HSRP、GLBP、VRRP、NSRP 协议对比与配置指南

HSRP、GLBP、VRRP、NSRP 协议对比与配置指南

一、协议对比表

二、优缺点分析

1. HSRP (Hot Standby Router Protocol)

• 优点:
• 配置简单，适用于 Cisco 环境。
• 支持多组（Multiple HSRP Groups）实现多网关冗余。
• 缺点:
• 无法负载均衡，仅主备切换。
• 收敛时间较长（默认 10 秒）。
• 依赖 Cisco 设备，扩展性差。

2. GLBP (Gateway Load Balancing Protocol)

• 优点:
• 支持负载均衡（流量按权重或轮询分发）。
• 收敛速度快（3-5 秒）。
• 动态分配虚拟 MAC，提高链路利用率。
• 缺点:
• 仅限 Cisco 设备。
• 配置复杂度高于 HSRP。

3. VRRP (Virtual Router Redundancy Protocol)

• 优点:
• 开放标准，多厂商兼容。
• 收敛时间快（约 3 秒）。
• 支持抢占（Preemption）功能。
• 缺点:
• 无内置负载均衡功能。
• 部分厂商实现存在差异。

4. NSRP (Network Services Redundancy Protocol)

• 优点:
• 专为防火墙/安全网关设计，支持状态同步（会话表、策略等）。
• 毫秒级故障切换（<1 秒）。
• 支持多节点冗余（如 Active/Passive/Active 集群）。
• 缺点:
• 仅限 Juniper SRX 系列设备。
• 配置复杂，需管理心跳线和冗余组。

三、配置示例

1. HSRP 配置（Cisco IOS）

场景

• 主设备（A 机）IP: 192.168.1.1，优先级 110
• 备设备（B 机）IP: 192.168.1.2，优先级 90
• 虚拟 IP（VIP）: 192.168.1.254

A 机（主）配置

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 standby 1 ip 192.168.1.254

 standby 1 priority 110    ! 主节点优先级更高

 standby 1 preempt         ! 启用抢占（故障恢复后自动切回主）

 standby 1 timers 3 10     ! Hello时间3秒，保持时间10秒

 standby 1 track GigabitEthernet0/1 20  ! 跟踪上行接口，故障时优先级降20

B 机（备）配置

interface GigabitEthernet0/0

 ip address 192.168.1.2 255.255.255.0

 standby 1 ip 192.168.1.254

 standby 1 priority 90     ! 备用节点优先级较低

 standby 1 preempt         ! 备用节点也启用抢占（可选）

 standby 1 timers 3 10     ! 必须与主节点时间参数一致

注意事项

1. 组号一致性：A/B 机的 standby 1 组号必须相同。
2. 抢占配置：主备均需配置 preempt，否则主节点故障恢复后不会主动接管。
3. 跟踪接口：建议主节点配置 track 监控上行链路（如 WAN 口），触发优先级降低。
4. 时间参数：timers 需主备一致，否则可能导致状态不一致。

2. GLBP 配置（Cisco IOS）

场景

• A 机 IP: 192.168.1.1，权重 200
• B 机 IP: 192.168.1.2，权重 150
• 虚拟 IP: 192.168.1.254，负载均衡模式为加权轮询。

A 机（主）配置

interface GigabitEthernet0/0

 ip address 192.168.1.1 255.255.255.0

 glbp 1 ip 192.168.1.254

 glbp 1 priority 150          ! 主节点优先级更高

 glbp 1 preempt               ! 启用抢占

 glbp 1 weighting 200         ! 权重值（流量分配比例）

 glbp 1 load-balancing weighted ! 按权重分配流量

 glbp 1 authentication md5 key-string MyKey ! 可选认证

 glbp 1 track GigabitEthernet0/1 decrement 50  ! 跟踪上行接口，权重降50

B 机（备）配置

interface GigabitEthernet0/0

 ip address 192.168.1.2 255.255.255.0

 glbp 1 ip 192.168.1.254

 glbp 1 priority 100          ! 备用节点优先级较低

 glbp 1 preempt

 glbp 1 weighting 150

 glbp 1 load-balancing weighted

 glbp 1 authentication md5 key-string MyKey

注意事项

1. 权重与优先级：优先级决定主备角色，权重决定流量分配比例。
2. 负载均衡模式：支持 round-robin（轮询）、weighted（加权）、host-dependent（基于源 IP）。
3. 跟踪机制：权重 decrement 需合理设置，避免单点故障后流量分配失衡。
4. 认证：建议配置 MD5 认证防止非法节点加入。

3. VRRP 配置（华为/H3C）

场景

• 主设备（A 机）IP: 192.168.1.1，优先级 120
• 备设备（B 机）IP: 192.168.1.2，优先级 100
• 虚拟 IP: 192.168.1.254

