华为防火墙-双机热备

最新推荐文章于 2024-04-15 14:08:16 发布

网工_小晏

最新推荐文章于 2024-04-15 14:08:16 发布

阅读量2.1k

点赞数 38

文章标签：网络

本文链接：https://blog.csdn.net/m0_59605653/article/details/135646429

版权

简介

双机热备是两台设备共同承担业务流量，以此来提高可靠性的技术。两台设备之间通过“心跳线”进行连接。当主用设备故障时，备用设备可以平滑接替主用设备工作。

报文

心跳线是了解对端状态以及配置备份命令和各种表项的通道，心跳线传递如下报文：

1.心跳报文两台设备通过定期（默认1s）互相发送心跳报文检测对端设备是否存活，了解对端设备优先级指标，是否要进行故障切换

2.配置和表项备份报文两台设备同步配置命令和状态信息

3.心跳链路探测报文检测对端设备的心跳接口能否正常接收本端设备的报文，确定是否有心跳接口可用

4.配置一致性检查报文检测两台设备关键配置是否一致，如安全策略，NAT

工作模式

1.主备备份一主一备
此时主用设备承担全部业务流量。

2.负载分担互为主备

此时两台设备共同承担业务流量

设备角色

1.主用设备（Active） 2.备用设备（Standby） 3.互为主备（Loading Sharing）

为了保证配置的一致性，缺省情况下，双机热备组网下的两台设备只允许其中一台设备下发配置，被称为配置主。配置主的命令行前导符为"HRP_M"，相应的配置备的命令行前导符为“HRP_S"

在主备备份组网中，业务主就是配置主、业务备就是配置备.

在负载分担组网中，两台设备按如下原则协商出配置主备， 1.由主机名(sysname) ASCI码的大小来决定配置主备。ASCI码较小的成为配置主，ASCI码较大的成为配置备。例如两台设备的主机名分别为DeviceA和 DeviceB. DeviceA成为配置主, DeviceB成为配置备 2.两台设备的主机名相同时，配置主备由管理接口MEth0/0/0的MAC地址的大小决定。MAC地址小的设备成为配置主, MAC地址大的设备成为配置备

设备优先级

优先级高的设备更适合承载业务。设备优先级不可配置，由故障系数和健壮系数决定。

故障系数

故障系数小的设备优先级高。故障系数不同时，不再对比健壮系数。故障系数通常与被监控的接口状态和被监控的链路状态相关，初始值是0

健壮系数

故障系数相同时，健壮系数大的设备优先级高，健壮系数与已正常运行的业务板CPU个数和交换网板数量有关

故障切换触发条件

1.心跳丢失本端设备通过监控对端设备的心跳报文来判定对端设备是否存活，是否要进行故障切换。心跳报文的发送周期默认为1s。如果本端设备连续五个心跳周期没有收到对端的心跳报文，就判断对端设备发生故障并触发故障切换，本端设备角色切换为Active

2.优先级变化本端设备通过对端设备的心跳报文了解对端设备的优先级。通过比较本端和对端优先级高低来确定是否要进行故障切换，优先级高的设备切换为Active,优先级低的设备切换为Standby

如果两台设备的故障系数一致，其中一台设备的健壮系数因为新CPU注册而高于对端，会触发抢占延时，即不会立即引起双机状态变化。缺省延迟时间是60秒，60秒内又有新CPU注册会触发重新计时。

基于VRRP的双机热备

VGMP组控制VRRP备份组状态

VRRP可以在主机的下一跳路由器（默认网关）出现故障时，由备份路由器自动代替出现故障的路由器完成报文转发任务，从而保持网络通信的连续性和可靠性。但是VRRP备份组之间是相互独立的，当一台设备上出现多个VRRP备份组时，他们之间的状态无法同步。

华为将FW上的所有VRRP备份组都加入到一个VGMP组中，由VGMP组来集中监控并管理所有的VRRP备份组状态，保证多个VRRP备份组状态的一致性

在FW上启用双机热备功能后，FW的VRRP优先级是不可配置的（优先级固定为120）。接口故障时，接口下VRRP备份组状态为Initialize。接口无故障时，接口下VRRP备份组状态由VGMP组的状态决定，具体如下：

当VGMP组状态为active时，VRRP备份组的状态都是Master。
当VGMP组状态为standby时，VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时，VRRP备份组状态由VRRP备份组的配置决定。

如图所示，两台设备都没有任何故障，VGMP组优先级相等，VGMP组的状态都是load-balance。VRRP备份组的运行状态由配置决定：DeviceA的VRRP备份组1运行状态为Master，DeviceB的VRRP备份组1运行状态为Backup。

如图所示，DeviceA的上行业务接口故障，DeviceB没有故障。DeviceA的VGMP组优先级低于DeviceB，DeviceA的VGMP组状态变成了standby，DeviceB的VGMP组状态变成了active。此时，VRRP备份组的运行状态由VGMP组的状态决定：DeviceA的VRRP备份组运行状态被调整为Backup，DeviceB的VRRP备份组运行状态被调整为Master。

基于动态路由的双机热备

VGMP组控制动态路由开销值

启用双机热备功能后，FW能根据VGMP组状态动态调整OSPF、OSPFv3发布路由的开销值、动态调整BGP发布路由的MED值。具体如下：

VGMP组状态为active时，FW按照OSPF/OSPFv3/BGP路由的配置正常发布路由。

VGMP组状态为standby时，FW会按照如下方法调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值：

