【正文】 BBa cku p1 0 . 1 0 0 . 1 0 . 0 / 2 4備份組 1V i rt u a l I P A d d re s s1 0 . 1 0 0 . 1 0 . 1備份組 2V i rt u a l I P A d d re s s1 0 . 1 0 0 . 2 0 . 1備份組 3V i rt u a l I P A d d re s s2 0 2 . 3 8 . 1 0 . 1HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP的引入與基本原理 ? 由于每個傳統(tǒng)的 VRRP備份組是相互獨立的，無法保證這種一致性，因此華為公司在 VRRP的基礎(chǔ)上進行了擴展，推出了 VGMP（ VRRP Group Management Protocol）來彌補 VRRP在狀態(tài)防火墻上使用時存在的局限。 ? VGMP提出 VRRP管理組的概念，將同一臺防火墻上的多個 VRRP備份組都加入到一個 VRRP管理組，由管理組統(tǒng)一管理所有 VRRP備份組。通過統(tǒng)一控制各 VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有 VRRP備份組狀態(tài)都是一致的。 DMZ T rust Untrust EudemonA Master EudemonB Backup 備份組 2 備份組 3 備份組 1 管理組 管理組 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP基本原理介紹 ? VGMP狀態(tài) (Master/Slave) 當(dāng)防火墻上的 VGMP為 Master狀態(tài)時，它保證組內(nèi)所有 VRRP備份組的狀態(tài)統(tǒng)一為 Master狀態(tài)，這樣所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上對應(yīng)的 VGMP為備狀態(tài)，該防火墻成為備用防火墻。 ? VGMP的報文 ? VGMP HELLO 與 VRRP類似，狀態(tài)為 Master的 VGMP也會定期向?qū)Χ税l(fā)送 HELLO報文，通知 Slave端本身的運行狀態(tài)（包括優(yōu)先級、 VRRP成員狀態(tài)等）。與 VRRP不同的是， Slave端收到 HELLO報文后，會回應(yīng)一個 ACK消息，該消息中也會攜帶本身的優(yōu)先級、 VRRP成員狀態(tài)等。兩臺防火墻通過 HELLO報文交互各自的狀態(tài)信息。 VGMP HELLO報文發(fā)送周期缺省為 1秒。當(dāng) Slave端三個 HELLO報文周期沒有收到對端發(fā)送的 HELLO報文時，會認為對端出現(xiàn)故障，從而將自己切換到 Master狀態(tài)。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP基本原理介紹 除了前面介紹的 VGMP HELLO報文之外， VGMP還包括狀態(tài)切換請求報文、允許狀態(tài)切換的應(yīng)答報文、拒絕狀態(tài)切換的應(yīng)答報文。 ? 狀態(tài)切換請求報文 1. 當(dāng)主防火墻上一個備份組成員出現(xiàn)故障時（端口 down）， VGMP能立即感知到這個故障。此時 VGMP會調(diào)整自己的優(yōu)先級，并立即發(fā)送一個狀態(tài)切換請求報文到對端。 2. 對端收到該報文后，會比較優(yōu)先級。如果本身優(yōu)先級比報文中攜帶的優(yōu)先級高，則會回應(yīng)一個 ACK報文，同時立即將自己切換到 Master狀態(tài)； 3. 發(fā)生故障的設(shè)備收到該應(yīng)答報文后，會立即將自己切換到 Slave狀態(tài)。在管理組狀態(tài)切換的同時，也會強制將管理組中的所有 VRRP備份組成員的狀態(tài)一起切換。 4. 如果對端的優(yōu)先級比報文中的優(yōu)先級低，則會回應(yīng)一個拒絕狀態(tài)切換的應(yīng)答報文（ NACK）。這樣兩端都不會進行狀態(tài)切換。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組的功能 ? 狀態(tài)一致性管理 VGMP管理組中任何 VRRP備份組進行主 /備切換，都有 VGMP管理組統(tǒng)一裁決。 VRRP備份組加入到管理組后，狀態(tài)不能自行單獨切換。 ? 搶占管理 VGMP管理組的搶占功能和 VRRP備份組類似，當(dāng)管理組中出現(xiàn)故障的備份組故障恢復(fù)時，管理組的優(yōu)先級也將恢復(fù)。此時 VGMP可以決定是否需要重新?lián)屨挤Q為主設(shè)備。當(dāng)VRRP備份組加入到 VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由 VGMP管理組統(tǒng)一決定。 ? 通道管理 通道是雙機熱備的防火墻之間用來傳輸 VGMP、 HRP報文的一對 VRRP備份組。