HRP协议详解

今天继续给大家介绍HCIE安全系列相关内容。本文给大家介绍HRP协议的相关理论知识,包括概述、数据备份范围、数据备份方式、备份通道状态和备份通道选择五个方面。
阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。
推荐阅读:
VGMP协议详解

一、HRP协议概述

HRP(Huawei Redundancy Protocol),华为冗余协议,主要用于实现防火墙双机之间动态状态数据关键配置命令实时备份。
HRP协议功能的实现借助了HRP报文,而HRP报文实际上上是一种VGMP报文,承载在VGMP报文的Data区域。通常而言,HRP协议以VGMP心跳线作为备份通道传输备份数据和命令。
HRP存在两种报文——管理面报文转发面报文
管理面HRP报文主要指定HRP备份的一些上层信息,包括备份的方式、备份的数据类型等等。而转发面HRP同步报文则是实时备份报文。
HRP存在两种封装模式——VRRP封装UDP封装
管理面HRP报文封装格式为:
VRRP封装:
在这里插入图片描述
UDP封装:
在这里插入图片描述
转发面HRP报文封装格式为:
VRRP封装:
在这里插入图片描述
UDP封装:
在这里插入图片描述

二、HRP数据备份范围

(一)HRP可以备份的数据

HRP可以备份的数据有以下几种:
策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等
对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)
网络: 包括新建逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联动等
系统: 包括管理员配置和日志配置等

(二)HRP不能备份的数据

HRP不能备份的数据有以下几种:
维护命令: reset、debugging
系统命令: data-flow等命令
还有管理员、VSYS、物理接口上IP地址等配置命令。

(三)HRP可以备份的设备状态

HRP可以备份的设备状态有:
NGFW生成的会话表;Server-Map表;IP监控表;分片缓存表;GTP表;黑名单;PAT方式端口映射表;No-PAT方式地址映射表等。

三、HRP数据备份方式

HRP数据别分方式有以下三种,备份命令he 备份状态信息如下表所示:

备份方式 备份命令 备份状态信息
自动备份 在主设备上每执行一条可以备份的命令时,此配置命令就会被同步执行到备用设备 当主设备上产生了需要备份的状态信息时,主用设备自动将状态信息同步到备用设备进行备份,备用设备更新状态
批量备份 主设备将备份范围内的配置命令批量发送到备用设备,备用设备同步执行这些配置命令 主设备将备份范围内的状态信息批量发送到备用设备,备用设备更新状态
快速备份 不备份命令 将主设备相应的额状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断

在这三种备份方式中,自动备份时热备的缺省备份方式,批量备份需要手动执行命令触发,快速备份主要用于负载分担导致的来回路径不一致的场景。

四、HRP备份通道状态

当设备两边均对应配置心跳口后,防火墙会判断心跳接口的物理与协议状态。防火墙的心跳链路一共存在五种状态:
1、running 此状态表示接口正常运行。
2、ready此状态表示接口正常鱼腥,但为备用备份通道,当前为使用。
3、peerdown 此状态表示接口本端正常,但是收不到对端的心跳报文。
4、invalid 此状态表示未指定心跳口的IP地址,心跳口工作在二层。
5、down 此状态表示心跳接口的物理状态与协议状态均为down。

五、HRP备份通道选择

防火墙通过VGMP链路探测报文,检测备份通道的质量,只要本端发送的探测报文对端可以收到并回应,那么认为本端心跳接口可通,与对端配置顺序无关。
当本端心跳接口发生故障时,那么本端立刻切换到第一个处于ready状态的心跳接口。此动作与对端无关。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119256386

你可能感兴趣的:(HCIE安全)