eudemon系列防火墙维护手册之四-双机热备组网20xx0420-a

eudemon系列防火墙维护手册之四-双机热备组网20xx0420-a内容摘要：

配置备份组的定时器 vrrp vrid 1255 timer advertise 1255 说明：设置备份组中组播报文的发送间隔，默认值为 1秒。  配置监视指定接口 vrrp vrid 1255 track ether [reduced 1255] 说明：接口监视命令，其目的是同一台设备上的各个 VRRP 组能够统一 变化状态。 当监控的接口 down 掉后，该监控方会根据设置的 reduced 参数值来降低自身的VRRP 优先级，已达到 VRRP 的同时变化。 VGMP协议 1. 采用 VGMP的作用 由于 VRRP存在，工作和状态都独立的情况，为了更好的避免不能使 同一防火墙上各接口的 VRRP 状态都为主用或都为备用 的情况，开发了对 VRRP 备份组进行统一管理的协议 —— VGMP协议。 VGMP 的作用： 确保各 VRRP备份组之间通路状态一致性 ，并且 由管理组统一管理各独立运行的 VRRP备份组，从而实现各备份组之间的互通。 以防止可能导致的 VRRP状态不一致现 象的发生。 从而实现对多个 VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理等 功能。 注意： VGMP不支持 VRRP备份组虚拟 IP 为接口 IP 的管理。 2. VGMP功能介绍  状态一致性管理 各 VRRP 备份组的主 /备状态变化都需要通知其所属的 VRRP 管理组，由 VRRP 管理组决定是否允许 VRRP 备份组进行主 /备状态切换。  抢占管理 无论各 VRRP备份组内 Eudemon 防火墙设备是否使能了抢占功能，抢占行为发生与否必须由 VRRP 管理组统一决定。  通道管理 所谓通道管理，是为了提供传输 VGMP 报文、 VGMP相关承载报文、 VRRP 状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。 华为产品维护资料 Eudemon 系列 防火墙 维护手册之四 双机热备组网 错误 !未找到引用源。 Eudemon 防火墙双机热备概述 19 3. VGMP的成员属性 VRRP 管理组成员属性分为 data 和 transferonly 两种， data 表示数据通道，transferonly 表示该通道不参与状态切换，即在配有 transferonly 属性的接口上，如果接口 down 了，不会影响 VRRP 管理组的优先级变化。 在 VRRP 管理组的模式下， VRRP 管理组成员的状态保持一致，其状态迁移需要通知其所属的 VRRP管理组，并受 VRRP 管理组状态控制。 4. VGMP状态切换原理 VRRP管理组在收到 VRRP成员的状态改变消息的时候需要通知 VRRP管理组进行预处理， VRRP 管理组收到消息后会根据， VGMP的状态， VGMP管理组中 VRRP的状态以及状态改变消息决定是否需要改变状态。 VGMP 由 master 状态 —— slave状态的过程： 管理组状态为 Master，当进行状态切换时遍历组内所有的 VRRP 如果有状态为Master 的则将其状态转换为 Slave。 并通过可用的数据通道通知对方管理组状态改变 MasterSlave，用于触发快速切换。 5. VGMP应用举例 图 17 VGMP协议的应用 在该组网中， EudemonA中有三个接口，并且每个接口上配置一条 VRRP 备份组，并将这三条 VRRP 备份组加入一个 VRRP 管理组 1 中，当 EudemonA 发生故障或接口出现故障时， VRRP会向 VGMP 发送状态切换消息，当 VRRP 管理组 1 确认后，遍历组内所有 VRRP 成员将状态由 master 转变为 slave，同时通知 EudemonB进行状态切换。 Eu d e m o n AM a ste rEu d e m o n BBa ck u pTr ust 区域D M Z 区域U nt r ust 区 域备份组 1备份组 2备份组 3A1A2A3B2B1B3管理组 1管理组1华为产品维护资料 Eudemon 系列 防火墙 维护手册之四 双机热备组网 错误 !