在配置路由器和防火墻的實(shí)驗(yàn)中都出現(xiàn)過需要配置VRRP，那什么VRRP，VRRP有什么用呢，VRRP是如何實(shí)現(xiàn)的？

VRRP基本概念

VRRP（Virtual Router Redundancy Protocol，虛擬路由器冗余協(xié)議）將可以承擔(dān)網(wǎng)關(guān)功能的一組路由器加入到備份組中，形成一臺(tái)虛擬路由器，這樣主機(jī)的網(wǎng)關(guān)設(shè)置成虛擬網(wǎng)關(guān)，就能夠?qū)崿F(xiàn)冗余。

VRRP原理

VRRP將局域網(wǎng)內(nèi)的一組路由器劃分在一起，稱為一個(gè)備份組。備份組由一個(gè)Master路由器和多個(gè)Backup路由器組成，功能上相當(dāng)于一臺(tái)虛擬路由器。
VRRP備份組具有以下特點(diǎn)：

? 虛擬路由器具有IP地址，稱為虛擬IP地址。局域網(wǎng)內(nèi)的主機(jī)僅需要知道這個(gè)虛擬路由器的IP地址，并將其設(shè)置為缺省路由的下一跳地址。

? 網(wǎng)絡(luò)內(nèi)的主機(jī)通過這個(gè)虛擬路由器與外部網(wǎng)絡(luò)進(jìn)行通信。

? 備份組內(nèi)的路由器根據(jù)優(yōu)先級(jí)，選舉出Master路由器，承擔(dān)網(wǎng)關(guān)功能。其他路由器作為Backup路由器，當(dāng)Master路由器發(fā)生故障時(shí)，取代Master繼續(xù)履行網(wǎng)關(guān)職責(zé)，從而保證網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。

典型組網(wǎng)分析：主備方式

sec_eudemon_ag_ha_0006_fig01.png

NGFW_A與 NGFW_B組成一組路由器，虛擬成一個(gè)虛擬路由器 。但是為什么會(huì)有兩組VRRP備份組呢？備份組由什么構(gòu)成的？

虛擬路由器（Virtual Router）：又稱 VRRP 備份組，由一個(gè) Master 設(shè)備和多個(gè)
Backup 設(shè)備組成，被當(dāng)作一個(gè)共享局域網(wǎng)內(nèi)主機(jī)的缺省網(wǎng)關(guān)

圖中VRRP備份組1由NGFW_A與 NGFW_B的下面接口組成，NGFW_A與 NGFW_B的下面接口都有IP，但是內(nèi)網(wǎng)PC網(wǎng)關(guān)是10.1.1.1，而不是這兩臺(tái)防火墻的下面接口其中的一個(gè)IP，10.1.1.1這個(gè)IP是這兩臺(tái)防火墻組成的備份組所虛擬IP，也就是說這個(gè)IP映射了多個(gè)防火墻，這樣當(dāng)其中一臺(tái)防火墻出現(xiàn)故障的時(shí)候，另一臺(tái)防火墻可以繼續(xù)轉(zhuǎn)發(fā)業(yè)務(wù)流量。備份組2也類似，對(duì)外的IP為虛擬IP。這就實(shí)際相當(dāng)于虛擬的防火墻，如圖

BaiduShurufa_2017-6-27_14-27-54.png

VRRP工作流程分析

BaiduShurufa_2017-6-27_14-35-2.png

VRRP 備份組中的交換機(jī)根據(jù)優(yōu)先級(jí)選舉出 Master。Master 交換機(jī)通過發(fā)送免費(fèi) ARP
報(bào)文，將虛擬 MAC 地址通知給與它連接的設(shè)備或者主機(jī)，從而承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)。

Master 交換機(jī)周期性向備份組內(nèi)所有 Backup 交換機(jī)發(fā)送 VRRP 通告報(bào)文，以公布其配
置信息（優(yōu)先級(jí)等）和工作狀況。

如果 Master 交換機(jī)出現(xiàn)故障，VRRP 備份組中的 Backup 交換機(jī)將根據(jù)優(yōu)先級(jí)重新選舉
新的 Master。

VRRP 備份組狀態(tài)切換時(shí)，Master 交換機(jī)由一臺(tái)設(shè)備切換為另外一臺(tái)設(shè)備，新的
Master 交換機(jī)會(huì)立即發(fā)送攜帶虛擬路由器的虛擬 MAC 地址和虛擬 IP 地址信息的免費(fèi)
ARP 報(bào)文，刷新與它連接的主機(jī)或設(shè)備中的 MAC 表項(xiàng)，從而把用戶流量引到新的
Master 交換機(jī)上來，整個(gè)過程對(duì)用戶完全透明。

原 Master 交換機(jī)故障恢復(fù)時(shí)，若該設(shè)備為 IP 地址擁有者（優(yōu)先級(jí)為 255），將直接切
換至 Master 狀態(tài)。若該設(shè)備優(yōu)先級(jí)小于 255，將首先切換至 Backup 狀態(tài)，且其優(yōu)先級(jí)
恢復(fù)為故障前配置的優(yōu)先級(jí)。

Backup 交換機(jī)的優(yōu)先級(jí)高于 Master 交換機(jī)時(shí)，由 Backup 交換機(jī)的工作方式（搶占方
式和非搶占方式）決定是否重新選舉 Master

參考資料：
VRRP 技術(shù)白皮書http://enterprise.huawei.com/ilink/cnenterprise/download/HW_201057