背景
為了提升網路可靠性,避免單點故障的危險,需要在網路關鍵節點處部署兩臺防火墻設備,
防火墻業務介面作業在三層介面
場景
上下行連接交換機
主備備份雙機熱備狀態形成程序
-
雙機熱備啟用之后,FW1的Active組的狀態會由Initialize切換成Active,FW2的Standby組的狀態由Initialize切換成Standby,(實驗環境下,啟用雙機熱備后VGMP狀態機兩者都切換至Standby)
-
防火墻A的VRRP備份組都加入了Active組,且Active組狀態為Active,所以防火墻A的VRRP備份組1和備份組2的狀態都為Active,同理,防火墻B的兩個備份組狀態都為Standby,
-
防火墻A的VRRP備份組1和2分別向上下行交換機發送免費ARP報文,將VRRP備份組的虛擬MAC地址通知至交換機,
-
上下行交換機的MAC表項分別記錄虛擬MAC地址與埠G1/0/1和G1/0/3的對應關系,這樣當上下行的業務報文到達交換機后,交換機會將報文轉發至防火墻A上,所以防火墻A成為主用,防火墻B成為備用,
-
同時防火墻A的Active組還會通過心跳線定時向防火墻B發送HRP心跳報文,
主備備份雙機熱備故障后狀態切換
-
當主用設備G1/0/3介面故障后,防火墻A的VRRP備份組2的狀態變成Initialize,
-
防火墻A的Active組感知這一變化后,將自身的優先級降低2,并將自身狀態切換成Active To Standby,
-
防火墻A的Active組會向對端發送VGMP請求報文,請求將狀態切換成Standby,
-
防火墻B的Standby組收到防火墻A的Active組的VGMP請求報文后,比較VGMP優先級,65000高于64999,因此防火墻B的Standby組會將自身狀態切換成Active,
-
防火墻B的Standby組會向對端回傳VGMP應答報文,允許對端進行狀態切換,
-
防火墻B的Standby組會強制組內VRRP備份組1和2將狀態切換成Active,
-
防火墻B的VRRP備份組1和2分別向上下行交換機發送免費ARP報文,更新MAC轉發表,
-
防火墻A的Active組收到對端的VGMP確認報文后,會將自身狀態切換成Standby,
-
防火墻A的Active組會強制組內的VRRP備份組將狀態切換成Standby,故障介面除外,
-
上下行交換機收到防火墻B的免費ARP報文后更新MAC表項,記錄虛擬MAC地址與防火墻B介面的對應關系,這樣當上下行的業務報文到達交換機后,交換機會將報文轉發至防火墻B上,所以防火墻B成為主用,防火墻A成為備用,
-
主備狀態切換完成后新的主用設備防火墻B會定時向新的備用設備防火墻A發送HRP心跳報文,
負載分擔雙機熱備狀態形成程序
- 防火墻A的VRRP備份組1和3加入了Active組,即備份組狀態也為Active,備份組2和4加入了Standby組,即備份組狀態也為Standby,同理,防火墻B的VRRP備份組1和3為Standby組,2和4為Active組,
- 防火墻A 的VRRP備份組1和3分別向上下行交換機發送免費ARP報文,防火墻B的VRRP備份組2和4分別向上下行交換機發送免費ARP報文,
- 下行交換機的MAC表項會記錄VRRP備份組1的虛擬MAC地址與防火墻A介面的對應關系,備份組2的虛擬MAC地址與防火墻B介面的對應關系,上行交換機與此同理,這樣,兩個防火墻都會轉發業務報文,形成雙主,完成負載分擔,
- 負載分擔形成后,防火墻A的Active組會定期向防火墻B的Standby組發送HRP心跳報文,防火墻B的Active組會定期向防火墻A的Standby組發送HRP心跳報文,
負載分擔雙機熱備故障后狀態切換
兩臺防火墻形成負載分擔方式的雙機熱備后,如果其中一臺防火墻的介面故障,那么他們講切換成主備備份狀態,
- 當防火墻A的G1/0/1的介面故障后,VRRP備份組1和2的狀態都會變成Initialize,
- 防火墻A的Active組和Standby組的優先級都會降低2,變為64999和64998,經過VGMP協商后,防火墻A的Active組的狀態切換為Standby,防火墻B的Standby組的狀態切換為Active,
- 防火墻A的Active組和防火墻B的Standby組會強制組內備份組進行狀態切換,
- 防火墻B的VRRP備份組1和3分別向上下行交換機發送免費ARP報文,更新MAC轉發表,
- 上下行交換機對MAC轉發表進行修改,至此,防火墻A成為備用設備,防火墻B成為主用設備,負載分擔狀態變成主備備份狀態,
上下行連接路由器
主備備份雙機熱備狀態形成程序
- 主用防火墻A正常向外發布路由,備用設備防火墻B會在上下行設備發布路由時將Cost值增加65500,
- 對于RouterA而言,通過防火墻A去往外部的OSPF COST值為1+1+1=3,通過防火墻B去往外部的OSPF COST值為1+65500+1+1=65004,路由器選擇Cost值小的路徑轉發報文,即通過主用防火墻轉發,
主備備份雙機熱備故障后狀態切換
- 當防火墻A的業務介面故障后,VGMP組狀態切換,防火墻B為主用設備,防火墻A為備用設備,防火墻B正常發布路由,防火墻A發布路由時增加65500,
- 路由器選擇Cost值小的路徑轉發,
負載分擔雙機熱備狀態形成程序
防火墻介面加入VGMP管理組,確保防火墻至上下行路由器的Cost值一致,
上行連接路由器,下行連接交換機
主備備份雙機熱備狀態形成及故障切換程序
- 下行接的是交換機,防火墻配置VRRP,主防火墻的業務口加入到VRRP,并且加入到VGMP的ACTIVE組,備防火墻的業務口加入到VRRP,并且加入到VGMP的STANDBY組,
- 上游設備是路由器,主防火墻要將連接路由器的介面放到VGMP的ACTIVE組中進行監控,而備防火墻要將連接路由器的介面放到VGMP的STANDBY組中,進行監控,備防火墻會將鏈路COST值設定成65500,為了將流量引導到主防火墻,
- 當鏈路故障,優先級-2,或者是通過心跳判斷,都會引起的主備切換,重新被置成VGMP STANDBY狀態的防火墻,將自動修改鏈路COST值為65500,完成流量引導,引導流量到新的主防火墻,并且新的主防火墻還會將VGMP的成員,監控的下游VRRP組狀態設定成ACTIVE,發免費ARP,也完成下游流量的引導,保證上下游流量的所經過的防火墻保持一致,否則由于會話檢測的機制,會引起流量中斷,
負載分擔雙機熱備狀態形成程序
- 接交換機的介面分別放到兩個VRRP組和VGMP組中,一個防火墻一個VGMP組是Active狀態,另一個VGMP組狀態是Standby狀態,另一個防火墻同它相反,
- 上游將接入路由的介面也是分別放入到VGMP的Active組和Standby組,并且確保兩個防火墻連接路由器的介面Cost值初始設定都一致,(配了雙VGMP組后,hrp ospf cost adjust-enable自動失效)確保流量分別走兩個防火墻,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/29721.html
標籤:其他
下一篇:攻防世界elrond32題解