Keepalived中VRRP协议在Dummy接口上的通信问题分析与解决方案

背景概述

在基于Keepalived实现的高可用架构中，VRRP协议负责主备服务器之间的状态同步和虚拟地址切换。但在某些特殊网络配置场景下，VRRP报文可能无法正常传输，导致"脑裂"现象——即主备服务器同时持有同一个虚拟地址。

问题现象

在某双机热备部署中，发现以下异常现象：

1. 两台服务器通过BGP协议分别宣告各自的公网地址（配置在dummy接口em5上）
2. 配置VRRP协议使用unicast单播通信
3. 抓包显示VRRP报文源MAC和目标MAC均为本地em5接口MAC
4. 最终导致两台服务器同时持有虚拟地址38.145.72.224/32

技术分析

网络架构特点

1. 每台服务器通过两个物理网卡连接不同TOR交换机
2. 使用BIRD实现BGP多路径路由
3. 通过dummy接口承载公网地址
4. 服务器间只能通过公网地址通信

问题根源

1. VRRP报文路由问题：当VRRP绑定dummy接口时，内核会将报文源MAC设置为dummy接口MAC
2. ARP缓存缺失：ip neigh show显示系统缺乏对端公网地址的ARP记录
3. 接口绑定机制：Keepalived默认将socket绑定到指定接口，影响报文发送路径

解决方案

配置优化方案

经过验证，以下两种配置方式可解决问题：

1. 显式指定源地址和物理接口

vrrp_instance VI_1 {
    interface enp4s0f0    # 绑定物理网卡
    unicast_src_ip 38.145.72.193  # 使用dummy接口地址作为源
    unicast_peer {
        38.145.72.195
    }
}

2. 仅指定源地址

vrrp_instance VI_1 {
    unicast_src_ip 38.145.72.193  # 自动选择路由路径
    unicast_peer {
        38.145.72.195
    }
}

技术原理

1. socket绑定机制：当指定interface参数时，Keepalived会调用if_setsockopt_bindtodevice将socket绑定到指定网卡
2. 内核路由处理：VRRP报文完全遵循内核路由栈，受路由表和iptables规则影响
3. unicast模式特性：在单播模式下可以不指定interface参数，此时由内核根据路由表选择发送接口

最佳实践建议

1. 在复杂网络环境中，建议显式配置unicast_src_ip参数
2. 当使用物理接口绑定方式时，确保接口具备可达性
3. 监控系统ARP表状态，确保关键路由条目存在
4. 对于通过BGP等动态路由协议宣告的地址，需要特别注意路由收敛问题

总结

Keepalived的VRRP实现深度依赖内核网络栈，在特殊网络配置场景下需要特别注意接口绑定和路由配置。通过合理配置unicast_src_ip参数，可以解决dummy接口场景下的VRRP通信问题，确保高可用架构的稳定运行。