【文章內(nèi)容簡介】 9 3. VGMP的成員屬性 VRRP 管理組成員屬性分為 data 和 transferonly 兩種， data 表示數(shù)據(jù)通道，transferonly 表示該通道不參與狀態(tài)切換，即在配有 transferonly 屬性的接口上，如果接口 down 了，不會影響 VRRP 管理組的優(yōu)先級變化。在 VRRP管理組的模式下， VRRP管理組成員的狀態(tài)保持一致，其狀態(tài)遷移需要通知其所屬的 VRRP管理組，并受 VRRP 管理組狀態(tài)控制。 4. VGMP狀態(tài)切換原理 VRRP管理組在收到 VRRP成員的狀態(tài)改變消息的時候需要通知 VRRP 管理組進行預(yù)處理， VRRP 管理組收到消息后會根據(jù)， VGMP的狀態(tài)， VGMP管理組中 VRRP的狀態(tài)以及狀態(tài)改變消息決定是否需要改變狀態(tài)。 VGMP 由 master 狀態(tài) —— slave狀態(tài)的過程： 管理組狀態(tài)為 Master，當(dāng)進行狀態(tài)切換時遍歷組內(nèi)所有的 VRRP 如果有狀態(tài)為Master 的則將其狀態(tài)轉(zhuǎn)換為 Slave。并通過可用的數(shù)據(jù)通道通知對方管理組狀態(tài)改變 Master?Slave，用于觸發(fā)快速切換。 5. VGMP應(yīng)用舉例 圖 17 VGMP協(xié)議的應(yīng)用 在該組網(wǎng)中， EudemonA中有三個接口，并且 每個接口上配置一條 VRRP 備份組，并將這三條 VRRP 備份組加入一個 VRRP管理組 1 中，當(dāng) EudemonA發(fā)生故障或接口出現(xiàn)故障時， VRRP會向 VGMP 發(fā)送狀態(tài)切換消息，當(dāng) VRRP 管理組 1 確認后，遍歷組內(nèi)所有 VRRP 成員將狀態(tài)由 master 轉(zhuǎn)變?yōu)?slave，同時通知 EudemonB進行狀態(tài)切換。 Eu d e m o n AM a s te rEu d e m o n BBa c k u pT r us t 區(qū)域D MZ 區(qū)域U ntr us t 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3管理組 1管理組1Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 110 6. VGMP的注意事項（參考上圖） ? 兩個防火墻上的接口和安全區(qū)域的連接必須嚴格一一對應(yīng)，包括接口插槽、類型、編號、相關(guān)配置等（ IP 地址除外）。 ? 兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。這就是說 EudemonA 上的A1 接口隸屬備份組 1， A2 接口隸屬備份組 2， A3 接口隸屬備份組 3；則EudemonB 上的 B B2 和 B3 接口也必須分別隸屬備份組 2和 3。 ? 兩個防火墻上的管理組編號、構(gòu)成必須完全一樣。這就是說 EudemonA 上的管理組包括備份組 2和 3，則 EudemonB 上的同樣編號的管理組也必須包含備份組 2 和 3。 ? 同一防火墻（例如 EudemonA）上，一個物理接口可以隸屬多個 VRRP 備份組。一個備份組中能包含多個物理接口，對應(yīng)多個虛擬 IP 地址。同一 VRRP管理組可以包含多個備份組，但是相同備份組不能隸屬多個 VRRP 管理組。 ? VGMP 優(yōu)先級的遞減算法： VGMP的優(yōu)先級－ VGMP的優(yōu)先級 /16；當(dāng)配置有VRRP 成員的接口，出現(xiàn)故障時， VGMP的優(yōu)先級按照上述算法進行遞減，故此 VGMP 的優(yōu)先級不可設(shè)置過高，以免在正常情況下，主防火墻的 VGMP的優(yōu)先級遞減后仍然比從防火墻的優(yōu)先級高，而不會發(fā)生搶占，從而導(dǎo)致業(yè)務(wù)中斷。 7. VGMP的配置 ? 配置 VRRP 管理組 vrrp group 116 說明：在防火墻中最多可以配置 16 個管理組。 ? 使能 VRRP 管理組功能 vrrp enable 說明：只有使能了 VRRP 管理組后， VRRP 管理組才能起作用。 ? 配置向 VRRP 管理組添加備份組 add interface ether 接口 vrrp vrid 1255 [data [transferonly] ] 說明：通過配置 data參數(shù)來標(biāo)識指定路徑為數(shù)據(jù)通道，并且該通道狀態(tài)將影響 VRRP管理組的狀態(tài)變化。當(dāng)配置 transferonly 參數(shù)則表明該數(shù)據(jù)通道的狀態(tài)將不會影響VRRP 管理組的狀態(tài) 。 ? 配置 VRRP 管理組優(yōu)先級 vrrp priorty 1254 [plus 1254 ] [usingvrrppriority] Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 111 說明： plus 參數(shù)的功能是為了增加 VRRP 的優(yōu)先級， usingvrrppriority 參數(shù)的作用是 VRRP 管理組的優(yōu)先級使用 VRRP 的優(yōu)先級，如果有多個 VRRP 備份組時，采用除含有 transferonly屬性的接口下的 VRRP的優(yōu)先級外的所有 VRRP優(yōu)先級的和除以所有 VRRP 的個數(shù)，即是 VGMP 的優(yōu)先級。 ? 配置 VRRP 管理組搶占功能 vrrp preempt [delay 060000] //自動搶占命令 說明：該命令會定時比對兩臺防火墻之間發(fā)送的報文中的優(yōu)先級，當(dāng)發(fā)現(xiàn)對端發(fā)過來的報文優(yōu)先級低時，會自動啟動搶占功能。 Delay 參數(shù)主要是說明延遲搶占的秒數(shù)。 vrrp manualpreempt //手工搶占命令 說明：當(dāng)執(zhí)行該命令后，系統(tǒng)會發(fā)送一個消息報文到對端進行優(yōu)先級的比較，如果優(yōu)先級高于對端，發(fā)送消息給 VRRP 和 HRP進行狀態(tài)切換；否則不進行搶占功能。 ? 配置 VRRP 管理組 hello報文發(fā)送間隔 vrrp timer hello 20060000 說明：發(fā)送 VRRP 管理組的 hello間隔的時間，單位為毫秒。 ? 配置 VRRP 管 理組的報文群發(fā)標(biāo)志 vrrp groupsend 說明：該命令主要在 master端起作用，通過 VGMP 中配置的所有數(shù)據(jù)通道進行 hello報文的發(fā)送。 ? 觸發(fā)接口進行 updown操作 triggerdown interface Ether 說明：該命令的作用主要是避免上下行的設(shè)備 arp 表項出錯，而設(shè)置的命令。以促使接口 updown 操作，來刷新上下行設(shè)備的 arp表項。 HRP協(xié)議 1. 什么是 HRP HRP協(xié)議是承載在 VGMP 報文上進行傳輸?shù)模?Master 和 Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話 表狀態(tài)信息 。 2. HRP起什么作用 Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 112 圖 18 HRP協(xié)議應(yīng)用 該圖為雙機熱備的基本組網(wǎng)圖，前面也說到了 Eudemon 防火墻是狀態(tài)防火墻，對于每一個動態(tài)生成的會話連接， Eudemon防火墻上都有一個會話表項與之對應(yīng)。如果 EudemonA防火墻（ Master）出現(xiàn)故障或相關(guān)鏈路出現(xiàn)問題， EudemonB 防火墻（ Backup）將會切換狀態(tài)而變成新的 Master，并開始承擔(dān)傳輸任務(wù)。如果狀態(tài)切換前，會話表項和配置命令沒有備份到 EudemonB，則先前經(jīng)過 EudemonA的所有會話都會因為無法命中 EudemonB 的會話表而斷鏈，導(dǎo)致業(yè)務(wù)中斷，從而影響業(yè)務(wù)正常進行。這種 Eudemon 設(shè)備的狀態(tài)切換是失敗的。為了實現(xiàn) Master防火墻出現(xiàn)故障時能由 Backup防火墻平滑地接替工作，需要在 Master和 Backup 防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息 ，這就是產(chǎn)生 HRP協(xié)議的重要性 3. HRP的備份分類 自動實時備份：當(dāng)配置主設(shè)備輸入雙機備份的配置命令和形成的動態(tài)備份信息時，系統(tǒng)自動將該命令和動態(tài)備份信息消息備份到配置從設(shè)備。 自動批量備份：當(dāng)接入配置從設(shè)備或配置從設(shè)備重新啟動時，由配置主設(shè)備將所有配 置命令和動態(tài)備份信息批量備份到配置從設(shè)備，配置從設(shè)備將執(zhí)行需要雙機備份的配置命令，以實現(xiàn)主從設(shè)備的配置同步，批量備份時不允許實時備份。 手動批量同步：配置主設(shè)備上可以輸入配置同步命令，將配置主設(shè)備上的需要雙機備份的配置命令和動態(tài)備份信息發(fā)送到配置從設(shè)備。 4. 配置主從設(shè)備的引入及其條件 HRP 也有自己的主備狀態(tài)，我們對配置了 HRP 的設(shè)備稱之為配置主設(shè)備和配置從設(shè)備。 