一、简介¶

本章给出了VRRP基本配置、多备份组、跟踪接口及认证的配置实例。

二、VRRP基本配置¶

2.1 原理概述¶

1、IETF组织推出了VRRP协议，主机在多个出口网关的情况下，仅需配置一个虚拟网关IP地址作为出口网关即可，解决了局域网主机访问外部网络的可靠性问题。 2、VRRP(Virtual Router Redundancy Protocol)全称是虚拟路由器冗余协议，它是一种容错协议。该协议通过把几台路由设备联合组成一台虚拟的路由设备，该虚拟路由器在本地局域网拥有唯一的一个虚拟ID和虚拟IP地址。实际上，该虚拟路由器是由一个Master设备和若干Backup设备组成。正常情况下，业务全部由Master承担，所有用户端仅需要设置此虚拟IP为网关地址。当Master出现故障时，Backup接替工作，及时将业务切换到路由器，从而保持通信的连续性和可靠性。而用户端无需做任何配置更改，对故障无感知。 3、VRRP的Master选举基于优先级，优先级取值范围为0-255，默认情况下，配置优先级为100.在接口上可以通过配置优先级的大小来手工选择Master设备。 4、在VRRP协议中，优先级决定路由器在备份组中的角色，优先级高者成为Master。如果优先级相同，比较接口IP地址大小，较大的成为Master。优先级值默认为100，0倍系统保留，255保留给IP地址拥有者使用。

2.1.1 实验目的¶

1、理解VRRP的应用场景 2、掌握VRRP虚拟路由器的配置 3、掌握修改VRRP优先级的方法 4、掌握查看VRRP主备状态的方法

2.1.2 实验内容¶

本实验模拟企业网络场景。公司内部员工所用电脑，如PC-1、PC-2，通过交换机LSW1连接到公司网络，LSW1连接到公司出口网关路由器。为了提高网络的可靠性，公司使用两台路由器R2和R3作为双出口连接到外网路由器R1。R1、R2、R3之间运行OSPF协议。在双网关的情况下，如果在PC上配置R2或R3的真实IP地址作为网关，当其中一台路由器故障时，就需要手动修改PC的网关IP，若网络中有大量PC则需要耗费大量时间和人力去更改配置，且会带来一定时间的断网影响。为了能够使故障所造成的新网影响达到最小化，增强网络的可靠性，在R2和R3之间部署VRRP协议，这样当任一网关发生故障时就能自动切换而无需更改PC的网关IP地址。

2.1.3 实验拓扑¶

VRRP基本配置实验拓扑

2.1.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
R1(AR1220)	GE0/0/0	172.16.2.254	255.255.255.0	N/A
R1(AR1220)	GE0/0/1	172.16.3.254	255.255.255.0	N/A
R2(AR1220)	GE0/0/0	172.16.2.100	255.255.255.0	N/A
R2(AR1220)	GE0/0/1	172.16.1.100	255.255.255.0	N/A
R3(AR1220)	GE0/0/0	172.16.3.200	255.255.255.0	N/A
R3(AR1220)	GE0/0/1	172.16.1.200	255.255.255.0	N/A
PC-1	E0/0/1	172.16.1.1	255.255.255.0	172.16.1.254
PC-2	E0/0/1	172.16.1.2	255.255.255.0	172.16.1.254
### 2.1.5 实验步骤
#### 2.1.5.1 基本配置
根据实验编制表进行相应的基本配置，并使用Ping命令检测直连链路的连通性。
#### 2.1.5.2 配置OSPF网络
1、在公司的出口网关路由器R2、R3和外网路由器R1上配置OSPF协议，使用进程号1，且所有网段均通告进区域0中。

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255

[R3]ospf 
[R3-ospf-1]area 0   
[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

2、配置完成后，在R1上检查OSPF邻居建立情况。观察到，此时R1已经与R2和R3成功建立起OSPF邻居关系。

[R1]dis ospf peer brief 

     OSPF Process 1 with Router ID 172.16.2.254
          Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             172.16.2.100     Full        
 0.0.0.0          GigabitEthernet0/0/1             172.16.1.200     Full        
 ----------------------------------------------------------------------------

2.1.5.3 配置VRRP协议¶

1、在R2和R3上配置VRRP协议，使用vrrp vrid 1 virtual-ip 172.16.1.254命令创建VRRP备份组，指定R1和R2处于同一个VRRP备份组内，VRRP备份组号为1，配置虚拟IP为172.16.1.254.经过配置后，PC将使用虚拟路由器IP地址作为默认网关。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 172.16.1.254

2、现在配置R2的优先级为120，R3的优先级保持默认100不变，这将使得R2成为Master,R3为Backup.

