6.VRRP基本功能配置與管理

所謂“基本功能”就是完成這些功能配置後即可實作對應的協定主要功能。總體來講，VRRP的功能包括以下主要配置任務(隻有前面兩項為必選配置任務，且需要在VRRP備份組中的每台路由器上配置)，但在配置VRRP基本功能前，要配置各裝置VRRP接口的網絡屬性，使其路由可達。

l 建立VRRP備份組

l 配置裝置在備份組中的優先級

l (可選)配置VRRP的版本

l (可選)配置VRRP的的時間參數

l (可選)配置VRRP封包在Super-VLAN中的發送方式

l (可選)配置禁止檢測VRRP封包跳數

l (可選)配置VRRP的封包的認證方式

l (可選)使能虛拟IP位址Ping功能

1) 建立VRRP備份組

VRRP備份組的建立方法很簡單，就是在VRRP接口(即VRRP裝置的下行接口，可以是實體接口，邏輯接口或子接口，但必須是三層)視圖下通過

Vrrp virtual-router-id virtual-ip virtual-address指令建立。指令中的參數說明如下

①virtual-router-id:指定所建立的vRRP備份組好，取值範圍為1-255的整數。

②virtual-address:指定所建立的VRRP備份組的虛拟IP位址。虛拟路由器的IP位址必須和對應接口的真實IP位址在一個網段，如果配置了不在同網段的虛拟路由器的IP位址，該備份組會處于VRRP尚未配置的初始狀體，在此狀态下，VRRP不起作用。

【注意】在配置VRRP備份組時，要注意以下幾點。

l 各備份組之間的虛拟IP位址不能重複。

l 保證同一備份組的各成員裝置上配置相同的備份組ID。

l 不同接口之間的備份組ID可以重複使用。

l 在配置虛拟IP位址時，一定不要配置與使用者主機相同的IP位址，否則本網段封包都将被發送到使用者主機，進而導緻本網段的資料不能被正确裝法。

如要實作多網管負載分擔，則需要重複執行上述vrrp指令在接口上配置兩個或多個VRRP備份組，各備份組之間以備份組好(virtual-router-id)區分。

對于網絡中具有相同VRRP可靠性需求的使用者，為了便于管理，并避免使用者側預設網關位址随VRRP配置而改變，可以為同一個備份組配置多個虛拟IP位址(也都必須與對應VRRP接口的主或從IP位址在同一網段)，不同的虛拟IP位址為不同使用者群服務，每個備份組最多可配置16個虛拟IP位址。

【說明】如果下遊裝置上送至網關的封包中帶有VLAN Tag，則需要進入子接口視圖，并根據實際情況進行如下配置。

l 封包中帶有一層Tag時，先通過dot1q termination vid vid 子接口視圖指令配置對指定VLAN Tag的終結功能，然後在執行dot1q vrrp vid 指令配置在指定VLAN内發送VRRP封包。兩指令中的參數vid用來指定終結的單層VLAN ID。

l 封包中帶有兩層Tag時，先要通過qinq termination pe-vid pe-vid ce-vid ce-vid子接口視圖指令配置子接口對指定的雙層VLAN Tag封包的終結功能，然後再執行qinq vrrp pe-vid ce-vid ce-vid指令配置在指定VLAN内發送VRRP封包。兩指令中的參數pe-vid和ce-vid分貝用來指定終結的外層和内層VLAN ID。

l 在接口上配置VRRP時，建議同時使用vrp broadcast enable指令使能終結子接口ARP廣播功能，運作對應終結子接口能裝法廣播封包。

在裝置上同時配置VRRP和靜态ARP時，需要注意以下兩點。

l 當在Dot1q終結子接口、QinQ終結子接口或者VLANIF接口下配置VRRP時，不能将與接口下相關的靜态ARP表項對應的映射IP位址作為VRRP的虛拟位址，否則會導緻裝置之間轉發不通。例如:如果裝置上已經存在了一條靜态ARP表項且其映射IP位址為10.1.1.1，那麼在Dot1q終結子接口、QinQ終結子接口或者VLANIF接口下配置VRRP時，就不能再使用10.1.1.1作為VRRP的虛拟IP位址。

