【正文】 以下三種協(xié)議： ? 采用 VRRP（ Virtual Router Redundancy Protocol 虛擬路由器冗余協(xié)議）來(lái)發(fā)現(xiàn)防火墻的故障情況； ? 采用 VGMP（ VRRP Group Management Protocol VRRP 組管理協(xié)議）對(duì)VRRP 備份組進(jìn)行管理； ? 采用 HRP（ Huawei Redundancy Protocol 華為公司冗余協(xié)議）來(lái)進(jìn)行防火墻的動(dòng)態(tài)狀態(tài)數(shù)據(jù)的實(shí)時(shí)備份。 華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。 2. VRRP如何起作用 在 VRRP 中有這個(gè)幾個(gè)概念需要注意： ? VRRP組 : 是指配置了相同 VRRP ID 具備相同虛擬地址工作在同一個(gè)以太網(wǎng)廣播域（注：由于 Vlan 技術(shù)能夠隔離以太網(wǎng)的廣播域，因此屬于同一個(gè) VRRP組的設(shè)備應(yīng)該屬于同一個(gè) Vlan，而不僅僅是物理上連接到同一個(gè)以太網(wǎng)）的一組路由器，由兩個(gè)或兩個(gè)以上的路由設(shè)備組成， VRRP組中有且僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)（ Master）并承擔(dān)報(bào)文轉(zhuǎn)發(fā)任務(wù)，其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備。 ? 虛擬 IP 地址：配置 VRRP 備份組的時(shí)候需要指定其虛擬地址，是 VRRP 組成員共用的 IP 地址用于給網(wǎng)絡(luò)中的主機(jī) /路由器指定下一跳。 ? 虛擬 MAC 地址：是 VRRP根據(jù) VRRP ID 生成的 MAC 地址，同一個(gè) VRRP組其生成的虛擬 MAC 地址必定相同。 ? VRRP 組成員優(yōu)先級(jí)，每個(gè) VRRP 組成員都具備一個(gè)成員優(yōu)先級(jí)，從 1 到 255。由備份組中優(yōu)先級(jí)最高的成員將成為 Master。 Eudemon 防火墻雙機(jī)熱備概述 16 在連續(xù)幾個(gè)通告報(bào)文的時(shí)間內(nèi)都沒(méi)有收到通告報(bào)文則把自己變成主設(shè)備并轉(zhuǎn)發(fā)報(bào)文 。 5. VRRP的狀態(tài)切換原理 VRRP 中成員有兩個(gè)狀態(tài) Master 和 Slave，處于 Master 狀態(tài)的設(shè)備會(huì)定時(shí)發(fā)送組播通告報(bào)文，狀態(tài)為 Slave的設(shè)備處于監(jiān)測(cè)狀態(tài)，其收到 Master 的通告報(bào)文后會(huì)更新其監(jiān)測(cè)定時(shí)器；如果狀態(tài)為 Slave 的設(shè)備在三個(gè)通告周期內(nèi)都沒(méi)有收到 Master的通告報(bào)文則把自己變成 Master 并發(fā)送通告報(bào)文，并發(fā)送一個(gè)免費(fèi) ARP報(bào)文用于更新三層交換機(jī)的 ARP 表；如果狀態(tài)為 Master 的設(shè)備收到了另一個(gè) Master 的通告報(bào)文，表明發(fā)生了搶占此時(shí)取報(bào)文的優(yōu)先級(jí)和自己的優(yōu)先級(jí)比較，決定是否變成Slave 設(shè)備，如果 VRRP 配置為搶占方式，它收到報(bào)文時(shí)會(huì)比較報(bào)文的優(yōu)先級(jí)和自己的優(yōu)先級(jí)，一旦發(fā)現(xiàn)自己的優(yōu)先級(jí)比當(dāng)前的報(bào)文中 VRRP 的優(yōu)先級(jí)高，則不會(huì)更新監(jiān)測(cè)定時(shí)器，這樣超時(shí)后便會(huì)發(fā)送通告報(bào)文搶占成為 Master； 6. VRRP應(yīng)用舉例 圖 16 VRRP協(xié)議的 應(yīng)用 服務(wù)器PC內(nèi)部網(wǎng)絡(luò)R out erA10. 100. 10. 210. 100. 10. 0/ 24R out erBB ac k up10. 