1. 企业网关冗余部署的必要性企业网络出口作为连接内网和互联网的关键节点一旦发生故障就会导致整个公司断网。我见过太多因为单台网关设备宕机导致全员停工等运维人员处理的尴尬场景。这种单点故障带来的损失往往比部署冗余设备的成本高得多。VRRPVirtual Router Redundancy Protocol就是为了解决这个问题而生的。它通过将多台物理路由器虚拟成一台逻辑路由器让备份网关在主网关故障时自动接管流量。实际项目中我经常用华为的eNSP模拟器来验证VRRP配置这个轻量级工具能完美复现真实设备的操作逻辑。2. 实验环境搭建2.1 拓扑结构设计我们先在eNSP中搭建一个典型的企业网络环境2台华为路由器AR2220作为主备网关1台三层交换机S5700模拟内网2台PC用于测试连通性1台云设备模拟互联网关键点在于两台路由器的互联物理接口用千兆以太网线直连需要配置独立的心跳线建议用串口线虚拟IP要设置在企业内网的网段2.2 基础网络配置先给两台网关配置基础IP以192.168.1.0/24为例# 主网关配置 interface GigabitEthernet0/0/0 ip address 192.168.1.2 255.255.255.0 # 备网关配置 interface GigabitEthernet0/0/0 ip address 192.168.1.3 255.255.255.0测试直连ping通后在内网交换机上配置默认路由ip route-static 0.0.0.0 0 192.168.1.1注意这里下一跳指向的是虚拟IP192.168.1.1不是任何物理设备的真实IP。3. VRRP核心配置3.1 虚拟路由器组设置在主备网关的相同接口上配置VRRP组以组1为例# 主网关配置 interface GigabitEthernet0/0/0 vrrp vrid 1 virtual-ip 192.168.1.1 vrrp vrid 1 priority 120 # 设置更高优先级 # 备网关配置 interface GigabitEthernet0/0/0 vrrp vrid 1 virtual-ip 192.168.1.1实测发现几个易错点组号vrid必须相同才能形成主备关系虚拟IP要配置为同一地址接口必须属于同一广播域3.2 优先级调整技巧通过priority参数控制主备选举默认100主网关建议设120-150备网关保持默认或略低可以配置抢占模式preempt-mode timer delay 20有个实用技巧通过track功能关联接口状态当上行链路故障时自动降低优先级触发切换vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 304. 故障切换测试4.1 模拟主网关宕机在eNSP中最直接的测试方法用PC持续ping虚拟IP192.168.1.1直接关闭主网关电源或禁用接口观察ping包丢包情况正常情况下应该只丢1-3个包3秒切换时间。如果切换延迟过高可能需要调整vrrp vrid 1 timer advertise 1 # 缩短通告间隔4.2 主网关恢复测试重新启动主网关后如果开启抢占模式默认开启高优先级设备会重新成为Master可以通过display vrrp命令查看状态切换AR1 display vrrp GigabitEthernet0/0/0 | Virtual Router 1 State : Master Virtual IP : 192.168.1.1 PriorityRun : 1205. 生产环境优化建议在实际企业网络中部署时我总结了几条经验心跳线冗余除了业务接口的心跳检测最好用独立串口线做二层保活监控集成将VRRP状态同步到网管系统我常用SNMP的1.3.6.1.2.1.68.0节点安全加固配置认证防止恶意节点加入VRRP组vrrp vrid 1 authentication-mode md5 Huawei123多组负载均衡可以通过创建多个VRRP组实现流量分流遇到过最棘手的问题是有台备网关频繁切换状态最后发现是接口缓存溢出导致的。解决方案是调整接口队列大小并启用BFD快速检测interface GigabitEthernet0/0/0 qos queue 8 bandwidth 30 bfd atob bind peer-ip 192.168.1.3 discriminator local 10 discriminator remote 20