角色时使用。可配置的优先级范围为1-254。优先级的配置原则可以依据链路的速度和成本路由器性能和可靠性以及其它管理策略设定。主控路由器的选举中，高优先级的虚拟路由器获胜，因此，如果在VRRP组中有IP地址所有者，则它总是作为主控路由的角色出现。对于相同优先级的候选路由器，按照IP地址大小顺序选举。VRRP还提供了优先级抢占策略，如果配置了该策略，高优先级的备份路由器便会剥夺当前低优先级的主控路由器而成为新的主控路由器。
VRRP有两个时间：通告间隔和主路由器失效（master-down）间隔。通告间隔是通告之间的间隔时间（秒），默认为1秒。主路由器失效间隔指的是多长时间没有收到通告后，备用路由器将认为主路由器已失效，单位为秒。主路由器失效间隔是不能配置的，其值至少是为通告间隔的3倍。
组成虚拟路由器的路由器会有三种状态 分别是Initialize Master和Backup
1）Initialize
系统启动后进入此状态，当收到接口startup的消息，将转入Backup
（优先级不为255时）或Master状态（优先级为255时）。在此状态时，路由器不会对VRRP报文做任何处理。
当路由器处于Master状态时 它将会做下列工作
*定期发送VRRP组播报文
*发送免费（gratuitous）ARP报文，以使网络内各主机知道虚拟IP地址所对应的虚拟MAC地址
*响应对虚拟IP地址的ARP请求，并且响应的是虚拟MAC地址，而不是接口的真实MAC地址
*转发目的MAC地址为虚拟MAC地址的IP报文
*如果它是这个虚拟IP地址的拥有者，则接收目的IP地址为这个虚拟IP地址的IP报文，否则，丢弃这个IP报文。需要注意的是，由于有这一点要求，所以除非主路由器是IP地址拥有者，否则主机ping虚拟IP地址不能ping通。
在Master状态中只有接收到比自己的优先级大的VRRP报文时，才会转为Backup。只有当接收到接口的Shutdown事件时才会转为Initialize
当路由器处于Backup状态时 它将会做下列工作:
*接收Master发送的VRRP组播报文 从中了解Master的状态
l*对虚拟IP地址的ARP请求 不做响应
*丢弃目的MAC地址为虚拟MAC地址的IP报文
*丢弃目的IP地址为虚拟IP地址的IP报文
只有当Backup接收到MASTER_DOWN这个定时器到时的事件时，才会转为Master
而当接收到比自己的优先级小的VRRP报文时，它只是做丢弃这个报文的处理，从而就不对定时器做重置处理。
这样定时器就会在若干次这样的处理之后到时，于是就转为Master。只有当接收到接口的Shutdown事件时才会转为Initialize
VRRP配置过程：
1） 进入全局模式 configure terminal
2） 进入接口模式 interface 接口
3） 配置vrrp组和虚拟路由器的IP地址(如果对端口进行跟踪的话，应该在全局模式下设置跟踪组，并分配一个编号)
vrrp group-number ip ip-address
4） 配置优先级
vrrp group-number priority priority
5） 配置抢占模式
vrrp group-number preempt
6） 配置vrrp的通告时间
vrrp group-number timer advertise sec，默认为1秒
7） 配置VRRP认证
(1)MD5认证:
vrrp group-number authentication md5 key-string passwd timeout
(2)MD5key-chain认证：
vrrp 组号 authentication md5 key-chain keychain-name
注意：在应用KEYCHAIN之前必须事先已经定义了key-chain
(3) 明文认证：
vrrp 组号 authentication text password
8） 跟踪端口
(1) 定义跟踪,全局模式： track 编号 interface 接口 [line-protocol |
ip-routing]
(2) vrrp group-number track 编号 decrement priority
9） 验证结果
show vrrp interface ethernet0/0；
show track
基本配置：1、全网接口地址按拓扑图设置好，其中R1起个换回口用作虚拟的PC。
2、 R1,R2,R3起OSPF。
3、PC1、PC2关闭路由选择功能，两台PC分别将默认网关指向R2,R3。
验证由PC1\PC2分别访问远端R1上的环回地址1.1.1.1.
