华为防火墙双机热备(详细介绍VRRP,VGMP)
一.双机热备的工作原理
华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡,俩台防火墙相互协同工作,犹如一个更大的防火墙
- 双机热备概述
随着互联网的发展,人们生活中的大多数问题可以通过网络解决,但与此同时,网络安全问题也逐渐暴露出来。 - 华为防火墙的双机热备包含以下俩种模式
1.热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。
2 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙是主设备也是备份设备,防火墙之间同步会话表及Server-map表
负载均衡模式下,针对一些流量(如黑色圈流量),FW1是主用设备,Fw2是备用设备,所以该流量默认通过FW1转发,而针对另外一些流量(灰色流量),FW2是主设备,FW1是备用设备,所以改流量默认通过FW2转发,FW1又作为(灰色)流量的备用设备,当FW2损坏时,FW1依然可以转发(灰色)流量,同理,FW2也可以在FW1损坏时转发(黑色)流量
- VRRP
在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态
1.VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)由IETF进行维护,用来解决网关单点故障的路由协议,VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备
(1)VRRP路由器:运行VRRP协议的路由器(2)虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组,一个备份组对客户端提供一个虚拟网关(3)VRID:virtual Router ID ,虚拟路由器标识,用来唯一的标识一个备份组(4)虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应(5)虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址(6)IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者(7)优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备份设备(8)抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为新的主用路由器(9)非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举- VRRP的工作原理和之前介绍的Cisco的HSRP基本相同,只是在细节上有一些区别
VRRP是公有协议,而HSRP是Cisco私有协议
VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以
VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0c-07-AC-组号
VRRP的状态机有三个,而HSRP的状态机包含五个(初始,学习,监听,发言,备份,活动)
VRRP只有一种报文,HSRP有三个(hello,政变,辞职)
- VRRP不支持接口跟踪,而HSRP支持
- VRRP的角色
工作在VRRP模式下的路由器有俩种角色,分别是Master路由器和Backup路由器
Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每个1s向其他路由器通告Master路由器当前的状态信息
Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不中断
2.VRRP的状态机
VRRP定义了三种工作状态,分别是
Initalize状态,Master状态,Backup状态
3.VRRP的工作原理
VRRP选举Master路由器和Backup路由器的流程如下
首先选举优先级的设备成为Master路由器,如果路由器相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为Master路由器,而备份组中的其他路由器将成为Backup路由器
- VGMP
工作原理
VGMP的工做原理表现如下:
1.VGMP的状态决定了VRRP备份组的状态,即设备的角色(Master和Backup)不再通过VRRP报文选举,而是通过VGMP同意管理2.VGMP的状态通过比较优先级决定,优先级高的VGMP将成为Active,优先级低的VGMP组成为Standby3.默认情况下,VGMP组的优先级为450004.VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize5.VGMP通过心跳线协商VGMP状态信息VGMP的工作原理
- 双机热备的备份方式
1.自动备份:该模式下,和双机热备相关的配置命令只能在主用路由器设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中2.手工批量备份:主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会同步到备用设备3.快速备份:不同步配置命令,只同步状态信息开启双机热备功能
配置自动模式备份
开启双机热备后,执行可以同步的命令时会有(+B)的提示
配置快速备份命令
案例如下:
1.配置IP略(路由器配置一条默认路由,下一跳为虚拟IP的10.1.1.100 ,PC1网关为下游的虚拟IP192.168.1.100)
ip route-static 0.0.0.0 0.0.0.0 10.1.1.100
2.接口加入到安全区域并配置安全策略(FW1和FW2配置一样)
3.配置VRRP备份组(FW1与FW2配置)
FW2配置
4.配置心跳接口
5.启用双机热备
6.配置备份方式
FW1配置如下
FW2配置如下
7.配置检查及检查
查看双机热备的状态信息
查看心跳接口状态
在PC1上ping路由器R1
可以ping IP地址 -t 一直ping 然后把FW1的 g0/1/2 口shudown掉,会发现ping的过程中丢掉了俩个包
也可以查看安全规则及会话表
!!!!!!!!!!!!!!!!!!!!!!!!!
