华为防火墙VRRP双机热备的原理及实例配置


博文目录:
一、双机热备是什么?
二、什么是VRRP?
三、VRRP的两种角色
四、VRRP的三个状态机
五、VRRP选举Master路由器和Backup路由器的流程
六、通过VGMP实现VRRP备份组的统一管理
七、双机热备的配置
八、总结多台设备运行双机热备;
一台设备故障其他设备接替工作;
增强网络稳定性;
保证业务的连续性;华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。负载均衡模式下,针对图中●流量,FW1是主设备,FW2是备用设备,所以该流量默认通过FW1转发,而针对图中○流量,FW2是主用设备,FW1是备用设备部,所以该流量默认通过FW2转发。而同时,FW1又作为○流量的备用设备,当FW2损坏时,FW1依然可以转发○流量。同理,FW2也可以在FW1损坏时转发●流量。如下图:
VRRP(virtual router redundancy protocol,虚拟路由冗余协议),由IETF进行维护,用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。VRRP是公有协议,而HSRP是Sisco私有协议。
VRRP中的虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以。
VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号。
VRRP的状态机有三个,而HSRRP的状态机包含五个(初始、学习、监听、发言、备份、活动)。
VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(Hello、政变、辞职)。
VRRP不支持接口跟踪,而HSRP支持。以上三个状态之间的切换关系如下图:

Initialize状态是VRRP的初始状态,当接口shutdown时,无论路由器处于master状态还是backup状态,都将立即切换至initialize状态。当路由器配置为IP地址拥有者时,其优先级默认为255,此时路由器直接由initialize状态切换至master状态。当路由器不是IP地址拥有者,其优先级
VRRP选举master路由器和backup路由器的流程如下:
首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。通过前面的介绍可知,双机热备解决了网关设备切换且业务不中断的问题,VRRP解决了客户机网关自动切换问题。似乎双机热备 +VRRP已经可以正常工作,但实际情况下并非如此。上个图大家看的更有助于理解,直观一些

从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1免费云主机域名的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。VGMP(VRRP Group Management Protocol,VRRP组管理协议)用来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的active组和standby组。选举出的active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如下图:如下图中左边的网络图中,当心跳线直接相连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息。而当心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播。在实际应用中,应根据实际的环境灵活选择报文封装,在华为防火墙中,通过以下命令指定通过接口发送的报文属于哪几种类型的封装。配置VGMP的其他注意事项:双机热备的备份方式包括以下三种:各模式的配置命令如下:1)开启双机热备功能:2)配置自动备份模式:3)配置手工批量备份模式:4)配置快速备份模式:当配置双机热备的设备上游或者下游是交换设备时,可以通过VRRP检测接口或者设备的状态,但是当上游或者下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法时监控其他接口状态,并配合OSPF实现流量切换,如下图:

通过将接口直接加入VGMP组中,当接口故障时(即使对端设备故障,本端接口的物理特性也将关闭),VGMP会感知接口状态变化,从而降低VGMP组的优先级,从active状态切换至standby状态。而之前的standby组将提升为active状态。而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至Active组设备中。环境如下:
需求如下:
LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。推荐步骤:
按照拓扑图配置基本网络参数
防火墙接口加入不同区域
配置安全策略
配置NAT地址转换使用PAPT
配置相互传输心跳
配置VRRP
防火墙配置默认路由
验证开始配置:FW1配置如下:FW2配置如下:(请参照FW1注释,FW1和FW2配置基本相同)开始配置VRRPFW1配置VRRP如下:FW2配置VRRP如下:配置R1和PC的IP地址,并pingR1的IP地址。
R1配置如下:PC配置如下:验证
用PC1pingR1路由器,然后去FW1和FW2防火墙上分别查看会话表,他们的内容是不一样的FW1会话表:
抓包查看流量转换
模拟FW1的F1/0/0接口故障,客户端ping路由器R1PC1客户端ping路由器R1,防火墙FW2查看会话表
抓包查看
PC2客户端ping路由器R1,防火墙在FW2查看会话表
配置完成。

相关推荐: linux如何查看jdk是32位还是64位的

这篇“linux如何查看jdk是32位还是64位的”文章的知识点大部分人都不太理解,所以小编给大家总结了以下内容,内容详细,步骤清晰,具有一定的借鉴价值,希望大家阅读完这篇文章能有所收获,下面我们一起来看看这篇“linux如何查看jdk是32位还是64位的”文…

免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 01/25 10:58
下一篇 01/25 11:05