双机热备的工作原理
1、 双机热备概述
a) 双机热备是通过部署两台或多台防火墙实现热备及负载均衡
b) 双机热备功能是通过提供一条心跳线,协商防火墙之间的主备状态及备份会话表和server-map表
c) 备用设备实时从主用设备下载当前的会话表及server-map表
d) 要求:
- 心跳线的接口加入相同的安全区域
- 心跳线接口的设备编号必须一致
e) 两种模式:
- 热备模式:一台转发数据,其他不转发,但会同步会话表及server-map表
- 负载均衡模式:多台防火墙同时转发数据,相互为备用设备
2、 VRRP
a) 概述
- VRRP:虚拟路由冗余协议
- VRRP技术可以解决网关自动切换的问题
- 概念:
- VRRP路由器:运行VRRP协议的路由器
- 虚拟路由器:一个主路由器和若干备用路由器组成备份组,对客户提供一个虚拟网关
- VRID:虚拟路由器标识
- 虚拟IP地址:客户网关ip,主用设备提供该IP地址的ARP响应
- 虚拟Mac地址
- IP地址拥有者,虚拟ip为某个设备端口ip
- 优先级:选举主用设备
- 抢占模式:
- 非抢占模式
- VRRP和HSRP对比
- VRRP公有协议,HSRP是cisco私有
- VRRP虚拟ip可以是接口ip,HSRP不可以
- VRRP的虚拟MAC地址前缀为:00-00-5e-00-01-VRIP
HSRP的虚拟Mac地址前缀为:00-00-0c-07-ac-组号
4.VRRP有三个状态,HSRP有五个状态
5.VRRP只有一种报文,HSRP有三种报文
6.VRRP不支持端口追踪,HSRP支持
b) VRRP角色
- Master 路由器:主
- Backup路由器:备
c) VRRP状态机
- Initialize状态:初始状态
- Master状态:主用路由器
- Backup状态:备用路由器
先经历backup状态,再到master状态
d) VRRP的工作原理
- 选举:优先级(高)——接口IP(数值大)
- 默认优先级为100,IP地址拥有者255
- 主周期性(每1秒)向备发送VRRP通告
- 抢占:优先级大的随时成为主
非抢占:下次公平选举
3、 VGMP
a) 让防火墙上行和下行都具备网关冗余特性
b) VGMP:VRRP组管理协议,实现对VRRP备份组的统一管理
c) 工作原理:
- VGMP组的状态决定了VRRP备份组的状态
- VGMP组的状态通过对比优先级决定
优先级高:VGMP组状态为active
优先级低:VGMP组状态为standby
3. 默认,VGMP组优先级为45000
4. VGMP组根据组内VRRP备份组状态决定,
一旦检测到备份组状态变为initialize,VGRP组优先级自动减2
5. VGMP通过心跳线协商VGMP
d) VGMP的报文封装
- 心跳线直连或通过二层交换机互联:发送组播报文,报文不携带UDP头部信息
- 心跳线通过三层路由器互联:发送单播报文,携带UDP头部信息
- [USG6000V1] hrp int g1/0/0 //发送组播报文
- [USG6000V1] hrp int g1/0/0 remote 1.1.1.1 //发送单播报文
Remote:表示封装UDP报文,
1.1.1.1:心跳线对端设备的ip地址
e) 双机热备的备份方式:
- 自动备份:默认开启,自动备份命令和状态
- 手工批量备份:手动备份命令和状态
- 快速备份:不同步配置命令,只同步状态信息
- [USG6000V1] hrp enable //开启双机热备
- HRP_S[USG6000V1] hrp auto-sync //配置自动备份模式
- HRP_S<USG6000V1> hrp auto-sync [ config | connection-status ] //配置手工配置模式,用户模式下执行
- Config:手工同步命令配置
- Connection-status:手工同步状态信息
- HRP_S[USG6000V1] hrp mirror session enable //配置快速备份模式