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 priority 120

3、配置完成后，在R2和R3上使用display vrrp命令查看VRRP信息。观察到R2的VRRP状态为Master，R3的VRRP状态为Backup。两者都处于VRRP备份组1中。输出信息中PriorityRun表示设备当前的运行优先级；PriorityConfig表示为该设备配置的优先级；MasterPriority为该备份组中的Master的优先级；一般情况下，配置优先级就是运行优先级，但个别情况下可能运行优先级和配置优先级不一样。

[R2]dis vrrp 
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:04 UTC-08:00
    Last change time : 2022-02-12 09:23:08 UTC-08:00

[R3]dis vrrp
  GigabitEthernet0/0/0 | Virtual Router 1
    State : Backup
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:31 UTC-08:00
    Last change time : 2022-02-12 09:23:31 UTC-08:00

注意:虚拟IP地址必须和当前接口在同一网段!!!

4、使用dis vrrp brief命令或dis vrrp int g0/0/1命令来显示VRRP的工作状态。

[R2]dis vrrp brief 
Total:1     Master:1     Backup:0     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Master       GE0/0/1                  Normal   172.16.1.254 

[R2]dis vrrp int g0/0/1
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:04 UTC-08:00
    Last change time : 2022-02-12 09:23:08 UTC-08:00

5、测试PC访问公网时的数据包转发路径。可以观察此时都是通过R2转发。

PC-1>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.100   46 ms  47 ms  32 ms
 2    *172.16.2.254   46 ms  32 ms

PC-2>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.100   78 ms  47 ms  47 ms
 2    *172.16.2.254   47 ms  31 ms

2.1.5.4 验证VRRP主备切换¶

1、现在手动模拟网络出现故障，将LSW1的E0/0/1接口关闭。

[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]shutdown

2、经过3s左右，使用dis vrrp命令查看R3的VRRP信息。观察到R3切换成为Master，从而确保用户对公网的访问。

[R3]dis vrrp 
  GigabitEthernet0/0/0 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.200
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 100
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:31 UTC-08:00
    Last change time : 2022-02-12 09:47:51 UTC-08:00

3、测试PC访问公网的数据包转发路径。

PC-1>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.200   31 ms  32 ms  46 ms
 2  172.16.2.254   47 ms  47 ms  63 ms

PC-2>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.200   31 ms  47 ms  47 ms
 2  172.16.2.254   31 ms  47 ms  47 ms

4、将R2从故障中恢复，手动开启LSW1的E0/0/1口。

[LSW1]int e0/0/1
[LSW1-Ethernet0/0/1]undo shutdown

5、配置完成后，查看R2和R3的VRRP工作状态。观察到Master设备又立刻重新切换回至R2。

<R2>dis vrrp brief 
Total:1     Master:1     Backup:0     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Master       GE0/0/1                  Normal   172.16.1.254 

[R3]dis  vrrp brief 
Total:1     Master:0     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   172.16.1.254

6、测试PC访问公网时的数据包转发路径。验证也切换回R2转发。

PC-1>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.100   78 ms  47 ms  47 ms
 2  172.16.2.254   31 ms  47 ms  47 ms

2.2 思考¶

如果主路由器出现故障，比如断电停机了，备份路由器是通过什么机制检测到的？答:通过Hello包来检测，自己根据优先级算出来的抢占时间内收不到master的hello包，就会抢占Master。

