1.1 VRRP简介

虚拟路由冗余协议
(Virtual Router Redundancy Protocol)通过把几台路由设备联合组成一台虚拟的路由设备,将虚拟路由设备的IP地址作为用户的默认网关实现与外部网络通信。当网关设备发生故障时,VRRP机制能够选举新的网关设备承担数据流量,从而保障网络的可靠通信。

1.2 VRRP原理描述

image.png
如图所示,在SwitchA和SwitchB上配置VRRP备份组,对外体现为一台虚拟路由器,实现了链路冗余备份。

  • VRRP路由器(VRRP Router):运行VRRP协议的设备,它可能属于一个或多个虚拟路由器,如SwitchA和SwitchB。
  • 虚拟路由器(Virtual Router):又称VRRP备份组,由一个Master设备和多个Backup设备组成,被当作一个共享局域网内主机的缺省网关。如SwitchA和SwitchB共同组成了一个虚拟路由器。
  • Master路由器(Virtual Router Master):承担转发报文任务的VRRP设备,如SwitchA。
  • Backup路由器(Virtual Router Backup):一组没有承担转发任务的VRRP设备,当Master设备出现故障时,它们将通过竞选成为新的Master设备,如SwitchB。
  • VRID:虚拟路由器的标识。如SwitchA和SwitchB组成的虚拟路由器的VRID为1。
  • 虚拟IP地址(Virtual IP Address):虚拟路由器的IP地址,一个虚拟路由器可以有一个或多个IP地址,由用户配置。如SwitchA和SwitchB组成的虚拟路由器的虚拟IP地址为10.1.1.10/24。
  • IP地址拥有者(IP Address Owner):如果一个VRRP设备将虚拟路由器IP地址作为真实的接口地址,则该设备被称为IP地址拥有者。如果IP地址拥有者是可用的,通常它将成为Master。如SwitchA,其接口的IP地址与虚拟路由器的IP地址相同,均为10.1.1.10/24,因此它是这个VRRP备份组的IP地址拥有者。
  • 虚拟MAC地址(Virtual MAC Address):虚拟路由器根据虚拟路由器ID生成的MAC地址。当虚拟路由器回应ARP请求时,使用虚拟MAC地址,而不是接口的真实MAC地址。如SwitchA和SwitchB组成的虚拟路由器的VRID为1,因此这个VRRP备份组的MAC地址为00-00-5E-00-01-01。

1.3 VRRP报文

VRRP协议报文用来将Master设备的优先级和状态通告给同一备份组的所有Backup设备。VRRP协议报文封装在IP报文中,发送到分配给VRRP的IP组播地址。在IP报文头中,源地址为发送报文接口的主IP地址(不是虚拟IP地址),目的地址是224.0.0.18,TTL为255,协议号是112。

目前,VRRP协议包含两个版本:VRRPv2和VRRPv3。VRRPv2仅适用于IPv4网络,VRRPv3适用于IPv4和IPv6两个版本。
VRRPv2报文结构
image.png
VRRPv3报文结构
image.png
VRRP报文字段含义

报文字段 含义
VRRPv2 VRRPv3
Version VRRP协议版本号,取值为2。 VRRP协议版本号,取值为3。
Type VRRP通告报文的类型,取值为1,表示Advertisement。 VRRP通告报文的类型,取值为1,表示Advertisement。
Virtual Rtr ID(VRID) 虚拟路由器ID,取值范围是1~255。 虚拟路由器ID,取值范围是1~255。
Priority Master设备在备份组中的优先级,取值范围是0~255。0表示设备停止参与VRRP备份组,用来使备份设备尽快成为Master设备,而不必等到计时器超时;255则保留给IP地址拥有者。缺省值是100。 Master设备在备份组中的优先级,取值范围是0~255。0表示设备停止参与VRRP备份组,用来使备份设备尽快成为Master设备,而不必等到计时器超时;255则保留给IP地址拥有者。缺省值是100。
Count IP Addrs/Count IPvX Addr 备份组中虚拟IPv4地址的个数。 备份组中虚拟IPv4或虚拟IPv6地址的个数。
Auth Type
- VRRP报文的认证类型。协议中指定了3种类型:
- 0:Non Authentication,表示无认证。
- 1:Simple Text Password,表示明文认证方式。
- 2:IP Authentication Header,表示MD5认证方式。
 -
Adver Int/Max Adver Int VRRP通告报文的发送时间间隔,单位是秒,缺省值为1秒。 VRRP通告报文的发送时间间隔,单位是厘秒,缺省值为100厘秒(1秒)。
Checksum 16位校验和,用于检测VRRP报文中的数据破坏情况。 16位校验和,用于检测VRRP报文中的数据破坏情况。
IP Address/IPvX Address(es) VRRP备份组的虚拟IPv4地址,所包含的地址数定义在Count IP Addrs字段。 VRRP备份组的虚拟IPv4地址或者虚拟IPv6地址,所包含的地址数定义在Count IPvX Addrs字段。
Authentication Data VRRP报文的认证字。目前只有明文认证和MD5认证才用到该部分,对于其它认证方式,一律填0。 -
rsvd - VRRP报文的保留字段,必须设置为0。

