【文章內(nèi)容簡介】 配置備份組的定時器 vrrp vrid 1255 timer advertise 1255 說明：設置備份組中組播報文的發(fā)送間隔，默認值為 1秒。 ? 配置監(jiān)視指定接口 vrrp vrid 1255 track ether [reduced 1255] 說明：接口監(jiān)視命令，其目的是同一臺設備上的各個 VRRP 組能夠統(tǒng)一 變化狀態(tài)。當監(jiān)控的接口 down 掉后，該監(jiān)控方會根據(jù)設置的 reduced 參數(shù)值來降低自身的VRRP 優(yōu)先級，已達到 VRRP 的同時變化。 VGMP協(xié)議 1. 采用 VGMP的作用 由于 VRRP存在，工作和狀態(tài)都獨立的情況，為了更好的避免不能使 同一防火墻上各接口的 VRRP 狀態(tài)都為主用或都為備用 的情況，開發(fā)了對 VRRP 備份組進行統(tǒng)一管理的協(xié)議 —— VGMP協(xié)議。 VGMP 的作用： 確保各 VRRP備份組之間通路狀態(tài)一致性 ，并且 由管理組統(tǒng)一管理各獨立運行的 VRRP備份組，從而實現(xiàn)各備份組之間的互通。以防止可能導致的 VRRP狀態(tài)不一致現(xiàn) 象的發(fā)生。從而實現(xiàn)對多個 VRRP備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理等 功能 。 注意： VGMP不支持 VRRP備份組虛擬 IP 為接口 IP 的管理。 2. VGMP功能介紹 ? 狀態(tài)一致性管理 各 VRRP 備份組的主 /備狀態(tài)變化都需要通知其所屬的 VRRP 管理組，由 VRRP 管理組決定是否允許 VRRP 備份組進行主 /備狀態(tài)切換。 ? 搶占管理 無論各 VRRP備份組內(nèi) Eudemon 防火墻設備是否使能了搶占功能，搶占行為發(fā)生與否必須由 VRRP 管理組統(tǒng)一決定。 ? 通道管理 所謂通道管理，是為了提供傳輸 VGMP 報文、 VGMP相關承載報文、 VRRP 狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務流的業(yè)務通道而言的。 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 19 3. VGMP的成員屬性 VRRP 管理組成員屬性分為 data 和 transferonly 兩種， data 表示數(shù)據(jù)通道，transferonly 表示該通道不參與狀態(tài)切換，即在配有 transferonly 屬性的接口上，如果接口 down 了，不會影響 VRRP 管理組的優(yōu)先級變化。在 VRRP 管理組的模式下， VRRP 管理組成員的狀態(tài)保持一致，其狀態(tài)遷移需要通知其所屬的 VRRP管理組，并受 VRRP 管理組狀態(tài)控制。 4. VGMP狀態(tài)切換原理 VRRP管理組在收到 VRRP成員的狀態(tài)改變消息的時候需要通知 VRRP管理組進行預處理， VRRP 管理組收到消息后會根據(jù)， VGMP的狀態(tài)， VGMP管理組中 VRRP的狀態(tài)以及狀態(tài)改變消息決定是否需要改變狀態(tài)。 VGMP 由 master 狀態(tài) —— slave狀態(tài)的過程： 管理組狀態(tài)為 Master，當進行狀態(tài)切換時遍歷組內(nèi)所有的 VRRP 如果有狀態(tài)為Master 的則將其狀態(tài)轉(zhuǎn)換為 Slave。并通過可用的數(shù)據(jù)通道通知對方管理組狀態(tài)改變 Master?Slave，用于觸發(fā)快速切換。 5. VGMP應用舉例 圖 17 VGMP協(xié)議的應用 在該組網(wǎng)中， EudemonA中有三個接口，并且每個接口上配置一條 VRRP 備份組，并將這三條 VRRP 備份組加入一個 VRRP 管理組 1 中，當 EudemonA 發(fā)生故障或接口出現(xiàn)故障時， VRRP會向 VGMP 發(fā)送狀態(tài)切換消息，當 VRRP 管理組 1 確認后，遍歷組內(nèi)所有 VRRP 成員將狀態(tài)由 master 轉(zhuǎn)變?yōu)?slave，同時通知 EudemonB進行狀態(tài)切換。 