OSPF：将OSPF发布路由的开销值调整为一个指定数值。默认是将开销值调整为65500，可以使用hrp adjust ospf-cost enable slave-cost命令修改这个数值。

OSPFv3：将OSPFv3发布路由的开销值调整为一个指定数值。默认是将开销值调整为65500，可以使用hrp adjust ospfv3-cost enable slave-cost命令修改这个数值。

BGP：在用户配置的BGP MED值基础上增加一定数值作为BGP发布路由时的MED值。默认增加100，可以使用hrp adjust bgp-cost enable slave-cost命令修改这个数值。

VGMP组状态为load-balance时，FW默认按照OSPF/OSPFv3/BGP路由的配置正常发布路由。如果用户在FW上配置了hrp standby-device命令指定FW为备机或者将FW的所有VRRP备份组状态参数都配置为standby时，FW会调整OSPF、OSPFv3发布路由的开销值和BGP发布路由的MED值，调整的方法与VGMP组状态为standby时相同。

下面以VGMP组控制OSPF发布路由开销值为例进行说明。如图所示，DeviceA和DeviceB组成双机热备组网。DeviceA、DeviceB、R1和R2之间运行OSPF协议。DeviceA和DeviceB的关键配置如图所示。

DeviceA和DeviceB都没有任何故障，VGMP组优先级相等，VGMP组的状态都是load-balance。DeviceA按照OSPF配置正常发布路由，如图所示。DeviceB上因为有hrp device standby配置，DeviceB发布的OSPF路由开销值被调整为65000。

如图所示，DeviceA的上行业务接口故障，DeviceB没有故障。DeviceA的VGMP组优先级低于DeviceB的VGMP组优先级，DeviceA的VGMP组状态变成了standby，DeviceB的VGMP组状态变成了active。DeviceA发布的OSPF路由开销值被调整为65000，如图所示。DeviceB发布的OSPF路由开销值被调整为1。

配置备份与状态信息备份

1.配置备份

为了让两台设备故障切换时业务能平滑切换，两台设备之间需要备份配置和状态信息。其中，配置备份支持配置命令实时备份和运行配置批量备份

①配置命令实时备份两台设备正常运行且双机热备关系已建立的情况下，在一台设备上每执行条支持备份的命令时，此配置命令就会立即备份到另一台设备上。缺省情况下，对于可以备份的配置命令，只能在配置主设备上执行，配置备设备上不能执行。如果希望配置备设备也能执行支持备份的配置命令，可以在配置主设备或配置备设备上执行hrp standby config enable命令,开放配置备设备的配置权限之后，在配置备设备上执行的配置也会实时备份到配置主设备上

②运行配置批量备份两种情况触发配置的批量备份双机热备组网中的一台或两台设备重启在设备上执行hrp sync config，手动触发运行配置的批量备份

2.配置一致性检查

①配置主设备周期性地自动发起一致性检查配置主设备每隔24小时自动发起一次配置一致性检查，通过心跳线向配置备设备发送致性检查请求报文。配置备设备收到一致性检查求援文后，会收集运行配置，发送给配置主设备。配置主设备比较自身的运行配置和配置备设备的运行配置，确定两台设备的运行配置是否致。如果两台设备的配置不一致，配置主设备会产生告警

②管理员在设备上执行hrp compare命令触发一致性检查

3.状态信息备份①业务表项备份设备在处理报文时会产生相应的表项，并基于这些表项对报文进行检测和转发。为了保证故障切换后业务不中断，组成双机热备的两台设备之间需要备份业务表项。主备备份组网中，只有主用设备会处理业务，主用设备上生成业务表项，并向备用设备备份。负载分担组网中，两台设备都会处理业务，都会生成业务表项井向对端设备备份。

②会话快速备份问题:报文来回路径不一致可能导致TCP连接无法建立开启会话快速备份功能后，一台设备上收到SYN报文创建的TCP半连接会话会立即备份到另一台设备。

主动抢占

主用设备故障恢复后并不会立即进行主动抢占，而是要等待一定的延迟时间后再进行主动抢占。缺省情况下，主动抢占功能是开启的，抢占延迟是60秒。

双机热备配置要点

无论是二层还是三层接口，无论是业务接口还是心跳接口，都需要加入安全区域。主备设备的对应接口必须加入到相同的安全区域。例如，主用设备的10GE1/0/1接口加入了trust区域，那么备用设备的10GE1/0/1接口也必须加入trust区域

主备设备通过心跳线传递心跳报文、配置和表项备份报文、心跳链路探测报文、配置一致性检查报文，这些报文受firewall packet-flter basic-protocol enable命令控制。缺省情况下, firewall packet-filter basic-protocol enable处于开启状态，即这些报文受安全策略控制，需要在心跳接口所在安全区域与local区域之间配置安全策略，允许这些报文通过

当设备的业务接口工作在三层、连接交换机时，设备会向交换机发送免费ARP报文。免费ARP报文是广播报文，不受安全策略控制，无需配置安全策略。

当设备的业务接口工作在三层、连接路由器时，设备需要与路由器交互OSPF、BGP报文。OSPF、BGP报文受firewall packet-filter basic-protocol enable命令控制。缺省情况下, firewall packet-filter basic-protocol enable处于开启状态。