VRRP(VirtualRouterRedundancyProtocol,虛擬路由冗余協(xié)議)是一種容錯協(xié)議。通常，一個網(wǎng)絡(luò)內(nèi)的所有主機都設(shè)置一條缺省路由，這樣，主機發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA,從而實現(xiàn)了主機與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機將斷掉與外部的通信產(chǎn)生單點故障。VRRP就是為解決上述問題而提出的，它為具有多播組播或廣播能力的局域網(wǎng)(如：以太網(wǎng))設(shè)計。

　　VRRP將局域網(wǎng)的一組路由器(包括一個Master即活動路由器和若干個 Backup即備份路由器)組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址10.100.10.1(這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同，相同的則稱為ip擁有者)，備份組內(nèi)的路由器也有自己的IP地址(如Master的IP地址為 10.100.10.2,Backup的IP地址為10.100.10.3)。局域網(wǎng)內(nèi)的主機僅僅知道這個虛擬路由器的IP地址10.100.10.1, 而并不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3.[1]它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1.于是，網(wǎng)絡(luò)內(nèi)的主機就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進行通信。如果備份組內(nèi)的 Master路由器壞掉，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機不間斷地與外部網(wǎng)絡(luò)進行通信。

工作原理

　　一個VRRP路由器有唯一的標識：VRID,范圍為0-255該路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E- 00-01-[VRID]主控路由器負責(zé)對ARP請求用該MAC地址做應(yīng)答這樣，無論如何切換，保證給終端設(shè)備的是唯一一致的IP和MAC地址，減少了切換對終端設(shè)備的影響[3]

　　VRRP控制報文只有一種：VRRP通告(advertisement)它使用IP多播數(shù)據(jù)包進行封裝，組地址為224.0.0.18,發(fā)布范圍只限于同一局域網(wǎng)內(nèi)這保證了VRID在不同網(wǎng)絡(luò)中可以重復(fù)使用為了減少網(wǎng)絡(luò)帶寬消耗只有主控路由器才可以周期性的發(fā)送VRRP通告報文備份路由器在連續(xù)三個通告間隔內(nèi)收不到VRRP或收到優(yōu)先級為0的通告后啟動新的一輪VRRP選舉[3]

　　在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0-255若VRRP路由器的IP地址和虛擬路由器的接口IP地址相同，則稱該虛擬路由器作VRRP組中的IP地址所有者;IP地址所有者自動具有最高優(yōu)先級：255優(yōu)先級0一般用在IP地址所有者主動放棄主控者角色時使用可配置的優(yōu)先級范圍為1-254優(yōu)先級的配置原則可以依據(jù)鏈路的速度和成本路由器性能和可靠性以及其它管理策略設(shè)定主控路由器的選舉中，高優(yōu)先級的虛擬路由器獲勝，因此，如果在VRRP組中有IP地址所有者，則它總是作為主控路由的角色出現(xiàn)對于相同優(yōu)先級的候選路由器，按照IP地址大小順序選舉VRRP還提供了優(yōu)先級搶占策略，如果配置了該策略，高優(yōu)先級的備份路由器便會剝奪當(dāng)前低優(yōu)先級的主控路由器而成為新的主控路由器[3]

　　為了保證VRRP協(xié)議的安全性，提供了兩種安全認證措施：明文認證和IP頭認證明文認證方式要求：在加入一個VRRP路由器組時，必須同時提供相同的VRID和明文密碼適合于避免在局域網(wǎng)內(nèi)的配置錯誤，但不能防止通過網(wǎng)絡(luò)監(jiān)聽方式獲得密碼IP頭認證的方式提供了更高的安全性，能夠防止報文重放和修改等攻擊。