目录
一、双机热备概述
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
1.1、双机热备模式
热备模式
同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。
负载均衡模式
同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。
1.2、双机热备需求
- 两台防火墙用于心跳线的接口加入相同的安全区域。
- 两台防火墙用于心跳线的接口的设备编号必须一致,如都是G1/0/3。
- 建议用于双机热备的两台防火墙采用同型号,相同的VRP版本。
二、VRRP
在VRRP协议中,有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
2.1、VRRP概述
VRRP路由器
运行VRRP协议的路由器。
虚拟路由器
由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。
VRID
Virtual Router ID,虚拟路由器标识,用来唯一的标识一个备份组。
虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
虚拟IP地址
提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
虚拟MAC地址
基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。
IP地址拥有者
若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
优先级
用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
抢占模式
在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器。
非抢占模式
在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)。
2.2、VRRP与HSRP的区别
- VRRP是公有协议,而HSRP是Sisco私有协议。
- VRRP中的虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以。
- VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号。
- VRRP的状态机有三个,而HSRRP的状态机包含五个(初始、学习、监听、发言、备份、活动)。
- VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(Hello、政变、辞职)。
- VRRP不支持接口跟踪,而HSRP支持。
2.3、VRRP的角色
Master路由器
正常情况下由master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告master路由器当前的状态信息。
Backup路由器
是master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器发生故障时,在所有的backup路由器中优先级高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。
2.4、VRRP状态机
Initialize状态
刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。
Master状态
当前设备选举成为主用路由器时一种状态。该状态下会转发业务报文,并周期性地发送V