安全HCIP之双机热备-理论

双机热备

• 双击热备份技术产生的原因：

• 理论基础

  • 当主设备宕机，备设备会发送一个免费的arp给交换机，来冲刷交换机的mac地址表，从而把流量引导到备设备中；
  • 多个VRRP组，统一切换问题：VGMP（默认开启），统一管理VRRP组，实现统一切换，避免了来回路径不一致；
  • 安全策略的配置和会话同步问题：主备的安全策略和会话要同步才能保证来回路径不一致的问题，HRP来实现这个同步，部署在主备设备之间（心跳线）；

• 双击热备协议架构

  • VRRP：负责单个接口的故障检测和流量引导，每个VRRP备份组拥有一个虚拟IP地址，作为网络的网关地址，在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量；
  • VGMP：将系统中所有的VRRP备份组集中管理，控制状态统一切换，保证出现故障时上下行流量能同步切换备用防火墙；
  • HRP：负责双击之间的同步；

• 配置流程

  • 三大配置原则：
  1. 在双机热备组网中，在配置其他业务之前必须在主备设备上先完成双击热备的所有配置，并保证双击状态正常；
  2. 在主备备份组网中，关键业务在主设备上完成配置即可，备用设备可以同步主设备的配置命名，建议割接前对比主设备配置文件，保证双机配置一致；
  3. 在负责分担组网中，两个设备处于互为主备的状态，所以业务特性要在两个设备上分别配置；

• 配置注意事项

  • 硬件限制
    • 目前只支持两台设备进行双机热备；
    • 主备设备的产品型号和版本必须相同；
    • 主备设备接口ka的为止、类型和数目都必须相同，否则会出现朱勇设备备份过去的信息，与备用设备的物理配置无法兼容，导致主备切换后出现问题；
  • 软件限制
    • 主备设备的软件版本必须一致；
    • 主备设备的Bootrom版本必须一致；
    • 建议主备设备的配置文件均为初始文件，否则两台设备可能冲突；
    • 主备设备对应接口必须加入到相同的安全区域；
    • 主备设备的心跳口（HRP备份通道）配置必须一致，心跳口的MTU值必须是1500；
    • 主备设备业务接口的IP地址必须固定，因此双机热备不能与PPoE拨号、DHCP Client等自动获取地址等特性结合使用；
    • 双机热备成功建立后，如果希望使用Web界面更改“运行模式”（从“主备备份”切换成“负载分担”， 或者从“负载分担”切换成“主备备份”），则必须先请客所有双击热备的配置；

• 流量引导

  • 当VGMP管理组检测到成员状态变化，从而进行主备切换之后，需要能及时有效的对业务流量进行引导，VGMP管理组的流量引导功能负责在倒换时进行业务流量的引导，目前VGMP管理组支持的业务流量引导手段有如下几种：
    • 虚拟IP地址方式：用于防火墙三层业务接口连接二层交换机组网；
    • 路由COST调整方式：用于防火墙三层业务接口连接路由器，主备备份猪王；
    • 动态路由收敛方式：用于防火墙三层业务接口连接路由器，路由器组网，负载分担组网；
    • VLAN启用和禁用方式：用于防火墙业务接口工作在透明模式的组网中；