由报文结构可以看出,VRRPv2和VRRPv3的主要区别为:

  • 支持的网络类型不同,VRRPv3适用于IPv4和IPv6两种网络,而VRRPv2仅适用于IPv4网络。
  • 认证功能不同,VRRPv3不支持认证功能,而VRRPv2支持认证功能。

VRRPv2版本保留报文的认证字段,是为了兼容早期版本(RFC2338),VRRP认证并不能提高安全性。

1.4 VRRP认证

VRRPv2支持在通告报文中设定不同的认证方式和认证字

  • 无认证方式:设备对要发送的VRRP通告报文不进行任何认证处理,收到通告报文的设备也不进行任何认证,认为收到的都是真实的、合法的VRRP报文。
  • 简单字符(simple)认证方式:发送VRRP通告报文的设备将认证方式和认证字填充到通告报文中,而收到通告报文的设备则会将报文中的认证方式和认证字与本端配置的认证方式和认证字进行匹配。如果相同,则认为接收到的报文是合法的VRRP通告报文;否则认为接收到的报文是一个非法报文,并丢弃这个报文。
  • MD5认证方式:发送VRRP通告报文的设备利用MD5算法对认证字进行加密,加密后保存在Authentication Data字段中。收到通告报文的设备会对报文中的认证方式和解密后的认证字进行匹配,检查该报文的合法性。

1.5 VRRP工作原理

VRRP状态机:
VRRP协议中定义了三种状态机:初始状态(Initialize)、活动状态(Master)、备份状态(Backup)。其中,只有处于Master状态的设备才可以转发那些发送到虚拟IP地址的报文。

状态 说明
Initialize 该状态为VRRP不可用状态,在此状态时设备不会对VRRP报文做任何处理。
通常刚配置VRRP时或设备检测到故障时会进入Initialize状态。
收到接口Up的消息后,如果设备的优先级为255,则直接成为Master设备;如果设备的优先级小于255,则会先切换至Backup状态。
Master
- 当VRRP设备处于Master状态时,它将会做下列工作:
- 定时(Advertisement Interval)发送VRRP通告报文。
- 以虚拟MAC地址响应对虚拟IP地址的ARP请求。
- 转发目的MAC地址为虚拟MAC地址的IP报文。
- 如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。
- 如果收到比自己优先级大的报文,立即成为Backup。
- 如果收到与自己优先级相等的VRRP报文且本地接口IP地址小于对端接口IP,立即成为Backup。
Backup
- 当VRRP设备处于Backup状态时,它将会做下列工作:
- 接收Master设备发送的VRRP通告报文,判断Master设备的状态是否正常。
- 对虚拟IP地址的ARP请求,不做响应。
- 丢弃目的IP地址为虚拟IP地址的IP报文。
- 如果收到优先级和自己相同或者比自己大的报文,则重置Master_Down_Interval定时器,不进一步比较IP地址。
Master_Down_Interval定时器:Backup设备在该定时器超时后仍未收到通告报文,则会转换为Master状态。计算公式如下:Master_Down_Interval=(3* Advertisement_Interval) + Skew_time。其中,Skew_Time=(256–Priority)/256。
- 如果收到比自己优先级小的报文且该报文优先级是0时,定时器时间设置为Skew_time(偏移时间),如果该报文优先级不是0,丢弃报文,立刻成为Master。

