【正文】 自動批量備份：當(dāng)接入配置從設(shè)備或配置從設(shè)備重新啟動時，由配置主設(shè)備將所有配置命令和動態(tài)備份信息批量備份到配置從設(shè)備，配置從設(shè)備將執(zhí)行需要雙機備份的配置命令，以實現(xiàn)主從設(shè)備的配置同步，批量備份時不允許實時備份。這種 Eudemon 設(shè)備的狀態(tài)切換是失敗的。如果 EudemonA防火墻（ Master）出現(xiàn)故障或相關(guān)鏈路出現(xiàn)問題， EudemonB 防火墻（ Backup）將會切換狀態(tài)而變成新的 Master，并開始承擔(dān)傳輸任務(wù)。 2. HRP起什么作用 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。以促使接口 updown 操作，來刷新上下行設(shè)備的 arp表項。 ? 配置 VRRP 管理組的報文群發(fā)標(biāo)志 vrrp groupsend 說明：該命令主要在 master端起作用，通過 VGMP 中配置的所有數(shù)據(jù)通道進行 hello報文的發(fā)送。 vrrp manualpreempt //手工搶占命令 說明：當(dāng)執(zhí)行該命令后，系統(tǒng)會發(fā)送一個消息報文到對端進行優(yōu)先級的比較，如果優(yōu)先級高于對端，發(fā)送消息給 VRRP 和 HRP進行狀態(tài)切換；否則不進行搶占功能。 ? 配置 VRRP 管理組搶占功能 vrrp preempt [delay 060000] //自動搶 占命令 說明：該命令會定時比對兩臺防火墻之間發(fā)送的報文中的優(yōu)先級，當(dāng)發(fā)現(xiàn)對端發(fā)過來的報文優(yōu)先級低時，會自動啟動搶占功能。 ? 配置 VRRP 管理組優(yōu)先級 vrrp priorty 1254 [plus 1254 ] [usingvrrppriority] 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 ? 配置向 VRRP 管理組添加備份組 add interface ether 接口 vrrp vrid 1255 [data [transferonly] ] 說明：通過配置 data參數(shù)來標(biāo)識指定路徑為數(shù)據(jù)通道，并且該通道狀態(tài)將影響 VRRP管理組的狀態(tài)變化。 7. VGMP的配置 ? 配置 VRRP 管理組 vrrp group 116 說明：在防火墻中最多可以配置 16 個管理組。同一 VRRP管理組可以包含多個備份組，但是相同備份組不能隸屬多個 VRRP 管理組。 ? 同一防火墻（例如 EudemonA）上，一個物理接口可以隸屬多個 VRRP 備份組。 ? 兩個防火墻上的管理組編號、構(gòu)成必須完全一樣。 ? 兩個防火墻上的備份組編號、構(gòu)成必須完全一樣。 Eu d e m o n AM a ste rEu d e m o n BBa ck u pTr ust 區(qū)域D M Z 區(qū)域U nt r ust 區(qū) 域備份組 1備份組 2備份組 3A1A2A3B2B1B3管理組 1管理組1華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。并通過可用的數(shù)據(jù)通道通知對方管理組狀態(tài)改變 Master?Slave，用于觸發(fā)快速切換。 4. VGMP狀態(tài)切換原理 VRRP管理組在收到 VRRP成員的狀態(tài)改變消息的時候需要通知 VRRP管理組進行預(yù)處理， VRRP 管理組收到消息后會根據(jù)， VGMP的狀態(tài)， VGMP管理組中 VRRP的狀態(tài)以及狀態(tài)改變消息決定是否需要改變狀態(tài)。 