100. 10. 3R out erC10. 100. 10. 4I nt ern et備份組V irt ual I P A ddr es s10. 110. 10. 1服務(wù)器內(nèi)部網(wǎng)絡(luò)Ma ste rB ac k up備份組華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。開(kāi)始的時(shí)候RouteA是該 VRRP 組的主設(shè)備，該設(shè)備擁有虛擬 IP 地址轉(zhuǎn)發(fā) IP 報(bào)文并定時(shí)（通常是一秒）發(fā)送 VRRP 通告報(bào)文， RouteB 和 RouteC 是從設(shè)備并偵聽(tīng) RouteA的通告報(bào)文。 7. VRRP應(yīng)用的局限性 每個(gè)備份組的 VRRP 是單獨(dú)工作的，并且每個(gè) VRRP 狀態(tài)相對(duì)獨(dú)立，因此無(wú)法保證同一防火墻上各接口的 VRRP狀態(tài)都為主用或都為備用 ，也就是說(shuō)在一臺(tái)設(shè)備上的兩個(gè)接口下的 VRRP 可能出現(xiàn)不同步的情況，即主備狀態(tài)交互，從而導(dǎo)致業(yè)務(wù)中斷。 8. VRRP的配置命令 ? 配置備份組的虛擬 IP 地址 vrrp vrid 1255 virtualip 說(shuō)明： ip 同網(wǎng)段 或者為接口地址 ? 配置備份組的優(yōu)先級(jí) vrrp vrid 1255 priority 1254 說(shuō)明：如果虛擬 IP 地址為接口的 IP 地址時(shí)，默認(rèn)優(yōu)先級(jí)為 255 ? 配置備份組的搶占方式和延遲時(shí)間 vrrp vrid 1255 preemptmode [ timer delay 0255] 說(shuō)明：該命令是 VRRP 的搶占命令，當(dāng)配置延遲時(shí)間時(shí)，是為了避免出現(xiàn)誤操作，而導(dǎo)致的頻繁狀態(tài)切換，即當(dāng)在延遲時(shí)間內(nèi)糾正誤操作如誤拔掉接口網(wǎng)線等，不會(huì)出現(xiàn)狀態(tài)的切換。 華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。 ? 配置監(jiān)視指定接口 vrrp vrid 1255 track ether [reduced 1255] 說(shuō)明：接口監(jiān)視命令，其目的是同一臺(tái)設(shè)備上的各個(gè) VRRP 組能夠統(tǒng)一 變化狀態(tài)。 VGMP協(xié)議 1. 采用 VGMP的作用 由于 VRRP存在，工作和狀態(tài)都獨(dú)立的情況，為了更好的避免不能使 同一防火墻上各接口的 VRRP 狀態(tài)都為主用或都為備用 的情況，開(kāi)發(fā)了對(duì) VRRP 備份組進(jìn)行統(tǒng)一管理的協(xié)議 —— VGMP協(xié)議。以防止可能導(dǎo)致的 VRRP狀態(tài)不一致現(xiàn) 象的發(fā)生。 注意： VGMP不支持 VRRP備份組虛擬 IP 為接口 IP 的管理。 ? 搶占管理 無(wú)論各 VRRP備份組內(nèi) Eudemon 防火墻設(shè)備是否使能了搶占功能，搶占行為發(fā)生與否必須由 VRRP 管理組統(tǒng)一決定。 華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。在 VRRP 管理組的模式下， VRRP 管理組成員的狀態(tài)保持一致，其狀態(tài)遷移需要通知其所屬的 VRRP管理組，并受 VRRP 管理組狀態(tài)控制。 VGMP 由 master 狀態(tài) —— slave狀態(tài)的過(guò)程： 管理組狀態(tài)為 Master，當(dāng)進(jìn)行狀態(tài)切換時(shí)遍歷組內(nèi)所有的 VRRP 如果有狀態(tài)為Master 的則將其狀態(tài)轉(zhuǎn)換為 Slave。 