1.6 VRRP工作过程

VRRP备份组中的设备根据优先级选举出Master。Master设备通过发送免费ARP报文,将虚拟MAC地址通知给与它连接的设备或者主机,从而承担报文转发任务。
Master设备周期性向备份组内所有Backup设备发VRRP通告报文,以公布其配置信息(优先级等)和工作状况
如果Master设备出现故障,VRRP备份组中的Backup设备将根据优先级重新选举新的Master。
VRRP备份组状态切换时,Master设备由一台设备切换为另外一台设备,新的Master设备会立即发送携带虚拟路由器的虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接的主机或设备中的MAC表项,从而把用户流量引到新的Master设备上来,整个过程对用户完全透明。
原Master设备故障恢复时,若该设备为IP地址拥有者(优先级为255),将直接切换至Master状态。若该设备优先级小于255,将首先切换至Backup状态,且其优先级恢复为故障前配置的优先级。
Backup设备的优先级高于Master设备时,由Backup设备的工作方式(抢占方式和非抢占方式)决定是否重新选举Master。

  • 抢占模式:在抢占模式下,如果Backup设备的优先级比当前Master设备的优先级高,则主动将自己切换成Master。(华为默认开启抢占,抢占延时为0
  • 非抢占模式:在非抢占模式下,只要Master设备没有出现故障,Backup设备即使随后被配置了更高的优先级也不会成为Master设备。

由此可见,为了保证Master设备和Backup设备能够协调工作,VRRP需要实现以下功能:

  • Master设备的选举。
  • Master设备状态的通告。

下面将从上述两个方面详细介绍VRRP的工作过程。

  • Master设备的选举
    VRRP根据优先级来确定虚拟路由器中每台设备的角色(Master设备或Backup设备)。优先级越高,则越有可能成为Master设备。
    初始创建的VRRP设备工作在Initialize状态,收到接口Up的消息后,如果设备的优先级为255,则直接成为Master设备;如果设备的优先级小于255,则会先切换至Backup状态,待Master_Down_Interval定时器超时后再切换至Master状态。首先切换至Master状态的VRRP设备通过VRRP通告报文的交互获知虚拟设备中其他成员的优先级,进行Master的选举:
    • 如果VRRP报文中Master设备的优先级高于或等于自己的优先级,则Backup设备保持Backup状态。
    • 如果VRRP报文中Master设备的优先级低于自己的优先级,采用抢占方式的Backup设备将切换至Master状态,采用非抢占方式的Backup设备仍保持Backup状态。
    • 如果多个VRRP设备同时切换到Master状态,通过VRRP通告报文的交互进行协商后,优先级较低的VRRP设备将切换成Backup状态,优先级最高的VRRP设备成为最终的Master设备;优先级相同时,VRRP设备上VRRP备份组所在接口主IP地址较大的成为Master设备。
    • 如果创建的VRRP设备为IP地址拥有者,收到接口Up的消息后,将会直接切换至Master状态。
  • Master设备状态的通告
    Master设备周期性地发送VRRP通告报文,在VRRP备份组中公布其配置信息(优先级等)和工作状况。Backup设备通过接收到VRRP报文的情况来判断Master设备是否工作正常。
  • 当Master设备主动放弃Master地位(如Master设备退出备份组)时,会发送优先级为0的通告报文,用来使Backup设备快速切换成Master设备,而不用等到Master_Down_Interval定时器超时。这个切换的时间称为Skew time,计算方式为:(256-Backup设备的优先级)/256,单位为秒。
  • 当Master设备发生网络故障而不能发送通告报文的时候,Backup设备并不能立即知道其工作状况。等到Master_Down_Interval定时器超时后,才会认为Master设备无法正常工作,从而将状态切换为Master。其中,Master_Down_Interval定时器取值为:3×Advertisement_Interval+Skew_time,单位为秒。

在性能不稳定的网络中,网络堵塞可能导致Backup设备在Master_Down_Interval期间没有收到Master设备的报文,Backup设备则会主动切换为Master。如果此时原Master设备的报文又到达了,新Master设备将再次切换回Backup。如此则会出现VRRP备份组成员状态频繁切换的现象。为了缓解这种现象,可以配置抢占延时,使得Backup设备在等待了Master_Down_Interval后,再等待抢占延迟时间。如在此期间仍没有收到通告报文,Backup设备才会切换为Master设备。