l 當在Dot1q終結子接口、QinQ終結子接口或者VLANIF接口下配置VRRP後，在配置靜态ARP表項時，不能制定VRRP的虛拟位址作為靜态ARP表項中對應的映射IP位址，否則可能導緻裝置之間轉發不通。例如裝置上Dot1q終結子接口、QinQ終結子接口或者VLANIF接口下配置了VRRP的虛拟IP位址為10.1.1.1.name再配置靜态ARP表項時，就不能在使用10.1.1.1作為靜态ARP表項中對應的映射IP位址。

預設情況下，裝置上無VARRP備份組，可用undo vrrp vrid virtual-router-id [virtual-ip virtual-address]指令删除指定VRRP備份組的虛拟IP位址。如果備份中的虛拟IP位址被全部删除，則系統會自動将此備份組删除。

2) 配置裝置在備份組中的優先級

VRRP根據優先級決定裝置在備份組中的地位，遊戲級越高，越可能這個那位Master裝置。通過配置優先級，可以指定Master裝置，以承擔流量轉發業務。

VRRP備份組中裝置優先級是在對應的VRRP接口視圖下使用vrrp vrid virtual-router-id priority priority-value指令進行配置的。指令中的參數說明如下。

①virtual-router-id:指定要配置目前路由器優先級的VRRP備份組号(在上節已建立)

②priority-value:指定目前路由器在前面指定的VRRP備份組中的優先級，取值範圍是1-254的整數，數值越大，優先級越高。如果需要配置目前裝置作為預設網關，可以執行此指令配置本裝置在備份組中擁有最高的優先級，即指定其為Master裝置。

【注意】優先級0是系統保留作為特殊用途的，優先級值255保留給IP位址擁有者(即配置了路由器的某個接口IP位址為虛拟路由器IP位址的路由裝置)。IP位址擁有者的優先級不可配置，也不需要配置，直接為最高的255.

在VRRP備份組中裝置優先級取值相同的情況下，先切換至Master狀态的裝置為Master裝置，其餘Backup裝置不再進行搶占；如果同時競争Master，則比較VRRP備份組所在VRRP接口的IP位址大小，IP位址較大的接口所在的裝置當選為Master裝置。

預設情況下，優先級的取值是100，可用undo vrrp vrid virtual-router-id priority指令恢複裝置在指定VRRP備份組中的優先級為預設值。

3) (可選)配置VRRP版本

基于IPv4的VRRP支援VRRPv2和VRRPv3兩個版本。如果VRRP備份組诶各路由器上的配置的協定版本不同，可能導緻VRRP封包不能互通。

l 配置了v2版本的備份組:隻能發送和接收v2版本的VRRP通告封包。如果收到v3版本的VRRP通告封包，則将此封包丢棄。

l 配置了v3版本的備份組:能夠接收v2或v3版本的VRRP通告封包，發送封包格式可以選擇配置，包括僅發送v2版本封包、僅發送v3版本封包和既發送v2版本封包也發送v3版本封包。使用時可以根據實際情況進行配置

配置目前裝置的VRRP版本号的方法是在系統視圖下通過vrrp version {v2|v3}指令配置。預設情況下，VRRP版本号為2，可通過undo vrrp version指令恢複目前裝置的VRRP版本号為預設值。

如果選擇v3版本，還可以通過vrrp version-3 send-packet-mode {v2-only| v3-only|v2v3-both}指令配置VRRPv3發送的通告封包版本。預設情況下，VRRPv3版本備份組發送通告封包的版本為v3-only，即發送v3版本的通告封包。

4) 配置VRRP的時間參數

VRRP的時間參數	預設值	取值範圍
VRRP通告封包的發送間隔	1秒	V2 0-255，整數秒 V3 0-40，整數秒
路由器在VRRP備份組中的搶占延時	0秒，立即搶占	0-3600，整數秒
Master裝置發送免費ARP封包的逾時時間
VRRP備份的狀态恢複延遲時間。	0秒	0-60整數秒

