雙擊熱備技術原理
雙機熱備技術產生的原因
- 傳統的組網方式如圖所示,內部用戶和外部用戶的交互報文全部通過Firewall A。如果Firewall A出現故障,內部網絡中所有以Firewall A作爲默認網關的主機與外部網絡之間的通訊將中斷,通訊可靠性無法保證。
雙機熱備在路由器上的部署
路由器組網中通過VRRP協議實現雙機熱備份
雙機熱備vrrp,負載均衡vrrp priority
1.SW1/SW2/SW3創建VLAN vlan batch 10 20
2.SW3劃分VLAN access
3.SW1/SW2/SW3配置trunk,允許vlan10 20通過
4.SW1/SW2配置vlanif接口
SW1
interface Vlanif1e
ip address 10.1.1.253 255.255.255.0
#
interface Vlanif2e
ip address 20.1.1.253 255.255.255.0
#
SW2
interface Vlanif 10
ip address 10.1.1.252 255.255.255.0
#
interface Vlanif 20
ip address 20.1.1.252 255.255.255.0
#
5.配置VRRP主備模式
SW1
interface Vlanif10
vrrp vrid 10 virtual-ip 10.1.1.254
vrrp vrid 10 priority 110
#
interface Vlanif20
vrrp vrid 20 virtual-ip 20.1.1.254
#
SW2
interface Vlanif10
vrrp vrid 10 virtual-ip 10.1.1.254
#
interface Vlanif20
vrrp vrid 20 virtual-ip 20.1.1.254
vrrp vrid 20 priority 110
#
6。sw1/sw2/r1配置ospf
VRRP在多區域防火牆組網
VRRP在防火牆應用中存在的缺陷
- 傳統VRRP方式無法實現主、備用防火牆狀態的一致性。
- 切換不一致問題
- 會話表不同步問題。 會話表要實現同步。 因爲非首包都要經過安全策略檢查。如果沒有會話表會被丟棄。
VRRP用於防火牆多區域備份
VGMP:爲了保證所有VRRP備份組切換的一致性,在VRRP的基礎上進行了擴展,推出了VGMP(VRRP Group Management Protocol)來彌補此侷限。
VGMP組管理
- 狀態一致性管理
VGMP管理組控制所有的VRRP備份組統一切換。 - 搶佔管理
當原來出現故障的主設備故障恢復時,其優先級也會恢復,此時可以重新將自己的狀態搶佔爲主。
HRP基本概念
- HRP(Huawei Redundancy Protocol)協議,用來將主防火牆關鍵配置和連接狀態等數據向備防火牆上同步。
- 首包會話快速備份
- 更新報文會話快速備份
防火牆雙機熱備三大協議
- VRRP 是 主備
- VGMP 是 狀態切換一致性
- HRP 是 配置會話表的同步
雙擊熱備基本組網與配置
上下行業務接口工作在三層模式,連接二層設備時,需要在上下行的業務接口上配置VRRP備份組,使VGMP管理組能夠通過VRRP備份組監測三層業務接口。
接口視圖下
VRRP配置命令: (active和standby就是VGMP的配置)
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }
執行此命令時,指定active或standby參數後,即將該VRRP組加入了VGMP管理組的Active或Standby管理組。
每個普通物理接口(GigabitEthernet接口)下最多配置255個VRRP組。
HRP配置命令
指定心跳口
hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ]
啓用HRP備份功能
hrp enable
啓用允許配置備用設備的功能(Actuve)
hrp standby config enable
啓用命令與狀態信息的自動備份
hrp auto-sync [ config | connection-status]
啓用會話快速備份
hrp mirror session enable
雙機熱備在防火牆上的部署
防火牆 FW1
1.創建區域並劃分、配置接口IP地址
創建區域並劃分
firewall zone trust
add interface GigabitEthernet1/0/1
#
firewall zone untrust
add interface GigabitEthernet1/0/2
#
firewall zone dmz
add interface GigabitEthernet1/0/6
#
配置接口IP地址
interface GigabitEthernet1/0/1
ip address 10.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/2
ip address 20.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/6
ip address 1.1.1.1 255.255.255.0
2.VRRP
interface GigabitEthernet1/0/1
vrrp vrid 1 virtual-ip 10.1.1.254 active
#
interface GigabitEthernet1/0/2
vrrp vrid 2 virtual-ip 20.1.1.254 active
3.HRP
hrp enable
hrp interface GigabitEthernet1/0/6 remote 1.1.1.2
hrp auto-sync
hrp mirror session enable
4.安全策略
security-policy
rule name icmp_policy
source-zone trust
destination-zone untrust
service icmp
action permit
WEB方式
VRRP前提知曉
VRRP (Virtual Router Redundancy Protocol)虛擬路由器冗餘協議
VRRP 協議只有一種報文,即 VRRP Advertisement 通告報文,目的地址是224.0.0.18,TTL 是 255,協議號是 112
VRRP 中接口只有 3 個狀態:初始狀態(Initial)、主狀態(Master)和備份狀態(Backup)。其中,只有處於主狀態的設備纔可以轉發那些發送到虛擬 IP 地址的報文
VRRP 優先級
Priority:發送報文的 VRRP 路由器在虛擬路由器中的優先級。
取值範圍是 0~255,其中可用的範圍是 1~254。 0 表示設備停止參與 VRRP,用來使備份路由器儘快成爲主路由器,而不必等到計時器超時;
255 則保留給 IP 地址擁有者。缺省值是 100。
VRRP 的 Master 的選舉基於優先級,優先級取值範圍是 0-255,默認情況下,配置優先級爲 100,在接口上可以通過配置優先級的大小來手工選擇 Master 設備。比較優先級的大小,優先級高者當選爲 Master 設備。當兩臺設備優先級相同時,如果已經存在 Master,則其保持 Master 身份,無需繼續選舉;如果不存在 Master,則繼續比較接口 IP 地址大小,接口 IP 地址較大的設備當選爲Master 設備。
注意:如果路由器的IP和VRRP的虛擬IP一樣 則這臺路由器優先級直接變爲255,直接成爲master
int e0/0/1
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
int e0/0/1
vrrp vrid 2 preempt-mode disable
vrrp vrid 2 priority 180
int e0/0/1
vrrp vrid 2 track interface g0/0/1 reduced 30
設置監控端口爲interface g0/0/1,如果端口Down掉優先級降低30
int e0/0/1
vrrp vrid 1 authentication-mode md5 huawei