1.5 VRRP负载分担

  • 负载分担是指多个VRRP备份组同时承担业务,VRRP负载分担与VRRP负载分担与VRRP主备备份的基本原理和报文协商过程都是相同的。同样对于每一个VRRP备份组,都包含一个Master设备和若干Backup设备。与主备备份方式不同点在于:负载分担方式需要建立多个VRRP备份组,各备份组的Master设备可以不同,同一台VRRP设备可以加入多个备份组,在不同的备份组中具有不同的优先级。

负载分担的实现方式有两种:

  1. 多网关负载分担
    1. 通过创建多个带虚拟IP地址的VRRP备份组,为不同用户指定不同的VRRP备份组作为网关,实现负载分担

image.png
如上图所示,配置两个VRRP备份组

  • VRRP备份组1:SwitchA为Master设备,SwitchB为Backup设备
  • VRRP备份组2:SwitchB为Master设备,SwitchA为Backup设备


  1. 单网关负载分担
    1. 通过创建带有虚拟IP地址的VRRP负载分担管理组LBRG(Load-Balance Redundancy Group),并向该负载分担管理组中加入成员VRRP备份组(无需配置虚拟IP地址),指定负载分担管理组作为所有用户的网关,实现负载分担。

image.png
如上图所示,配置两个VRRP备份组:

  • VRRP备份组1:VRRP负载分担管理组,SwitchA作为Master设备,SwitchB作为Backup设备。
  • VRRP备份组2:VRRP负载分担管理组的成员VRRP备份组,SwitchB作为Master设备,SwitchA作为Backup设备

所有用户都将VRRP备份组1作为网关。在收到用户侧的ARP请求报文时,VRRP备份组1将自己的虚拟MAC地址或者VRRP备份组2的虚拟MAC地址封装到ARP响应报文,对ARP请求报文进行应答,进而实现负载分担。单网关负载分担方式是多网关负载分担方式的升级版。通过创建VRRP负载分担备份组,可以在实现不同的用户共用同一个网关的同时实现负载分担,从而简化了用户侧的配置,便于维护和管理。

1.6 管理VRRP

如下图所示,为了减少协议报文对带宽的占用及CPU资源的消耗,可以将其中一个VRRP备份组配置为管理VRRP备份组(mVRRP),其余的业务VRRP备份组与管理VRRP备份组进行绑定。此时,管理VRRP负责发送协议报文来协商设备的主备状态;业务VRRP不发送协议报文,其主备状态与管理VRRP的主备保持一致,以此减少协议报文对CPU与带宽资源的消耗。
image.png

  • 管理VRRP备份组

管理VRRP备份组与普通VRRP备份组一样,会通过VRRP协议报文来协商VRRP设备的主备状态。管理VRRP可以部署在网络中的以下位置:

  • 管理VRRP与业务VRRP部署在同一侧。此时管理VRRP备份组作为网关使用(如上图中的mVRRP1),管理VRRP既负责协商设备的主备状态,也承担业务流量。此时在配置管理VRRP之前必须先创建普通VRRP备份组并配置虚拟IP地址,该虚拟IP地址即为用户设置的网关地址。
  • 管理VRRP部署在SwitchA和SwitchB之间的直连链路上。此时管理VRRP备份组不作为网关使用时(如上图中的mVRRP2),管理VRRP只负责协商设备的主备状态,不承担业务流量。因此管理VRRP不需要具有虚拟IP地址,用户可以直接在接口上创建管理VRRP备份组。该配置在一定程度上降低了用户维护的复杂度。
  • 业务VRRP备份组
    普通VRRP备份组与管理VRRP备份组绑定后成为业务VRRP备份组(也叫成员VRRP备份组)。业务VRRP备份组不再发送VRRP协议报文,它的状态由所在接口状态及与其绑定的管理VRRP备份组的状态共同决定。

二 VRRP应用场景

2.1 VRRP与接口状态联动监视上行接口

  • VRRP备份组只能感知其所在接口状态的变化,当VRRP设备上行接口或直连链路发生故障时,VRRP无法感知,此时会引起业务流量中断。通过部署VRRP与接口状态联动监视上行接口可以有效地解决上述问题,当Master设备地上行接口或直连链路发生故障时,通过调整自身优先级,触发主备切换,确保流量正常转发。

VRRP可以通过Increased和Reduced方式来监视接口状态:

  • 如果VRRP设备上配置以Increased方式监视一个接口,当被监视的接口状态变成Down后,该VRRP设备的优先级增加指定值。
  • 如果VRRP设备上配置以Reduced方式监听一个接口。当被监听的接口状态变为Down后,该VRRP设备的优先级降低指定值。

image.png

  • 如上图所示,SwitchA和SwitchB之间配置VRRP备份组,其中SwitchA为Master设备,SwitchB为Backup设备,SwitchA和SwitchB皆工作在抢占方式下。在SwitchA上配置以Reduced方式监听上行接口Interface1,当Interface1故障时,SwitchA降低自身优先级,通过报文协商,SwitchB抢占成为Master,确保用户流量正常转发。

2.2 VRRP与BFD/NQA/路由联动监视上行接口

VRRP只能感知VRRP备份组之间的故障,而配置VRRP监视上行接口仅能感知Master设备上行接口或直连链路的故障,当Master设备上行非直连链路故障时,VRRP无法感知,此时会导致用户流量丢失。通过部署VRRP与BFD/NQA/路由联动监视上行链路,可以有效地解决上述问题。通过配置BFD/NQA/路由检测Master上行链路的连通状况,当Master设备的上行链路发生故障时,BFD/NQA/路由可以快速检测故障并通知Master设备调整自身优先级,触发主备切换,确保流量正常转发。
image.png
如上图所示,SwitchA和SwitchB之间配置VRRP备份组,其中SwitchA为Master设备,SwitchB为Backup设备,SwitchA和SwitchB皆工作在抢占方式下。配置BFD/NQA/路由监测SwitchA到SwitchE之间的链路,并在SwitchA上配置VRRP与BFD/NQA/路由联动。当BFD/NQA/路由检测到SwitchA到SwitchE之间的链路故障时,通知SwitchA降低自身优先级,通过VRRP报文协商,SwitchB抢占成为Master,确保用户流量正常转发。

2.3 VRRP与BFD联动实现快速切换

VRRP备份组通过收发VRRP协议报文进行主备状态的协商,以实现设备的冗余备份功能。当VRRP备份组之间的链路出现故障时,Backup设备需要等待Master_Down_Interval后才能感知故障并切换为Master设备,切换时间通常在3秒以上。在等待切换期间内,业务流量仍会发往Master设备,此时会造成数据丢失。通过部署VRRP与BFD联动功能,可以有效解决上述问题。通过在Master设备和Backup设备之间建立BFD会话并与VRRP备份组进行绑定,快速检测VRRP备份组之间的连通状态,并在出现故障时及时通知VRRP备份组进行主备切换,实现了毫秒级的切换速度,减少了流量丢失。

联动方式 联动的BFD会话类型 应用场景 影响方式
VRRP以普通方式与BFD会话联动实现快速切换 静态的BFD会话或标识符自协商的静态BFD会话 Backup设备用于监视Master设备是否工作正常。通常该BFD会话用于监视Master设备和Backup设备之间的链路状态。 VRRP备份组会根据BFD会话的状态进行优先级调整,并根据调整后的优先级判断是否进行主备切换。
VRRP以Link/Peer方式与BFD会话联动实现快速切换 静态的BFD会话或标识符自协商的静态BFD会话 Master设备和Backup设备同时监视Link BFD和Peer BFD,以便区分链路故障是Master设备与下游交换设备之间的链路故障还是Backup设备与下游交换设备之间的链路故障。 当Link BFD会话或Peer BFD会话的状态进行改变时,VRRP设备的优先级不会被改变,VRRP备份组的状态直接被重新设置。
VRRP与基于VRID的动态BFD会话联动实现快速切换 基于VRID的动态BFD会话 Backup设备用于监视Master设备是否工作正常。通常该BFD会话用于监视Master设备和Backup设备之间的链路状态。 当基于VRID的动态BFD会话的状态发生改变时,VRRP备份组的优先级不会被改变,VRRP备份组的状态直接被重置。

VRRP以普通方式与BFD联动的典型组网图
image.png
如上图所示,SwitchA和SwitchB之间配置VRRP备份组,SwitchA为Master设备,SwitchB为Backup设备,用户侧的流量通过SwitchA转发。SwitchA和SwitchB皆工作在抢占方式下,其中SwitchB为立即抢占。在SwitchA和SwitchB两端配置BFD会话,并在SwitchB上配置VRRP与BFD联动。
当VRRP备份组间出现故障时,BFD快速检测故障并通知SwitchB增加指定的优先级(此时SwitchB的优先级须高于SwitchA的优先级),SwitchB立即抢占为Master,用户侧流量通过SwitchB转发,实现了主备的快速切换。