Eudemon 防火墻雙機熱備概述 19 3. VGMP的成員屬性 VRRP 管理組成員屬性分為 data 和 transferonly 兩種， data 表示數(shù)據(jù)通道，transferonly 表示該通道不參與狀態(tài)切換，即在配有 transferonly 屬性的接口上，如果接口 down 了，不會影響 VRRP 管理組的優(yōu)先級變化。 ? 通道管理 所謂通道管理，是為了提供傳輸 VGMP 報文、 VGMP相關(guān)承載報文、 VRRP 狀態(tài)報文的可靠通路而提出的，這是相對正常業(yè)務(wù)流的業(yè)務(wù)通道而言的。 2. VGMP功能介紹 ? 狀態(tài)一致性管理 各 VRRP 備份組的主 /備狀態(tài)變化都需要通知其所屬的 VRRP 管理組，由 VRRP 管理組決定是否允許 VRRP 備份組進行主 /備狀態(tài)切換。從而實現(xiàn)對多個 VRRP備份組（虛擬路由器）的狀態(tài)一致性管理、搶占管理和通道管理等 功能 。 VGMP 的作用： 確保各 VRRP備份組之間通路狀態(tài)一致性 ，并且 由管理組統(tǒng)一管理各獨立運行的 VRRP備份組，從而實現(xiàn)各備份組之間的互通。當(dāng)監(jiān)控的接口 down 掉后，該監(jiān)控方會根據(jù)設(shè)置的 reduced 參數(shù)值來降低自身的VRRP 優(yōu)先級，已達到 VRRP 的同時變化。 Eudemon 防火墻雙機熱備概述 18 ? 配置備份組的定時器 vrrp vrid 1255 timer advertise 1255 說明：設(shè)置備份組中組播報文的發(fā)送間隔，默認值為 1秒。 ? 配置備份組的認證方式和認證字 vrrp authenticationmode simple/md5 string 說明：該命令主要是對備份組中的組播報文進行認證的處理，以保證各個虛擬路由之間傳送的組播報文不會因為非法報文，而出現(xiàn)狀態(tài)混亂的問題。 由于 Eudemon 是狀態(tài)防火墻， 當(dāng)首包通過檢測 后，會在 安全區(qū)域之間 形成動態(tài) 的會話 表項 ， 后續(xù)報文 只有命中該會話表項的后續(xù)報文（包括返回報文）才能夠通過Eudemon 防火墻，這就要求某會話的進路徑、出路徑必須一致 ，但是對于 VRRP如果發(fā)生切換后，主防火墻上的生成的表項不會備份到備防火墻上，因此如果發(fā)生狀態(tài)切換會導(dǎo)致業(yè)務(wù)中斷。如果 RouteA因為某種原因?qū)е略O(shè)備故障，或者是 RouteA到內(nèi)部網(wǎng)絡(luò)的鏈路故障，導(dǎo)致 RouteB和 RouteC 收不到 VRRP通告報文，如果從設(shè)備在連續(xù)三個通告報文的時間間隔中都沒有收到 VRRP 組設(shè)備的 VRRP 通告報文，則 RouteB 和RouteC 會競爭成為主，競爭的標(biāo)準(zhǔn)根據(jù)優(yōu)先級或者接口 IP 的范圍，最終有一臺設(shè)備成為新的 VRRP 主設(shè)備并轉(zhuǎn)發(fā)報文，從而保障業(yè)務(wù)正常運行。 Eudemon 防火墻雙機熱備概述 17 RouteA/RouteB/RouteC 屬于同一個 VRRP 組，它們具備相同的虛擬 IP 地址，局域網(wǎng)內(nèi)部的用戶設(shè)置該虛擬 IP 地址為默認的網(wǎng)關(guān)。 