VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯(cuò)協(xié)議。通常，一個(gè)網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由，這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報(bào)文將被通過(guò)缺省路由發(fā)往路由器RouterA,從而實(shí)現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時(shí)，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信產(chǎn)生單點(diǎn)故障。VRRP就是為解決上述問(wèn)題而提出的，它為具有多播組播或廣播能力的局域網(wǎng)(如：以太網(wǎng))設(shè)計(jì)。

　　VRRP將局域網(wǎng)的一組路由器(包括一個(gè)Master即活動(dòng)路由器和若干個(gè) Backup即備份路由器)組織成一個(gè)虛擬路由器，稱之為一個(gè)備份組。這個(gè)虛擬的路由器擁有自己的IP地址10.100.10.1(這個(gè)IP地址可以和備份組內(nèi)的某個(gè)路由器的接口地址相同，相同的則稱為ip擁有者)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為 10.100.10.2,Backup的IP地址為10.100.10.3)。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個(gè)虛擬路由器的IP地址10.100.10.1, 而并不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1.于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過(guò)這個(gè)虛擬的路由器來(lái)與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的 Master路由器壞掉，Backup路由器將會(huì)通過(guò)選舉策略選出一個(gè)新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。

工作原理

　　一個(gè)VRRP路由器有唯一的標(biāo)識(shí)：VRID,范圍為0-255該路由器對(duì)外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E- 00-01-[VRID]主控路由器負(fù)責(zé)對(duì)ARP請(qǐng)求用該MAC地址做應(yīng)答這樣，無(wú)論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對(duì)終端設(shè)備的影響[3]

　　VRRP控制報(bào)文只有一種：VRRP通告(advertisement)它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為224.0.0.18,發(fā)布范圍只限于同一局域網(wǎng)內(nèi)這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報(bào)文備份路由器在連續(xù)三個(gè)通告間隔內(nèi)收不到VRRP或收到優(yōu)先級(jí)為0的通告后啟動(dòng)新的一輪VRRP選舉[3]

　　在VRRP路由器組中，按優(yōu)先級(jí)選舉主控路由器，VRRP協(xié)議中優(yōu)先級(jí)范圍是0-255若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動(dòng)具有最高優(yōu)先級(jí)：255優(yōu)先級(jí)0一般用在IP地址所有者主動(dòng)放棄主控者角色時(shí)使用可配置的優(yōu)先級(jí)范圍為1-254優(yōu)先級(jí)的配置原則可以依據(jù)鏈路的速度和成本路由器性能和可靠性以及其它管理策略設(shè)定主控路由器的選舉中，高優(yōu)先級(jí)的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)對(duì)于相同優(yōu)先級(jí)的候選路由器，按照IP地址大小順序選舉VRRP還提供了優(yōu)先級(jí)搶占策略，如果配置了該策略，高優(yōu)先級(jí)的備份路由器便會(huì)剝奪當(dāng)前低優(yōu)先級(jí)的主控路由器而成為新的主控路由器[3]

　　為了保證VRRP協(xié)議的安全性，提供了兩種安全認(rèn)證措施：明文認(rèn)證和IP頭認(rèn)證明文認(rèn)證方式要求：在加入一個(gè)VRRP路由器組時(shí)，必須同時(shí)提供相同的VRID和明文密碼適合于避免在局域網(wǎng)內(nèi)的配置錯(cuò)誤，但不能防止通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)方式獲得密碼IP頭認(rèn)證的方式提供了更高的安全性，能夠防止報(bào)文重放和修改等攻擊。