5. VGMP應(yīng)用舉例 圖 17 VGMP協(xié)議的應(yīng)用 在該組網(wǎng)中， EudemonA中有三個(gè)接口，并且每個(gè)接口上配置一條 VRRP 備份組，并將這三條 VRRP 備份組加入一個(gè) VRRP 管理組 1 中，當(dāng) EudemonA 發(fā)生故障或接口出現(xiàn)故障時(shí)， VRRP會(huì)向 VGMP 發(fā)送狀態(tài)切換消息，當(dāng) VRRP 管理組 1 確認(rèn)后，遍歷組內(nèi)所有 VRRP 成員將狀態(tài)由 master 轉(zhuǎn)變?yōu)?slave，同時(shí)通知 EudemonB進(jìn)行狀態(tài)切換。 Eudemon 防火墻雙機(jī)熱備概述 110 6. VGMP的注意事項(xiàng)（參考上圖） ? 兩個(gè)防火墻上的接口和安全區(qū)域的連接必須嚴(yán)格一一對(duì)應(yīng)，包括接口插槽、類型、編號(hào)、相關(guān)配置等（ IP 地址除外 ）。這就是說(shuō) EudemonA 上的A1 接口隸屬備份組 1， A2 接口隸屬備份組 2， A3 接口隸屬備份組 3；則EudemonB 上的 B B2 和 B3 接口也必須分別隸屬備份組 2和 3。這就是說(shuō) EudemonA 上的管理組包括備份組 2和 3，則 EudemonB 上的同樣編號(hào)的管理組也必須包含備份組 2 和 3。一個(gè)備份組中能包含多個(gè)物理接口，對(duì)應(yīng)多個(gè)虛擬 IP 地址。 ? VGMP 優(yōu)先級(jí)的遞減算法： VGMP的優(yōu)先級(jí)－ VGMP 的優(yōu)先級(jí) /16；當(dāng)配置有VRRP 成員的接口，出現(xiàn)故障時(shí)， VGMP的優(yōu)先級(jí)按照上述算法進(jìn)行遞減，故此 VGMP 的優(yōu)先級(jí)不可設(shè)置過(guò)高，以免在正常情況下，主防火墻的 VGMP的優(yōu)先級(jí)遞減后仍然比從防火墻的優(yōu)先級(jí)高，而不會(huì)發(fā)生搶占，從而導(dǎo)致業(yè)務(wù)中斷。 ? 使能 VRRP 管理組功能 vrrp enable 說(shuō)明：只有使能了 VRRP 管理組后， VRRP 管理組才能起作用。當(dāng)配置 transferonly 參數(shù)則表明該數(shù)據(jù)通道的狀態(tài)將不會(huì)影響VRRP 管理組的狀態(tài) 。 Eudemon 防火墻雙機(jī)熱備概述 111 說(shuō)明： plus 參數(shù)的功能是為了增加 VRRP 的優(yōu)先級(jí)， usingvrrppriority 參數(shù)的作用是 VRRP 管理組的優(yōu)先級(jí)使用 VRRP 的優(yōu)先級(jí)，如果有多個(gè) VRRP 備份組時(shí)，采用除含有 transferonly屬性的接口下的 VRRP的優(yōu)先級(jí)外的所有 VRRP優(yōu)先級(jí)的和除以所有 VRRP 的個(gè)數(shù)，即是 VGMP 的優(yōu)先級(jí)。 Delay 參數(shù)主要是說(shuō)明延遲搶占的秒數(shù)。 ? 配置 VRRP 管理組 hello報(bào)文發(fā)送間隔 vrrp timer hello 20060000 說(shuō)明：發(fā)送 VRRP 管理組的 hello間隔的時(shí)間，單位為毫秒。 ? 觸發(fā)接口進(jìn)行 updown操作 triggerdown interface Ether 說(shuō)明：該命令的作用主要是避免上下行的設(shè)備 arp 表項(xiàng)出錯(cuò)，而設(shè)置的命令。 HRP協(xié)議 1. 什么是 HRP HRP協(xié)議是承載在 VGMP 報(bào) 文上進(jìn)行傳輸?shù)?，?Master 和 Backup防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息 。 Eudemon 防火墻雙機(jī)熱備概述 112 圖 18 HRP協(xié)議應(yīng)用 該圖為雙機(jī)熱備的基本組網(wǎng)圖，前面也說(shuō)到了 Eudemon 防火墻是狀態(tài)防火墻，對(duì)于每一個(gè)動(dòng)態(tài)生成的會(huì)話連接， Eudemon防火墻上都有一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng)。如果狀態(tài)切換前，會(huì)話表項(xiàng)和配置命令沒(méi) 有備份到 EudemonB，則先前經(jīng)過(guò) EudemonA 的所有會(huì)話都會(huì)因?yàn)闊o(wú)法命中 EudemonB 的會(huì)話表而斷鏈，導(dǎo)致業(yè)務(wù)中斷，從而影響業(yè)務(wù)正常進(jìn)行。