VGMP、 HRP模塊將自動選用可用的傳輸通道來發(fā)送 VGMP、 HRP報文。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP數(shù)據(jù)通道 ? 數(shù)據(jù)通道和心跳線 兩臺防火墻的 VGMP管理組之間通信的 VGMP報文、數(shù)據(jù)備份的 HRP報文，都是通過 VGMP管理組中的數(shù)據(jù)通道進行傳輸?shù)?。如下圖中共有四個數(shù)據(jù)通道。 兩臺防火墻之間的直連的鏈路（如下圖中的 A4B4），一般也稱為 HRP心跳線，可以將其配置成 transferonly類型的數(shù)據(jù)通道。防火墻會優(yōu)先選擇 transferonly類型的數(shù)據(jù)通道來承載 VGMP和HRP報文。使用專用的鏈路來承載 VGMP和 HRP報文可以提高雙機熱備的可靠性。 EudemonAMasterEudemonBBackupTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域A1A2A4A3B2B1 B4B3A1SB1A2SB2A4B4A3SB3HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組優(yōu)先級計算 VGMP管理組的優(yōu)先級兩種方式： ? 直接配置優(yōu)先級 直接配置優(yōu)先級數(shù)值時，管理組運行時優(yōu)先級＝優(yōu)先級配置值－所有故障組成員優(yōu)先級數(shù)值之和 /16。由于組成員的優(yōu)先級我們一般都采用默認值 100，所以當(dāng)一個組成員出現(xiàn)故障時管理組優(yōu)先級數(shù)值下降 6(100/16=6)。為了在主設(shè)備的一個組成員出現(xiàn)故障時就能觸發(fā)主備切換，這就要求主備防火墻上管理組優(yōu)先級之差在 1～ 5（假設(shè)組成員優(yōu)先級都采用默認值 100）之間。管理組的默認配置優(yōu)先級為 100。 ? 根據(jù)組成員狀態(tài)計算優(yōu)先級 具體的計算方法是：管理組運行時優(yōu)先級＝所有狀態(tài)正常的組成員的優(yōu)先級之和 /管理組中組成員總數(shù)。這樣當(dāng)用于監(jiān)視的 VRRP備份組成員優(yōu)先級變化時，能直接影響管理組的運行優(yōu)先級，從而觸發(fā)主備切換。在配置管理組優(yōu)先級時，使用 usingvrrppriority 關(guān)鍵字即采用這種優(yōu)先級計算方法。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組與負載分擔(dān) ? 負載分擔(dān)的基本原理： 每臺防火墻的每個接口上配置兩個 VRRP備份組 (假設(shè)分別為 VRRP VRRP2)，分配兩個不同的虛擬 IP地址。在每臺防火墻上創(chuàng)建兩個 VGMP管理組 (假設(shè)為 VGMPVGMP2)，將接口下的兩個 VRRP備份組分別加入到不同的管理組中。在兩臺防火墻上的兩對 VGMP管理組上配置合適的優(yōu)先級，使得一臺防火墻上 VGMP1是主， VGMP2是備；而在另一臺防火墻上 VGMP1是備， VGMP2是主 通過給內(nèi)網(wǎng)設(shè)備分配不同的網(wǎng)關(guān)地址 (某些設(shè)備網(wǎng)關(guān)地址為 VRRP1的虛擬 IP，某些設(shè)備網(wǎng)關(guān)地址為 VRRP2的虛擬 IP)，流量就可以分擔(dān)到兩臺防火墻上。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 負載分擔(dān)組網(wǎng)示意圖 Master / BackupEudemonAEudemonBTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3備份組4備份組5備份組6Backup / MasterHUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 雙機熱備份－ HRP ? 產(chǎn)生背景： VGMP可以保證報文來回路徑通過同一臺防火墻。當(dāng)主防火墻出現(xiàn)故障時，所有流量都將切換到備防火墻。但 Eudemon防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上的連接狀態(tài)數(shù)據(jù)，則切換到備防火墻的很多流量將無法通過防火墻，造成現(xiàn)有的連接中斷，此時用戶必須重新發(fā)起連接。 要解決這個問題，只有使主防火墻上的連接狀態(tài)數(shù)據(jù)及時同步到備防火墻，這就是開發(fā) HRP（ Huawei Redundancy Protocol）協(xié)議的目的，它用來從主防火墻向備防火墻上同步關(guān)鍵配置數(shù)據(jù)和連接狀態(tài)數(shù)據(jù)等。 謝謝 謝謝 演講完畢，謝謝觀看！