A 机（主）配置

interface Vlanif10

 ip address 192.168.1.1 24

 vrrp vrid 1 virtual-ip 192.168.1.254

 vrrp vrid 1 priority 120      ! 主节点优先级更高

 vrrp vrid 1 preempt-mode timer delay 20  ! 抢占延迟20秒（防止震荡）

 vrrp vrid 1 track interface GigabitEthernet0/0/1 reduced 30  ! 跟踪上行接口

 vrrp vrid 1 authentication-mode md5 Huawei@123  ! 认证密码

B 机（备）配置

interface Vlanif10

 ip address 192.168.1.2 24

 vrrp vrid 1 virtual-ip 192.168.1.254

 vrrp vrid 1 priority 100      ! 备用节点优先级较低

 vrrp vrid 1 preempt-mode timer delay 20

 vrrp vrid 1 authentication-mode md5 Huawei@123

注意事项

1. VRID 一致性：A/B 机的 vrid 1 必须相同。
2. 抢占延迟：建议配置 timer delay 避免网络抖动导致频繁切换。
3. 认证兼容性：不同厂商的 VRRP 认证方式可能不兼容（如华为与 H3C）。
4. 跟踪接口：主节点需跟踪关键接口（如上行链路），触发优先级降低。

4. NSRP 配置（Juniper SRX）

场景

• A 机（主）节点 ID 0，B 机（备）节点 ID 1
• 心跳接口：ge-0/0/0（直连）
• 监控接口：ge-0/0/1（连接内网）

A 机（主）配置

set chassis cluster cluster-id 1 node 0 reboot    ! 节点0为主

set interfaces ge-0/0/0 fabric-options member-interfaces ge-0/0/0  ! 心跳接口

set security nsrp cluster id 1                   ! 集群ID

set security nsrp vsd-group 0 priority 254       ! 主节点优先级更高

set security nsrp vsd-group 0 monitor-interface ge-0/0/1  ! 监控内网接口

set security nsrp vsd-group 0 preempt            ! 启用抢占

set security nsrp rto-sync                       ! 同步会话表

B 机（备）配置

set chassis cluster cluster-id 1 node 1 reboot    ! 节点1为备

set interfaces ge-0/0/0 fabric-options member-interfaces ge-0/0/0

set security nsrp cluster id 1

set security nsrp vsd-group 0 priority 200

set security nsrp vsd-group 0 monitor-interface ge-0/0/1

set security nsrp rto-sync

注意事项

1. 心跳链路冗余：建议使用双心跳链路（如 ge-0/0/0 和 ge-0/0/1）防单点故障。
2. RTO 同步：rto-sync 确保主备会话表同步，故障切换时业务不中断。
3. 监控接口：选择关键接口（如内网口），若接口故障触发切换。
4. 抢占配置：主节点恢复后需配置 preempt 以重新接管。

四、最佳技术方案选择

场景与推荐方案

1. 纯 Cisco 网络，需网关冗余 + 负载均衡
• 推荐协议: GLBP
• 理由: 充分利用 Cisco 私有功能，实现流量负载分担和高可用性。
2. 多厂商混合网络，仅需网关冗余
• 推荐协议: VRRP
• 理由: 标准化协议，兼容性强，配置简单。
3. 防火墙/安全网关高可用（Juniper 环境）
• 推荐协议: NSRP
• 理由: 支持状态同步，确保会话不中断，毫秒级故障切换。
4. 数据中心网关冗余（需快速收敛）
• 推荐方案: VRRP 或 HSRP + BFD（Bidirectional Forwarding Detection）
• 理由: 结合 BFD 将收敛时间缩短至毫秒级。

5. 设备厂商限制：
• 纯 Cisco 网络：优先选 GLBP（负载均衡）或 HSRP（简单冗余）。
• 多厂商环境：选 VRRP（标准化兼容）。
• 防火墙高可用：选 NSRP（状态同步，快速切换）。
6. 关键配置要点：
• 主备优先级差异：确保主节点优先级高于备用。
• 抢占机制：主节点恢复后应自动接管。
• 链路跟踪：监控关键接口触发切换。
• 认证配置：防止非法节点加入（HSRP/GLBP/VRRP）。
7. 验证命令：
• HSRP/GLBP：show standby brief / show glbp brief
• VRRP：display vrrp（华为）
• NSRP：show chassis cluster status（Juniper）

根据实际需求选择协议，并严格遵循主备配置差异与注意事项，可确保高可用性网络的稳定运行。

五、总结

• HSRP: 简单易用，适合 Cisco 环境的基础冗余。
• GLBP: 适合 Cisco 环境下的负载均衡与冗余结合场景。
• VRRP: 跨厂商兼容，标准化部署的首选。
• NSRP: 专为防火墙设计，保障安全设备的高可用性和状态同步。

根据实际网络架构、设备厂商和业务需求选择最合适的协议。