您好,登錄后才能下訂單哦!
傳統組網中,只有一臺防火墻部署在出口,當防火墻出現故障后,內部網絡中所有以防火墻作為默認網關的主機與外部網絡之間的通訊中斷,通訊可靠性無法保證。
雙機熱備份技術的出現改變了可靠性難以保證的尷尬狀態,通過在網絡出口位置部署兩臺或多臺網關設備,保證了內部網絡于外部網絡之間的通訊暢通。
USG防火墻作為安全設備,一般會部署在需要保護的網絡和不受保護的網絡之間,即位于業務接口點上。在這種業務點上,如果僅僅使用一臺USG防火墻設備,無論其可靠性多高,系統都可能會承受因為單點故障而導致網絡中斷的風險。為了防止一臺設備出現意外故障而導致網絡業務中斷,可以采用兩臺防火墻形成雙機備份。解決單點故障,從而實現業務的平滑過渡(會話表需要同步的)。
雙機熱備的兩種部署方式:
1、主備方式
2、負載分擔
三大協議:
1.VRRP------虛擬路由冗余協議
2.VGMP------VRRP組管理協議(華為私有)
3.HRP--------華為冗余協議(華為私有)
VRRP(Virtual Router Redundancy Protocol)是一種基本的容錯協議。
備份組:同一個廣播域的一組路由器組織成一個虛擬路由器,備份組中的所有路由器一起,共同提供一個虛擬IP地址,作為內部網絡的網關地址。
主(Master)路由器:在同一個備份組中的多個路由器中,只有一臺處于活動狀態,只有主路由器能轉發以虛擬IP地址作為下一跳的報文。
備份(Backup)路由器:在同一個備份組中的多個路由器中,除主路由器外,其他路由器均為備份路由器,處于備份狀態。
主路由器通過組播方式定期向備份路由器發送通告報文(HELLO),備份路由器則負責監聽通告報文,以此來確定其狀態。由于VRRP HELLO報文為組播報文,所以要求備份組中的各路由器通過二層設備相連,即啟用VRRP時上下行設備必須具有二層交換功能,否則備份路由器無法收到主路由器發送的HELLO報文。如果組網條件不滿足,則不能使用VRRP。
VGMP協議:
VGMP(VRRP Group Management Protocol)協議是華為公司的私有協議。VGMP協議中定義了VGMP組,FW基于VGMP組實現設備主備狀態管理。
VGMP可以保證報文來回路徑通過同一臺防火墻。當主防火墻出現故障時,所有流量都將切換到備防火墻。但Eudemon防火墻是狀態防火墻,如果備防火墻上沒有原來主防火墻上的連接狀態數據,則切換到備防火墻的很多流量將無法通過防火墻,造成現有的連接中斷,此時用戶必須重新發起連接。
為了實現主用設備出現故障時能由備用設備平滑地接替工作,需要在主、備用設備之間備份關鍵配置命令和會話表狀態等關鍵信息。
VGMP組管理:
?狀態一致性管理
各備份組的主/備狀態變化都需要通知其所屬的VGMP管理組,由VGMP管理組決定是否允許VRRP備份組進行主/備狀態切換。如果需要切換,則VGMP管理組控制所有的VRRP備份組統一切換。VRRP備份組加入到管理組后,狀態不能自行單獨切換。
?搶占管理
VRRP備份組本身具有搶占功能。即當原來出現故障的主設備故障恢復時,其優先級也會恢復,此時可以重新將自己的狀態搶占為主。
VGMP管理組的搶占功能和VRRP備份組類似,當管理組中出現故障的備份組故障恢復時,管理組的優先級也將恢復。此時VGMP可以決定是否需要重新搶占稱為主設備。
當VRRP備份組加入到VGMP管理組后,備份組上原來的搶占功能將失效,搶占行為發生與否必須由VGMP管理組統一決定。
HRP協議:
HRP(Huawei Redundancy Protocol)華為冗余協議,用來將主防火墻關鍵配置和連接狀態等數據向備份防火墻上同步。
在雙機熱備組網中,當主防火墻出現故障時,所有流量都將切換到備防火墻。因為USG防火墻是狀態防火墻,如果備防火墻上沒有原來主防火墻上的會話表等連接狀態數據,則切換到備防火墻的流量將無法通過防火墻,造成現有的連接中斷,此時用戶必須重新發起連接。
HRP模塊提供了基礎的數據備份機制和傳輸功能。各個應用模塊收集本模塊需要備份的數據,提交給HRP模塊,HRP模塊負責將數據發送到對端防火墻的對應模塊,應用模塊需要再將HRP模塊提交上來的數據進行解析,并加入到防火墻的動態運行數據池中。
備份內容:要備份的連接狀態數據包括TCP/UDP的會話表、ServerMap表項、動態黑名單、NO-PAT表項、ARP表項等。
備份方式:分為三種
?批量備份:在兩臺設備第一次協商完成后,批量備份所有信息
?實時備份:在設備運行過程中,新建或者刷新的數據實時備份
?配置批量備份需要消耗較多的資源,缺省情況下是關閉的。
備份通道:一般情況下,在兩臺設備上直連的端口作為備份通道,有時也稱為“心跳線”(VGMP也通過該通道進行通信)。
CCIE 思科路由交換 ,思科DC數據中心,思科變革, ccie認證怎么考?ccie認證期限是多久, sp ccie, isp ccie,思科sp ,sp
助教:馬季
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。