Как я понимаю протокол vrrp не очень то хорошо защищён от атак. Пароль передаётся в открытом виде. Если передать соответствующего вида пакет можно выставить свою машину за master маршрутизатор и перехватить весь трафик или просто положить сегмент сети.
единственный 100% вариант защиты - это отфильтровать протокол vrrp на портах пользователей. или я ошибаюсь?

Не могли бы вы привести пример правила acl для фильтрации vrrp?

Мыслите правильно. По сути всё просто в этом плане. VRRP для обмена служебной информацией использует адрес из служебной подсети Multicast диапазона адресов 224.0.0.0/24. Просто поснифферите трафик при обмене между двумя устройствами, чтобы понять что это конкретно за адрес и Вы можете на вход с клиентских портов запретить этот адрес назначения.