R4#p 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2
Success rate is 100 percent (5/5), round-trip min/avg/max =
84/155/220 ms
R5#p 1.1.1.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 1.1.1.1, timeout is 2
可见网络通信状态良好，接下来配置VRRP。
1、 在R2上配置vrrp group10，使其成为PC1的主路由器，配置vrrp
group20，使其成为PC2的备份路由器。
R2: CONFIG模式下：
track 11 interface Serial1/2 line-protocol
接口下：interface Ethernet0/0
ip address 192.168.1.2 255.255.255.0
full-duplex
vrrp 10 ip 192.168.1.254——————&接口下配置虚拟网关IP：192.168.1.253
vrrp 10 priority 110————————-设置优先级110
vrrp 10 authentication md5 key-string
ccie设置VRRP密码验证，密码明文是：ccie
vrrp 10 track 11 decrement 20 设定接口跟踪，并设置惩罚值为20
vrrp 10 preempt——————————配置抢占
vrrp 20 ip 192.168.1.253——————-设置VRRP
group20的虚拟网关IP：192.168.1.253
! vrrp 20 preempt—————————&配置group20 的抢占
R3：R3作为PC2的主虚拟路由器group20，并且是group10的备份路由器。
配置与R1类似，在此不做赘述。
当我们完成配置之后，会发现如下消息提示：
R2上：*Mar 1 00:41:52.983: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state
Backup -& Master
*Mar 1 00:45:43.879: %VRRP-6-STATECHANGE: Et0/0 Grp 20 state Backup
*Mar 1 00:45:45.051: %VRRP-6-STATECHANGE: Et0/0 Grp 20 state Master
R3上：*Mar 1 00:42:24.363: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state
Master -& Backup
*Mar 1 00:43:34.359: %VRRP-6-STATECHANGE: Et0/0 Grp 20 state Backup
跟踪一下去往1.1.1.1的路径：
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.2 136 msec 68 msec 96 msec
2 192.168.12.1 48 msec * 124 msec
可见，R4是通R2这个主虚拟网关进行访问1.1.1.1
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 92 msec 168 msec 100 msec
2 192.168.13.1 140 msec * 72 msec
此处证实R5是通过R3进行访问1.1.1.1。
备份性能验证：
1、 关闭R2的一个接口S1/2（就是被跟踪的接口）
此时R2会显示：
*Mar 1 00:42:24.363: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state Master
R3会显示：
*Mar 1 00:43:34.359: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state Backup
即R2已经DOWN掉，由R3作为group10的主虚拟路由器。
验证traceroute1.1.1.1的路径：
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 92 msec 168 msec 100 msec
2 192.168.13.1 140 msec * 72 msec
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 92 msec 168 msec 100 msec
2 192.168.13.1 140 msec * 72 msec
可见R4已经换路经由R3访问1.1.1.1，R5由于没有更换虚拟网关，所以依然会使用R3访问1.1.1.1.
恢复S1/2端口之后，有如下提示：
R2上：*Mar 1 00:41:52.983: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state
Backup -& Master
R3上：*Mar 1 00:42:24.363: %VRRP-6-STATECHANGE: Et0/0 Grp 10 state
Master -& Backup
这次再traceroute1.1.1.1，验证访问1.1.1.1的路径：
R4#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.2 136 msec 68 msec 96 msec
2 192.168.12.1 48 msec * 124 msec
可见，R4恢复了通过R2这个主虚拟网关进行访问1.1.1.1
R5#traceroute 1.1.1.1
Type escape sequence to abort.
Tracing the route to 1.1.1.1
1 192.168.1.3 92 msec 168 msec 100 msec
2 192.168.13.1 140 msec * 72 msec
可见R5依然是是通过R3进行访问1.1.1.1。（因为group20并没有发生网关的切换）
管理性关闭R3的S1/3端口，现象与上述现象基本类似，group20的网关也进行了切换，在端口恢复的时候group20又恢复为R3作为主网关。
写在试验后面的话：
在VRRP中，如果虚拟网关的IP地址为主网关的真实IP地址，即此台路由器为虚拟IP地址的拥有者，那么它的优先级为255，这点需要在设置抢占与惩罚值的时候适当调整阀值大小。在做这个实验中的md5验证部分的时候，发现当一台做好验证之后，另外一台没有配置验证，这时候开启debug
events，会发现正确的实验现象：即提示两端验证规格不相同，所以不能进行VRRP的协商，所导致的实验现象是R2\R3均认为自己是group10
的主网关，当全部配置完同一种验证方式之后，错误现象消除，R2\R3之间正确的选取了主备路由器。
本文的前部分是参照网友博客归纳的VRRP的理论部分，言简意赅，很容易理解，后部分的实验是用dynamips搭建而成，运行良好.
已投稿到：
以上网友发言只代表其个人观点，不代表新浪网的观点或立场。}