网站换空间步骤,哪个网站可以做代码题目,室内设计有哪些网站,网站空间备案流程双机热备技术-----VRRP#xff0c;VGMP#xff0c;HRP三个组成 注#xff1a;与路由器VRRP有所不同#xff0c;路由器是通过控制开销值控制数据包流通方向 防火墙双机热备#xff1a; 1.主备备份模式 双机热备最大的特点就是防火墙提供了一条专门的备份通道#xff08;心…双机热备技术-----VRRPVGMPHRP三个组成 注与路由器VRRP有所不同路由器是通过控制开销值控制数据包流通方向 防火墙双机热备 1.主备备份模式 双机热备最大的特点就是防火墙提供了一条专门的备份通道心跳线用于防火墙之间传输备份会话表Server-map表等重要信息和配置。并且心跳线也为防火墙提供协商通道。 1.主用设备---会处理业务和流量并将设备上的会话表等信息以及配置信息通过心跳线实时同步给备用通道 2.备用设备---不会处理业务流量只是通过心跳线接收来自于主用设备的状态信息以及配置信息 一旦主用设备发生故障会通过心跳线重新协商主备状态如果进行切换同时业务流量也需要被上下行设备的路由信息引导到新的主用设备上否则流量还是无法通讯 2.负载分担模式 在该情境下两台防火墙均为主用设备不同的pc都需要建立会话都需要处理业务流量同时两台防火墙又都相互作为对方的备用设备接收对方的配置和会话。 FW2为1.0的主设备FW3为2.0的主且两个防火墙互相备份 总结双机热备为了提供网络的可靠性避免网络的单点故障
VRRP和VGMP
回顾路由器vrrpVRRP虚拟路由冗余协议_vrrp协议-CSDN博客 为何创建两个VRRP? 在双机热备场景中因为需要上下行流量的统一切换故需要创建两个VRRP组分别加入上行接口和下行接口。从而控制上下行设备的流量控制转向。---且两个不同的VRRP组的Active设备必须为同一个防火墙。 切换原理FW2会向配置了VRRP组的接口发送免费ARP报文其中携带了备份组的IP和MAC好让交换机或者路由器改变MAC表或者路由表从而达到切换线路的目的 VRRP备份组之间是相互独立的当一台设备出现多个VRRP备份组时VRRP备份组之间的状态时无法同步的。
VGMP解决VRRP问题 VGMP----VRRP组管理协议---实现对VRRP备份的统一管理保证多个VRRP组状态的一致性 如何实现一致性 将防火墙上所有的VRRP备份组都加入到同一个VGMP组中由VGMP组来集中监控并管理所有的VRRP备份组状态。如果VGMP检测到其中一个VRRP备份组状态发生变化则VGMP会控制组中所有VRRP组统一进行状态切换保证一致性。 VGMP存在状态和优先级两个属性。并且有三条运行原则 VGMP的状态决定了组内VRRP备份组的状态也决定了防火墙的主备状态 VGMP组的状态是由两个防火墙的VGNP组通过比较优先级来决定的 优先级高的为Active,低的为Standby VGMP组会根据组内VRRP备份组的状态变化来更新自己的优先级 每个VRRP备份组的状态切换为初始化状态VGMP组的优先级降低2 VGMP实现过程 当FW1接口发生故障时VGMP组控制VRRP备份组状态统一切换过程 1.FW1G1/0/3接口故障FW1上的VRRP备份组2发生状态切换由主----初始化 2.FW1的VGMP组感知到这一变化后会降低自身的优先级然后与FW2的VGMP组比较优先级重新协商主备状态 3.协商后FW1的VGMP状态变为Standby,FW2的VGMP组状态变为Active 4.同时由于VGMP组的状态决定了组内的VRRP备份组状态所有FW1和FW2身上各自的VRRP备份组1和备份组2都会进行状态切换 5.FW2成为Active状态并从上下游分别发送免费ARP报文更新设备的MAC地址表 VGMP报文结构 在防火墙中优先级信息会通过VGMP报文传递是对VRRP报文进行修改和扩展 1.标准的VRRP报文的“TYPE”字段恒定为1而VGMP增加了2 在VGMP 中1代表标准的VRRP报文2代表VGMP报文 2.在标准的VGMP报文中“virtual Rtr ID,携带的是VRRP备份组的组ID即VRID。 在VGMP中恒定为0 3.去掉了VRRP的IP地址字段 4.标准VRRP报文的优先级字段在VGMP中被修改为”TYPE2字段 TYPE21,则报文为心跳链路探测报文 TYPE25,则报文为一致性检查报文。 ----检查双机热备状态下两台防火墙的是否配置了相同的策略 TYPE22,VRRP报文才会进一步封装VGMP报文头。----该报文才能被认为是真正的VGMP报文。 会根据VGMP中的“vType”字段继续被分为三种不同的报文 VGMP组需要携带上VGMP组优先级信息才可以代替VRRP进行管理 类型(mode) --- 代表报文是请求报文还是应答报文 VGMP-ID --- 代表VGMP组为Active还是Standby组 优先级 ---代表VGMP组的优先级
在双机热备中除了VRRP标准报文以外其他所有报文的发送接收都是基于心跳线完成的 标准的VRRP协议是一个跨四层封装协议即没有传输层封装直接IP封装。
而VGMP继承了VRRP的特点但是也增加了UDP进行封装的模式。 IP协议封装 --- 组播报文---只能在心跳线上传输 数据链路层 IP协议封装 VRRP协议 VGMP协议 VGMP数据 不能跨网段传输不受安全策略控制安全策略就对单播有效 UDP封装 --- 单播报文 数据链路层IP协议封装 UDP封装 VRRP协议 VGMP协议 VGMP数据 只要路由可达就可以跨越网段传输但是收到安全策略控制。 端口号18514 VGMP工作过程
VGMP组缺省情况 每台防火墙提供两个VGMP组默认情况下Active组的优先级为65001状态为ActiveAtandby组优先级为65000状态为Standby。 主备备份双机热备状态形成过程 接口故障过程 上图表示的是主用设备的接口的发生过程变化情况而当主用设备发生故障主用设备的VGMP组将不会发送HRP心跳报文。如果备用设备的VGMP组连续三次收不到则认定对端故障从而将 自身切换为主用状态。 当原主用设备故障恢复后如果配置了抢占功能那么原主重新成为主用设备如果没有配置则原主保持在备份状态。----缺省情况下主动抢占功能开启抢占延迟时间为60秒。
接口故障恢复 负载分担双机热备状态形成过程 接口故障 VGMP总结
1. 故障监控 --- VGMP组能够监控VRRP备份组状态变化。
2. 状态切换 --- VGMP组感知到VRRP备份组状态变化后会调整自己的优先级并与对端的VGMP组 重新协商主备状态
3. 流量引导 --- 两个VGMP组主备状态建立或切换后会强制组内的VRRP备份组统一进行状态切换 然后由状态为Active的VRRP备份组发送免费的ARP报文来引导流量
仅仅适用于防火墙上行或下行设备为交换机的场景 VGMP特殊场景
防火墙连接路由器场景 故障监控 VGMP组使用的 故障监控方式是直连监控接口状态。 --- 就是直接将接口加入到VGMP组中当 VGMP组中的接口故障VGMP可以直接感知到变化从而降低自己的优先级。 如果是负载分担方式的双机热备则需要在每个业务接口上执行特殊命令将业务接口分别加入到 Active和Standby组中。 流量引导 VGMP的流量引导功能将流量自动引导到主用设备---手工将备用设备所在链路的OSPF开销值改大。VGMP具备根据状态自动调整OSPF的cost数值。 --- 启用流量引导功能后如果防火墙上存在状态为 Active的VGMP组则防火墙会正常对外发布路由如果防火墙上VGMP组状态为Standby则防火墙 在发布路由时将Cost增加65500 防火墙透明接入连接交换机场景 故障监控 防火墙接口出现在二层没有IP地址。故障监控方式为通过VLAN监控接口状态。--- 将二层业 务接口加入VLANVGMP监控VLAN。当VGMP中的接口故障时VGMP组会通过VLAN感知到接口状态 变化从而降低自身优先级 流量引导 当VGMP组状态为Active时组内的VLAN能够转发流量。当VGMP组状态为Standby时组内 VLAN被禁用不能转发流量。 防火墙透明接入连接路由器场景 故障监控和流量引导与上一个相同该组网只支持负载分担方式的双机热备不支持主备备份场景。---原因如果工作在主备备份那么备份设备的VLAN会被禁用导致上下行 路由器无法通讯无法建立OSPF邻居
VGMP组监控技术 VGMP可以监控自己本身的接口---物理接口VRRP接口等。 但是VGMP还可以监控远端接口。 --- VGMP监控远端接口的方式只适用于防火墙业务接口工作在 三层时因为此时接口才能存在IP地址才可以与远端设备发送IP-link或BFD的探测报文。
总结 每当VGMP组监控的一个接口故障时无论是直接监控还是简介监控无论监控的是本地还是远 端VGMP优先级都是降低2。 只有主用设备才会将流量引导到本设备上备用设备则是想尽办法拒绝流量引导到本设备。 HRP双机热备协议协议
HRP数据报文、HRP心跳报文、HRP一致性检查报文。
HRP协议功能
动态数据备份---实时备份防火墙的会话表Server-map表黑白名单nat
关键配置命名备份---display;reset;debugging不支持备份网络基本配置如接口地址和路由不能够备份这些要在双机热备建立前配置完成。
HRP概述 在主备组网中由主设备将状态数据和配置命名同步给备份设备 而在负载分担组网中状态数据双方均会想对端同步。但是配置命令不可以。---原因如果允许两台主用设备之间相互配置命令可能会造成两台设备命名相互冲突。--引入了“配置主设备”和“配置从设备”。---在负载分担组网中发送备份配置命令的防火墙为配置主设备HRP_M,接收配置命令的防火墙成为配置从设备(HRP_S)---在负载分担组网中谁 最先建立双机热备状态的防火墙会成为配置主设备即最先启动双机热备功能的
HRP备份方式 1.自动备份 --- 默认开启的能够自动 实时备份配置命令和 周期性备份状态信息。 主用设备每执行一次可备份命令该命令都会立即被同步到备用设备。注意对于这些可备份 命令备用设备不能配置只能等到主用设备的同步。 对于不可备份命令---分别配置 对于状态信息周期性备份(部分状态信息)。 2.手工批量备份 --- 需要管理员手工触发的每执行一次手工批量备份命令主用设备就会立即同步一 次配置命令和状态信息。 3.快速备份 --- 仅适用于负载分担场景的用来 应对报文来回路径不一致的场景。 主要为了保证状态信息的及时同步快速备份功能仅仅备份状态信息是为了弥补自动备份的 时差问题。 如果启动快速备份功能主设备将 实时进行状态信息备份。 心跳链路探测报文 心跳口必须是状态独立且独立具有IP地址的接口且该接口不要参与到其他协议的工作过程中以免产生不必要的影响。
HRP一致性检查报文 该报文是用于检测双机热备状态下两台防火墙的双机热备配置是否一致以及策略配置是否相同 的
