ボーエンディレクトリ:
まず、ホットスタンバイは何ですか?
第二に、VRRPは何ですか?
第三に、VRRPの二つの役割
4、3 VRRPステートマシン
5、VRRPマスタルータ選出プロセスとバックアップルータ
VGMPによって6つの統合管理VRRPグループは、
の7つのホット・スタンバイ構成
8つの概要
まず、何が熱いことをスタンバイ?
1、ホットスタンバイアクション
ホットスタンバイを実行している複数のデバイス、
デバイスが他のデバイスの故障を引き継ぐ;
拡張ネットワークの安定性、
サービスの継続性を確保すること。
Huawei社のホットスタンバイホットスタンバイと大きなファイアウォール場合、二つ以上のファイアウォール、ファイアウォール2は、相互に協力を展開することで、ロードバランシングを実現。
2、ファイアウォール華為ホットスタンバイモードの:
- ホットスタンバイモード:1時間パケットを転送するだけで1つのファイアウォール、他のファイアウォールがパケットを転送しませんが、同期セッションテーブルとサーバーマップテーブル。
- 負荷分散モード:同時に、データを転送するファイアウォールの複数が、それぞれ他のファイアウォールと、バックアップファイアウォールデバイス、すなわち、またスタンバイ装置であるマスタ・デバイスとの間の各ファイアウォール、ファイアウォールセッションテーブル同期とサーバーマップテーブル。
描画●フローのモードをロードバランシング、FW1がマスタデバイスであり、FW2がFW1転送することによって、デフォルトのように流量が、バックアップ装置であり、○の流れを描画するため、FW2がマスター機器である、FW1がスタンバイ機器ユニットであり、その結果デフォルトFW2のトラフィック転送によります。同時に、およびバックアップデバイスの○のFWLの流れとして、FW2損傷を受けたとき、まだFWLは、トラフィックを転送○することができます。同様に、FW2はときFW1損傷●トラフィックを転送することができます。図は次のとおりです。
第二に、VRRPは何ですか?
IETFによって維持VRRP(仮想ルータ冗長プロトコル、仮想ルーティング冗長プロトコル)は、単一障害点は、ゲートウェイルーティングプロトコルを解決します。VRRPは、ルータ内のアプリケーションゲートウェイの冗長性を提供することができ、ファイアウォールは、ホットスタンバイを行うために使用することができます。
1、VRRPの用語
- VRRPルータ:ルータVRRPプロトコルを実行しています。
- 仮想ルータ:クライアントの仮想ゲートウェイを提供するために、1つのVRRPグループ内のマスタルータと複数のバックアップルータからなるバックアップグループ。
- VRID:仮想ルータID、一意のバックアップ・グループを識別するために使用される仮想ルータ識別子。
- クライアントのIPアドレスへのゲートウェイ、だけでなく、すべてのVRRP仮想ルータの設定、ARP応答機器のIPアドレスを提供する唯一のマスタに割り当てられたIPアドレス:仮想IPアドレス。
- 仮想MACアドレス:VRRP VRIDのためのMACアドレス時にゲートウェイによってARPプロトコル解析におけるクライアントのMACアドレスを生成し、アクティブルータはMACアドレスを提供します。
- IPアドレスの所有者:仮想ルータのIPアドレスは、物理インターフェイスメンバの実際のIPアドレスとして設定されている場合、そのメンバーは、IPアドレスの所有者と呼ばれています。
- 優先順位:各VRRPマスターデバイスとバックアップデバイスのルータの優先度の選挙でVRRPルータを識別するための優先順位。
- プリエンプションモード:プリエンプションモードでは、(現在のアクティブルータを含む)VRRPグループ内の他のルータよりもスタンバイルータ優先度の高い場合、直ちに新しいアクティブルータになります。
- 非プリエンプティブモード:ノンプリエンプティブモードでは、スタンバイルータは、(現在のアクティブルータを含む)VRRPグループ内の他のルータよりも高い優先順位が、すぐにそのような破損(次公正な選挙まで、アクティブルータにならない場合電気、リブート、など)。
2、HSRPやVRRP CiscoのHuawei社の違いを詳細
VRRPプロトコルは公開され、およびHSRPはSiscoの独自のプロトコルです。
メンバーのIPアドレスでVRRP仮想ルータのIPアドレスは、ルータかもしれないが、HSRPはできません。
VRRPの仮想MACアドレスのプレフィックスは、00-00-5E-00-01-VRIDで、HSRP仮想MACアドレスのプレフィックスは00-00-0C-07-AC-グループ番号です。
HSRRPステートマシンが5(初期、スピーキング、リスニング、学習、バックアップ、活動)が含まれていながら、VRRPステートマシンは、3を持っています。
VRRPは、1つのメッセージのみ、仮想ルータのパラメータを検出するために使用される主なルータによって送信されたVRRPアドバタイズメントパケットでルータのための予備選挙中。HSRPは、3つのパケット(こんにちは、クーデター、辞任)しました。
インターフェイスを追跡するVRRPをサポートし、HSRP用にサポートしていません。
第三に、VRRPの二つの役割
- 他のルータへの通常のマスターの責任とARP応答パケットの転送を提供し、デフォルトの広告ごとに1秒マスターの現在の状態情報:マスタールータ。
