8、设置vrrp报文认证方式

在一些不安全的网络环境中，需要确保设备对发送和接收的vrrp报文都是真实、合法的。主要为简单字符或MD5认证。缺省无认证。同一个vrrp备份组的认证方式和认证字符必须相同。

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 authentication-mode  ?

md5     MD5 authentication mode

simple  Simple authentication mode

9、使能虚拟地址可达性功能（ping功能），缺省已使能。

使能虚拟地址可达性功能后，外部网络能够Ping通虚拟IP地址，可能遭受ICMP攻击的隐患

[Huawei]vrrp virtual-ip ping ?

disable

enable   Enable ping VRRP virtual IP address

9、配置VRRP平滑倒换

在配置了VRRP备份组的网络中，在具有双主控板的Master设备主备倒换期间，由于Master和Backup之间不能及时通信，在原Master发生倒换时，Backup切换成为Master。

当原Master倒换完成后，由于其优先级高于原Backup，它又会抢占成为Master。由于倒换过程中系统过于繁忙，Master端的Hello协议报文无法正常发送，而Backup端无法及时收到报文，会抢占成为Master，引起链路切换，导致丢包。

在具有双主控板的交换机上启用VRRP平滑倒换功能可以优化VRRP性能，改善对用户流量的影响。

使能平滑倒换功能后，VRRP备份组学习功能优先于抢占功能。从而VRRP备份组的状态不切换，业务流量不受影响。

平滑倒换功能需要在备份组内的每台设备上都进行配置。

具体配置：

1、使能VRRP协议报文时间间隔学习功能

[Huawei]vrrp timer-advertise learning enable

2、使能VRRP整机平滑倒换功能并配置平滑倒换期间VRRP报文中携带的时间间隔。默认使能VRRP整机平滑倒换功能，并且VRRP报文携带的默认时间间隔为100秒

[Huawei]vrrp smooth-switching timer timer-value

10、配置该VRRP备份组为管理VRRP备份组

配置管理VRRP备份组，可以减少协议报文对带宽的占用。

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 1.1.1.1

[Huawei-GigabitEthernet0/0/1]admin-vrrp vrid 1

11、配置成员VRRP备份组并将其与管理VRRP备份组绑定

配置成员VRRP备份组与管理VRRP备份组绑定，实现成员VRRP备份组和管理VRRP备份组状态机的一致性。

1、创建成员VRRP备份组并配置虚拟IP地址

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 virtual-ip 1.1.1.2

2、将成员VRRP备份组与管理VRRP备份组绑定。

成员VRRP备份组与管理VRRP备份组绑定之后，成员VRRP状态机就丧失了独立性，即会删除协议定时器、不再收发协议报文，通过直接拷贝管理备份组的状态来实现自己的状态机。成员VRRP备份组只能绑定到一个管理VRRP备份组。

一个成员VRRP备份组只能绑定到一个管理VRRP备份组。

[Huawei-GigabitEthernet0/0/1]vrrp vrid virtual-router-id1 track admin-vrrp interface interface-type interface-number vrid virtual-router-id2 unflowdown

12、配置VRRP联动功能

vrrp实现了网关设备的主备备份或负载分担，但还存在一些不足：

一是仅能感知vrrp接口状态的变化，无法感知vrrp设备直连或者非直连上行链路状态，导致用户业务流量中断；

二是当master设备出现故障时，backup设备需要等待master_down_interval后才能感知故障并切换为master设备，且切换时间通常在3秒以上，无法满足一些业务量大的用户需求。

1、设置vrrp与BFD联动实现快速切换（主备设备之间）

此功能解决当master出现故障时，backup设备需要等待master_down_interval定时器确定的时长（通常在3秒以上）后才能感知故障并切换为master设备，导致业务数据丢失的问题。

通过在master和backup设备之间（下行链路）建立BFD会话，并在backup设备上与vrrp备份组进行绑定，就能快速检测vrrp备份组设备之间的连通状态，在出现故障时实现毫秒级的快速切换，减少流量丢失。

在出现故障时，一般是增加backup的优先级。

vrrp与BFD联动仅支持与静态的BFD会话或静态标识符自协商的BFD会话类型。设置vrrp与BFD联动时，备份组中的master和backup设备必须都工作在抢占模式下。建议backup设备设置为立即抢占，master设备设置为延时抢占。

具体配置：

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track bfd-session 1 increased 50

# 50为增加的优先级数值，不是增加后的优先级数值。其它注意事项同上。

2、设置vrrp与接口状态联动监视上行接口

设置vrrp与接口状态联动监视上行接口是为了解决vrrp备份组只能感知其所在接口（下行接口）状态的变化，而无法感知vrrp设备其它接口（上行接口）或直连链路（与静态路由联动）故障。

在master设备上设置此功能后，当master设备的上行接口或直连链路发生故障时，可通过调整自身优先级（一般为降低）触发主备切换，确保流量正常转发。

在设置vrrp与接口状态联动时，备份组中的master和backup设备必须都工作在抢占方式下，建议backup设备设置为立即抢占，master设备设置为延时抢占。

当设备为IP地址拥有者时，不允许设置监视接口，因为此设备总为master设备。多个vrrp备份组可以监视同一个上行接口，一个vrrp备份组最多可以监视8个上行接口。

具体配置：

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track interface g0/0/2 reduced 60

# 60为降低的数值，不是降低后的值，也不是降低到这个值。

3、设置VRRP与BFD/NQA/路由联动监视上行链路（与上行设备之间，非主备设备之间）

VRRP与BFD/NQA/路由联动监视上行链路是为了解决vrrp不能感知master设备上行非直连链路（与动态路由联动）故障，导致用户浏览丢失的问题。

在master设备上设置VRRP与BFD/NQA/路由联动监视上行链路连通状况，当master设备的上行链路发生故障时，FBD/NQA路由可以快速检测故障并通知master设备调整自身优先级（一般为降低），触发主备切换。

设置VRRP与BFD/NQA/路由联动时，主备设备都必须工作在抢占模式下，建议backup设备设置为立即抢占，master设备设置为延时抢占。

与BFD联动仅支持静态和静态标识符自协商类型的BFD会话。

与NAQ联动可以实现在上行链路质量较差时触发主备切换，但仅支持联动ICMP类型的NQA测试例。

具体配置：

1、与BFD联动

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track bfd-session 1 reduced 40

2、与NAQ联动

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track nqa user user1 reduced 40

3、与路由联动

[Huawei-GigabitEthernet0/0/1]vrrp vrid 1 track ip route 10.1.1.1 24[圈圈哥1]  reduced  20