Eu d e m o n AM a ste rEu d e m o n BBa ck u pTr ust 區(qū)域D M Z 區(qū)域U nt r ust 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3管理組 1管理組1華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 110 6. VGMP的注意事項（參考上圖） ? 兩個防火墻上的接口和安全區(qū)域的連接必須嚴格一一對應，包括接口插槽、類型、編號、相關配置等（ IP 地址除外 ）。 ? 兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。這就是說 EudemonA 上的A1 接口隸屬備份組 1， A2 接口隸屬備份組 2， A3 接口隸屬備份組 3；則EudemonB 上的 B B2 和 B3 接口也必須分別隸屬備份組 2和 3。 ? 兩個防火墻上的管理組編號、構(gòu)成必須完全一樣。這就是說 EudemonA 上的管理組包括備份組 2和 3，則 EudemonB 上的同樣編號的管理組也必須包含備份組 2 和 3。 ? 同一防火墻（例如 EudemonA）上，一個物理接口可以隸屬多個 VRRP 備份組。一個備份組中能包含多個物理接口，對應多個虛擬 IP 地址。同一 VRRP管理組可以包含多個備份組，但是相同備份組不能隸屬多個 VRRP 管理組。 ? VGMP 優(yōu)先級的遞減算法： VGMP的優(yōu)先級－ VGMP 的優(yōu)先級 /16；當配置有VRRP 成員的接口，出現(xiàn)故障時， VGMP的優(yōu)先級按照上述算法進行遞減，故此 VGMP 的優(yōu)先級不可設置過高，以免在正常情況下，主防火墻的 VGMP的優(yōu)先級遞減后仍然比從防火墻的優(yōu)先級高，而不會發(fā)生搶占，從而導致業(yè)務中斷。 7. VGMP的配置 ? 配置 VRRP 管理組 vrrp group 116 說明：在防火墻中最多可以配置 16 個管理組。 ? 使能 VRRP 管理組功能 vrrp enable 說明：只有使能了 VRRP 管理組后， VRRP 管理組才能起作用。 ? 配置向 VRRP 管理組添加備份組 add interface ether 接口 vrrp vrid 1255 [data [transferonly] ] 說明：通過配置 data參數(shù)來標識指定路徑為數(shù)據(jù)通道，并且該通道狀態(tài)將影響 VRRP管理組的狀態(tài)變化。當配置 transferonly 參數(shù)則表明該數(shù)據(jù)通道的狀態(tài)將不會影響VRRP 管理組的狀態(tài) 。 ? 配置 VRRP 管理組優(yōu)先級 vrrp priorty 1254 [plus 1254 ] [usingvrrppriority] 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 111 說明： plus 參數(shù)的功能是為了增加 VRRP 的優(yōu)先級， usingvrrppriority 參數(shù)的作用是 VRRP 管理組的優(yōu)先級使用 VRRP 的優(yōu)先級，如果有多個 VRRP 備份組時，采用除含有 transferonly屬性的接口下的 VRRP的優(yōu)先級外的所有 VRRP優(yōu)先級的和除以所有 VRRP 的個數(shù)，即是 VGMP 的優(yōu)先級。 ? 配置 VRRP 管理組搶占功能 vrrp preempt [delay 060000] //自動搶 占命令 說明：該命令會定時比對兩臺防火墻之間發(fā)送的報文中的優(yōu)先級，當發(fā)現(xiàn)對端發(fā)過來的報文優(yōu)先級低時，會自動啟動搶占功能。 Delay 參數(shù)主要是說明延遲搶占的秒數(shù)。 vrrp manualpreempt //手工搶占命令 說明：當執(zhí)行該命令后，系統(tǒng)會發(fā)送一個消息報文到對端進行優(yōu)先級的比較，如果優(yōu)先級高于對端，發(fā)送消息給 VRRP 和 HRP進行狀態(tài)切換；否則不進行搶占功能。 ? 配置 VRRP 管理組 hello報文發(fā)送間隔 vrrp timer hello 20060000 說明：發(fā)送 VRRP 管理組的 hello間隔的時間，單位為毫秒。 ? 配置 VRRP 管理組的報文群發(fā)標志 vrrp groupsend 說明：該命令主要在 master端起作用，通過 VGMP 中配置的所有數(shù)據(jù)通道進行 hello報文的發(fā)送。 ? 觸發(fā)接口進行 updown操作 triggerdown interface Ether 說明：該命令的作用主要是避免上下行的設備 arp 表項出錯，而設置的命令。