目录
VGPM----vrrp Group Mannagement Protocol---华为的私有协议
状态信息----会话表,server-map状态,黑名单,白名单
防火墙的可靠性
因为防火墙他不仅需要同步我们的配置信息,还要将我们的状态信息(如:会话表),所以,防火墙不能像路由器那样配置动态协议来实现切换,需要用到双击热备技术
1,双机:现在的华为设备只能支持两台设备的冗余
2,热备:两台设备共同运行,其中主设备主要传通过的流量和检测,备设备也会开启,但是只是为了能够实现快速的切换,能够立即进行切换(冷备:只有当主设备出现问题过后,另外一台防火墙再由网络管理员进行切换,会造成长时间的业务中断)
VRRP
讲到冗余技术,除了现在提到的双机热备,之前我们在IP的时候也学过一种网关的冗余技术--VRRP
对于VRRP他的状态目前有:
MASTER:主设备
backup:备网关
Initialize:初始化
这里因为学到了防火墙的双机热备,那我们肯定要学一个新的技术,他是华为的私有协议
VGPM----vrrp Group Mannagement Protocol---华为的私有协议
因为VRRP彼此之间是相互独立的,所以,一个VRRP组进行切换不会直接导致其他组同步切换,在防火墙的双机热备场景下,上下有两个VRRP组,需要同步切换,使用传统的上行链路监控,比较复杂,所以,设计了VGMP协议,来对VRRP组进行统一的切换管理
对VGMP切换过程的工作过程:
前言:首先,如果FW1是主设备,那他里面会有个active组(主),那我们的FW2里面就是standby组(备),主设备的优先级为65001 备设备为65000
主备形成的场景:
1,FW1为主后,里面的active组被激活,,并且将上下两个VRRP组拉入到VGMP的active组中,并且状态都为ACTIVE;
2,FW2为备后,FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入到standby组里面,并且状态都为standby
3,主设备的上下两个VRRP组将发送免费的ARP(因为现在我是主设备,我要告诉他们,我自己的身份,并且当备设备如果启动完成,并且状态交互完成过后,也会发送免费的ARP的报文)
FW1接口故障的情景:
1,当FW1的下行接口出现问题后,接口的状态会从active状态变为initialize状态(这个是接口状态的一个故障状态)
2,VGMP组收到接口故障的变化后,会将自己的组优先级降低2,降为64999
3,FW1会通过HRP向FW2发送一个状态更新的请求报文,这个报文里面会携带自己优先级降低后端值;
4,当FW2收到FW1的请求报文后,他发现自己65000大于64999的优先级,则会将自己standby组的状态切换为active
5,当VGMP组发送变化后,会将组VRRP同步状态为active;
6,FW2回复FW1的应答报文,表示允许切换
7,FW1收到应答报文后,将自身的ACTIVE组的状态切换为standy状态,并且,其中的vrrp组同步切换将状态切换为standby,但是故障接口的状态不会被拉入VGMP组,他还是initialize
8,FW2中上下两个VRRP组将发送免费的ARP报文,让交换机切换MAC地址,之后所有的流量走FW2
HRP
华为冗余协议---华为的私有协议--可以同步防火墙的状态和配置信息
配置信息---(接口的IP,路由信息)--HRP不能同步基本的接口和路由信息,安全策略,nat策略。。。
状态信息----会话表,server-map状态,黑名单,白名单
HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信息,并且,这条链路必须是一个三层链路----这条链路在进行数据传递时,不受安全策略的影响(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即非直连的场景,则需要配置安全策略)---心跳线--VGMP的报文也是通过心跳线传输的
HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1s,如果备设备在三个周期时间内默认为3s没有收到对方的心跳报文,则认定对方出现故障将以自生为主
HRP的三种备份方式
1,自动备份--自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无法立即备份,只能通过短暂的延迟之后,在进行备份(10s左右)
2,手工备份---由网络管理员手工触发,可以立即同步配置和状态信息
3,快速备份---该备份方式仅针对负载分担的场景
无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。
各场景分析
1 主备形成场景:
在这里的VGMP组里面有Active和standby组,每一个VGMP组里面都有这两个组,只是当组的状态进行变化时,里面的组随着VGMP组的状态变化而变化
接口故障形成场景(上面已经讲了过程)
简要分析和注意:
当VGMP组感受到接口的变化后,他有个A to S的变化过程,这个是个过渡态,不会显示,当我的备设备从standby状态切换为active时,回答了我最开始的请求报文的时候,才从这个过渡状态转变为standby
2 主备故障--整机故障
整机故障是最简单的,可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,备设备在超时时间内没有接收到主设备的保活包,则将会进行状态的切换
3 原主设备故障恢复的场景
根据有没有开启抢占分为两种情况
1,如果没有开启抢占---原主设备继续以原来身份继续工作
2,如果开启了抢占
过程分析:
因为开启了抢占模式,当设备中的主设备又恢复正常过后的工作过程也会发生变化
1,此时,原主设备会先向备设备发送VGMP请求报文,请求恢复为主设备,先将自身的VGMP组优先级加2,此时为S to A 的过渡状态
2,备设备收到请求报文后,将自己的VGMP组状态从active变为standby并且将上下vrrp组的状态也变为standby状态,之后再向原主设备发送VGMP的确认报文
3,收到确认报文后,将从S to A 的过渡态转变成active状态,并且将VRRP组的状态也改变为active状态
4,之后,vrrp组接口发送免费的ARP报文给上下的交换机,刷新本地的mac地址表
4 负载分担场景
扫一扫
2914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
