一、何为双机热备?
所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
华为防火墙的双机热备包含以下两种模式:
- 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作。
- 负载均衡模式:同一时间内,多台防火墙同时转发数据,并且互为备份,每个防火墙既是主设备,也是备用设备。防火墙之间同步会话表及server-map表。
二、VRRP的概念
VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。
VRRP的相关专业术语介绍:
- VRRP路由器:运行VRRP协议的路由器。
- 虚拟路由器:由一个主用路由器和若干个备用路由器组成一个备份组,一个备份组对客户端提供一个虚拟网关。
- VRID:虚拟路由器标识,用来唯一的标识一个备份组。
- 虚拟IP地址:提供给客户端的网关地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
- 虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。
- IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
- 优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
- 抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),则将立即成为新的主用路由器。
- 非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),也不会立即成为主用路由器,直到下一次公平选举(如重启设备等)。
三、VRRP的两种角色
工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器。
- Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前状态信息。
- Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。
四、VRRP的选举流程
VRRP选举master路由器和backup路由器的流程如下:
首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。
除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。
VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。
五、VRRP的三个状态
VRRP定义了三种状态,分别如下:
- Initalize状态:刚配置了VRRP时的状态下,在该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。
- Master状态:当前设备选举成为master路由器时的一种状态,该状态下会转发数据报文,并周期性地发送VRRP通告报文,当接口关闭或设备宕机后将立即切换至Initialize状态。
- Backup状态:当前设备选举成为备用路由器时的一种状态,该状态不转发任何数据报文,只会接收master路由器发送VRRP通告报文,以便检测master路由器是否在正常工作,并且还同步主用设备上的状态信息。
六、通过VGMP统一管理VRRP的状态
在网络设备上使用VRRP和在其他情景下(Linux中的
最低0.47元/天 解锁文章
扫一扫
2276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
