双机热备篇 你所不知道的HRP.2
6 什么是心跳链路探测报文?与HRP心跳报文有什么区别?
两台防火墙之间备份的数据是通过防火墙的心跳口发送和接收的,是通过心跳链路(备份通道)传输的。心跳口必须是状态独立且具有IP地址的接口,可以是一个物理接口GE,也可以是为了增加带宽,由多个GE接口捆绑而成的一个逻辑接口Eth-Trunk(通常情况下,备份数据流量约为业务流量的20%~25%,请根据备份数据量的大小选择捆绑GE接口的数量)。
如下图所示,我们经常会配置多个心跳口(多个GE或者多个Eth-Trunk接口),从而形成多条心跳链路,以保证备份数据的可靠传输。两台防火墙通过心跳口相互发送心跳链路探测报文,来检测对端设备的心跳口能否正常接收本端设备的报文,以确定是否有心跳口可以使用。心跳链路探测报文也是由VRRP报文头封装的,当VRRP报文头中Type=2,Type2=2时,报文封装成心跳探测链路报文。
如上图所示,心跳接口有五种状态(执行命令display hrp interface可以查看):
l invalid:当本端防火墙上的心跳口配置错误时显示此状态(物理状态up,协议状态down),例如指定的心跳口为二层接口或未配置心跳接口的IP地址。
l down:当本端防火墙上的心跳口的物理与协议状态均为down时,则会显示此状态。
l peerdown:当本端防火墙上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果收不到对端响应的报文,那么防火墙会设置心跳接口状态为peerdown。但是心跳口还会不断发送心跳链路探测报文,以便当对端的对应心跳口up后,该心跳链路能处于连通状态。
l ready:当本端防火墙上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果对端心跳口能够响应此报文(也发送心跳链路探测报文),那么防火墙会设置本端心跳接口状态为ready,随时准备发送和接受心跳报文。这时心跳口依旧会不断发送心跳链路探测报文,以保证心跳链路的状态正常。
l running:当本端防火墙有多个处于ready状态的心跳口时,防火墙会选择最先配置的心跳口形成心跳链路,并设置此心跳口的状态为running。状态为running的接口负责发送和HRP心跳报文、HRP数据报文、HRP一致性检查报文和VGMP报文。
这时其余处于ready状态的心跳口处于备份状态,当处于running状态的心跳口或心跳链路故障时,其余处于ready状态的心跳口依次(按配置先后顺序)接替当前心跳口处理业务。如上图所示,由于两台防火墙心跳接口的配置顺序与接口编号顺序相同,所以先配置的处于ready状态的心跳口GE1/0/3成为running状态,而后配置的处于ready状态的心跳口GE1/0/4处于备份状态。
下面我们来看一种特殊情况:两台防火墙的心跳口配置顺序不一致时的情况。如下图所示,两台防火墙的GE1/0/2、GE1/0/3、GE1/0/4接口都是能够正常工作的心跳口(处于ready状态)。由于FW1先配置GE1/0/3为心跳口,而FW2先配置GE1/0/2为心跳口,所以FW1的GE1/0/3 心跳口状态为running,而FW2的GE1/0/2心跳口状态为running。这样FW1的HRP数据报文会从GE1/0/3发送,而FW2的HRP数据报文会从GE1/0/2发送。虽然HRP数据报文的发送和接收接口不一致,但这并不会影响双机热备的正常工作。
最后来总结下心跳链路探测报文和HRP心跳报文的区别。心跳链路探测报文用于检测对端设备的心跳口能否正常接收本端设备的报文,以确定心跳口是否可用的。只要本端心跳接口的物理和协议状态up就会向对端心跳口发送心跳链路探测报文进行探测。HRP心跳报文是用于探测和感知对端设备(VGMP组)是否正常工作的。HRP心跳报文只有主用设备的VGMP组通过状态为running的心跳口发出。
7 HRP一致性检查报文能够检查哪些内容?是如何实现的?
HRP一致性检查报文用于检测双机热备状态下的两台防火墙的双机热备配置是否一致以及策略配置是否相同。双机热备配置的一致性检查包括两台防火墙是否监控了相同的业务接口,是否配置了相同的心跳接口等。策略配置一致性检查主要检查两台防火墙是否配置了相同的策略,包括安全策略、带宽策略、NAT策略、认证策略和审计策略。HRP一致性检查报文也是由VRRP报文头封装的,当VRRP报文头中Type=2,Type2=5时,报文封装成HRP一致性检查报文。
HRP一致性检查的实现原理如下:
1. 执行一致性检查命令(hrp configuration check { all | audit-policy | auth-policy | hrp | nat-policy | security-policy | traffic-policy })后,执行此命令的设备会发送一致性检查请求报文给对端,并且同时收集自身的相关模块的配置信息摘要。
2. 对端设备收到请求后,会收集自身相关模块的配置信息摘要,然后封装到一致性检查报文中返回给本端设备。
3. 本端设备会对比自身的配置摘要和对端设备的配置摘要,并记录比较信息。客户可以执行命令display hrp configuration check查看一致性检查结果。例如下面的结果表示双机热备配置一致。
HRP_A[FWA] display hrp configuration check hrp
Module State Start-time End-time Result
hrp finish 2008/09/08 14:21:56 2008/09/08 14:21:56 same configuration
至此,双机热备篇圆满结束,感谢各位小伙伴的观看~ 下周强叔将为大家带来本季的收官之作――防火墙出口选路篇,大家敬请期待!