【正文】 BBa cku p1 0 . 1 0 0 . 1 0 . 0 / 2 4備份組 1V i rt u a l I P A d d re s s1 0 . 1 0 0 . 1 0 . 1備份組 2V i rt u a l I P A d d re s s1 0 . 1 0 0 . 2 0 . 1備份組 3V i rt u a l I P A d d re s s2 0 2 . 3 8 . 1 0 . 1HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP的引入與基本原理 ? 由于每個(gè)傳統(tǒng)的 VRRP備份組是相互獨(dú)立的，無法保證這種一致性，因此華為公司在 VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展，推出了 VGMP（ VRRP Group Management Protocol）來彌補(bǔ) VRRP在狀態(tài)防火墻上使用時(shí)存在的局限。 ? VGMP提出 VRRP管理組的概念，將同一臺(tái)防火墻上的多個(gè) VRRP備份組都加入到一個(gè) VRRP管理組，由管理組統(tǒng)一管理所有 VRRP備份組。通過統(tǒng)一控制各 VRRP備份組狀態(tài)的切換，來保證管理組內(nèi)的所有 VRRP備份組狀態(tài)都是一致的。 DMZ T rust Untrust EudemonA Master EudemonB Backup 備份組 2 備份組 3 備份組 1 管理組 管理組 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP基本原理介紹 ? VGMP狀態(tài) (Master/Slave) 當(dāng)防火墻上的 VGMP為 Master狀態(tài)時(shí)，它保證組內(nèi)所有 VRRP備份組的狀態(tài)統(tǒng)一為 Master狀態(tài)，這樣所有報(bào)文都將從該防火墻上通過，該防火墻成為主用防火墻。此時(shí)另外一臺(tái)防火墻上對應(yīng)的 VGMP為備狀態(tài)，該防火墻成為備用防火墻。 ? VGMP的報(bào)文 ? VGMP HELLO 與 VRRP類似，狀態(tài)為 Master的 VGMP也會(huì)定期向?qū)Χ税l(fā)送 HELLO報(bào)文，通知 Slave端本身的運(yùn)行狀態(tài)（包括優(yōu)先級(jí)、 VRRP成員狀態(tài)等）。與 VRRP不同的是， Slave端收到 HELLO報(bào)文后，會(huì)回應(yīng)一個(gè) ACK消息，該消息中也會(huì)攜帶本身的優(yōu)先級(jí)、 VRRP成員狀態(tài)等。兩臺(tái)防火墻通過 HELLO報(bào)文交互各自的狀態(tài)信息。 VGMP HELLO報(bào)文發(fā)送周期缺省為 1秒。當(dāng) Slave端三個(gè) HELLO報(bào)文周期沒有收到對端發(fā)送的 HELLO報(bào)文時(shí)，會(huì)認(rèn)為對端出現(xiàn)故障，從而將自己切換到 Master狀態(tài)。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP基本原理介紹 除了前面介紹的 VGMP HELLO報(bào)文之外， VGMP還包括狀態(tài)切換請求報(bào)文、允許狀態(tài)切換的應(yīng)答報(bào)文、拒絕狀態(tài)切換的應(yīng)答報(bào)文。 ? 狀態(tài)切換請求報(bào)文 1. 當(dāng)主防火墻上一個(gè)備份組成員出現(xiàn)故障時(shí)（端口 down）， VGMP能立即感知到這個(gè)故障。此時(shí) VGMP會(huì)調(diào)整自己的優(yōu)先級(jí)，并立即發(fā)送一個(gè)狀態(tài)切換請求報(bào)文到對端。 2. 對端收到該報(bào)文后，會(huì)比較優(yōu)先級(jí)。如果本身優(yōu)先級(jí)比報(bào)文中攜帶的優(yōu)先級(jí)高，則會(huì)回應(yīng)一個(gè) ACK報(bào)文，同時(shí)立即將自己切換到 Master狀態(tài)； 3. 發(fā)生故障的設(shè)備收到該應(yīng)答報(bào)文后，會(huì)立即將自己切換到 Slave狀態(tài)。在管理組狀態(tài)切換的同時(shí)，也會(huì)強(qiáng)制將管理組中的所有 VRRP備份組成員的狀態(tài)一起切換。 4. 如果對端的優(yōu)先級(jí)比報(bào)文中的優(yōu)先級(jí)低，則會(huì)回應(yīng)一個(gè)拒絕狀態(tài)切換的應(yīng)答報(bào)文（ NACK）。這樣兩端都不會(huì)進(jìn)行狀態(tài)切換。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組的功能 ? 狀態(tài)一致性管理 VGMP管理組中任何 VRRP備份組進(jìn)行主 /備切換，都有 VGMP管理組統(tǒng)一裁決。 VRRP備份組加入到管理組后，狀態(tài)不能自行單獨(dú)切換。 ? 搶占管理 VGMP管理組的搶占功能和 VRRP備份組類似，當(dāng)管理組中出現(xiàn)故障的備份組故障恢復(fù)時(shí)，管理組的優(yōu)先級(jí)也將恢復(fù)。此時(shí) VGMP可以決定是否需要重新?lián)屨挤Q為主設(shè)備。當(dāng)VRRP備份組加入到 VGMP管理組后，備份組上原來的搶占功能將失效，搶占行為發(fā)生與否必須由 VGMP管理組統(tǒng)一決定。 ? 通道管理 通道是雙機(jī)熱備的防火墻之間用來傳輸 VGMP、 HRP報(bào)文的一對 VRRP備份組。