双机热备
FW1的配置 | FW2的配置 |
interface GigabitEthernet 1/0/1 ip address 10.1.1.2 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口GE1/0/1加入VRRP备份组1,并将VRRP备份组1加入Active组。 | interface GigabitEthernet 1/0/1 ip address 10.1.1.3 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 standby //将接口GE1/0/1加入VRRP备份组1,并将VRRP备份组1加入Standby组。 |
interface GigabitEthernet 1/0/3 ip address 1.1.1.2 255.255.255.0 vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 active //将接口GE1/0/3加入VRRP备份组2,并将VRRP备份组2加入Active组。 | interface GigabitEthernet 1/0/3 ip address 1.1.1.3 255.255.255.0 vrrp vrid 2 virtual-ip 1.1.1.1 255.255.255.0 standby //将接口GE1/0/3加入VRRP备份组2,并将VRRP备份组2加入Standby组。 |
hrp interface GigabitEthernet 1/0/2 //指定心跳口 hrp enable //启用双机热备功能 | hrp interface GigabitEthernet 1/0/2 //指定心跳口 hrp enable //启用双机热备功能 |
各种VGMP报文和HRP报文都是通过心跳口发送的,心跳口可以说是双机热备的“命脉”,要点多多,务必关注:
1,两台设备的心跳口必须加入相同的安全区域。
2,两台设备的心跳口的接口类型和编号必须相同。例如主用设备的心跳接口为GigabitEthernet 1/0/2,那么备用设备的心跳接口也必须为GigabitEthernet 1/0/2。
3,配置心跳口时如果不添加remote参数,则两台设备的心跳口需要直接相连或通过二层交换机相连,并且不需要配置安全策略。如果配置心跳口时添加remote参数(例如hrp interface GigabitEthernet 1/0/2 remote 10.1.1.2),那么两台设备的心跳口可以通过路由器相连,但是需要配置安全策略。因为不添加remote参数时,心跳口发送的报文是用VRRP报文封装的,是一种组播报文。组播报文不能跨越网段传输,且不受安全策略控制。添加remote参数后,从心跳口发送的各种报文将封装成UDP报文。UDP报文是一种单播报文,只要路由可达就可以跨越网段传输,但需要受到安全策略控制。安全策略的配置方法是允许报文在local区域与心跳口所在安全区域间双向通过。
查看FW1上的vrrp状态
HRP_M[USG6000V1]dis vrrp brief
Total:2 Master:2 Backup:0 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/1 Vgmp 10.1.1.1
2 Master GE1/0/3 Vgmp 1.1.1.1
手动关闭FW1上的g1/0/1端口,模拟故障。
HRP_S[USG6000V1]display vrrp brief
Total:2 Master:0 Backup:1 Non-active:1
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Initialize GE1/0/1 Vgmp 10.1.1.1
2 Backup GE1/0/3 Vgmp 1.1.1.1
负载均衡
nterface GigabitEthernet 1/0/1 ip address 10.1.1.3 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active //将接口GE1/0/1加入VRRP备份组1,并将VRRP备份组1加入Active组。 vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 standby //将接口GE1/0/1加入VRRP备份组2,并将VRRP备份组2加入Standby组。 | interface GigabitEthernet 1/0/1 ip address 10.1.1.4 255.255.255.0 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 standby //将接口GE1/0/1加入VRRP备份组1,并将VRRP备份组1加入Standby组。 vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 active //将接口GE1/0/1加入VRRP备份组2,并将VRRP备份组2加入Active组。 |
interface GigabitEthernet 1/0/3 ip address 1.1.1.3 255.255.255.0 vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 active //将接口GE1/0/3加入VRRP备份组3,并将VRRP备份组3加入Active组。 vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 standby //将接口GE1/0/3加入VRRP备份组4,并将VRRP备份组4加入Standby组。 | interface GigabitEthernet 1/0/3 ip address 1.1.1.4 255.255.255.0 vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 standby //将接口GE1/0/3加入VRRP备份组3,并将VRRP备份组3加入Standby组。 vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 active //将接口GE1/0/3加入VRRP备份组4,并将VRRP备份组4加入Active组。 |
hrp interface GigabitEthernet 1/0/2 //指定心跳口 hrp enable //启用双机热备功能 | hrp interface GigabitEthernet 1/0/2 //指定心跳口 hrp enable //启用双机热备功能 |
当防火墙上行或下行设备是路由器的时候,VGMP就无力应对了么?当然不会的!
查看FW1上的vrrp状态
HRP_S[USG6000V1]display vrrp brief
Total:4 Master:2 Backup:2 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Master GE1/0/1 Vgmp 10.1.1.1
2 Backup GE1/0/1 Vgmp 10.1.1.2
3 Master GE1/0/3 Vgmp 1.1.1.1
4 Backup GE1/0/3 Vgmp 1.1.1.2
查看FW2上的vrrp状态
HRP_M[FW2]dis vrrp brief
Total:4 Master:2 Backup:2 Non-active:0
VRID State Interface Type Virtual IP
----------------------------------------------------------------
1 Backup GE1/0/1 Vgmp 10.1.1.1
2 Master GE1/0/1 Vgmp 10.1.1.2
3 Backup GE1/0/3 Vgmp 1.1.1.1
4 Master GE1/0/3 Vgmp 1.1.1.2