一、VGMP组控制VRRP备份组状态
VRRP的基本概念
VRRP(Virtual Router Redundancy Protocol)是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。
在FW上配置VRRP时,是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备,拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。
VRRP备份组有三种状态:Initialize、Master和Backup。
- Initialize:初始化状态。当设备的VRRP备份组状态为Initialize时,该VRRP备份组处于不可用状态。
- Master:活动状态。VRRP备份组状态为Master的设备被称为Master设备。Master设备拥有VRRP备份组的虚拟IP地址和虚拟MAC地址。Master设备收到目的IP地址是虚拟IP地址的ARP请求时,会响应这个ARP请求。
- Backup:备份状态。VRRP备份组状态为Backup的设备被称为Backup设备。Backup设备不会响应目的IP地址为虚拟IP地址的ARP请求。
当Master设备正常工作时,网络内主机通过Master设备与外部网络通信。当Master设备出现故障时,Backup设备会成为新的Master设备,接替原Master设备的报文转发工作,保证网络不中断。如图1所示,FW_A和FW_B的下行业务接口上配置了VRRP备份组1。内网主机的网关被配置成VRRP备份组1的虚拟IP地址10.0.0.1。内网主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组1状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组1状态为Backup,不会响应内网主机的ARP请求。内网主机访问外部网络的流量都被引导到FW_A转发。
二、基于VRRP实现负载分担双机热备
如果要两台FW工作在负载分担模式,两台FW上都要有状态配置为active的VRRP备份组。
如图1所示,FW_A的VRRP备份组1和3状态被配置成active,VRRP备份组2和4状态被配置成standby。FW_B的VRRP备份组2和4状态被配置成active,VRRP备份组1和3状态被配置成standby。正常情况下,两台设备的VGMP组状态都是load-balance,VRRP备份组的运行状态由配置决定。因此,FW_A的VRRP备份组1和3运行状态是Master,VRRP备份组2和4运行状态是Backup。FW_B的VRRP备份组2和4运行状态都是Master,VRRP备份组1和3运行状态是Backup。
内部网络中部分主机的网关被设置成了VRRP备份组3的虚拟IP地址10.0.0.1。这些主机在访问外部网络时,会广播一个ARP请求报文,请求10.0.0.1的MAC地址。FW_A的VRRP备份组3状态为Master,会响应内网主机的ARP请求。FW_B的VRRP备份组3状态为Backup,不会响应内网主机的ARP请求。FW_A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表,使这部分主机发往外部网络的流量都被引导到FW_A上处理。
而另一部分主机的网关被设置成了VRRP备份组4的虚拟IP地址10.0.0.2。这些主机在访问外部网络时,同样会广播一个ARP请求报文,请求10.0.0.2的MAC地址。此时,只有FW_B会响应这个ARP请求。因此,这部分主机的流量都被引导到FW_B上转发。
同理,路由器R1到内部网络路由的下一跳地址被设置成了VRRP备份组1的虚拟IP地址10.0.1.1,路由器R1发往内部网络的流量会被引导到FW_A上处理。路由器R2到内部网络路由的下一跳被设置成了VRRP备份组2的虚拟IP地址10.0.1.2,路由器R2发往内部网络的流量会被引导到FW_B上处理。
实验拓扑图
配置FW各个接口的IP地址,配置相同FW2的配置略
将FW的各个接口加入相应的安全区域,FW2配置相同
trust
priority is 85
interface of the zone is (2):
GigabitEthernet0/0/0
GigabitEthernet1/0/3
#
untrust
priority is 5
interface of the zone is (1):
GigabitEthernet1/0/1
#
dmz
priority is 50
interface of the zone is (1):
GigabitEthernet1/0/6
#设置FW1和FW2备份组
interface GigabitEthernet1/0/3
undo shutdown
ip address 10.3.0.1 255.255.255.0
vrrp vrid 3 virtual-ip 10.3.0.3 active
vrrp vrid 4 virtual-ip 10.3.0.4 standby
#
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 1.1.1.3 active
vrrp vrid 2 virtual-ip 1.1.1.4 standby
#在FW1和FW2上指定心跳口并启用双机热备功能
[FW1] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW1] hrp enable
[FW2] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
[FW2] hrp enable 在FW1上配置安全策略。双机热备状态成功建立后,FW1的安全策略配置会自动备份到FW2上
security-policy
rule name tr>un
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.255.0
action permit
#在FW1上配置NAT策略。双机热备状态成功建立后,FW1的NAT策略配置会自动备份到FW2上
nat-policy
rule name nat1
source-zone trust
destination-zone untrust
source-address 10.3.0.0 mask 255.255.0.0
action source-nat address-group group1
#实验结果
在Trust区域的pc1ping通untrust区域的R1路由器
915
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
