【正文】 以下三種協(xié)議： ? 采用 VRRP（ Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議）來發(fā)現(xiàn)防火墻的故障情況； ? 采用 VGMP（ VRRP Group Management Protocol VRRP 組管理協(xié)議）對VRRP 備份組進行管理； ? 采用 HRP（ Huawei Redundancy Protocol 華為公司冗余協(xié)議）來進行防火墻的動態(tài)狀態(tài)數(shù)據(jù)的實時備份。 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 2. VRRP如何起作用 在 VRRP 中有這個幾個概念需要注意： ? VRRP組 : 是指配置了相同 VRRP ID 具備相同虛擬地址工作在同一個以太網(wǎng)廣播域（注：由于 Vlan 技術(shù)能夠隔離以太網(wǎng)的廣播域，因此屬于同一個 VRRP組的設(shè)備應(yīng)該屬于同一個 Vlan，而不僅僅是物理上連接到同一個以太網(wǎng)）的一組路由器，由兩個或兩個以上的路由設(shè)備組成， VRRP組中有且僅有一臺設(shè)備處于活動狀態(tài)（ Master）并承擔(dān)報文轉(zhuǎn)發(fā)任務(wù)，其余設(shè)備都處于備份狀態(tài)，并隨時按照優(yōu)先級高低做好接替任務(wù)的準備。 ? 虛擬 IP 地址：配置 VRRP 備份組的時候需要指定其虛擬地址，是 VRRP 組成員共用的 IP 地址用于給網(wǎng)絡(luò)中的主機 /路由器指定下一跳。 ? 虛擬 MAC 地址：是 VRRP根據(jù) VRRP ID 生成的 MAC 地址，同一個 VRRP組其生成的虛擬 MAC 地址必定相同。 ? VRRP 組成員優(yōu)先級，每個 VRRP 組成員都具備一個成員優(yōu)先級，從 1 到 255。由備份組中優(yōu)先級最高的成員將成為 Master。 Eudemon 防火墻雙機熱備概述 16 在連續(xù)幾個通告報文的時間內(nèi)都沒有收到通告報文則把自己變成主設(shè)備并轉(zhuǎn)發(fā)報文 。 5. VRRP的狀態(tài)切換原理 VRRP 中成員有兩個狀態(tài) Master 和 Slave，處于 Master 狀態(tài)的設(shè)備會定時發(fā)送組播通告報文，狀態(tài)為 Slave的設(shè)備處于監(jiān)測狀態(tài)，其收到 Master 的通告報文后會更新其監(jiān)測定時器；如果狀態(tài)為 Slave 的設(shè)備在三個通告周期內(nèi)都沒有收到 Master的通告報文則把自己變成 Master 并發(fā)送通告報文，并發(fā)送一個免費 ARP報文用于更新三層交換機的 ARP 表；如果狀態(tài)為 Master 的設(shè)備收到了另一個 Master 的通告報文，表明發(fā)生了搶占此時取報文的優(yōu)先級和自己的優(yōu)先級比較，決定是否變成Slave 設(shè)備，如果 VRRP 配置為搶占方式，它收到報文時會比較報文的優(yōu)先級和自己的優(yōu)先級，一旦發(fā)現(xiàn)自己的優(yōu)先級比當(dāng)前的報文中 VRRP 的優(yōu)先級高，則不會更新監(jiān)測定時器，這樣超時后便會發(fā)送通告報文搶占成為 Master； 6. VRRP應(yīng)用舉例 圖 16 VRRP協(xié)議的 應(yīng)用 服務(wù)器PC內(nèi)部網(wǎng)絡(luò)R out erA10. 100. 10. 210. 100. 10. 0/ 24R out erBB ac k up10. 100. 10. 3R out erC10. 100. 10. 4I nt ern et備份組V irt ual I P A ddr es s10. 110. 10. 1服務(wù)器內(nèi)部網(wǎng)絡(luò)Ma ste rB ac k up備份組華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。開始的時候RouteA是該 VRRP 組的主設(shè)備，該設(shè)備擁有虛擬 IP 地址轉(zhuǎn)發(fā) IP 報文并定時（通常是一秒）發(fā)送 VRRP 通告報文， RouteB 和 RouteC 是從設(shè)備并偵聽 RouteA的通告報文。 7. VRRP應(yīng)用的局限性 每個備份組的 VRRP 是單獨工作的，并且每個 VRRP 狀態(tài)相對獨立，因此無法保證同一防火墻上各接口的 VRRP狀態(tài)都為主用或都為備用 ，也就是說在一臺設(shè)備上的兩個接口下的 VRRP 可能出現(xiàn)不同步的情況，即主備狀態(tài)交互，從而導(dǎo)致業(yè)務(wù)中斷。 8. VRRP的配置命令 ? 配置備份組的虛擬 IP 地址 vrrp vrid 1255 virtualip 說明： ip 同網(wǎng)段 或者為接口地址 ? 