未找到引用源。 Eudemon 防火墙双机热备概述 110 6. VGMP的注意事项（参考上图）  两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（ IP 地址除外 ）。  两个防火墙上的备份组编号、构成必须完全一样。 这就是说 EudemonA 上的A1 接口隶属备份组 1， A2 接口隶属备份组 2， A3 接口隶属备份组 3；则EudemonB 上的 B B2 和 B3 接口也必须分别隶属备份组 2和 3。  两个防火墙上的管理组编号、构成必须完全一样。 这就是说 EudemonA 上的管理组包括备份组 2和 3，则 EudemonB 上的同样编号的管理组也必须包含备份组 2 和 3。  同一防火墙（例如 EudemonA）上，一个物理接口可以隶属多个 VRRP 备份组。 一个备份组中能包含多个物理接口，对应多个虚拟 IP 地址。 同一 VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个 VRRP 管理组。  VGMP 优先级的递减算法： VGMP的优先级－ VGMP 的优先级 /16；当配置有VRRP 成员的接口，出现故障时， VGMP的优先级按照上述算法进行递减，故此 VGMP 的优先级不可设置过高，以免在正常情况下，主防火墙的 VGMP的优先级递减后仍然比从防火墙的优先级高，而不会发生抢占，从而导致业务中断。 7. VGMP的配置  配置 VRRP 管理组 vrrp group 116 说明：在防火墙中最多可以配置 16 个管理组。  使能 VRRP 管理组功能 vrrp enable 说明：只有使能了 VRRP 管理组后， VRRP 管理组才能起作用。  配置向 VRRP 管理组添加备份组 add interface ether 接口 vrrp vrid 1255 [data [transferonly] ] 说明：通过配置 data参数来标识指定路径为数据通道，并且该通道状态将影响 VRRP管理组的状态变化。 当配置 transferonly 参数则表明该数据通道的状态将不会影响VRRP 管理组的状态。  配置 VRRP 管理组优先级 vrrp priorty 1254 [plus 1254 ] [usingvrrppriority] 华为产品维护资料 Eudemon 系列 防火墙 维护手册之四 双机热备组网 错误 !未找到引用源。 Eudemon 防火墙双机热备概述 111 说明： plus 参数的功能是为了增加 VRRP 的优先级， usingvrrppriority 参数的作用是 VRRP 管理组的优先级使用 VRRP 的优先级，如果有多个 VRRP 备份组时，采用除含有 transferonly属性的接口下的 VRRP的优先级外的所有 VRRP优先级的和除以所有 VRRP 的个数，即是 VGMP 的优先级。  配置 VRRP 管理组抢占功能 vrrp preempt [delay 060000] //自动抢 占命令 说明：该命令会定时比对两台防火墙之间发送的报文中的优先级，当发现对端发过来的报文优先级低时，会自动启动抢占功能。 Delay 参数主要是说明延迟抢占的秒数。 vrrp manualpreempt //手工抢占命令 说明：当执行该命令后，系统会发送一个消息报文到对端进行优先级的比较，如果优先级高于对端，发送消息给 VRRP 和 HRP进行状态切换；否则不进行抢占功能。  配置 VRRP 管理组 hello报文发送间隔 vrrp timer hello 20060000 说明：发送 VRRP 管理组的 hello间隔的时间，单位为毫秒。  配置 VRRP 管理组的报文群发标志 vrrp groupsend 说明：该命令主要在 master端起作用，通过 VGMP 中配置的所有数据通道进行 hello报文的发送。  触发接口进行 updown操作 triggerdown interface Ether 说明：该命令的作用主要是避免上下行的设备 arp 表项出错，而设置的命令。 