1.什么是双机热备
如图:当左图的防火墙发生故障时,整个系统都会收到影响,而右图即使有防火墙发生故障,但是还有一台防火墙做备份,相对于只有一台防火墙,要可靠些。
由于防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能
像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术。
1,双机 --- 目前双机热备技术仅支持两台防火墙的互备
2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替
代原设备
(也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并
不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时
间的业务中断)
配置信息 --- (接口IP地址,路由信息)--- hrp不能同步基本的接口和路由信息,安全策略,
NAT策略....
状态信息:
2.VGMP
在网络学习中,做互为备份时,会使用一种技术---VRRP技术(虚拟路由器冗余技术),让一台设备为主,一台设备为备,当发生故障时,设备的主备角色发生变化,继续替出现故障的设备工作,从而实现备份的效果
但是,vrrp组是相互独立的,一台设备不只有一组VRRP组,发生故障时,其他组不会同步切换,就会发生丢包等情况,当需要同步切换,使用传统的上行链路监控,比较复杂
所以这里可以使用一种协议------VGMP ( vrrp Group Management Protocol )--- HUAWI的私有协议,来对VRRP组进行统一的切换管理
3.HRP心跳线
HRP --- 华为冗余协议 --- 华为的私有协议 --- 可以同步防火墙上的状态和配置信息
HRP在进行双机热备时,还有一个要求,两台热备设备之间,必须拥有一条链路,用来同步信
息,并且,这条链路必须是三层链路 --- 这条链路在进行数据传递时,不受安全策略的影
响。(注意,如果心跳线是直连的,则不受安全策略的影响,但是,如果中间有中继设备,即
非直连场景,则需要配置安全策略) --- 心跳线 ---- VGMP协议发送的报文也是通过心跳线
传输的。
HRP会周期性的发送心跳报文,只有主设备会发送,周期时间默认为1S,如果备设备在三个周
期时间内默认3S没有收到对方的心跳报文,则认定对方出现故障将以自生为主
HRP三种备份方式
1,自动备份 --- 自动备份配置和状态信息,但是,配置信息可以立即自动备份,状态信息无
法立即备份,只能通过短暂的延迟之后,在进行备份(10S左右)
2,手工备份 --- 由网络管理员手工触发,可以立即同步配置和状态信息
3,快速备份 --- 该备份方式仅针对负载分担的场景。
无法同步配置信息,仅能同步状态信息,并且可以立即同步状态信息。
4.主备场景
1.主备场景
1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉
入到VGMP的active组中,并且状态都是ACTIVE
2,FE2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入
到VGMP的standby组中,并且状态都是standby
(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先
级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)
3,主设备上下两个VRRP组的接口将发送免费ARP报文
2.主备故障切换场景 --- 接口故障
FW1接口故障的切换场景
1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障
的一个过渡状态)
2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会
降低2。)
分区 2024.7.5防御保护 的第 2 页
3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;
4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状
态从standby切换为active状态
5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切
换到active
6,FW2回复FW1应答报文,表示允许切换
7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其
中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态
8,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量
将从FW2通过。
3.主备故障切换场景 --- 整机故障
整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,
备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;
4.原主设备故障恢复的场景
根据有没有开启抢占分为两种不同的情况
1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作
2,如果开启了抢占
原设备的状态由initialize状态变为standby状态,并通过HRP向另一台设备发起VGMP请求报文表示切换状态。
另一台设备收到后,由于优先级比原设备低,由active状态变为standby状态,并通过HRP向另一台设备发起VGMP请求报文表示允许切换。
原设备接受到后,状态由standby状态变为active状态,此时原设备就变为主设备,另一台设备变为备设备
5.负载分担场景
1.负载分担场景
两台防火墙互为对方的主备设备,同时工作。
每台防火墙都有一组active组和standby组,在这一台划为active组的,在另一台就化为standby组,同时两台防火墙都免费发送ARP报文
2.负载分担接口故障场景
如图:当左边防火墙下面连接交换机的接口发生故障时,该接口的两个备份组的状态都变为initalize,同时该防火墙通过心跳线给左边防火墙告知发生故障,右边防火墙的的所有接口VRRP组的状态都变为active,此时由右边防火墙向交换机发免费的arp报文,交换机就发送数据就只走右边的防火墙。
6.双机设备配置
如果勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟
(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)
hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,
否则可能导致对接不上
注意:1,虚拟mac地址勾选可以让切换对用户全程无感知
2,如果虚拟IP地址和接口IP地址不再同一个网段,则配置时必须配置子网掩码
HRP手工备份的位置
负载分担
6.其他部署模式下的双机热备
1,双机热备直路部署 - 上下二层
这种情况下建议使用主备模式不要使用负载分担模式
1.stp不允许,会堵一条路2.两条路都会放行同一个vlan,会出现环路情况
2,双机热备直路部署 - 上下三层
负载分担下,两个防火墙都工作,都转发,如果是主备工作模式,有一条路是断开的,这样会导致没有工作的链路上的路由器的邻居关系无法建立不起来,工作会被中断。
这种模式建议采用负载分担,并建议使用主备模式