三、配置VRRP多备份组¶

3.1 原理概述¶

1、当VRRP配置为单备份组时，业务全部由Master设备承担，而Backup设备完全处于空闲状态，没有得到充分利用。VRRP可以通过配置多备份组来实现负载分担，有效地解决了这一问题。 2、VRRP允许同一台设备的同一个接口加入到多个VRRP备份组，在不同备份组中有不同的优先级，使得各备份组中的Master设备不同，也就是建立多个虚拟网关路由器。各主机可以使用不同的虚拟组路由器作为网关出口，这样可以达到分担数据流而又相互备份的目的，充分利用了每一台设备的资源。 3、VRRP的优先级取值范围中，255是保留给IP地址拥有者使用的，当一个VRPP路由器的物理端口IP地址和虚拟路由器的IP地址相同，这台路由器称为虚拟IP地址拥有者，VRPP优先级自动设置为255；优先级0也是特殊值，当Master设备删除VRRP配置停止运行VRRP时，会发送优先级为0的VRRP报文通知Backup设备，当Backup收到消息后，立刻从Backup状态转为Master状态。

3.1.1 实验目的¶

1、理解VRRP多备份组的应用场景 2、掌握VRRP多备份组的配置方法 3、理解VRRP的运行优先级和配置优先级 4、理解VRRP虚拟地址拥有者的应用

3.1.2 实验内容¶

本实验模拟企业网络场景。该公司使用两台路由器R2和R3作为出口网关连接到外网R1，R2和R3运行VRPP协议，两台路由器在同一个虚拟组。当R2为主路由器时，所有业务流量都由R2承担，高峰期时会造成网络阻塞，而R3一直处于空闲状态，这样就造成了一台路由器资源的浪费。现在为了优化公司网络，增加设备利用率，需要在R2和R3之间部署双备份组VRRP，使得R2、R3分别为两个备份组的Master，保证设备的利用率。

3.1.3 实验拓扑¶

VRRP多备份组配置实验

3.1.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
R1(AR1220)	GE0/0/0	172.16.2.254	255.255.255.0	N/A
R1(AR1220)	GE0/0/1	172.16.3.254	255.255.255.0	N/A
R2(AR1220)	GE0/0/0	172.16.2.100	255.255.255.0	N/A
R2(AR1220)	GE0/0/1	172.16.1.100	255.255.255.0	N/A
R3(AR1220)	GE0/0/0	172.16.3.200	255.255.255.0	N/A
R3(AR1220)	GE0/0/1	172.16.1.200	255.255.255.0	N/A
PC-1	E0/0/1	172.16.1.1	255.255.255.0	172.16.1.254
PC-2	E0/0/1	172.16.1.2	255.255.255.0	172.16.1.253

3.1.5 实验步骤¶

3.1.5.1 基本配置¶

根据实验编制表进行相应的基本配置，并使用Ping命令检测直连链路的连通性。

3.1.5.2 配置OSPF网络¶

1、在公司的出口网关路由器R2、R3和外网路由器R1上配置OSPF协议，使用进程号1，且所有网段均通告进区域0中。

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255

[R3]ospf 
[R3-ospf-1]area 0   
[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

2、配置完成后，在R1上检查OSPF邻居建立情况。观察到，此时R1已经与R2和R3成功建立起OSPF邻居关系。

[R1]dis ospf peer brief 

     OSPF Process 1 with Router ID 172.16.2.254
          Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             172.16.2.100     Full        
 0.0.0.0          GigabitEthernet0/0/1             172.16.1.200     Full        
 ----------------------------------------------------------------------------

3.1.5.3 配置VRRP双备份组¶

1、采用双备份组，使不同设备成为不同备份组中的Master，一起承担网络流量。在R2和R3上创建VRRP虚拟组1，虚拟IP为172.16.1.254，指定R2的优先级为120，R3的优先级保持默认优先级不变。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254
[R2-GigabitEthernet0/0/1]vrrp vrid 1 priority 120

[R3]int g0/0/1
[R3-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254

2、配置完成后，分别查看R2和R3的VRRP信息。观察到R2为组1的Master，R3为组1的Backup.

