双击热备技术原理
双机热备技术产生的原因
- 传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
双机热备在路由器上的部署
路由器组网中通过VRRP协议实现双机热备份
双机热备vrrp,负载均衡vrrp priority
1.SW1/SW2/SW3创建VLAN vlan batch 10 20
2.SW3划分VLAN access
3.SW1/SW2/SW3配置trunk,允许vlan10 20通过
4.SW1/SW2配置vlanif接口
SW1
interface Vlanif1e
ip address 10.1.1.253 255.255.255.0
#
interface Vlanif2e
ip address 20.1.1.253 255.255.255.0
#
SW2
interface Vlanif 10
ip address 10.1.1.252 255.255.255.0
#
interface Vlanif 20
ip address 20.1.1.252 255.255.255.0
#
5.配置VRRP主备模式
SW1
interface Vlanif10
vrrp vrid 10 virtual-ip 10.1.1.254
vrrp vrid 10 priority 110
#
interface Vlanif20
vrrp vrid 20 virtual-ip 20.1.1.254
#
SW2
interface Vlanif10
vrrp vrid 10 virtual-ip 10.1.1.254
#
interface Vlanif20
vrrp vrid 20 virtual-ip 20.1.1.254
vrrp vrid 20 priority 110
#
6。sw1/sw2/r1配置ospf
VRRP在多区域防火墙组网
VRRP在防火墙应用中存在的缺陷
- 传统VRRP方式无法实现主、备用防火墙状态的一致性。
- 切换不一致问题
- 会话表不同步问题。 会话表要实现同步。 因为非首包都要经过安全策略检查。如果没有会话表会被丢弃。
VRRP用于防火墙多区域备份
VGMP:为了保证所有VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP Group Management Protocol)来弥补此局限。
VGMP组管理
- 状态一致性管理
VGMP管理组控制所有的VRRP备份组统一切换。 - 抢占管理
当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
HRP基本概念
- HRP(Huawei Redundancy Protocol)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。
- 首包会话快速备份
- 更新报文会话快速备份
防火墙双机热备三大协议
- VRRP 是 主备
- VGMP 是 状态切换一致性
- HRP 是 配置会话表的同步
双击热备基本组网与配置
上下行业务接口工作在三层模式,连接二层设备时,需要在上下行的业务接口上配置VRRP备份组,使VGMP管理组能够通过VRRP备份组监测三层业务接口。
接口视图下
VRRP配置命令: (active和standby就是VGMP的配置)
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }
执行此命令时,指定active或standby参数后,即将该VRRP组加入了VGMP管理组的Active或Standby管理组。
每个普通物理接口(GigabitEthernet接口)下最多配置255个VRRP组。
HRP配置命令
指定心跳口
hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ]
启用HRP备份功能
hrp enable
启用允许配置备用设备的功能(Actuve)
hrp standby config enable
启用命令与状态信息的自动备份
hrp auto-sync [ config | connection-status]
启用会话快速备份
hrp mirror session enable
双机热备在防火墙上的部署
防火墙 FW1
1.创建区域并划分、配置接口IP地址
创建区域并划分
firewall zone trust
add interface GigabitEthernet1/0/1
#
firewall zone untrust
add interface GigabitEthernet1/0/2
#
firewall zone dmz
add interface GigabitEthernet1/0/6
#
配置接口IP地址
interface GigabitEthernet1/0/1
ip address 10.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 20.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/6
ip address 1.1.1.1 255.255.255.0
2.VRRP
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 10.1.1.254 active
#
interface GigabitEthernet1/0/2
vrrp vrid 2 virtual-ip 20.1.1.254 active
3.HRP
hrp enable
hrp interface GigabitEthernet1/0/6 remote 1.1.1.2
hrp auto-sync
hrp mirror session enable
4.安全策略
security-policy
rule name icmp_policy
source-zone trust
destination-zone untrust
service icmp
action permit
WEB方式
VRRP前提知晓
VRRP (Virtual Router Redundancy Protocol)虚拟路由器冗余协议
VRRP 协议只有一种报文,即 VRRP Advertisement 通告报文,目的地址是224.0.0.18,TTL 是 255,协议号是 112
VRRP 中接口只有 3 个状态:初始状态(Initial)、主状态(Master)和备份状态(Backup)。其中,只有处于主状态的设备才可以转发那些发送到虚拟 IP 地址的报文
VRRP 优先级
Priority:发送报文的 VRRP 路由器在虚拟路由器中的优先级。
取值范围是 0~255,其中可用的范围是 1~254。 0 表示设备停止参与 VRRP,用来使备份路由器尽快成为主路由器,而不必等到计时器超时;
255 则保留给 IP 地址拥有者。缺省值是 100。
VRRP 的 Master 的选举基于优先级,优先级取值范围是 0-255,默认情况下,配置优先级为 100,在接口上可以通过配置优先级的大小来手工选择 Master 设备。比较优先级的大小,优先级高者当选为 Master 设备。当两台设备优先级相同时,如果已经存在 Master,则其保持 Master 身份,无需继续选举;如果不存在 Master,则继续比较接口 IP 地址大小,接口 IP 地址较大的设备当选为Master 设备。
注意:如果路由器的IP和VRRP的虚拟IP一样 则这台路由器优先级直接变为255,直接成为master
int e0/0/1
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
int e0/0/1
vrrp vrid 2 preempt-mode disable
vrrp vrid 2 priority 180
int e0/0/1
vrrp vrid 2 track interface g0/0/1 reduced 30
设置监控端口为interface g0/0/1,如果端口Down掉优先级降低30
int e0/0/1
vrrp vrid 1 authentication-mode md5 huawei