华为交换机VRRP配置教程（一）

VRRP是一种网关备份和负载均衡技术，以实现用户网络的多网关备份和负载均衡，主要用于WAN接入线路的备份和负载均衡

接口和双机热备也可以实现主备切换和负载均衡，不同之处在于：

接口备份是针对同一路由器上多个WAN借口的备份

双机热备是针对同一网络位置不同路由器的备份

相比vrrp而言，接口备份和双机热备应用更灵活、更广泛。

在交换机上部署VRRP功能时需注意：

1、不同备份组之间的虚拟IP地址不能重复，并且必须和接口的IP地址在同一网段。

2、保证同一备份组的设备上配置相同的virtual-router-id。

3、不同VLANIF接口上可以绑定相同virtual-router-id的VRRP备份组，但不同以太网接口上不可以绑定相同virtual-router-id的VRRP备份组。

4、在设备上同时配置VRRP和静态ARP时，需要注意：当在VLANIF接口、以太网接口下配置VRRP时，不能将与这些接口相关的静态ARP表项对应的映射IP地址作为VRRP的虚拟地址。否则会生成错误的主机路由，影响设备之间的正常转发。

5、不能将VRRP的虚拟MAC地址配置为静态MAC地址或者黑洞MAC地址。

6、如果VRRP备份组内各交换机上配置的VRRP协议版本不同，可能导致VRRP报文不能互通。

四、VRRP具体配置（IPv4）

1、创建vrrp备份组

在vrrp接口视图（即vrrp设备的下行接口，可以是物理接口、逻辑接口或子接口）下设置

具体配置：

[Huawei-GigabitEthernet0/0/1]

vrid：为vrrp备份组号

virtual-ip：指所创建的vrrp备份组的虚拟IP地址，该虚拟IP地址必须和对应接口的真实IP地址在同一段；还可以为同一个备份组设置多个虚拟IP（也必须与接口在同一网段，最多16个），不同的虚拟IP地址为不同的用户服务。

建议不要在Super-VLAN对应的VLANIF接口下创建VRRP备份组，即使配置，配置VRRP备份组的总VLAN数（包括普通VLAN、Super-VLAN及其Sub-VLAN）不要超过256个，以免对主机性能产生影响。

建议设备上配置的虚拟IP地址数不超过1000个，否则VRRP备份组可能会出现震荡。

如果配置的VRRP备份组较多，则需要适当调大针对VRRP协议报文的CPCAR值。比如要配置满规格，则需要使用命令car（防攻击策略视图）将VRPR协议报文的CPCAR配置到192kbps。

或者也可以配置管理VRRP备份组（mVRRP），通过业务VRRP备份组与管理VRRP备份组进行绑定，以此减少协议报文对CPU与带宽资源的消耗。

实现多网关负载分担，需要重复执行上述“主备备份”的操作步骤，在接口上配置两个或多个VRRP备份组，各备份组之间以备份组号（virtual-router-id）区分。

如果下游设备上送至网关的报文中带有vlantag，则需要进入子接口根据如下情况进行对应设置。

1、报文中带有一层tag时，先通过dot1qterminationvid子接口视图命令设置对指定tag的终结功能，然后设置dot1qvrrpvid子接口视图命令指定tag的数据报文来维护vrrp状态。两个命令中的vid指的是单层vlanid。

举例：

[Huawei-GigabitEthernet0/0/1.1]dot1qterminationvid10

[Huawei-GigabitEthernet0/0/1.1]arpbroadcastenable

[Huawei-GigabitEthernet0/0/1.1]dot1qvrrpvid10

[Huawei-GigabitEthernet0/0/1.1]

2、报文中带有两层tag时，先通过qinqterminationpe-vidce-vid子接口视图下对指定的两层tag报文终结功能，然后通过qinqvrrppe-vidce-vid子接口视图配置用指定的双层tag的qinq数据报文来维护vrrp。

举例：

[Huawei-GigabitEthernet0/0/1.2]qinqterminationpe-vid5ce-vid8

[Huawei-GigabitEthernet0/0/1.2]arpbroadcastenable

[Huawei-GigabitEthernet0/0/1.2]qinqvrrppe-vid5ce-vid8

[Huawei-GigabitEthernet0/0/1.2]

3、在子接口上设置vrrp时，建议同时使能arpbroadcastenable允许对应终结子接口能转发广播报文。

在设备上设置vrrp和静态arp时要注意：

1、同一备份组两端设备上设置的备份组ID必须相同

2、备份组ID是基于接口而不是基于全局的，即不同接口备份组之间的备份组ID可以相同，但各备份组之间的虚拟IP不能相同.

3、vrrp设置的虚拟IP地址在dot1q终结子接口、qinq终结子接口、vlanif接口下设置时不能与静态ARP映射绑定，反义依然，否则可能导致设备之间转发不通。

如果备份组中的虚拟IP地址被全部删除，则系统会自动删除此备份组。

2、设置设备在备份组中的优先级

优先级越高，越会成为master设备。默认优先级是100.

优先级0为系统保留，优先级255保留给系统IP地址拥有者，即配置了路由器某个接口IP地址为虚拟路由器IP地址的设备，IP地址拥有者的优先级不需要配置，也不可配置，直接为255.

如果优先级相同的情况下，vrrp接口IP地址较大的接口所在设备为master设备。

具体配置：

[Huawei-GigabitEthernet0/0/1]vrrpvrid2priority120

3、设置vrrp协议版本（默认为version2）

如果VRRP备份组内各交换机上配置的协议版本不同，可能导致VRRP报文不能互通。

配置了v2版本的备份组：只能发送和接收v2版本的VRRP通告报文。如果接收到v3版本的VRRP通告报文，则将此报文丢弃。

配置了v3版本的备份组：能接收v2或v3版本的VRRP通过报文，发送报文的格式可以选择配置，包括仅发送v2版本报文、仅发送v3版本报文和既发送v2版本报文也发送v3版本报文。使用时可以根据需要进行配置。

如果选择v3版本，可以执行命令vrrpversion-3s-packet-mode{v2-only|v3-only|v2v3-both}，配置VRRPv3发送通告报文的模式。缺省情况下，VRRPv3版本备份组发送通告报文的模式为v3-only。

[Huawei]vrrpversion?

v2SpecifythedevicetosupportV2forVRRP(defaultisv2)

v3SpecifythedevicetosupportV3forVRRP

4、设置设备抢占方式及延迟抢占时间

在不稳定的网络中，可能存在vrrp备份组监测的BFD等状态频繁震荡或backup设备不能及时收到vrrp通告报文，导致vrrp发生频繁切换引起网络震荡。

在设置vrrp备份组内各路由器的延迟方式时，建议backup设备设置为立即抢占，master设备设置为延时抢占，指定一定的延迟时间，这样配置的目的是为了在网络环境不稳定时，为上下行链路的状态恢复一致性等待一定时间，以免出现双master设备或由于主备双方频繁抢占导致用户设备学习到错误的master设备地址。

具体配置：

[Huawei-GigabitEthernet0/0/2]vrrpvrid1preempt-mode?

disableCancelcurrentconfiguration

向所有sub-vlan发送vrrp通告报文

7、禁止检测vrrp报文跳数（ttl值），默认检测。

按照RFC2338规定，系统对收到的vrrp报文的ttl值进行检测，如果ttl值不等于255，则丢弃这个报文。在某些组网环境中，尤其是与不同厂商设备配合使用时，这种方式会导致错误的丢弃合法报文。

[Huawei-GigabitEthernet0/0/1]vrrpun-checkttl