文档适用型号：M5300, GSM7328FS, GSM7328Sv2, GSM7352Sv2

注：M5300-28G M5300-52G M5300-28G-PoE+ M5300-52G-PoE+ GSM7228PS GSM7252PS 可以配置VRRP，但需要升级相应许可证

1. VRRP 简介
   主机要和其他不同网段的设备进行通信时，必须要通过网关进行转发。网关一旦出现故障，主机将失去和其他网段设备的连通性。所以，IETF提出了VRRP（虚拟路由器冗余协议，Virtual Router Redundancy Protocol）解决网关的高可用性问题。
   最新版的VRRP由IETF的RFC5798定义，原理可以简单概括如下：
   多台网关运行VRRP，组成一个Standby Group。在这个Standby Group中，有一台网关作为活动网关（Master），一台或多台网关作为备份网关（Backup）。Master实际承担Standby Group的工作。
   
   每台网关都有自己的IP地址，Standby Group也有一个IP地址。对于主机来说，Standby Group就是一台网关，实际的设备对于主机是透明的。主机的网关地址设置为Standby Group的IP地址，将跨网段的数据发送Standby Group。实际上，主机是与Master进行通信，跨网段的数据实际上是由Master进行转发的。
   
   当Master发生故障时，Backup将会成为Master（如果有多台Backup，将会选举一台成为Master），接替已经发生故障的Master转发数据。这个过程相当短暂，主机不会因为有设备发生故障而导致通信中断。
    
2. 基础配置
   VRRP基本配置涉及以下几条命令：
   (1)全局打开VRRP
   ip vrrp
   (2)在相关端口建立Standby Group
   ip vrrp
   (3)在相关端口启用VRRP
   ip vrrp mode
   (4)设置虚拟IP地址
   ip vrrp ip [secondary]
   (5)设置优先级
   ip vrrp priorty <1-254>
   注：VRRP默认优先级为100
    
3. 高级配置
   (1) 上行链路检测
   设备连接上行链路的接口出现故障时，Standby Group无法感知上行链路的故障，如果该设备此时处于Master状态，将会导致该网络的主机无法访问外部网络。通过监视指定接口的功能，可以解决该问题。当连接上行链路不可用状态时，设备主动降低自己的优先级，使得Standby Group内其它设备的优先级高于这个设备，以便优先级最高的路由器成为Master，承担转发任务。
   目前Netgear全网管交换机支持两种上行链路检测的方法：
   一种是设备上行端口检测
   ip vrrp track interface [decrement ]
   另一种是目标路由检测
   ip vrrp track ip route [decrement ]
   (2) Master是否可以被抢占
   默认情况下，Master可以被抢占。如果不希望Master被抢占，可以通过no ip vrrp preemt关闭抢占特性。
   (3) 认证
   VRRP认证可以防止网络中的非法设备加入到Standby Group中，可以通过在接口模式下使用ip vrrp authentication {none|simple }
    
4. 配置举例
   拓扑图
   
   基本配置
   Core1：
   (Core1) (Config)#ip vrrp
   (Core1) (Config)#interface 1/0/2
   (Core1) (Interface 1/0/2)#ip vrrp 10
   (Core1) (Interface 1/0/2)#ip vrrp 10 mode
   (Core1) (Interface 1/0/2)#ip vrrp 10 ip 192.168.1.1
   (Core1) (Interface 1/0/2)#ip vrrp 10 priority 105
   (Core1) (Interface 1/0/2)#exit
    
   Core2：
   (Core2) (Config)#ip vrrp
   (Core2) (Config)#interface 1/0/2
   (Core2) (Interface 1/0/2)#ip vrrp 10
   (Core2) (Interface 1/0/2)#ip vrrp 10 mode
   (Core2) (Interface 1/0/2)#ip vrrp 10 ip 192.168.1.1
   (Core2) (Interface 1/0/2)#exit
    
   通过show ip vrrp interface可以看到Core1成为了Master，Core2成为了Backup
   
   
   
   上行链路检测
   (Core1) (Interface 1/0/2)#ip vrrp 10 track interface 1/0/1
   关闭1/0/1端口
   (Core1) (Interface 1/0/1)#shutdown
   可以通过show ip vrrp interface看到 Core1 的 Priority 降低了 10，变为 95。由于低于 Core2 的 100，所以Core1现在成为了Backup，而Core2成为了Master。
   
   
   认证
   (Core1) (Interface 1/0/2)#ip vrrp 10 authentication simple netgear
   通过show ip vrrp interface stats可以看到 Authentication Type Mismatch 值为211，证明 Core1 和 Core2 有211个 VRRP 数据包认证类型不同。
   
   (Core2) (Interface 1/0/2)#ip vrrp 10 authentication simple netgear
   这时 Authentication Type Mismatch 值不再增加，证明双方的认证类型一致，而 Authentication Failure 一直为0，证明双方的认证密钥一致。此时 VRRP 恢复正常工作。
   

最后，我们测试一下 VRRP 的效果，在能正常通信的情况下，端口 Core1 的1/0/2端口，通过终端 ping 目标主机，出现两个请求超时后，即恢复正常。

注：M5300-28G M5300-52G M5300-28G-PoE+ M5300-52G-PoE+ GSM7228PS GSM7252PS需要升级相应许可证