配置備份組的優(yōu)先級 vrrp vrid 1255 priority 1254 說明：如果虛擬 IP 地址為接口的 IP 地址時，默認優(yōu)先級為 255 ? 配置備份組的搶占方式和延遲時間 vrrp vrid 1255 preemptmode [ timer delay 0255] 說明：該命令是 VRRP 的搶占命令，當(dāng)配置延遲時間時，是為了避免出現(xiàn)誤操作，而導(dǎo)致的頻繁狀態(tài)切換，即當(dāng)在延遲時間內(nèi)糾正誤操作如誤拔掉接口網(wǎng)線等，不會出現(xiàn)狀態(tài)的切換。 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。 ? 配置監(jiān)視指定接口 vrrp vrid 1255 track ether [reduced 1255] 說明：接口監(jiān)視命令，其目的是同一臺設(shè)備上的各個 VRRP 組能夠統(tǒng)一 變化狀態(tài)。 VGMP協(xié)議 1. 采用 VGMP的作用 由于 VRRP存在，工作和狀態(tài)都獨立的情況，為了更好的避免不能使 同一防火墻上各接口的 VRRP 狀態(tài)都為主用或都為備用 的情況，開發(fā)了對 VRRP 備份組進行統(tǒng)一管理的協(xié)議 —— VGMP協(xié)議。以防止可能導(dǎo)致的 VRRP狀態(tài)不一致現(xiàn) 象的發(fā)生。 注意： VGMP不支持 VRRP備份組虛擬 IP 為接口 IP 的管理。 ? 搶占管理 無論各 VRRP備份組內(nèi) Eudemon 防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由 VRRP 管理組統(tǒng)一決定。 華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。在 VRRP 管理組的模式下， VRRP 管理組成員的狀態(tài)保持一致，其狀態(tài)遷移需要通知其所屬的 VRRP管理組，并受 VRRP 管理組狀態(tài)控制。 VGMP 由 master 狀態(tài) —— slave狀態(tài)的過程： 管理組狀態(tài)為 Master，當(dāng)進行狀態(tài)切換時遍歷組內(nèi)所有的 VRRP 如果有狀態(tài)為Master 的則將其狀態(tài)轉(zhuǎn)換為 Slave。 5. VGMP應(yīng)用舉例 圖 17 VGMP協(xié)議的應(yīng)用 在該組網(wǎng)中， EudemonA中有三個接口，并且每個接口上配置一條 VRRP 備份組，并將這三條 VRRP 備份組加入一個 VRRP 管理組 1 中，當(dāng) EudemonA 發(fā)生故障或接口出現(xiàn)故障時， VRRP會向 VGMP 發(fā)送狀態(tài)切換消息，當(dāng) VRRP 管理組 1 確認后，遍歷組內(nèi)所有 VRRP 成員將狀態(tài)由 master 轉(zhuǎn)變?yōu)?slave，同時通知 EudemonB進行狀態(tài)切換。 Eudemon 防火墻雙機熱備概述 110 6. VGMP的注意事項（參考上圖） ? 兩個防火墻上的接口和安全區(qū)域的連接必須嚴格一一對應(yīng)，包括接口插槽、類型、編號、相關(guān)配置等（ IP 地址除外 ）。這就是說 EudemonA 上的A1 接口隸屬備份組 1， A2 接口隸屬備份組 2， A3 接口隸屬備份組 3；則EudemonB 上的 B B2 和 B3 接口也必須分別隸屬備份組 2和 3。這就是說 EudemonA 上的管理組包括備份組 2和 3，則 EudemonB 上的同樣編號的管理組也必須包含備份組 2 和 3。一個備份組中能包含多個物理接口，對應(yīng)多個虛擬 IP 地址。 ? VGMP 優(yōu)先級的遞減算法： VGMP的優(yōu)先級－ VGMP 的優(yōu)先級 /16；當(dāng)配置有VRRP 成員的接口，出現(xiàn)故障時， VGMP的優(yōu)先級按照上述算法進行遞減，故此 VGMP 的優(yōu)先級不可設(shè)置過高，以免在正常情況下，主防火墻的 VGMP的優(yōu)先級遞減后仍然比從防火墻的優(yōu)先級高，而不會發(fā)生搶占，從而導(dǎo)致業(yè)務(wù)中斷。 ? 使能 VRRP 管理組功能 vrrp enable 說明：只有使能了 VRRP 管理組后， VRRP 管理組才能起作用。當(dāng)配置 transferonly 參數(shù)則表明該數(shù)據(jù)通道的狀態(tài)將不會影響VRRP 管理組的狀態(tài) 。 Eudemon 防火墻雙機熱備概述 111 說明： plus 參數(shù)的功能是為了增加 VRRP 的優(yōu)先級， usingvrrppriority 參數(shù)的作用是 VRRP 管理組的優(yōu)先級使用 VRRP 的優(yōu)先級，如果有多個 VRRP 備份組時，采用除含有 transferonly屬性的接口下的 VRRP的優(yōu)先級外的所有 VRRP優(yōu)先級的和除以所有 VRRP 的個數(shù)，即是 VGMP 的優(yōu)先級。 