具體說明間表7-13，具體配置步驟間表7-14.他們都有對應的預設值，切一半情況下無需修改，古本項配置任務根據實際需要選擇配置。

表7-13 VRRP時間參數

功能	說明
VRRP通告保封包的發送間隔	Master裝置會以Advertisement_Interval為定時器向組内的Backup裝置發送VRRP通告，通告自己工作正常。如果BackUK平裝置在Master_Down_Interval定時器(=3×Advertisement_Interval+Skew_time)逾時後仍未收到VRRP通告封包，則重新選舉Master。 網絡流量過大或裝置的定時器差異等因素可能會導緻Backup裝置無法及時接收到VRRP封包而發生狀态轉換，當原Master發送的封包到達新Master時，新Master将再次發送狀态切換。這時，通過延長Master裝置發送VRRP封包的時間間隔可以解決此類問題
路由器在VRRP備份組中的搶占延時	在不穩定的網絡中，可能存在VRRP備份組檢測的BFD等狀态頻繁振蕩或Backup裝置不能及時收到VRRP通告封包的情況，導緻VRRP發生頻繁切換而造成網絡振蕩。通過調整路由器在VRRP備份組中的搶占延時，可使Backup裝置在指定的時間後再進行搶占，有效避免了VRRP備份組狀态頻繁切換
Master裝置發送免費ARP封包的逾時時間	在VRRP備份組中，為了確定下遊交換機的MAC表項正确，Master裝置會定時發送免費ARP封包，用來重新整理下遊交換機上的MAC位址表項。 【注意】為避免VRRP振蕩，請不要在VRRP備份裝置上把系統MAC或VRRP虛MAC等一些特殊的MAC位址配置成黑洞MAC
VRRP備份組的狀态恢複延遲時間	在不穩定的網絡，VRRP備份組檢測的BFD或接口等狀态頻繁振蕩會導緻VRRP備份組狀态頻繁切換。通過配置VRRP備份組的狀态恢複延遲時間，VRRP備份組在接收到接口或BFD會話的UP事件時不會立刻響應，而是等待配置的狀态恢複時間後，在進行相應的處理，防止因接口或BFD會話的頻繁振蕩而導緻的VRRP狀态的頻繁切換