- バックアップルータ:マスターに障害が発生したときに、マスターが利用できないスタンバイルータは、パケット転送に続く、マスタルータとして優先順位の高いルータでは、通常、すべてのバックアップルータがパケットを転送しますサービスが中断されないように努めています。
四、VRRP 3台のステート・マシン
- ステータスを初期化します。ちょうどVRRPの初期状態を設定します。インターフェイスまたはインターフェイスの障害のシャットダウンもこの状態になりますと、この状態では、VRRPパケットは、何もしません。
- マスターステータス:現在のデバイスの状態の選挙は、マスタルータになります。ルータはすぐに、サービスのメッセージを転送し、定期的に閉じたときに、この状態では、アナログループバッククライアントのMACアドレス、インターフェイスでクライアントによって開始ARP要求に応答します。この状態では、VRRP広告パケットを送信します初期化状態に切り替えます。
- バックアップの状態:現在のデバイスの状態の選挙は、バックアップルータになります。この状態で任意のトラフィックパケットを転送しませんが、この状態でルータの作業は、ルータによって送信されたマスターVRRP広告パケットを受信すると、メインルータが正常に動作しているによって決定されます。ホットスタンバイモードでは、マスタ・デバイス上のデュアル同期状態情報にもなります。
以下に示すように、上記3つの状態の間の関係を切り替える:
初期状態はVRRP、インターフェイスは、ルータがマスターまたはバックアップ状態であるか否かを、直ちに初期状態に切り替わりシャットダウンの初期状態です。ルータは、IPアドレスの所有者に設定されている場合、デフォルトではその優先順位は、この時間は、初期状態のマスタ状態にルータから直接切り替えること、255です。ルータはIPアドレスの所有者、その優先順位<255でない場合は、その後、直接バックアップ状態への切り替え、ルータを初期化します。ルータはマスターが大きい優先か等しい優先順位のローカルメッセージ(通常はマスターによって発行された)を受け取る場合には、マスタールータがVRRP広告パケットの送信を受信していない場合は、あることを、カウンターmaster_Down_Intervalをリセットmaster_Down_Intervalタイマーが満了した後、バックアップマスタ状態によって状態に。
五、VRRPマスタールータとバックアップルータ選出プロセス
次のようにVRRP選挙マスタルータとバックアッププロセスである:
第一に、高い選挙優先デバイスがマスタ、同じ優先順位となって、その後、インターフェースIPアドレスのサイズを比較し、デバイスの(大きな値)が大きいIPアドレスがマスタとなり、バックアップグループ内の他のルータはバックアップルータになります。0から255、0に予約されている優先順位の範囲に100のデフォルトのインターフェイスVRRPの優先順位は、優先順位255は、IPアドレスの所有者のために予約されている、IPアドレスの所有者は、デフォルトの優先度は、優先度を設定する必要はありません。 255。
手動でIPアドレスの所有者(優先度= 255)、またはVRRP状態の切り替えにルータを設定しないかぎり、ルータの優先順位が最も高いが、また状態から状態のバックアップへの移行を習得する必要がある場合でも、必ず最初に経験バックアップの状態です。遷移状態のちょっとこの場合は、バックアップのステータス。
第六に、VGMPによって一元管理VRRPグループを達成するために
通过前面的介绍可知,双机热备解决了网关设备切换且业务不中断的问题,VRRP解决了客户机网关自动切换问题。似乎双机热备 +VRRP已经可以正常工作,但实际情况下并非如此。
上个图大家看的更有助于理解,直观一些
从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。
造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。
VGMP(VRRP Group Management Protocol,VRRP组管理协议)用来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的active组和standby组。选举出的active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。
1、VGMP的工作原理
- VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理。
- VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby。
- 默认情况下,VGMP组的优先级为4500。
- VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。
- VGMP通过心跳线协商VGMP状态信息。
- 在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。
2、VGMP的报文封装
VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如下图:
如下图中左边的网络图中,当心跳线直接相连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息。而当心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播。