<R2>dis vrrp brief 
Total:1     Master:1     Backup:0     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Master       GE0/0/1                  Normal   172.16.1.254  

<R3>dis vrrp brief 
Total:1     Master:0     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   172.16.1.254

3、在R2和R3上创建VRRP虚拟组2，虚拟IP为172.16.1.253，指定R3的优先级为120，R2的优先级保持默认优先级不变。

[R2]int g0/0/1  
[R2-GigabitEthernet0/0/1]vrrp vrid 2 virtual-ip 172.16.1.253

[R3]int g0/0/0  
[R3-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 172.16.1.253 
[R3-GigabitEthernet0/0/0]vrrp vrid 2 priority 120

4、配置完成后，分别查看R2和R3的VRRP信息。观察到R3是组2的Master，R2为组3的Backup.

[R2]dis vrrp brief 
Total:2     Master:1     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Master       GE0/0/1                  Normal   172.16.1.254   
2     Backup       GE0/0/1                  Normal   172.16.1.253  

[R3]dis  vrrp brief 
Total:2     Master:1     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   172.16.1.254   
2     Master       GE0/0/0                  Normal   172.16.1.253

5、在PC-1上设置网关地址为172.16.1.254，PC-2上设置网关地址为172.16.1.253，并在PC-1上执行tracert 172.16.2.254命令，在PC-1上执行tracert 172.16.3.254命令。观察发现PC-1现在是通过R2访问外网，PC-2通过R3访问外网，实现了网络优化的需求。

PC-1>tracert 172.16.2.254

traceroute to 172.16.2.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.100   31 ms  47 ms  47 ms
 2  172.16.2.254   46 ms  32 ms  47 ms

PC-2>tracert 172.16.3.254

traceroute to 172.16.3.254, 8 hops max
(ICMP), press Ctrl+C to stop
 1  172.16.1.200   31 ms  47 ms  47 ms
 2  172.16.3.254   31 ms  47 ms  47 ms

3.1.5.4 验证VRRP抢占特性¶

1、在虚拟组2中R3为Master路由器，优先级为120。现在虚拟组2中修改R2的抢占模式为非抢占方式(默认是抢占方式)，并将优先级改为200，即大于R3的优先级。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 2 preempt-mode disable   
[R2-GigabitEthernet0/0/1]vrrp vrid 2 priority 200

2、配置完成后，在R2上查看虚拟组2的信息。观察到尽管R2的配置优先级大于R3，并且最终运行优先级也大于R3，但是由于R2是非抢占模式，R2不会抢占成为Master.

[R2]dis vrrp 
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:04 UTC-08:00
    Last change time : 2022-02-12 09:53:51 UTC-08:00

  GigabitEthernet0/0/1 | Virtual Router 2
    State : Backup
    Virtual IP : 172.16.1.253
    Master IP : 172.16.1.200
    PriorityRun : 200
    PriorityConfig : 200
    MasterPriority : 120
    Preempt : NO 
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 10:42:57 UTC-08:00
    Last change time : 2022-02-12 10:44:31 UTC-08:00

3.1.5.5 配置虚拟IP拥有者¶

1、在虚拟组1中，R2的配置优先级为120，R3的配置优先级为默认的100，R2暂时是虚拟组1的Master路由器。为保证R2在虚拟组1始终是Master，在R2的G0/0/1接口上修改IP地址为172.16.1.254/24，这样就成为了该虚拟组中虚拟IP地址拥有者。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]ip add 172.16.1.254 24

2、配置完成后更改R3在虚拟组1的配置优先级为可配的最大值254，这样R3的配置优先级就大于现在R2的配置优先级。

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]vrrp vrid 1 priority 254

3、配置完成后，使用dis vrrp brief命令查看主备状态。观察发现R3无法抢占成为虚拟组1的Master.

