操作手冊系統分冊 目 1 1 1 2 4 4 6 7 7 9 9 i第1VRRP如圖1-1所示，通常，同一網段內的所有主機都設置一條相同的以網關為下一跳的

圖1-1VRRP（VirtualRouterRedundancyProtocol，虛擬路由器冗余協議）將可以承擔VRRP是一種容錯協議，在提高可靠性的同時，簡化了主機的配置。在具有多播或備上和IPv6設備上使用的命令不同。Master防火墻，承擔網關功能。當備Master防火墻發生故障時，其余的防火墻將取代它繼圖1-2VRRP1-2所示，SecPathA、SecPathB和SecPathC組成一個虛擬防火墻。此虛擬SecPathB和SecPathC中優先級最高的防火墻作為Master防火墻，承擔網關的功份組內的某個防火墻的接口IP地址相同。VRRP根據優先級來確定備份組中每臺防火墻的角色（MasterBackup防火墻）。優先級越高，則越有可能成為Master防火墻。VRRP0255（數值越大表明優先級越高），可配置的范圍在IP地址擁有者時，只要其工作正常，則為Master防火墻。Master防火墻沒有出現故障，Backup防火墻即使隨后被配置了更高的優先級也不會成為Master防火墻。MasterVRRP通告報文。導致相應地，原來的Master防火墻將會變成Backup防火墻。VRRPVRRP報文中的認證字和本地配置的AuthenticationHeader（認證頭）VRRP報文的VRRPMasterVRRP通告報文，通知備份組內的防VRRP搶占延遲時間的方法來解決這個問題。VRRP搶占延遲時間后，Backup3倍的通告報文時間間份組內防火墻進行Master防火墻的選舉。虛擬的各種參數，還可以用于Master的選舉。圖圖1-3基于IPv4的VRRPType：VRRP報文的類型。VRRPVRRPCountIPAddrsIP地址的個數。1一律填0。圖圖1-4基于IPv6的VRRPType：VRRP報文的類型。VRRPVRRP不支持MD5認證。Addrs字段。一律填0。MasterBackup防火墻。Master防火墻定期發送VRRP通告報文，通知備份組內的其他設備自己工作正常；Backup防火墻則啟動定時器等待通告報文的到來。與通告報文中的優先級進行比較。如果大于通告報文中的優先級，則成為Master防火墻；否則將保持Backup狀態。Master防火墻沒有出現故障，備份組中的防火墻始終也不會成為Master防火墻。BackupMasterVRRPMasterBackup防火墻會根據優先級選舉出Master防火墻，承擔報文的轉發功能。VRRP的監視接口功能更好地擴充了備份功能：不僅能在備份組中某防火墻的接口down狀態時，擁有該接口的防火墻的優先級會自動降低一個指定優先級高的Backup防火墻轉變為Master防火墻。優先級，成為Master，保證局域網內主機與外部網絡的通信不會中斷。擁有不同優先級，優先級最高的防火墻將成為Master，如圖1-5中所示。圖1-5主備備份初始情況下，SecPathAMaster并承擔轉發任務，SecPathBSecPathC是SecPathBSecPathCMaster，這個新Master繼續向網絡內的主機提供路由服務。為Master，在其他的備份組中作為Backup。可以各不相同，如圖1-6中所示。圖1-6負載分擔1-6中，有三個備份組存在：C作為Backup。C作為Backup。B作為Backup。SecPathA、SecPathBSecPathC之間進行負載分擔，需需要確保三個備份組中各防火墻的VRRP優先級形成交叉對應。IPv4的表1-1VRRP配置虛擬IPMAC創建備份組并配置虛擬IPMACIPMAC地址的對應關系，將發往其他網段的報文正確轉發給Master。如果采用這種對應關系，MasterIP地址與MAC地址的綁定。IPMACIP地址擁有者IPMACIP地址對應兩主機發送的報文將按照實際MAC地址轉發給IP地址擁有者。表1-2MAC地址和虛擬IP-配置虛擬IPvrrpmethod{real-macMAC地址和虛擬IP注意：允許修改虛擬IP地址和MAC地址的對應關系。則可以為一個備份組配置多個虛擬IP地址，以便實現不同子網中防火墻的備份。IP地址時，VRRPIP地址添加到它的備份組虛擬IP地址列表中。注意：隨后配置的虛擬IP地址與接口的IP地址在同一網段。表1-3創建備份組并配置虛擬IP--虛擬IP地址配置的虛擬IP地址數目是不相同的。IP墻被稱為“IP地址擁有者”。擁有者的接口IP地址的方式解決地址沖突。回地址、非A/B/C類地址和其它非法IP地址(如0.0.0.1)。IP地址所在網段的網絡地址或網絡廣播地址，雖然可以配置成功，但是備份組會始終處于Initialize狀態，此狀態下VRRP不起作用。置虛擬IP地址。防火墻作為Master。下面這些配置是可選的，可以根據實際需要進行配置。表1-4--vrrpvridvirtual-router-id中的優先級為100vrrpvridvirtual-router-idpreempt-mode[timerdelaydelay-value]時間為0秒vrrpvridvirtual-router-idtrackinterfaceinterface-typeinterface-number[reducedpriority-reduced]vrrpvridvirtual-router-idtracktrack-entry-number[reducedpriority-reduced|switchover]的Track項被監視的接口可以是三層以太網接口、VLAN接口、同異步串口、MP-group接為PPPoE客戶端，并工作在永久在線方式；BRI接口工作在專線模式。