HRP 為什么會分為配置主從設(shè)備呢？原因在于我們說的雙機熱備實現(xiàn)的是主設(shè)備向從設(shè)備進行備份的處理過程，不是雙向進行互備的過程，因此需要確定設(shè)備配置的主 從關(guān)系，實現(xiàn)主設(shè)備向從設(shè)備進行動態(tài)信息和命令行的備份。 HRP 的主從配置的引入是由于 負載分擔(dān)方式 。在負載分擔(dān)模式下每一臺設(shè)備上會配置兩個VRRP 管理組 2，并且這兩個管理組 1 為主， 2 為備，而對應(yīng)的另一臺設(shè)備的兩個 VRRP 管理組 2，則互為備主關(guān)系， 1 為備， 2 為主， 網(wǎng)絡(luò)中存在兩臺 MasterEu d e m o n AM a s te rEu d e m o n BBa c k u pTrust 區(qū)域D M Z 區(qū)域U n t r u st 區(qū) 域PCPC(1 ) (2 )(3 )(4 )(7 )會話表項S e r ve r(5 )(6 )(8 )Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 113 防火墻。為了避免備份時混亂， Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念 。 5. HRP能夠備份的信息 防火墻應(yīng)用狀態(tài)的可靠性備份： ? 防火墻生成的會話表表項 ? 動態(tài)黑名單表項 ? ServerMap 表項 ? NoPAT 表項 防火墻配置命令的備份： ? ACL 包過濾命令的配置 ? 攻擊防范命令的配置 ? 地址綁定命令的配置 ? 黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作 ? 日志命令 ? NAT 命令的配置 ? 統(tǒng)計命令的配置 ? 域的命令的配置，包括新域的設(shè)定，域內(nèi)添加的接口和優(yōu)先級的設(shè)置 ? ASPF（應(yīng)用層包過濾防火墻）的命令配置 ? 清除會話表項命令（ reset firewall session table)和清除配置的命令（ undo XXX） 注意： ? 在批處理手工備份時，對于 undo和 reset命令是無法進行備份的。 ? 除以上可以備份的 命令外，其他命令都不能備份，如路由命令（靜態(tài)和動態(tài)） 。 6. HRP配置命令 ? 使能雙機熱備份功能 hrp enable 說明：目前 Eudemon 防火墻上僅支持雙機熱備份，不支持多機熱備份功能。即啟動 HRP 雙機熱備份功能后，同一 VRRP備份組中僅允許加入兩臺 Eudemon 防火墻設(shè)備。 ? 使能自動實時備份 hrp autosync { config | connectstatus } Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 114 說明 ：只能在配置主設(shè)備上使用 hrp autosync命令，不能在配置從設(shè)備上使用 。 ? 配置手工批量備份 hrp sync { config | connectstatus } 說明 ：手工批量同步過程與自動實時備份開關(guān)無關(guān)，自動實時備份開關(guān)的狀態(tài)不會影響手工批量同步過程。采用手動批量備份方式， undo和 reset命令將無法得到備份。 ? 允許備防火墻承擔(dān)業(yè)務(wù) hrp permitbackforeward 說明：該命令主要應(yīng)用與防火墻的上下行配置有路由器時，當(dāng)發(fā)生路由混亂時，能夠允許正常的表項通過備防火墻進行轉(zhuǎn)發(fā)。 VRRP、 VGMP和 HRP的相互關(guān)系 圖 19 雙機熱備各協(xié)議之間的關(guān)系圖 ? 當(dāng) VRRP 管理組狀態(tài)變化時，系 統(tǒng)將通知 HRP狀態(tài)和配置主 /從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺防火墻之間配置命令和會話狀態(tài)信息得到及時備份。同時， VRRP 管理組狀態(tài)也要受 HRP 狀態(tài)影響，即 VRRP 會根據(jù) HRP狀態(tài)切換的結(jié)果來調(diào)整優(yōu)先級，并進行 VRRP狀態(tài)切換。 ? VRRP 管理組報文和 HRP模塊的報文，都是通過主 VRRP的接口進行傳輸，當(dāng) VRRP 接口接到的報文為 VRRP 管理組報文時，就交與 VGMP模塊進行處理；當(dāng)接到的報文 VGMP 的數(shù)據(jù)報文時，則通過 VGMP 模塊與 HRP 模塊的接口轉(zhuǎn)到 HRP 模塊進行處理。 ? 當(dāng) VRRP 備份組狀態(tài)變化時，由 VRRP 管理組來決定是否發(fā)生 VRRP管理組的狀態(tài)變化