[R3]dis vrrp brief
Total:2     Master:1     Backup:1     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
1     Backup       GE0/0/0                  Normal   172.16.1.254   
2     Master       GE0/0/0                  Normal   172.16.1.253

4、查看R2上的VRRP信息。观察到R2在虚拟组1的配置优先级为120，但是在成为虚拟IP地址拥有者之后，其运行优先级为255，高于R3的优先级254，所以R3无法抢占成为该组的Master.这再次验证了Master的选举及抢占都是优先比较运行优先级。

<R2>dis vrrp
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.254
    PriorityRun : 255
    PriorityConfig : 120
    MasterPriority : 255
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 09:23:04 UTC-08:00
    Last change time : 2022-02-12 09:53:51 UTC-08:00

  GigabitEthernet0/0/1 | Virtual Router 2
    State : Backup
    Virtual IP : 172.16.1.253
    Master IP : 172.16.1.200
    PriorityRun : 200
    PriorityConfig : 200
    MasterPriority : 120
    Preempt : NO 
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 10:42:57 UTC-08:00
    Last change time : 2022-02-12 10:44:31 UTC-08:00

3.2 思考¶

在步骤4中，如果将R2配置成为虚拟组2的虚拟IP拥有者，试问此时R2能否抢占成为Master? 答:可以的，会立刻变成Master.只要是虚拟IP拥有者一定会变成Master.

四、配置VRRP的跟踪接口及认证¶

4.1 原理概述¶

1、当VRRP的Master设备的上行接口出现问题，而Master设备一直保持Active状态，那么会导致网络出现中断，所以必须要使得VRRP的运行状态和上行接口能够关联。在配置了VRRP冗余的网络中，为了进一步提高了网络可靠性，需要在Master设备上配置上行接口监视，监视连接了外网的出接口。即当此接口断电时，自动减小优先级一定的数值(该数值由人为配置)，使减小后的优先级小于Backup设备的优先级，这样Backup设备就会抢占Master角色接替工作。 2、VRRP支持报文的认证。默认情况下，设备对要发送和接收的VRRP报文不进行任何认证处理，认为收到的都是真实的、合法的VRRP报文。为了使VRRP运行更加安全和稳定，可以配置VRRP认证。VRRP支持简单字符(Simple)认证方式和MD5认证方式，用户可根据安全需要选择认证方式。

4.2 VRRP的跟踪接口及认证配置实验¶

4.2.1 实验目的¶

1、理解VRRP监视接口的应用场景 2、掌握VRRP监视接口的配置方法 3、掌握VRRP认证的配置方法

4.2.2 实验内容¶

本实验模拟企业网络场景。该公司使用两台路由器R2和R3作为出口网关连接到外网路由器R1，且R2和R3运行VRRP协议，两台路由器在同一个虚拟组1，R2为Master路由器。一次公司网络故障，突然所以主机不能访问外网了，经检查发现是R2与外网路由器R1之间的链路断掉了，而VRRP的Master角色并没有发生切换，所以流量仍发给R2，导致无法访问外网。现在需要对此网络进行优化，进一步提高可靠性和安全性，需要在Master设备上做VRRP上行接口监视，当上行接口故障时，自动降低VRRP优先级使Backup设备能抢占Master角色，接替工作；当链路恢复后，R2又能自动切换回Master设备，并且在Master与Backup之间配置VRRP认证，提高安全性。

4.2.3 实验拓扑¶

VRRP的跟踪接口及认证配置实验拓扑

4.2.4 实验编址¶

设备	接口	IP地址	子网掩码	默认网关
R1(AR1220)	GE0/0/0	172.16.2.254	255.255.255.0	N/A
R1(AR1220)	GE0/0/1	172.16.3.254	255.255.255.0	N/A
R2(AR1220)	GE0/0/0	172.16.2.100	255.255.255.0	N/A
R2(AR1220)	GE0/0/1	172.16.1.100	255.255.255.0	N/A
R3(AR1220)	GE0/0/0	172.16.3.200	255.255.255.0	N/A
R3(AR1220)	GE0/0/1	172.16.1.200	255.255.255.0	N/A
PC-1	E0/0/1	172.16.1.1	255.255.255.0	172.16.1.254
PC-2	E0/0/1	172.16.1.2	255.255.255.0	172.16.1.254

