VRRP故障排查

2024年4月10日发(作者：)

VRRP故障排查

一、客户需求

某分支单位现网只有一条电信专线、一台路由器进行上网办公，为了提高网络带宽增

加网络设备的可靠性，用户又增加了一条联通10M的专线购买了一台MSR3620。要求部

分业务网关在原来华为路由器上走电信专线上网办公，部分业务网关在MSR3620路由器

上走联通专线上网办公。路由器上添加访问控制功能，特殊业务只允许特定IP段访问。

二、配置思路

1. .两台路由器启用vrrp，一部分业务网关在华为路由器上为master，在华三路由器

上为slave；另一部分业务网关在华三路由器上为master，在华为路由器上为slave。这

样既实现了网关设备的备份又实现了业务流量的负载分担。

2．路由器上要划分子接口作为网关，思科交换机上要添加相应vlan两个上行口配置

成trunk模式允许相应vlan通过。

3.添加相应的acl在路由器的网关接口上应用实现访问控制需求

三、拓扑图

四、故障现象

基本配置完毕后发现两个路由器的vrrp都是master，vrrp没有生效。检查配置无误

且两个路由器子接口同一业务段的地址可以ping通。怀疑acl限制了vrrp传递报文将acl

应用配置取消后现象依旧。

五、故障排查

1. 既然业务段子接口可以ping通说明物理链路没问题。

2.抓包分析，命令如下：

terminal debugging

The current terminal is enabled to display debugging logs.

terminal monitor

The current terminal is enabled to display logs.

debugging vrrp packet

%Aug 5 18:33:01:598 2014 XZN-LS-DZX-E-S1

VRRP4/6/VRRP_PACKET_ERROR:

The IPv4 virtual router 65 (configured on GigabitEthernet0/2) received an

error packet: PROTOCOL VERSION ERROR.

*Aug 5 18:33:01:916 2014 XZN-LS-DZX-E-S1 VRRP4/7/Packet:

Sent Advertisement message from GigabitEthernet0/0

VRID: 65 Pri: 120 Adver timer: 100 centisecs

根据抓包现象初步分析出vrrp的版本错误，应该是MSR36的vrrp版本与华为的不

一致导致的结果，经过查看相关资料了解到MSR36 v7平台的vrrp版本默认是version 3

（v 5平台的默认是version 2），华为的默认也是version 2，将MSR36的vrrp改成

version 2，命令如下：

interface GigabitEthernet0/0.10

ip address 255.255.255.0

vrrp version 2

改完配置后vrrp状态正常，业务测试正常。证明就是vrrp版本不一致导致。

3.将acl应用在接口上后发现vrrp备的状态由slave变为master，说明acl限制了vrrp

的传递报文，经查资料发现vrrp的协议传送报文使用固定组播地址224.0.0.18。将acl的

vrrp组播地址224.0.0.18放开再应用到子接口上后，命令如下：

acl number 3050

rule 05 permit ip destination 0.0.3.255

rule 10 permit ip destination 0.0.7.255

rule 15 permit ip destination 224.0.0.18 0

rule 30 deny ip

应用完毕，vrrp的状态恢复正常说明就是acl限制了vrrp的传递报文。

六、小结

网络故障排查中抓包分析不失为一种非常精准有效的排错方法，要学会运用抓包分析

的方法解决网络故障问题。