vrrp部署在核心层还是汇聚层（网关冗余主备VRRP协议）

一、VRRP简介

通常，同一网段内的所有主机上都存在一个相同的默认网关。主机发往其它网段的报文将通过默认

网关进行转发，从而实现主机与外部网络的通信。如 图 ，当默认网关发生故障时，本网段

内所有主机将无法与外部网络通信。

默认网关为用户的配置操作提供了方便，但是对网关设备提出了很高的稳定性要求。增加网关是提

高链路可靠性的常见方法，此时如何在多个出口之间进行选路就成为需要解决的问题。

VRRP（Virtual Router Redundancy Protocol，虚拟路由器冗余协议）可以解决这个问题，VRRP

功能将可以承担网关功能的一组路由器加入到备份组中，形成一台虚拟路由器，由 VRRP 的选举机

制决定哪台路由器承担转发任务，局域网内的主机只需将虚拟路由器配置为默认网关。

VRRP 在提高可靠性的同时，简化了主机的配置。在具有组播或广播能力的局域网（如以太网）中，

借助 VRRP 能在某台路由器出现故障时仍然提供高可靠的链路，有效避免单一链路发生故障后网络

中断的问题。

二、VRRP标准协议模式

1、VRRP备份组

VRRP 将局域网内的可以承担网关功能的一组路由器划分在一起，组成一个备份组。备份组由一台

Master 路由器和多台 Backup 路由器组成，对外相当于一台虚拟路由器。虚拟路由器具有 IP 地址，

称为虚拟 IP 地址。局域网内的主机仅需要知道这台虚拟路由器的 IP 地址，并将其设置为网关的 IP

地址即可。局域网内的主机通过这台虚拟路由器与外部网络进行通信。

Router A、Router B和Router C组成一台虚拟路由器。此虚拟路由器有自己的IP地

址，由用户手工指定。局域网内的主机将虚拟路由器设置为默认网关。Router A、Router B和Router

C中优先级最高的路由器作为Master路由器，承担网关的功能，其余两台路由器作为Backup路由器，

当Master路由器发生故障时，取代Master路由器继续履行网关职责，从而保证局域网内的主机可不

间断地与外部网络进行通信。

2、优先级

VRRP 根据优先级来确定备份组中每台路由器的角色（Master 路由器或 Backup 路由器）。优先级

越高，则越有可能成为 Master 路由器。

VRRP 优先级的取值范围为 0 到 255（数值越大表明优先级越高），可配置的范围是 1 到 254，优先

级 0 为系统保留给特殊用途来使用，255 则是系统保留给 IP 地址拥有者。当路由器为 IP 地址拥有

者时，其优先级始终为 255。因此，当备份组内存在 IP 地址拥有者时，只要其工作正常，则为 Master

路由器。

3、工作方式

备份组中的路由器具有以下两种工作方式：

A、非抢占方式：在该方式下只要 Master 路由器没有出现故障，Backup 路由器即使随后被配置

了更高的优先级也不会成为 Master 路由器。非抢占方式可以避免频繁地切换 Master 路由

器。

B、抢占方式：在该方式下 Backup 路由器一旦发现自己的优先级比当前 Master 路由器的优先级

高，就会触发 Master 路由器的重新选举，并最终取代原有的 Master 路由器。抢占方式可以

确保承担转发任务的 Master 路由器始终是备份组中优先级最高的路由器。

4、备份组中路由器的认证方式

VRRP 通过在 VRRP 报文中增加认证字的方式，验证接收到的 VRRP 报文，防止非法用户构造报

文攻击备份组内的路由器。VRRP 提供了两种认证方式：

A、简单字符认证：发送 VRRP 报文的路由器将认证字填入到 VRRP 报文中，而收到 VRRP 报文

的路由器会将收到的 VRRP 报文中的认证字和本地配置的认证字进行比较。如果认证字相同，

则认为接收到的报文是真实、合法的 VRRP 报文；否则认为接收到的报文是一个非法报文，

将其丢弃。

B、MD5 认证：发送 VRRP 报文的路由器利用认证字和 MD5 算法对 VRRP 报文进行摘要运算，

运算结果保存在 VRRP 报文中。收到 VRRP 报文的路由器会利用本地配置的认证字和 MD5

算法进行同样的运算，并将运算结果与认证头的内容进行比较。如果相同，则认为接收到的

报文是合法的 VRRP 报文；否则认为接收到的报文是一个非法报文，然后将其丢弃。

在一个安全的网络中，用户也可以不设置认证方式

,