4.2.5 实验步骤¶

4.2.5.1 基本配置¶

根据实验编制表进行相应的基本配置，并使用Ping命令检测直连链路的连通性。

4.2.5.2 配置OSPF网络¶

1、在公司的出口网关路由器R2、R3和外网路由器R1上配置OSPF协议，使用进程号1，且所有网段均通告进区域0中。

[R1]ospf
[R1-ospf-1]area 0
[R1-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255
[R1-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

[R2]ospf
[R2-ospf-1]area 0
[R2-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255 
[R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255

[R3]ospf 
[R3-ospf-1]area 0   
[R3-ospf-1-area-0.0.0.0]network 172.16.1.0 0.0.0.255
[R3-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255

2、配置完成后，在R1上检查OSPF邻居建立情况。观察到，此时R1已经与R2和R3成功建立起OSPF邻居关系。

[R1]dis ospf peer brief 

     OSPF Process 1 with Router ID 172.16.2.254
          Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          GigabitEthernet0/0/0             172.16.2.100     Full        
 0.0.0.0          GigabitEthernet0/0/1             172.16.1.200     Full        
 ----------------------------------------------------------------------------

4.2.5.3 VRRP基本配置¶

1、为了提高网络可靠性，公司采用双出口组网，并采用VRRP协议实现网关设备冗余。在R2和R3上创建同一个虚拟组，虚拟ID为1，虚拟IP为172.16.1.254，其中调整R2的优先级为120，使R2成为Master,R3上的优先级不变。

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 172.16.1.254    
[R2-GigabitEthernet0/0/1]vrrp vrid 1 priority 120

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 172.16.1.254

2、配置完成后，查看R2、R3上VRRP信息。观察到R2现在为Master，R3现在为Backup。

[R2]dis vrrp
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 13:46:45 UTC-08:00
    Last change time : 2022-02-12 13:46:49 UTC-08:00

[R3]dis vrrp
  GigabitEthernet0/0/0 | Virtual Router 1
    State : Backup
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 13:47:14 UTC-08:00
    Last change time : 2022-02-12 13:47:14 UTC-08:00

3、此时公司网络发生故障，R2和外网路由器R1之间的链路出现故障，无故中断。关掉R1的GE0/0/0接口模拟该故障。

[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]shutdown

4、配置完成后，查看主备的切换情况。观察到R2的Master角色并没有发生切换，所以流量仍发送给R2，导致此时用户访问外网。此时VRRP无法通过感知上行接口发生故障来完成主备设备切换。

[R2]dis vrrp 
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 13:46:45 UTC-08:00
    Last change time : 2022-02-12 13:46:49 UTC-08:00

4.2.5.4 配置上行接口监视¶

1、为提高网络的可靠性和安全性，需要在Master设备R2上配置VRRP的上行接口监视。当R2的上行接口发生故障时，将自动降低优先级使得Backup设备能抢占Mater角色，接替工作，将网络中断所造成的影响最小化。在R1上恢复GE0/0/0接口，并在R2上配置上行接口监视。监视上行接口GE0/0/0，当此接口断掉时，裁剪优先级50，使优先级变为70，小于R3的优先级100.

[R1]int g0/0/0  
[R1-GigabitEthernet0/0/0]undo shutdown 

[R2]int g0/0/1
[R2-GigabitEthernet0/0/1]vrrp vrid 1 track interface g 0/0/0 reduced 50

2、配置完成后，关闭R1的GE0/0/0接口模拟故障发生，并使用display vrrp命令查看主备的切换情况。观察到当R2上监视指定接口的状态为DOWN时，VRRP优先级被裁剪掉50，变成70，小于路由器R3的优先级100，由于R3的VRRP默认为抢占模式，从而变成Backup，由R3成为新的Master并继续网络的转发。默认情况下，当被监视的接口变为DOWN时，VRRP优先级值数值降低10.