VRRP与Link/peer方式与BFD联动的典型组网图
image.png
如上图所示,SwitchA和SwitchB之间配置VRRP备份组,SwitchA为Master设备,SwitchB为Backup设备,用户侧的流量通过SwitchA转发。SwitchA和SwitchB皆工作在抢占方式下,其中SwitchB为立即抢占。在SwitchA和SwitchB之间配置Peer BFD会话,Switch和SwitchA/SwitchB之间分别配置Link1/Link2 BFD会话,并在SwitchB上配置VRRP与BFD联动。
当VRRP备份组间出现故障时,Link1 BFD的状态与Peer BFD的状态为Down,Link2 BFD的状态为Up。SwitchB的VRRP备份组的状态直接被设置为Master,SwitchA的VRRP备份组的状态直接被设置为Initialize,用户侧流量通过SwitchB转发,实现了主备的快速切换。

VRRP与基于VRID的动态BFD联动的典型组网图
image.png
如上图所示,SwitchA和SwitchB之间配置VRRP备份组,SwitchA为Master设备,SwitchB为Backup设备,用户侧的流量通过SwitchA转发。SwitchA和SwitchB皆工作在抢占方式下,其中SwitchB为立即抢占。在SwitchA和SwitchB上配置VRRP监视基于VRID的动态BFD会话。
当基于VRID的动态BFD检测到故障时,BFD会话的状态变为Down。SwitchB在收到BFD会话Down事件之后立即将本端的状态切换为Master并发送免费ARP报文,刷新下游设备的地址表项。

2.4 直连路由联动VRRP状态

在数据中心中,为了提升网络传输可靠性,服务器通常利用VRRP备份组与核心层进行数据交换;同时,出于安全性考虑,关键业务服务器的VRRP备份组通常挂有防火墙。服务器到核心层的流量会通过备份组的Master设备进行转发,而核心层到服务器的流量的转发路径一般根据路由协议进行选择,这样可能会出现上下行流量路径不一致的情况。防火墙一般支持会话数据同步功能,即允许其两侧数据传输上下行路径不一致,但是该功能对数据传输性能有较大影响。所以在实际部署时,防火墙的会话数据同步功能通常不会打开。此时,配置的防火墙可能会对下行流量进行阻止,造成流量丢失。配置直连路由联动VRRP状态,可以有效解决这个问题。
直连路由联动VRRP状态就是根据VRRP状态来调整VRRP接口所属网段直连路由的cost值,并将该直连路由引入路由协议,从而影响路由协议的路由选择。cost代表了路由的开销,cost值越小的路由越容易被路由协议优选。

如下图所示,在SwitchA和SwitchB的VRRP备份组所在的接口上配置直连路由联动VRRP状态,则:

  • SwitchA的状态为Master,其VRRP接口所属网段直连路由的cost值被置为缺省值0。
  • SwitchB的状态为Backup,其VRRP接口所属网段直连路由的cost值会增加一定的数值,如配置为30(可配置)。

此时,由于经过SwitchA的路由cost值更小,所以IGP路由协议会优选经过SwitchA的路由。这样就实现了上下行流量路径的一致。
image.png

2.5 通过VRRP和MSTP实现二、三层流量的负载分担

image.png
如上图所示,SwitchA下接三层VPN用户,SwitchB下接二层VPN用户。SwitchE和SwitchF之间部署VRRP协议,配置SwitchE为Master设备、SwitchF为Backup设备。SwitchA、SwitchB、SwitchC、SwitchD上部署MSTP协议,并设置SwitchD为根桥、SwitchC为备份根桥。正常情况下,三层VPN流量通过SwitchE转发,二层VPN流量通过SwitchF转发,实现了二、三层流量的负载分担,提高了网络利用率。如果SwitchE与SwitchC之间的链路发生故障,三层VPN流量通过VRRP自动切换到SwitchF转发;如果SwitchB与SwitchD之间的链路发生故障,二层VPN流量会通过MSTP自动切换到SwitchB->SwitchC->SwitchE转发。保证了接入的可靠性。