在实际应用中,应根据实际的环境灵活选择报文封装,在华为防火墙中,通过以下命令指定通过接口发送的报文属于哪几种类型的封装。
[FW1]hrp interface GigabitEthernet 1/0/0 <!--eNSP模拟器中不支持该配置-->
[FW1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
<!--hrp命令用来指定用于心跳链路的接口编号,
1.1.1.1是心跳线对端接口的IP地址,该地址要求路由可达,
带remote参数的命令将封装UDP,并发送单播报文不带remote参数将发送组播报文-->配置VGMP的其他注意事项:
- 加入了VGMP后,心跳线的作用包含状态信息备份(会话表和server-map表)及VGMP状态协商。
- 华为防火墙在默认情况下放行组播流量(如不带remote参数的VGMP报文)禁止单播流量(如带remote参数的VGMP报文),所以如果配置了remote参数,还需要配置local区域和心跳线接口所在的区域之间配置安全策略。
- 配置了VRRP virtual-mac enable的接口不能作为心跳口。
- 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入vlan,在vlan中配置心跳接口。
- eNSPoint模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置。
3、双机热备的备份方式
双机热备的备份方式包括以下三种:
- 自动备份:该模式下,和双机热备有关的配置只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中。
- 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主设备和备用设备配置不同步,需要立即进行同步的场景。
- 快速备份:该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该默认必须启用,以快速更新状态信息。
各模式的配置命令如下:
1)开启双机热备功能:
[FW1]hrp enable
HRP_S[FW1] <!--开启双机热备功能后,命令提示符发生变化-->2)配置自动备份模式:
HRP_M[FW1]hrp auto-sync
HRP_M[FW1]security-policy (+B)
<!--开启双机热备后,执行可以同步的命令会有(+B)的提示-->3)配置手工批量备份模式:
HRP_M<FW1>hrp sync [ config | connection-status ]
<!--
在用户模式下执行该命令,其中config参数表示手工同步命令配置,
connection-status参数表示手工同步状态信息。
-->4)配置快速备份模式:
HRP_S[FW1]hrp mirror session enable
HRP_M[FW1] <!--配置快速备份模式后,开头会变成HRP_M.....-->4、连接路由器时的双机热备
当配置双机热备的设备上游或者下游是交换设备时,可以通过VRRP检测接口或者设备的状态,但是当上游或者下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法时监控其他接口状态,并配合OSPF实现流量切换,如下图:
通过将接口直接加入VGMP组中,当接口故障时(即使对端设备故障,本端接口的物理特性也将关闭),VGMP会感知接口状态变化,从而降低VGMP组的优先级,从active状态切换至standby状态。而之前的standby组将提升为active状态。而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至Active组设备中。
七、双机热备的配置
环境如下:
需求如下:
LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。
推奨手順:
に応じて基本的なネットワークトポロジのパラメータを設定して
さまざまな地域でのファイアウォールのインターフェイス
設定されたセキュリティポリシー
NATアドレス変換PAPTを設定するには
、各ハートビート伝送設定
の設定VRRPの
ファイアウォールの設定デフォルトルートの
認証を
コンフィギュレーションを開始します。
次のようにFW1構成は次のとおりです。
[FW1]int g1/0/0 <!--进入该接口-->
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.1 24 <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/0]quit
[FW1]int g1/0/1 <!--进入该接口-->
[FW1-GigabitEthernet1/0/1]ip add 10.2.1.1 24 <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/1]quit
[FW1]int g1/0/2 <!--进入该接口-->
[FW1-GigabitEthernet1/0/2]ip add 10.3.1.1 24 <!--接口配置IP地址-->
[FW1-GigabitEthernet1/0/2]quit