[R1]int g0/0/0  
[R1-GigabitEthernet0/0/0]shutdown 

[R2]dis vrrp 
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Backup
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.200
    PriorityRun : 70
    PriorityConfig : 120
    MasterPriority : 100
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Track IF : GigabitEthernet0/0/0   Priority reduced : 50
    IF state : DOWN
    Create time : 2022-02-12 13:46:45 UTC-08:00
    Last change time : 2022-02-12 14:09:27 UTC-08:00

<R3>dis vrrp 
  GigabitEthernet0/0/0 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.200
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 100
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 13:47:14 UTC-08:00
    Last change time : 2022-02-12 14:09:28 UTC-08:00

4.2.5.5 在R2和R3上配置VRRP认证¶

1、默认情况下，设备对要发送的VRRP报文不进行任何认证处理，收到VRRP报文的设备也不进行任何检测，认为收到的都是真实的、合法的VRRP报文。可以通过配置更改VRRP的认证模式，使VRRP对报文进行验证，从而增强安全性。在R2和R3上对VRRP虚拟组1配置接口认证，接口认证方式为MD5，密码为huawei.

[R2]int g0/0/1  
[R2-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode md5 huawei

[R3]int g0/0/0
[R3-GigabitEthernet0/0/0]vrrp vrid 1 authentication-mode md5 huawei

注意:在配置VRRP报文认证时，同一VRRP备份组认证方式必须相同，否则Master设备和Backup设备无法协商成功!!! 2、配置完成后，使用dis vrrp命令查看。观察到Auth type字段显示为MD5，Auth key字段显示加密后的密文。

[R2]dis vrrp 
  GigabitEthernet0/0/1 | Virtual Router 1
    State : Master
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : MD5   Auth key : %$%$n9]_B1itrWQ$fu:b3.OSUq)$%$%$
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Track IF : GigabitEthernet0/0/0   Priority reduced : 50
    IF state : UP
    Create time : 2022-02-12 13:46:45 UTC-08:00
    Last change time : 2022-02-12 14:20:50 UTC-08:00

[R3]dis vrrp
  GigabitEthernet0/0/0 | Virtual Router 1
    State : Backup
    Virtual IP : 172.16.1.254
    Master IP : 172.16.1.100
    PriorityRun : 100
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : MD5   Auth key : %$%$.3!|Uok@"XUhUM$pv^r=Urd2%$%$
    Virtual MAC : 0000-5e00-0101
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2022-02-12 13:47:14 UTC-08:00
    Last change time : 2022-02-12 14:24:17 UTC-08:00

4.3 思考¶

在本实验中，可以通过配置监视上行接口来提高VRRP的可靠性，但是监视上行接口仍然等同于监视直连链路，如果非直连链路，如果非直连链路出现故障，VRRP协议是否能感知？答:不能感知的，但是可以通过NQA来监控到目标连通性，并且使用VRRP来监视NQA的状态进行切换来实现。

一、简介¶

二、VRRP基本配置¶

2.1 原理概述¶

2.1.1 实验目的¶

2.1.2 实验内容¶

2.1.3 实验拓扑¶

2.1.4 实验编址¶

2.1.5.3 配置VRRP协议¶

2.1.5.4 验证VRRP主备切换¶

2.2 思考¶

三、配置VRRP多备份组¶

3.1 原理概述¶

3.1.1 实验目的¶

3.1.2 实验内容¶

3.1.3 实验拓扑¶

3.1.4 实验编址¶

3.1.5 实验步骤¶

3.1.5.1 基本配置¶

3.1.5.2 配置OSPF网络¶

3.1.5.3 配置VRRP双备份组¶

3.1.5.4 验证VRRP抢占特性¶

3.1.5.5 配置虚拟IP拥有者¶

3.2 思考¶

四、配置VRRP的跟踪接口及认证¶

4.1 原理概述¶

4.2 VRRP的跟踪接口及认证配置实验¶

4.2.1 实验目的¶

4.2.2 实验内容¶

4.2.3 实验拓扑¶

4.2.4 实验编址¶

4.2.5 实验步骤¶

4.2.5.1 基本配置¶

4.2.5.2 配置OSPF网络¶

4.2.5.3 VRRP基本配置¶

4.2.5.4 配置上行接口监视¶

4.2.5.5 在R2和R3上配置VRRP认证¶

4.3 思考¶

评论区