VRRPIP地--VRRP報文的認證方式vrrp{md5|simple}配置備份組中Mastervrrpvirtual-router-idtimeradvertiseadver-interval禁止檢查VRRPvrrpun-check表1-6VRRPTrap-snmp-agenttrapenable[authfailure|newmastersnmp-agenttrapenablevrrp命令的詳細介紹請參見“系統分冊/SNMP命令”中的snmp-agenttrapenable命令。displayIPv4表1-7VRRPdisplayvrrp[verbose][interfaceinterface-typeinterface-number[vridvirtual-router-id]]displayvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]resetvrrpstatistics[interfaceinterface-typeinterface-number[vridvirtual-router-id]]HostA需要訪問Internet上的HostBHostA的缺省網關為202202圖1-7VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathB5[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master [SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt DelayAuth VirtualIP MasterIP :202.38.160.1A發送給HostB的報文通過SecPathA轉發。verbose命令查看SecPathB上備份組的詳細信息。[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 1Adver.:Admin :Config Run:Preempt DelayAuth Virtual Virtual Master HostA需要訪問Internet上的HostBHostA的缺省網關為HostB的報文通過SecPathB轉發。202圖1-8VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathA-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathA-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelayreduced30[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-GigabitEthernet0/0]vrrpvrid1timeradvertise[SecPathB-GigabitEthernet0/0]vrrpvrid1preempt-modetimerdelay[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin Config Run::Preempt Auth Track DelayTimePri::VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.1[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP :202.38.160.111MasterIP :202.38.160.1A發送給HostB的報文通過SecPathA轉發。pingHostB。通過displayvrrpverbose命令查看備份組的信息。[SecPathA-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : : Adver. :Admin : :Config : Run :PreemptMode :YES DelayTime :5AuthType :SIMPLETEXT TrackIF :GigabitEthernet0/1 PriReduced :30VirtualIP :202.38.160.111Master :[SecPathB-GigabitEthernet0/0]displayvrrpverboseIPv4StandbyInformation:RunMethod :VIRTUAL-MACTotalnumberofvirtualrouters:1 : 1Adver.:Admin :Config Run:Preempt Delay:Auth VirtualIP:202.38.160.111VirtualMAC:0000-5e00-0101MasterIP:202.38.160.2SecPathAGigabitEthernet0/1不可用時，SecPathA的80Backup，SecPathBMaster，HostAHostB的報文通過SecPathB轉發。的缺省網關為202.38.160.112/24；

圖1-9VRRP[SecPathA-GigabitEthernet0/0]vrrpvrid1virtual-ipSecPathA1110[SecPathB-GigabitEthernet0/0]vrrpvrid1virtual-ip[SecPathB-Giga