双机热备
-
双击热备份技术产生的原因:
-
理论基础
- 当主设备宕机,备设备会发送一个免费的arp给交换机,来冲刷交换机的mac地址表,从而把流量引导到备设备中;
- 多个VRRP组,统一切换问题:VGMP(默认开启),统一管理VRRP组,实现统一切换,避免了来回路径不一致;
- 安全策略的配置和会话同步问题:主备的安全策略和会话要同步才能保证来回路径不一致的问题,HRP来实现这个同步,部署在主备设备之间(心跳线);
-
双击热备协议架构
- VRRP:负责单个接口的故障检测和流量引导,每个VRRP备份组拥有一个虚拟IP地址,作为网络的网关地址,在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量;
- VGMP:将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换备用防火墙;
- HRP:负责双击之间的同步;
-
配置流程
- 三大配置原则:
- 在双机热备组网中,在配置其他业务之前必须在主备设备上先完成双击热备的所有配置,并保证双击状态正常;
- 在主备备份组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命名,建议割接前对比主设备配置文件,保证双机配置一致;
- 在负责分担组网中,两个设备处于互为主备的状态,所以业务特性要在两个设备上分别配置;
-
配置注意事项
- 硬件限制
- 目前只支持两台设备进行双机热备;
- 主备设备的产品型号和版本必须相同;
- 主备设备接口ka的为止、类型和数目都必须相同,否则会出现朱勇设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题;
- 软件限制
- 主备设备的软件版本必须一致;
- 主备设备的Bootrom版本必须一致;
- 建议主备设备的配置文件均为初始文件,否则两台设备可能冲突;
- 主备设备对应接口必须加入到相同的安全区域;
- 主备设备的心跳口(HRP备份通道)配置必须一致,心跳口的MTU值必须是1500;
- 主备设备业务接口的IP地址必须固定,因此双机热备不能与PPoE拨号、DHCP Client等自动获取地址等特性结合使用;
- 双机热备成功建立后,如果希望使用Web界面更改“运行模式”(从“主备备份”切换成“负载分担”, 或者从“负载分担”切换成“主备备份”),则必须先请客所有双击热备的配置;
- 硬件限制
-
流量引导
- 当VGMP管理组检测到成员状态变化,从而进行主备切换之后,需要能及时有效的对业务流量进行引导,VGMP管理组的流量引导功能负责在倒换时进行业务流量的引导,目前VGMP管理组支持的业务流量引导手段有如下几种:
- 虚拟IP地址方式:用于防火墙三层业务接口连接二层交换机组网;
- 路由COST调整方式:用于防火墙三层业务接口连接路由器,主备备份猪王;
- 动态路由收敛方式:用于防火墙三层业务接口连接路由器,路由器组网,负载分担组网;
- VLAN启用和禁用方式:用于防火墙业务接口工作在透明模式的组网中;
- 当VGMP管理组检测到成员状态变化,从而进行主备切换之后,需要能及时有效的对业务流量进行引导,VGMP管理组的流量引导功能负责在倒换时进行业务流量的引导,目前VGMP管理组支持的业务流量引导手段有如下几种: