华为防火墙VRRP双机热备的原理及配置详解
一、何为双机热备?
所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
二、VRRP的概念
VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。
三、VRRP的两种角色
四、VRRP的选举流程
VRRP选举master路由器和backup路由器的流程如下:
首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。
除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。
VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。
五、VRRP的三个状态
六、通过VGMP统一管理VRRP的状态
在网络设备上使用VRRP和在其他情景下(Linux中的KeepAlived也使用了VRRP协议)使用并不一样,存在的原因如下图:
从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。
造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的接口发生变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为master设备)。
可以简单理解为,VGMP就是用来统一设备在不同备份组中的状态的即可。
在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。
1、VGMP的报文封装
VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式:
如上图中左边的网络图中,心跳线(G1/0/0)和对端的心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息,而当心跳线通过三层设备(当然这种情况并不多见)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部消息,此时发送的报文属于单播。
通过以下命令指定通过接口发送的报文属于哪种类型的封装。
2、双机热备的备份方式
各个模式的配置命令如下:
(1)开启双机热备功能:
(2)配置自动备份模式:
(3)配置手工批量备份模式:
(4)配置快速备份模式:
3、关于上游或下游设备的选路问题
当双机热备的设备上游或下游是交换机时,是通过VRRP检测接口或设备的状态,但当上游或下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法是监控其接口状态,并配置OSPF实现流量切换,通过直接将接口加入VGMP组中,当接口故障时(即使是对端设备故障,本端接口的物理特性也将关闭)VGMP会感知接口状态变化,从而降低VGMP组的优先级,从Active状态切换至standby状态。而之前的standby组将提升为active状态,而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至active组设备中。
七、配置实例
环境如下(别看上面啰嗦了那么一堆概念,但真正配置起来,简单的很,但是若要排错,还是要理解透彻它的工作原理):
声明:该环境不以实际环境为目的,目的是为了介绍防火墙的双机热备,所以这是一个简化环境。
需求如下:
LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。
开始配置:
FW1配置如下:
至此,FW1的配置暂时就完成了。开始配置FW2,FW2的配置与FW1的配置类似,就不写注释了
FW2配置如下:
配置至此,双机热备状态已经同步了,现在FW2为备份状态,多数配置已经无法在FW2上进行,只能在FW1上配置后,自动同步到FW2,那么现在在FW1配置一条策略,以便允许trust区域访问untrust区域,并且在FW2防火墙设备上查看是否同步到这条策略。
FW1配置如下:
FW2设备上查看是否有FW1创建的策略:
配置R1路由器及PC及的IP地址,并ping通。
R1路由器配置如下(R1路由器相当于运营商的公网上的路由器了,这里只是为了模拟一个这样的环境):
PC1的IP地址配置如下:
PC1和R1路由器进行ping测试(最好在命令最后加“-t”选项,进行持续ping,以便查看会话表,否则会话表会老化,查不到相应数据):
在FW1查看会话表:
在FW2查看会话表:
可以看出两个防火墙上的会话表内容都是不一样的(但不会影响故障切换)。
那么现在就可以进行故障切换的验证咯!
模拟FW1设备故障(关闭FW1的任意一个接口即可,注:此时PC1还在持续pingR1,才可以看到故障切换的效果):
在关闭接口的后的一两秒钟,可以看到PC1丢了一个包,便又恢复正常了,说明故障切换成功。如下:
配置到此结束,下面是关于双机热备的一些查询命令:
八、总结
