IE-Sec笔记7

1.防火墙想要双击热备,有三大前置要求,主要涉及到三大协议

三大前置要求:

①硬件
型号相同, 单板类型相同,且单板安装位置相同

②软件
系统软件版本, 补丁, 特征库等必须相同

③授权
二者不能共享授权, 授权服务的种类和数量要相同, 服务到期时间要相同

主要涉及三个协议:

2.双机热备两种工作模式

主备备份
负载分担

3.双机热备常见实现方式

①VRRP, 经典的, 
②OSPF, 通过控制cost值实现
③透明模式, 注意心跳线接口是三层的(心跳线主要用于传输VGMP和HRP报文,不传输业务流量)

4.VRRP再解析

VRRP是一种容错协议;

有两种角色,master和backup;

组内成员有VID;

VIP ,虚拟出来的地址,可当网关,内网主机发给VIP,VIP再转发给master;

VRRP切换-正常流程

①配置主备设备,一般是管理员手工选举
②master发送免费ARP报文,其中包含VIP和VMAC,目的是为了响应并刷新SW的MAC地址表
③交换机刷新MAC地址表

涉及跨网段通信时

①内部终端发送ARP请求网关的地址
②SW进行泛洪
③master和backup都会收到泛洪报文, 但只有master会响应VIP和VMAC
④交换机刷新MAC表

VRRP切换-故障流程

①backup连续三个周期没有收到Hello包(一秒一次),自动切换为master
②backup向SW发送免费ARP,目的是为了响应并刷新SW的MAC地址表
③交换机刷新MAC地址表

细节总览

主用设备选举规则：
①首先比较优先级的大小，优先级的范围为0-255，优先级高者当选为Master设备
②其次比较接口IP地址大小，接口IP地址较大的设备当选为Master设备
③成为Master的设备运行优先级自动变为255

当主用设备正常工作时，网络内主机通过主用设备与外部网络通信。
①Master设备拥有VRRP备份组的虚拟IP地址和虚拟MAC地址。
②Master设备收到目的IP地址是虚拟IP地址的ARP请求时，会响应这个ARP请求。
③在同一个备份组中的多个路由器中，只有一台处于活动状态。
④只有主路由器能转发以虚拟IP地址作为下一跳的报文。

当主用设备出现故障时，备用设备会成为新的主用设备，保证网络不中断。
①Backup设备不会响应目的IP地址为虚拟IP地址的ARP请求。
②当Master设备出现故障时，剩下的Backup设备中将会选举出新的Master设备；
③主路由器通过组播方式定期（224.0.0.18）向备份路由器发送通告报文（Hello报文，间隔1S）。
④由于Hello报文为组播报文，所以要求备份组中的各路由器通过二层设备相连(头上脚下连SW)。

传统VRRP缺陷

5.VGMP再解析

VGMP有三大作用:
①状态一致性管理
②抢占管理
③通道管理

状态一致性管理

关于二者对应的角色:

对于VRRP而言,是Master和Backup;
对于VGMP而言,是Active和Standby;

关于选举和状态机制:

开启VGMP后,VRRP的角色等级由VGMP角色等级决定(比如Active--->Master),VGMP角色等级则由人工配置决定;

VGMP一样会向交换机发送免费ARP

每台防火墙都有一个VGMP组,用户不能删除它, 也不能创建其它的;

VGMP优先级是不可配置的,设备正常启动后,会根据硬件配置自动生成VGMP组的优先级;

对于中低端设备,初始优先级与CPU个数有关,:
一般单CPU机型优先级是45000, 双CPU机型是45002;

对于高端设备, 计算公式则完全不同,详情参考官方文档;

VGMP的四个状态