4. VRRP的工作原理 VRRP 的工作機制是把幾個路由器組成一個虛擬路由器（ VRRP 組），提供統(tǒng)一的虛擬 IP 地址以及虛擬 MAC地址在組成的虛擬路由器的設(shè)備中，通過由優(yōu)先級等方式選舉 出主防火墻，只有主防火墻才會接收并轉(zhuǎn)發(fā)以虛擬 IP 地址為下一跳的報文，備用設(shè)備則處于監(jiān)控狀態(tài)，用于保證有且只有一個設(shè)備處于主用并轉(zhuǎn)發(fā)用戶報文用戶配置以虛擬地址為下一跳，這樣在 VRRP 組中只要有一個設(shè)備的 VRRP 狀態(tài)為主用，就可以保持鏈接不中斷。 3. 在 VRRP中的成員應(yīng)注意的幾種狀態(tài) VRRP 成員狀態(tài)一般有三種： Initialize(初始化狀態(tài) )，表示配置了 VRRP 的相應(yīng)接口沒有 UP； Master(主狀態(tài) )，表示該成員工作在轉(zhuǎn)發(fā)報文 的狀態(tài)，處于該狀態(tài)下的VRRP 成員具有虛擬 IP 地址以及相應(yīng)虛擬 MAC 地址，并轉(zhuǎn)發(fā)以虛擬 IP 地址為下一跳的 IP 報文，并定時發(fā)送通告報文，通知 Slave狀態(tài)的設(shè)備保持偵聽； Slave(從狀態(tài) )表示該成員工作在偵聽狀態(tài)，處于該狀態(tài)下的成員偵聽主設(shè)備的通告報文，如果華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。VRRP 組根據(jù)成員優(yōu)先級的高低來確定備份組成員的主從狀態(tài)。虛擬 MAC 地址為： 00005e0001XX，XX 為 16 進制的 VRRP 的 ID 號。該虛擬 IP 地址可以是接口地址，也可以是同一個 VRRP 組中接口的同網(wǎng)段的 IP 地址。 ? VRRP ID，是用來標(biāo)識路由器屬于哪 個 VRRP 組的 ID，在同一個以太網(wǎng)廣播域具備相同的 VRRP ID 的設(shè)備屬于同一個 VRRP 組，用戶應(yīng)該保證屬于同一VRRP 的設(shè)備其虛擬 IP 地址的設(shè)置（注：同一 VRRP 的虛擬 IP 地址可以是一個或多個，但是必須保證 VRRP組內(nèi)成員虛擬 IP 的設(shè)置一致）相同。 Eudemon 防火墻雙機熱備概述 15 VRRP協(xié)議 1. 什么是 VRRP VRRP（ Virtual Router Redundancy Protocol）作為一種容錯協(xié)議，適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等），通過一組路由設(shè)備共用一個虛擬的 IP 來達到提供一個虛擬網(wǎng)關(guān)的目 的 。 首先我們對這三個協(xié)議在雙機熱備中起的作用，以及如何工作，進行簡要描述。 ? 進行雙機熱備的兩臺防火墻中的配置文件最好為初始配置或保證兩臺設(shè)備配置相同，以免由于先前的配置而導(dǎo)致業(yè)務(wù)問題。 雙機熱備的注意點 ? 對于雙機熱備目前只支持兩臺設(shè)置進行備份，不支持多臺設(shè)備進行備份。 Eudemon 防火墻雙機熱備概述 14 圖 15 雙機熱備實現(xiàn)組網(wǎng)圖 實現(xiàn)雙機熱備的基本步驟： (1) 在接口上配置 VRRP（虛擬路由器冗余協(xié)議）備份組，來發(fā)現(xiàn)防火墻的故障情況； (2) 將 VRRP 備份組加入到 VGMP（ VRRP組管理協(xié)議）中，以實現(xiàn)對 VRRP管理組的統(tǒng)一管理； (3) 使能 HRP（華為冗余協(xié)議），實現(xiàn)雙機情況下的信息備份。 什么是雙機熱備 雙機熱備 ， 所謂雙機熱備其實是雙機狀態(tài)備份，當(dāng)兩臺防火墻，在確定主從防火墻后，由主防火墻進行業(yè)務(wù)的轉(zhuǎn)發(fā)，而從防火墻處于監(jiān)控狀態(tài)，同時主防 火墻會定時向從防火墻發(fā)送狀態(tài)信息和需要備份的信息，當(dāng)主防火墻出現(xiàn)故障后，從防火墻會及時接替主防火墻上的業(yè)務(wù)運行。