表7-14 VRRP時間參數的配置步驟

步驟	指令	說明
1	System-view	進入系統視圖
2	Interface interface-type interface-number	鍵入VRRP接口，可以是實體接口、邏輯接口或者子接口，進入接口視圖
3	Vrrp vrid virtual-router-id timer advetise advertise-interval	配置路由器發送VRRP通告封包的時間間隔。指令總的參數說明如下。 1.virtual-router-id:指定要配置VRRP通告封包發送時間講個的VRRP備份組的ID。 2.advertise-interval:指定備份組中的Master裝置發送VRRP通告封包的時間間隔，如果是v2版本，則取值範圍為1-255的整數倍，如果是v3版本，則取值範圍是1-40的整數，機關是s。 預設情況下，發送VRRP通告封包的時間間隔是1s，可用undo vrrp vrid virtual-router-id timer advertise指令恢複指定VRRP備份組中Master發送VRRP封包的時間間隔為預設值。
4	Vrrp vrid virtual-router-id preempt-mode timer delay delay-value	配置路由器為延遲搶占方式，并配置搶占延遲時間。指令中的參數說明如下。 1.virtual-router-id:指定要配置路由器搶占延遲時間的VRRP備份組的ID。 2.delay-value:指定路由的搶占延遲時間，取值範圍為(0-3600)的整數秒。 預設情況，搶占延遲時間為0，即為立即搶占。立即搶占方式下，Backup裝置一旦發現自己的優先級比目前的Master的優先級高，就會搶占腸胃Master，執行undo vrrp vrid virtual-Router-id preempt-mode指令可以恢複預設的立即搶占方式。 【說明】可以執行vrrp vrid virtual-router-id preempt-mode disable指令設定對應VRRP備份組中的路由器采用非搶占模式。在非搶占模式下，一旦備份組中的某台路由器成為Master，隻要它沒有出現故障，其他路由器即使随後被配置更高的優先級也不會成為Master。在配置VRRP備份組内各路路由器的延遲方式時建議Backup裝置配置為立即搶占，Master裝置配置為延時搶占，指定一定的延遲時間。這樣配置的目的是為了在網絡環境不穩定時，為上下行鍊路的狀态恢複一緻性等待一定的時間，以免出現雙Master裝置或由于主備頻繁搶占導緻使用者裝置學習到錯誤的Master裝置位址。 搶占延遲時間需根據網絡情況合理配置，對于較穩定的網絡，可以配置較小的搶占延遲時間，避免Master故障後，Backup裝置長時間沒有切換成Master而導緻流量丢失；對于不穩定的網絡，可以配置較大的搶占延遲時間，避免由于VRRP狀态啊頻繁切換而導緻流量丢失。
5	Quit	退出接口視圖，傳回系統視圖
6.	Vrrp recover-delay delay-value	配置目前路由器在VRRP備份組的狀态恢複延遲時間，取值範圍為0-60的整數秒。執行此指令後，該路由器上所有VRRP備份組配置了相同的狀态恢複延遲時間。 預設情況下，VRRP備份組狀态恢複延遲時間為0s，可用undo vrrp recover-delay指令恢複VRRP備份組的狀态恢複延遲時間為預設值
7	Vrrp gratuitous-arp timeout time	配置目前路由器Master發送免費ARP封包的逾時時間，取值範圍為30-120的整數秒。配置的Master裝置發送免費ARP封包逾時時間應小于使用者側裝置的MAC位址表項老化時間，否則太快地發送免費ARP封包就沒有什麼意義了。 預設情況下，Master每個120s發送一次免費ARP封包，可用undo vrrp gratuitous-arp timeout指令恢複Master發送免費ARP封包的逾時時間為預設值。如果不需要發送免費ARP封包，則在系統視圖下執行vrrp gratuitous-arp timeout disable指令

5) (可選)配置VRRP封包在super-vlan中的發送方式

當VRRP備份組配置在聚合VLAN時，使用者可以通過指令行配置，使VRRP封包在指定的sub-VLAM中傳輸，避免VRRP通告封包在所有sub-VLAN内廣播，以節約網絡帶寬。

在Super-VLAN視圖下通過vrrp advertise send-mode {sub-vlan-id|all}指令可配置VRRP通告封包在指定的或所有的Sub-VLAN中發送。預設情況下，Master裝置向Super-VLAN中狀态為Up的且VLAN ID最小的Sub-VLAN發送VRRP通告封包。可用undo vrrp advertise send-mode指令恢複Master裝置向Super-VLAN中發送VRRP通告封包的方式為預設值。

6) (可選)配置禁止檢測VRRP封包跳數

VRRP通告封包有一個非常顯著的特點，那就是封包中的TTL值固定為255。系統對收到的VRRP通告封包的TTL值進行檢測，如果TTL值不等于255，則認為是非法VRRP封包，于是丢棄這個封包。但在不同裝置制造商的裝置配合使用的組網環境中，檢測VRRP封包的TTL值可能導緻錯誤地丢棄合法封包，此時使用者可以配置系統不檢測VRRP封包的TTL值，以實作不通過裝置制造商的裝置之間互通。

配置方法：在系統視圖下

指令： vrrp un-check ttl

預設情況，檢測VRRP封包的TTL值，可用undo vrrp un-check ttl 來恢複對VRRP封包TTL值的檢測情況為預設值。

7) (可選)配置VRRP封包的認證方式

在一些不安全的網絡環境，需要配置對VRRP封包認證，以確定路由器對要發送和接收的VRRP封包都是真實、合法的。VRRPv2支援在通告封包中設定不同的認證方式和認證字，支援無認證、簡單字認證和MD5認證3種方式。

