标签:热备 基本原理 报文 接口 VRRP 主备 双机 备份 设备
双机热备技术
一、双机热备基本原理
(一)双机热备协议架构
1、VRRP
1)VRRP状态机
加入VRRP备份组的接口有三种状态,只有处于主用状态的设备才可响应ARP请求,转发业务报文。并且发送VRRP报文,主动联系备用设备。
- 配置完VRRP后,如果接口处于Up状态,则从Initialize状态进入Standby状态。
- 处于Standby状态的接口,如果超时未收到对端的VRRP通告报文,或者对端的优先级低于本端,则进入Active状态。
- 处于Active状态的接口,如果收到对端的VRRP通告报文,且其优先级高于本端,则进入Standby状态。
- 处于Standby状态的接口,如果链路故障、接口故障或者接口被shutdown,则进入Initialize状态。
- 处于Active状态的接口,如果链路故障、接口故障或者接口被shutdown,则进入Initialize状态。
2)VRRP状态切换
链路正常时:
- 虚拟IP地址在状态为Active的设备接口上生效。
- PC请求网关地址的ARP时,只有状态为Active的设备会应答ARP。
- 业务流量被引导到状态为Active的设备接口上进行转发。
当Active设备出现接口、链路或整机故障时:
- Active设备接口上的VRRP备份组状态进入Initialize。
- Standby设备接口上的VRRP备份组状态将切换到Active ,发送免费ARP。
- 交换机上的MAC表刷新,出接口指向备用设备。
- PC发出的业务流量被引导到备用设备接口上进行转发。
3)VRRP的不足
当防火墙上下行业务端口上都配置了VRRP备份组时,这两个VRRP备份组是独立运行的,可能出现上下行两个VRRP备份组状态不一致的情况。
例如,主用网关防火墙上内网侧的接口故障,VRRP倒换到备用网关防火墙,因此出去的流量从备用网关防火墙上转发。但是对于外网侧的VRRP,主用网关防火墙上VRRP仍然是主,因此回程的流量仍然会送到主用网关防火墙上,但业务流量无法送回内网,导致业务中断。
2、VGMP
1)基本原理
(1)VGMP产生
将一组VRRP备份组组成一个VGMP管理组。 由VGMP管理组控制所有VRRP备份组同步倒换,保证所有VRRP备份组状态一致。VGMP管理组还可以代表整个设备使用VGMP报文跟对端设备进行协商实现主备状态切换。
(1)VGMP报文
VRRP封装:
- Type:VGMP报文的类型。华为定义了四种VGMP报文(常用)。
- Hello报文,用于心跳检测。
- 心跳链路探测报文:用于发送端检测是否收到了对端的报文,以确定是否有心跳口可用,并决定哪个心跳接口可以收发报文。
- VGMP报文:用来进行VGMP管理组消息交互。这也是双机热备状态协商、状态维护,事件触发等的关键消息。
- HRP报文:用于主用设备数据备份,包括命令行下发备份,主用设备各种状态信息的备份。当vType为HRP报文时,还需要在VGMP报文之上承载HRP报文头。
UDP封装:
(3)VGMP状态机
VGMP管理组的主备状态决定了双机热备组网中防火墙设备的主备状态,因此VGMP管理组的状态也可以看做是防火墙设备的状态。
- 使能HRP功能。
- 关闭HRP功能。
- 对端心跳报文超时;接收到的报文中对端优先级比本端低(对端故障)。
- 本端故障导致优先级比对端低;接收到的报文中对端优先级比本端高,并且对端处于Active状态(被抢占)。
- 抢占定时器超时;接收到的报文中对端优先级相等,并且对端不是Active状态(之前两端同时为Standby状态)。
- 本端故障导致优先级比对端低;接收到的报文中对端优先级比本端高,并且对端处于Active状态(被抢占)。
- 对端心跳报文超时;接收到的报文中,对端优先级比本端低(对端故障)。
- 接收到的报文中,对端优先级和本端相等,并且对端不是处于Standby状态(被抢占,或者之前两端同时为Active状态)。
3、HRP
1)HRP数据备份范围
通过HRP备份的数据包括主用设备的关键配置命令和状态信息。
能够备份配置命令:只能在主用设备上配置,备用设备不能配置。
不能备份的配置名命令:主用设备和备用设备都可以配置。
可以备份的主用设备状态:
- NGFW生成的会话表
- SeverMap表
- IP监控表
- 分片缓存表
- GTP表
- 黑名单
- PAT方式端口映射表
- NO-PAT方式地址映射表
HRP配置:
- 在系统视图下指定心跳接口。
hrp interface interface-type interface-number [ remote ip-address ]
- 配置心跳接口时如果不配置remote参数,心跳报文被封装成VRRP报文,此时不配置安全策略设备也能正常处理。
- 配置心跳接口时如果配置remote参数,心跳报文被封装成UDP报文,此时需要正确配置心跳接口所在安全区域和Local之间的域间安全策略,设备才能正常接收和发送心跳报文。
- 启用双机热备功能。
hrp enable
2)备份通道选择
防火墙通过VGMP链路探测报文检测备份通道的质量,只要本端发送的探测报文对应可以收到并回应,那么就认为本端该心跳接口可通,与对端配置顺序无关。
当本端心跳接口发生故障时,那么本端将立刻切换到第一个处于ready状态的心跳接口。此动作与对端无关。
4、主备备份和负载分担
- 主备备份指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。
- 负载分担,也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台设备会立即承担其业务,保证原来需要通过这台设备转发的业务不中断。
二、双机热备配置
(一)配置流程
三大配置原则:
- 在双机热备组网中,在配置其它业务之前必须在主备设备上先完成双机热备的所有配置,并保证双机状态正常。
- 在主备备份组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命令,建议割接前对比主备设备配置文件,保证双机配置一致。
- 在负载分担组网中,两个设备处于互为主备的状态,所以业务特性要在两个设备上分别配置。
(二)配置注意事项
硬件限制
- 目前只支持两台设备进行双机热备。
- 主备设备的产品型号和版本必须相同。
- 主备设备接口卡的位置、类型和数目都必须相同,否则会出现主用备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
软件限制
- 主备设备的软件版本必须一致。
- 主备设备的Bootrom版本必须一致。
- 建议主备设备的配置文件均为初始文件。否则两台设备的配置可能冲突。
- 主备设备的对应接口必须加入到相同的安全区域。
- 主备设备的心跳口(HRP备份通道)配置必须一致。心跳口的MTU值必须是1500。
- 主备设备业务接口的IP地址必须固定,因此双机热备不能与PPPoE拨号、DHCP Client等自动获取IP地址的特性结合使用。
- 双机热备成功建立后,如果希望使用Web界面更改“运行模式”(从“主备备份”切换成“负载分担”,或者从“负载分担”切换成“主备备份”),则必须先清空所有双机热备的配置。
标签:热备,基本原理,报文,接口,VRRP,主备,双机,备份,设备 来源: https://blog.csdn.net/bluepangzi/article/details/120140178
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。