Delay 參數(shù)主要是說明延遲搶占的秒數(shù)。 ? 配置 VRRP 管理組 hello報文發(fā)送間隔 vrrp timer hello 20060000 說明：發(fā)送 VRRP 管理組的 hello間隔的時間，單位為毫秒。 ? 觸發(fā)接口進行 updown操作 triggerdown interface Ether 說明：該命令的作用主要是避免上下行的設(shè)備 arp 表項出錯，而設(shè)置的命令。 HRP協(xié)議 1. 什么是 HRP HRP協(xié)議是承載在 VGMP 報 文上進行傳輸?shù)?，?Master 和 Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息 。 Eudemon 防火墻雙機熱備概述 112 圖 18 HRP協(xié)議應(yīng)用 該圖為雙機熱備的基本組網(wǎng)圖，前面也說到了 Eudemon 防火墻是狀態(tài)防火墻，對于每一個動態(tài)生成的會話連接， Eudemon防火墻上都有一個會話表項與之對應(yīng)。如果狀態(tài)切換前，會話表項和配置命令沒 有備份到 EudemonB，則先前經(jīng)過 EudemonA 的所有會話都會因為無法命中 EudemonB 的會話表而斷鏈，導(dǎo)致業(yè)務(wù)中斷，從而影響業(yè)務(wù)正常進行。為了實現(xiàn) Master 防火墻出現(xiàn)故障時能由 Backup防火墻平滑地接替工作，需要在 Master 和 Backup 防火墻設(shè)備之間備份關(guān)鍵配置命令和會話表狀態(tài)信息 ，這就是產(chǎn)生 HRP協(xié)議的重要性 3. HRP的備份分類 自動實時備份：當(dāng)配置主設(shè)備輸入雙機備份的配置命令和形成的動態(tài)備份信息時，系統(tǒng)自動將該命令和動態(tài)備份信息消息備份到配置從設(shè) 備。 手動批量同步：配置主設(shè)備上可以輸入配置同步命令，將配置主設(shè)備上的需要雙機備份的配置命令和動態(tài)備份信息發(fā)送到配置從設(shè)備。 HRP 為什么會分為配置主從設(shè)備呢？原因在于我們說的雙機熱備實現(xiàn)的是主設(shè)備向從設(shè)備進行備份的處理過程，不是雙向進行互備的過程，因此需要確定設(shè)備配置的主從關(guān)系，實現(xiàn)主設(shè)備向從設(shè)備進行動態(tài)信息和命令行的備份。在負載分擔(dān)模式下每一臺設(shè)備上會配置兩個VRRP 管理組 2，并且這兩個管理組 1 為主， 2 為備，而對應(yīng)的另一臺設(shè)備的兩個 VRRP 管理組 2，則互為備主關(guān)系， 1 為備， 2 為主， 網(wǎng)絡(luò)中存在兩臺 MasterEu d e mo n AMa ste rEu d e mo n BBa ck u pTr us t 區(qū)域DM Z 區(qū)域Unt r us t 區(qū) 域PCPC( 1 ) ( 2 )( 3 )( 4 )( 7 )會話表項Ser v er( 5 )( 6 )( 8 )華為產(chǎn)品維護資料 Eudemon 系列 防火墻 維護手冊之四 雙機熱備組網(wǎng) 錯誤 !未找到引用源。為了避免備份時混亂， Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念 。 ? 除以上可以備份的命令外，其他命令都不能備份，如路由命令（靜態(tài)和動態(tài)） 。即啟動 HRP雙機熱備份功能后，同一 VRRP備份組中僅允許加入兩臺 Eudemon 防火墻設(shè)備。 Eudemon 防火墻雙機熱備概述 114 說明 ：只能在配置主設(shè)備上使用 hrp autosync命令，不能在配置從設(shè)備上使用 。采用手動批量備份方式， undo和 reset命令將無法得到備份。 VRRP、 VGMP和 HRP的相互關(guān) 系 圖 19 雙機熱備各協(xié)議之間的關(guān)系圖 ? 當(dāng) VRRP 管理組狀態(tài)變化時，系統(tǒng)將通知 HRP狀態(tài)和配置主 /從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺防火墻之間配置命令和會話狀態(tài)信息得到及時備份。 ? VRRP 管理組報文和 HRP模塊的報文，都是通過主 VRRP的接口進行傳輸，當(dāng) VRRP 接口接到的報文為 VRRP 管理組報文時，就交與 VGMP模塊進行處理；當(dāng)接到的報文 VGMP 的數(shù)據(jù)報文時，則通過 VGMP 模塊與 HRP 模塊的接口轉(zhuǎn)到 HRP 模塊進行處理。 VRR P 備份組VRR P 管理組VGM P 報文HRP 模塊HRP 報文Quidway Eudemon 系列 防火墻 維護手冊 雙機熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機熱備 組網(wǎng) 配置 基礎(chǔ)