以促使接口 updown 操作，來刷新上下行設備的 arp表項。 HRP協(xié)議 1. 什么是 HRP HRP協(xié)議是承載在 VGMP 報 文上進行傳輸?shù)?，?Master 和 Backup防火墻設備之間備份關鍵配置命令和會話表狀態(tài)信息 。 2. HRP起什么作用 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 112 圖 18 HRP協(xié)議應用 該圖為雙機熱備的基本組網(wǎng)圖，前面也說到了 Eudemon 防火墻是狀態(tài)防火墻，對于每一個動態(tài)生成的會話連接， Eudemon防火墻上都有一個會話表項與之對應。如果 EudemonA防火墻（ Master）出現(xiàn)故障或相關鏈路出現(xiàn)問題， EudemonB 防火墻（ Backup）將會切換狀態(tài)而變成新的 Master，并開始承擔傳輸任務。如果狀態(tài)切換前，會話表項和配置命令沒 有備份到 EudemonB，則先前經(jīng)過 EudemonA 的所有會話都會因為無法命中 EudemonB 的會話表而斷鏈，導致業(yè)務中斷，從而影響業(yè)務正常進行。這種 Eudemon 設備的狀態(tài)切換是失敗的。為了實現(xiàn) Master 防火墻出現(xiàn)故障時能由 Backup防火墻平滑地接替工作，需要在 Master 和 Backup 防火墻設備之間備份關鍵配置命令和會話表狀態(tài)信息 ，這就是產(chǎn)生 HRP協(xié)議的重要性 3. HRP的備份分類 自動實時備份：當配置主設備輸入雙機備份的配置命令和形成的動態(tài)備份信息時，系統(tǒng)自動將該命令和動態(tài)備份信息消息備份到配置從設 備。 自動批量備份：當接入配置從設備或配置從設備重新啟動時，由配置主設備將所有配置命令和動態(tài)備份信息批量備份到配置從設備，配置從設備將執(zhí)行需要雙機備份的配置命令，以實現(xiàn)主從設備的配置同步，批量備份時不允許實時備份。 手動批量同步：配置主設備上可以輸入配置同步命令，將配置主設備上的需要雙機備份的配置命令和動態(tài)備份信息發(fā)送到配置從設備。 4. 配置主從設備的引入及其條件 HRP 也有自己的主備狀態(tài)，我們對配置了 HRP 的設備稱之為配置主設備和配置從設備。 HRP 為什么會分為配置主從設備呢？原因在于我們說的雙機熱備實現(xiàn)的是主設備向從設備進行備份的處理過程，不是雙向進行互備的過程，因此需要確定設備配置的主從關系，實現(xiàn)主設備向從設備進行動態(tài)信息和命令行的備份。 HRP 的主從配置的引入是由于 負載分擔方式 。在負載分擔模式下每一臺設備上會配置兩個VRRP 管理組 2，并且這兩個管理組 1 為主， 2 為備，而對應的另一臺設備的兩個 VRRP 管理組 2，則互為備主關系， 1 為備， 2 為主， 網(wǎng)絡中存在兩臺 MasterEu d e mo n AMa ste rEu d e mo n BBa ck u pTr us t 區(qū)域DM Z 區(qū)域Unt r us t 區(qū) 域PCPC( 1 ) ( 2 )( 3 )( 4 )( 7 )會話表項Ser v er( 5 )( 6 )( 8 )華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 Eudemon 防火墻雙機熱備概述 113 防火墻。為了避免備份時混亂， Eudemon防火墻中引入了配置主設備、配置從設備概念 。 5. HRP能夠備份的信息 防火墻應用狀態(tài)的可靠性備份： ? 防 火墻生成的會話表表項 ? 動態(tài)黑名單表項 ? ServerMap 表項 ? NoPAT 表項 防火墻配置命令的備份： ? ACL 包過濾命令的配置 ? 攻擊防范命令的配置 ? 地址綁定命令的配置 ? 黑名單命令的啟用以及手工添加黑名單用戶和對黑名單命令的刪除操作 ? 日志命令 ? NAT 命令的配置 ? 統(tǒng)計命令的配置 ? 域的命令的配置，包括新域的設定，域內(nèi)添加的接口和優(yōu)先級的設置 ? ASPF（應用層包過濾防火墻）的命令配置 ? 清除會話表項命令（ reset firewall session table)和清除配置的命令（ undo XXX） 注意： ? 在批 處理手工備份時，對于 undo和 reset命令是無法進行備份的。 ? 除以上可以備份的命令外，其他命令都不能備份，如路由命令（靜態(tài)和動態(tài)） 。 6. HRP配置命令 ? 使能雙機熱備份功能 hrp enable 說明：目前