VGMP、 HRP模塊將自動(dòng)選用可用的傳輸通道來發(fā)送 VGMP、 HRP報(bào)文。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP數(shù)據(jù)通道 ? 數(shù)據(jù)通道和心跳線 兩臺(tái)防火墻的 VGMP管理組之間通信的 VGMP報(bào)文、數(shù)據(jù)備份的 HRP報(bào)文，都是通過 VGMP管理組中的數(shù)據(jù)通道進(jìn)行傳輸?shù)?。如下圖中共有四個(gè)數(shù)據(jù)通道。 兩臺(tái)防火墻之間的直連的鏈路（如下圖中的 A4B4），一般也稱為 HRP心跳線，可以將其配置成 transferonly類型的數(shù)據(jù)通道。防火墻會(huì)優(yōu)先選擇 transferonly類型的數(shù)據(jù)通道來承載 VGMP和HRP報(bào)文。使用專用的鏈路來承載 VGMP和 HRP報(bào)文可以提高雙機(jī)熱備的可靠性。 EudemonAMasterEudemonBBackupTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域A1A2A4A3B2B1 B4B3A1SB1A2SB2A4B4A3SB3HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組優(yōu)先級(jí)計(jì)算 VGMP管理組的優(yōu)先級(jí)兩種方式： ? 直接配置優(yōu)先級(jí) 直接配置優(yōu)先級(jí)數(shù)值時(shí)，管理組運(yùn)行時(shí)優(yōu)先級(jí)＝優(yōu)先級(jí)配置值－所有故障組成員優(yōu)先級(jí)數(shù)值之和 /16。由于組成員的優(yōu)先級(jí)我們一般都采用默認(rèn)值 100，所以當(dāng)一個(gè)組成員出現(xiàn)故障時(shí)管理組優(yōu)先級(jí)數(shù)值下降 6(100/16=6)。為了在主設(shè)備的一個(gè)組成員出現(xiàn)故障時(shí)就能觸發(fā)主備切換，這就要求主備防火墻上管理組優(yōu)先級(jí)之差在 1～ 5（假設(shè)組成員優(yōu)先級(jí)都采用默認(rèn)值 100）之間。管理組的默認(rèn)配置優(yōu)先級(jí)為 100。 ? 根據(jù)組成員狀態(tài)計(jì)算優(yōu)先級(jí) 具體的計(jì)算方法是：管理組運(yùn)行時(shí)優(yōu)先級(jí)＝所有狀態(tài)正常的組成員的優(yōu)先級(jí)之和 /管理組中組成員總數(shù)。這樣當(dāng)用于監(jiān)視的 VRRP備份組成員優(yōu)先級(jí)變化時(shí)，能直接影響管理組的運(yùn)行優(yōu)先級(jí)，從而觸發(fā)主備切換。在配置管理組優(yōu)先級(jí)時(shí)，使用 usingvrrppriority 關(guān)鍵字即采用這種優(yōu)先級(jí)計(jì)算方法。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential VGMP管理組與負(fù)載分擔(dān) ? 負(fù)載分擔(dān)的基本原理： 每臺(tái)防火墻的每個(gè)接口上配置兩個(gè) VRRP備份組 (假設(shè)分別為 VRRP VRRP2)，分配兩個(gè)不同的虛擬 IP地址。在每臺(tái)防火墻上創(chuàng)建兩個(gè) VGMP管理組 (假設(shè)為 VGMPVGMP2)，將接口下的兩個(gè) VRRP備份組分別加入到不同的管理組中。在兩臺(tái)防火墻上的兩對 VGMP管理組上配置合適的優(yōu)先級(jí)，使得一臺(tái)防火墻上 VGMP1是主， VGMP2是備；而在另一臺(tái)防火墻上 VGMP1是備， VGMP2是主 通過給內(nèi)網(wǎng)設(shè)備分配不同的網(wǎng)關(guān)地址 (某些設(shè)備網(wǎng)關(guān)地址為 VRRP1的虛擬 IP，某些設(shè)備網(wǎng)關(guān)地址為 VRRP2的虛擬 IP)，流量就可以分擔(dān)到兩臺(tái)防火墻上。 HUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 負(fù)載分擔(dān)組網(wǎng)示意圖 Master / BackupEudemonAEudemonBTrust 區(qū)域DMZ 區(qū)域Untrust 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3備份組4備份組5備份組6Backup / MasterHUAWEI TECHNOLOGIES CO., LTD. HUAWEI Confidential 雙機(jī)熱備份－ HRP ? 產(chǎn)生背景： VGMP可以保證報(bào)文來回路徑通過同一臺(tái)防火墻。當(dāng)主防火墻出現(xiàn)故障時(shí)，所有流量都將切換到備防火墻。但 Eudemon防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上的連接狀態(tài)數(shù)據(jù)，則切換到備防火墻的很多流量將無法通過防火墻，造成現(xiàn)有的連接中斷，此時(shí)用戶必須重新發(fā)起連接。 要解決這個(gè)問題，只有使主防火墻上的連接狀態(tài)數(shù)據(jù)及時(shí)同步到備防火墻，這就是開發(fā) HRP（ Huawei Redundancy Protocol）協(xié)議的目的，它用來從主防火墻向備防火墻上同步關(guān)鍵配置數(shù)據(jù)和連接狀態(tài)數(shù)據(jù)等。 謝謝 謝謝 演講完畢，謝謝觀看！