以促使接口 updown 操作，来刷新上下行设备的 arp表项。 HRP协议 1. 什么是 HRP HRP协议是承载在 VGMP 报 文上进行传输的，在 Master 和 Backup防火墙设备之间备份关键配置命令和会话表状态信息。 2. HRP起什么作用 华为产品维护资料 Eudemon 系列 防火墙 维护手册之四 双机热备组网 错误 !未找到引用源。 Eudemon 防火墙双机热备概述 112 图 18 HRP协议应用 该图为双机热备的基本组网图，前面也说到了 Eudemon 防火墙是状态防火墙，对于每一个动态生成的会话连接， Eudemon防火墙上都有一个会话表项与之对应。 如果 EudemonA防火墙（ Master）出现故障或相关链路出现问题， EudemonB 防火墙（ Backup）将会切换状态而变成新的 Master，并开始承担传输任务。 如果状态切换前，会话表项和配置命令没 有备份到 EudemonB，则先前经过 EudemonA 的所有会话都会因为无法命中 EudemonB 的会话表而断链，导致业务中断，从而影响业务正常进行。 这种 Eudemon 设备的状态切换是失败的。 为了实现 Master 防火墙出现故障时能由 Backup防火墙平滑地接替工作，需要在 Master 和 Backup 防火墙设备之间备份关键配置命令和会话表状态信息 ，这就是产生 HRP协议的重要性 3. HRP的备份分类 自动实时备份：当配置主设备输入双机备份的配置命令和形成的动态备份信息时，系统自动将该命令和动态备份信息消息备份到配置从设 备。 自动批量备份：当接入配置从设备或配置从设备重新启动时，由配置主设备将所有配置命令和动态备份信息批量备份到配置从设备，配置从设备将执行需要双机备份的配置命令，以实现主从设备的配置同步，批量备份时不允许实时备份。 手动批量同步：配置主设备上可以输入配置同步命令，将配置主设备上的需要双机备份的配置命令和动态备份信息发送到配置从设备。 4. 配置主从设备的引入及其条件 HRP 也有自己的主备状态，我们对配置了 HRP 的设备称之为配置主设备和配置从设备。 HRP 为什么会分为配置主从设备呢。 原因在于我们说的双机热备实现的是主设备向从设备进行备份的处理过程，不是双向进行互备的过程，因此需要确定设备配置的主从关系，实现主设备向从设备进行动态信息和命令行的备份。 HRP 的主从配置的引入是由于 负载分担方式。 在负载分担模式下每一台设备上会配置两个VRRP 管理组 2，并且这两个管理组 1 为主， 2 为备，而对应的另一台设备的两个 VRRP 管理组 2，则互为备主关系， 1 为备， 2 为主， 网络中存在两台 MasterEu d e mo n AMa ste rEu d e mo n BBa ck u pTr us t 区域DM Z 区域Unt r us t 区 域PCPC( 1 ) ( 2 )( 3 )( 4 )( 7 )会话表项Ser v er( 5 )( 6 )( 8 )华为产品维护资料 Eudemon 系列 防火墙 维护手册之四 双机热备组网 错误 !未找到引用源。 Eudemon 防火墙双机热备概述 113 防火墙。 为了避免备份时混乱， Eudemon防火墙中引入了配置主设备、配置从设备概念。 5. HRP能够备份的信息 防火墙应用状态的可靠性备份：  防 火墙生成的会话表表项  动态黑名单表项  ServerMap 表项  NoPAT 表项 防火墙配置命令的备份：  ACL 包过滤命令的配置  攻击防范命令的配置  地址绑定命令的配置  黑名单命令的启用以及手工添加黑名单用户和对黑名单命令的删除操作  日志命令  NAT 命令的配置  统计命令的配置  域的命令的配置，包括新域的设定，域内添加的接口和优先级的设置  ASPF（应用层包过滤防火墙）的命令配置  清除会话表项命令（ reset firewall session table)和清除配置的命令（ undo XXX） 注意：  在批 处理手工备份时，对于 undo和 reset命令是无法进行备份的。  除以上可以备份的命令外，其他命令都不能备份，如路由命令（静态和动态）。 6. HRP配置命令  使能双机热备份功能 hrp enable 说明：目前。