其實對于路由器當(dāng)配置 NAT 后也會存在同樣的問題，因為在進行 NAT后會形成一個 NAT 轉(zhuǎn)換后的表項。而由于 Eudemon 是狀態(tài)防火墻，只會對業(yè)務(wù)中首包進行檢查，如果首包允許通過會建立一條五元組的會話連接，只有命中該會話表項的后續(xù)報文（ 包括返回報文）才能夠通過 Eudemon 防火墻，如果鏈路切換后，后續(xù)報文找不到正確的表項，會導(dǎo)服務(wù)器PC內(nèi)部網(wǎng)絡(luò)Rou t e r A1 0 . 1 0 0 . 1 0 . 21 0 . 1 0 0 . 1 0 . 0 / 2 4Ma ste rRou t e r BBa ck u p1 0 . 1 0 0 . 1 0 . 3Rou t e r C1 0 . 1 0 0 . 1 0 . 4Ba ck u pI nt er 備份組Vi r t u a l I P Ad d r e ss1 0 . 1 1 0 . 1 0 . 1華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。如上圖所示，內(nèi)部網(wǎng)絡(luò)設(shè)備只需將網(wǎng)關(guān)執(zhí)行虛擬 IP，而不需要指向固定的接口，依靠 VRRP協(xié)議進行鏈路切換。這種保護的機制是： VRRP將局域網(wǎng)的一組路由器組織成一個虛擬路由器，稱之為一個備份組。因此推出了另一種保護機制 VRRP（虛擬路由冗余協(xié)議）來進行。但這種路由協(xié)議來進行切換保護的方式存在一定的局限性，當(dāng)不能使用動態(tài)路由協(xié)議時，仍然會導(dǎo)致鏈路中斷的問題。 圖 12 采用多條鏈路的鏈路保護機制 In te rn e t服務(wù)器PC內(nèi)部網(wǎng)絡(luò)R o u te rA1 0 .1 0 0 .1 0 .11 0 .1 0 0 .1 0 .0 /2 4服 務(wù) 器P C內(nèi) 部 網(wǎng) 絡(luò)R o u t e r A1 0 . 1 0 0 . 1 0 . 21 0 . 1 0 0 . 1 0 . 0 / 2 4R o u t e r 1R o u t e r BR o u t e r 21 0 . 1 0 0 . 1 0 . 3R o u t e r C1 0 . 1 0 0 . 1 0 . 4R o u t e r 3I n t e r n e t服 務(wù) 器內(nèi) 部 網(wǎng) 絡(luò)華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 傳統(tǒng)維護鏈路穩(wěn)定性的方法 圖 11 傳統(tǒng)鏈路組網(wǎng)方式 傳統(tǒng)的組網(wǎng)方式下當(dāng)鏈路中斷后，就會導(dǎo)致業(yè)務(wù)中斷，也就是我們俗稱的單點故障 ，如上圖所示，當(dāng)路由器出現(xiàn)單點故障后，整個鏈路就會中斷，這樣對于重要的業(yè)務(wù)點如：電信，銀行等部門就會帶來巨大的影響和損失。在這種業(yè)務(wù)點上如果只使用一臺設(shè)備的話，無論其可靠性多高，系統(tǒng)都必然要承受因單點故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險。 Eudemon 防火墻雙機熱備概述 11 第 1章 Eudemon 防火墻雙機熱備概述 在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對網(wǎng)絡(luò)可靠性的要求越來越高，特別是在一些重點的業(yè)務(wù)入口或接入點上 需要保證網(wǎng)絡(luò)的不間斷運行。除非另有約定，