①無認證方式：裝置對要發送的VRRP通告封包不進行任何認證處理，收到通告封包的裝置也不進行任何認證，認為收到的都是真實的、合法的VRRP封包。

②簡單字元（Simple）認證方式：發送VRRP通告封包的裝置将認證方式和認證字填充到通告封包中，而收到通告封包的裝置則會将封包中的認證方式和認證字與本端配置的認證方式和認證字進行比對。如果相同，則認為接收到的封包是合法的VRRP通告封包；否則認為接收到的封包是一個非法封包，并丢棄這個封包。

③MD5認證方式：發送VRRP通告封包的裝置利用MD5算法對認證字進行加密，加密後儲存在Authentication Data字段中。收到通告封包的裝置會對封包中的認證方式和解密後的認證字進行比對，檢查該封包的合法性。它比簡單字元更安全。

VRRP封包認證方式的配置方法:

l 在VRRP接口視圖下

l 配置指令:vrrp vid virtual-router-id authentication-mode {simple { key|plain key|cipher cipher-key}| md5 md5-key}

n Virtual-router-id:指定要配置VRRP認證方式的VRRP備份組号，整數形式，取值範圍1-255.

n Simple:二選一參數，指定采用simple認證方式。

n Key多選一參數，指定simple認證方式的認證字元，字元串形式，不支援空格、區分大小寫，長度範圍是1-8.當輸入的字元串兩端使用雙引号時，可在字元串中輸入空格。

n Plain key:多選一參數，指定明文認證方式的認證字元，字元串形式，不支援空格、區分大小寫，長度範圍是1-8.當輸入的字元串兩端使用雙引号時，可在字元串中輸入空格。

n Cipher cipher-key: 多選一參數，指定密文認證方式的認證字元，字元串形式，不支援空格、區分大小寫，明文長度範圍是1-8。密文長度為32或48。當輸入的字元串兩端使用雙引号時，可在字元串中輸入空格。

n Md5 md5-key: 多選一參數，指定MD5認證方式的認證字元，字元串形式，不支援空格、區分大小寫，明文長度範圍是1-8。密文長度為24或32或48。當輸入的字元串兩端使用雙引号時，可在字元串中輸入空格。

同一VRRP備份組的認證方式和認證字元必須相同，否則Master裝置和Backup裝置無法協商成功。預設情況下，VRRP備份組采用無認證方式，可用und vrrp vrid virtual-router-id authentication-mode指令取消指定VRRP備份組的認證方式和認證字元。

8) (可選)使能虛拟IP位址Ping功能

路由器支援對虛拟IP位址的Ping功能，可用于檢測備份組中的Master裝置是否有效，檢測是否能通過使用某虛拟IP位址作為預設網關與外部通信。

配置方法

l 在系統視圖下

l 配置指令:vrrp virtual-ip ping enable

允許Master裝置響應目的IP位址是虛拟IP位址的Ping封包，可用undo vrrp virtual-ip ping enable或vrrp virtual-ip ping disable指令來禁止Master裝置響應目的IP位址是虛拟IP位址的ping封包。

VRRP基本功能配置好後，可通過以下display任意視圖指令檢視配置資訊、驗證配置結果；或者檢視VRRP封包統計資訊，了解VRRP運作情況；也可以通過以下reset使用者視圖指令清除VRRP統計資訊，一遍了解最新的VRRP運作情況。

l Display vrrp [interface interface-type interface-number] [virtual-router-id] [brief]或display vrrp [admin-vrrp] [interface interface-type interface-number [virtual-router-id]|virtual-router-id] [verbose]]:檢視指定接口、指定VRRP備份組或者所有VRRP備份組的狀态資訊和配置參數。

l Display vrrp protocol-information:檢視VRRP的相關資訊。

l Display vrrp [interface interface-type interface-number] [virtual-router-id] statistics:檢視指定接口、指定VRRP備份組或者所有VRRP備份組的封包收發統計資訊。

l reset vrrp [interface interface-type interface-number] [virtual-router-id] statistics: 清除指定接口、指定VRRP備份組或者所有VRRP備份組的封包統計資訊