[FW1]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
<!--配置去往untrust区域的默认路由-->
[FW1]firewall zone untrust <!--进入untrust区域-->
[FW1-zone-untrust]add int GigabitEthernet 1/0/0 <!--该接口加入untrust区域-->
[FW1-zone-untrust]quit
[FW1]firewall zone dmz <!--进入dmz区域-->
[FW1-zone-dmz]add int GigabitEthernet 1/0/1 <!--该接口加入dmz区域-->
[FW1-zone-dmz]quit
[FW1]firewall zone trust <!--进入trust区域-->
[FW1-zone-trust]add int GigabitEthernet 1/0/2 <!--该接口加入trust区域-->
[FW1-zone-trust]quit
[FW1]security-policy <!--配置安全策略-->
[FW1-policy-security]rule name ha <!--安全策略名字为ha-->
[FW1-policy-security-rule-ha]source-zone local <!--指定源区域-->
[FW1-policy-security-rule-ha]source-zone dmz <!--指定源区域-->
[FW1-policy-security-rule-ha]destination-zone local <!--指定目标区域-->
[FW1-policy-security-rule-ha]destination-zone dmz <!--指定目标区域-->
[FW1-policy-security-rule-ha]action permit <!--允许dmz区域和local区域相互访问-->
[FW1-policy-security-rule-ha]quit
[FW1-policy-security]quit
[FW1]security-policy <!--配置安全策略 -->
[FW1-policy-security]rule name nat <!--安全策略名字为nat-->
[FW1-policy-security-rule-nat]source-zone trust <!--指定源区域-->
[FW1-policy-security-rule-nat]destination-zone untrust <!--指定目标区域-->
[FW1-policy-security-rule-nat]action permit <!--允许流量通过-->
[FW1-policy-security-rule-nat]quit
[FW1-policy-security]qui
[FW1]nat address-group NAPAT <!--地址池的名字为NAPAT-->
[FW1-address-group-napat]section 0 1.1.1.1 1.1.1.1 <!--地址池范围-->
[FW1-address-group-napat]quit
[FW1]nat-policy <!--配置NAT策略-->
[FW1-policy-nat]rule name natpolicy <!--NAT策略名字为natpolicy-->
[FW1-policy-nat-rule-natpolicy]source-zone trust <!--定义转换源区域-->
[FW1-policy-nat-rule-natpolicy]destination-zone untrust <!--定义转换目标区域-->
[FW1-policy-nat-rule-natpolicy]action nat address-group NAPAT
<!--定义转换源和地址池建立映射关系-->
[FW1-policy-nat-rule-natpolicy]quit
[FW1-policy-nat]quit
[FW1]hrp int g 1/0/1 remote 10.2.1.2 <!--配置心跳信息传输到FW2-->
[FW1]hrp enable <!--开启hrp功能-->
HRP_S[FW1]基本的:( FW1コメント、FW1とFW2同一の構成)を次のように参照FW2構成であります
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip add 10.1.1.2 24
[FW2-GigabitEthernet1/0/0]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip add 10.2.1.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/2
[FW2-GigabitEthernet1/0/2]ip add 10.3.1.2 24
[FW2-GigabitEthernet1/0/2]quit
[FW2]ip route-static 0.0.0.0 0.0.0.0 GigabitEthernet 1/0/0 1.1.1.2
[FW2]firewall zone untrust
[FW2-zone-untrust]add int GigabitEthernet 1/0/0
[FW2-zone-untrust]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add int GigabitEthernet 1/0/1
[FW2-zone-dmz]quit
[FW2]firewall zone trust
[FW2-zone-trust]add int GigabitEthernet 1/0/2
[FW2-zone-trust]quit
[FW2]security-policy
[FW2-policy-security]rule name ha
[FW2-policy-security-rule-ha]source-zone local
[FW2-policy-security-rule-ha]source-zone dmz
[FW2-policy-security-rule-ha]destination-zone local
[FW2-policy-security-rule-ha]destination-zone dmz
[FW2-policy-security-rule-ha]action permit
[FW2-policy-security-rule-ha]quit
[FW2-policy-security]quit
[FW2]security-policy
[FW2-policy-security]rule name nat
[FW2-policy-security-rule-nat]source-zone trust
[FW2-policy-security-rule-nat]destination-zone untrust
[FW2-policy-security-rule-nat]action permit
[FW2-policy-security-rule-nat]quit
[FW2-policy-security]quit
[FW2]nat address-group NAPAT
[FW2-address-group-napat]section 0 1.1.1.1 1.1.1.1
[FW2-address-group-napat]quit
[FW2]nat-policy
[FW2-policy-nat]rule name natpolicy
[FW2-policy-nat-rule-natpolicy]source-zone trust
[FW2-policy-nat-rule-natpolicy]destination-zone untrust
[FW2-policy-nat-rule-natpolicy]action nat address-group NAPAT
[FW2-policy-nat-rule-natpolicy]quit
[FW2-policy-nat]quit
[FW2]hrp int g1/0/1 remote 10.2.1.1
[FW2]hrp enable
HRP_S[FW2]hrp standby-deviceVRRPの設定を開始
FW1 VRRPの設定を次のように
HRP_M[FW1]int g1/0/0 (+B) <!--进入接口-->
HRP_M[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 active
<!--VRRP1组主设备,虚拟IP网关1.1.1.1-->
HRP_M[FW1-GigabitEthernet1/0/0]quit
HRP_M[FW1]int g1/0/2 (+B) <!--进入接口-->
HRP_M[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 active
<!--VRRP2组主设备,虚拟IP网关10.3.1.3-->
HRP_M[FW1-GigabitEthernet1/0/2]quitFW2 VRRPの設定を次のように
HRP_S[FW2]int g1/0/0 <!--进入接口-->
HRP_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby
<!--VRRP1备份设备,虚拟IP网关1.1.1.1-->
HRP_S[FW2-GigabitEthernet1/0/0]quit
HRP_S[FW2]int g1/0/2 <!--进入接口-->
HRP_S[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.3.1.3 standby
<!--VRRP2组备份设备,虚拟IP网关10.3.1.3-->
HRP_S[FW2-GigabitEthernet1/0/2]quit
HRP_S[FW2]dis hrp state <!--查看hrp状态-->PCの設定R1とIPアドレス、およびIPアドレスpingR1。
次のようにR1が設定さ:
[R1]int g0/0/0
[R1-GigabitEthernet0/0/0]ip add 1.1.1.2 24
[R1-GigabitEthernet0/0/0]quit
<!--进入接口给接口配置IP地址-->
[R1]ip route-static 10.3.1.0 24 10.1.1.1
[R1]ip route-static 10.3.1.0 24 10.1.1.2
<!--
添加两条去往内网的路由,在实际环境中,可是不会有这条路由的哦,
实际中一般会将内网的地址映射为和该路由器同一网段的公网IP。 -->