双机热备
基于VRRP的路由器冗余部署方案
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。同一VRRP备份组内的路由器有两种角色:Master设备(活动状态)、Backup设备(备份状态)。
主设备Router A正常时:
Router A作为VRRP备份组的Master设备,负责转发数据流量。
主设备Router A故障时:
Router B感知到VRRP心跳超时,从而被选举为新的主设备;
Router B发送免费ARP,交换机收到后刷新MAC地址表;
Router B响应用户的ARP请求,并负责流量转发。
VRRP在防火墙之中的应用
为防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个VRRP备份组
VGMP的基本原理
为了保证所有VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP组管理协议)来弥补此局限。将同一台防火墙上的多个VRRP备份组都加入到一个VGMP管理组,由管理组统一管理所有VRRP备份组的状态,来保证管理组内的所有VRRP备份组状态都是一致的。
当故障发生时,VGMP统一切换VRRP备份组1与VRRP备份组2的状态。当VGMP组状态为Active时,VRRP备份组的状态都是Master;当VGMP组状态为Standby时,VRRP备份组的状态都是Backup
HPR的基本概念
主要是用来实现防火墙之间的状态信息和关键配置的 动态备份,不同厂商采取的方法不同。
其需要备份的内容如下
防火墙双机热备主备设备切换
业务口/业务线路故障
如图所示,防火墙A的业务口/所连业务线出现故障时,防火墙A的VGMP组优先级降低,发送VGMP请求报文;
防火墙B收到对端发送的VGMP请求报文后,与自己的VGMP组优先级进行比较,发送VGMP应答报文;
防火墙A收到回应报文,将VGMP组状态切换为Standby,防火墙A上的VRRP备份组1和备份组2则切换状态为Backup;
防火墙B将VGMP组状态切换为Active,防火墙B上的VRRP备份组1和备份组2则切换状态为Master。由防火墙B向交换机B和D发送免费ARP报文。
NAT实验
实验拓扑
PC1配置的IP地址为192.168.2.2/24
进入防火墙配置NAT
做好NAT之后写策略,放通流量
测试PC1是否能够访问PC2
接下来配置源地址和目标地址双转
配置NAT策略
创建地址池
NAT配置好了之后配置策略放行
测试是否能够访问并且抓包查看
双机热备实验
配置主设备防火墙
配置虚拟ip
配置备用防火墙
查看设备信息
测试是否能够成功切换
此时3为主4为备
关闭g0/0/7接口
此时可以成功切换
235
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