為了實(shí)現(xiàn) Master 防火墻出現(xiàn)故障時(shí)能由 Backup防火墻平滑地接替工作，需要在 Master 和 Backup 防火墻設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息 ，這就是產(chǎn)生 HRP協(xié)議的重要性 3. HRP的備份分類 自動(dòng)實(shí)時(shí)備份：當(dāng)配置主設(shè)備輸入雙機(jī)備份的配置命令和形成的動(dòng)態(tài)備份信息時(shí)，系統(tǒng)自動(dòng)將該命令和動(dòng)態(tài)備份信息消息備份到配置從設(shè) 備。 手動(dòng)批量同步：配置主設(shè)備上可以輸入配置同步命令，將配置主設(shè)備上的需要雙機(jī)備份的配置命令和動(dòng)態(tài)備份信息發(fā)送到配置從設(shè)備。 HRP 為什么會(huì)分為配置主從設(shè)備呢？原因在于我們說(shuō)的雙機(jī)熱備實(shí)現(xiàn)的是主設(shè)備向從設(shè)備進(jìn)行備份的處理過(guò)程，不是雙向進(jìn)行互備的過(guò)程，因此需要確定設(shè)備配置的主從關(guān)系，實(shí)現(xiàn)主設(shè)備向從設(shè)備進(jìn)行動(dòng)態(tài)信息和命令行的備份。在負(fù)載分擔(dān)模式下每一臺(tái)設(shè)備上會(huì)配置兩個(gè)VRRP 管理組 2，并且這兩個(gè)管理組 1 為主， 2 為備，而對(duì)應(yīng)的另一臺(tái)設(shè)備的兩個(gè) VRRP 管理組 2，則互為備主關(guān)系， 1 為備， 2 為主， 網(wǎng)絡(luò)中存在兩臺(tái) MasterEu d e mo n AMa ste rEu d e mo n BBa ck u pTr us t 區(qū)域DM Z 區(qū)域Unt r us t 區(qū) 域PCPC( 1 ) ( 2 )( 3 )( 4 )( 7 )會(huì)話表項(xiàng)Ser v er( 5 )( 6 )( 8 )華為產(chǎn)品維護(hù)資料 Eudemon 系列 防火墻 維護(hù)手冊(cè)之四 雙機(jī)熱備組網(wǎng) 錯(cuò)誤 !未找到引用源。為了避免備份時(shí)混亂， Eudemon防火墻中引入了配置主設(shè)備、配置從設(shè)備概念 。 ? 除以上可以備份的命令外，其他命令都不能備份，如路由命令（靜態(tài)和動(dòng)態(tài)） 。即啟動(dòng) HRP雙機(jī)熱備份功能后，同一 VRRP備份組中僅允許加入兩臺(tái) Eudemon 防火墻設(shè)備。 Eudemon 防火墻雙機(jī)熱備概述 114 說(shuō)明 ：只能在配置主設(shè)備上使用 hrp autosync命令，不能在配置從設(shè)備上使用 。采用手動(dòng)批量備份方式， undo和 reset命令將無(wú)法得到備份。 VRRP、 VGMP和 HRP的相互關(guān) 系 圖 19 雙機(jī)熱備各協(xié)議之間的關(guān)系圖 ? 當(dāng) VRRP 管理組狀態(tài)變化時(shí)，系統(tǒng)將通知 HRP狀態(tài)和配置主 /從設(shè)備的狀態(tài)發(fā)生相應(yīng)的變化，從而確保兩臺(tái)防火墻之間配置命令和會(huì)話狀態(tài)信息得到及時(shí)備份。 ? VRRP 管理組報(bào)文和 HRP模塊的報(bào)文，都是通過(guò)主 VRRP的接口進(jìn)行傳輸，當(dāng) VRRP 接口接到的報(bào)文為 VRRP 管理組報(bào)文時(shí)，就交與 VGMP模塊進(jìn)行處理；當(dāng)接到的報(bào)文 VGMP 的數(shù)據(jù)報(bào)文時(shí)，則通過(guò) VGMP 模塊與 HRP 模塊的接口轉(zhuǎn)到 HRP 模塊進(jìn)行處理。 VRR P 備份組VRR P 管理組VGM P 報(bào)文HRP 模塊HRP 報(bào)文Quidway Eudemon 系列 防火墻 維護(hù)手冊(cè) 雙機(jī)熱備組網(wǎng) 第 2 章 Eudemon 防火墻雙機(jī)熱備 組網(wǎng) 配置 基礎(chǔ)