LS13 VRRP原理及实施-V226846.pptx

《LS13 VRRP原理及实施-V226846.pptx》由会员分享，可在线阅读，更多相关《LS13 VRRP原理及实施-V226846.pptx（83页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、HA高可用性VRRP原理及实施(V2.3)网御神州 客服中心2008.04学习目标学习完本课程，您应该能够了解网络高可用性基本概念掌握VRRP协议工作原理可用VRRP进行链路可靠性设计可用网神设备实施配置VRRP功能课程内容1.网络高可用性设计2.VRRP协议3.网神VRRP HA重要概念4.Active-Active设计案例(含Active-Standby)5.配置及实施6.HA 透明桥模式7.FAQ 1.网络高可用性设计HA(High Available)高可用性网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性进行网络可靠性设计时，关注以下方面：用户投资计划关键业务高可用性

2、用户投资计划设备投资：为保障可靠性的冗余设备线路投资：主要是冗余线路的租赁费维护成本：设备管理、维修及人员的投入等关键业务高可用性不同服务对网络要求不同，如：视频服务要求低延时、高带宽，是一种时性业务IP电话业务也要求低延时，并且保证带宽为确保数据中心高可用性，可考虑采用：服务器备份链路备份网络设备备份链路备份技术广域网链路备份技术局域网链路备份技术第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，厂家各行其是，CISCO私有）第三代STP：MISTP多实例生成树协议（CISCO私有），MSTP多生成树协议（802.1S）路

3、由协议备份技术动态路由协议（RIP/OSPF/BGP）设备备份技术（冗余）VRRP协议（最有代表性，各厂家都支持，衍生变种改进）HSRP协议（CISCO私有）2.VRRP协议VRRP（Virtual router redundancy protocol,虚拟路由器冗余协议），提供了局域网上的路由设备备份机制2.VRRP协议2.1 VRRP解决方法2.2 VRRP协议原理2.3 网神对于VRRP协议的改进2.4 VRRP与HSRP的区别和联系2.1 VRRP解决方法(1)Router单点故障！再加一台Router？2.1 VRRP解决方法(2)2.1 VRRP解决方法(3)VRRP优点不需改变组

4、网，配置简单实现了主机默认网关的备份对内网主机无任何负担可多台冗余备份（不仅2台）2.2 VRRP协议原理一种报文（选票？）三种状态（身份？）选举机制（啥时选？怎么选？）选举发布（通告！）主要参数2.2 VRRP协议原理(一种报文)VRRP报文这样定义是组播报文（224.0.0.18），适用于支持组播或广播的局域网（如以太网等）封装在IP报文上定时广播主路由器定期发送VRRP报文2.2 VRRP协议原理(一种报文)报文格式2.2 VRRP协议原理(一种报文)一个实际环境中抓取的报文2.2 VRRP协议原理(三种状态)VRRP定义了三种状态：初始状态（Initialize）活动状态（Master

5、）一组VRRP路由器中的一台路由器处于活动状态，称为主路由器（Master）备份状态（Backup）其余路由器处于备份状态，称为备份路由器（Backup）2.2 VRRP协议原理(选举机制)状态机转换2.2 VRRP协议原理(选举机制)选举时机初始状态时，各路由器都发送VRRP报文，选举主路由器当主路由器出现故障的时候，备份路由器通过选举产生新的主路由器。2.2 VRRP协议原理(选举机制)选举方法默认情况下选择优先级最大的为主路由器，其它路由器作为备份路由器主路由器定期发送VRRP报文如果备份路由器长时间没有收到主路由器报文，则将自己状态改为Master若有多台备份路由器，则根据接收的VRR

6、P报文，选举优先级最大的路由器成为新的主路由器2.2 VRRP协议原理(选举发布)选举发布发布时机：选举出主路由器之后，立即进行发布方法：免费ARP发布对象：周边设备，主动更新其ARP表2.2 VRRP协议原理(主要参数)VRRP主要参数如下：接口的虚拟IP地址（必填）备份组的优先级（必填）监视指定接口（必填）备份组的抢占方式和延迟时间（固定）备份组的认证方式和认证字（固定）备份组的定时器（固定）2.3 网神防火墙改进VRRP协议状态表同步路由器只“见”IP，网神防火墙关注“连接”，所有连接信息都在状态表中，并且进行同步优点：能保持现有TCP连接不断配置同步优点：保持配置一致性其它改进探测方法

7、等2.4 VRRP与HSRP的区别和联系在功能上,VRRP和HSRP非常相似VRRP更安全，允许参与VRRP组的设备间建立认证机制VRID等价于HSRP的组标识符HSRP有3种报文，6种状态，8种事件VRRP有1种报文，3种状态，5种事件3.网神防火墙VRRP重要概念3.1 HA基本配置同步网口及IP控制节点3.2 VRRP实例3.3 VRRP关联3.1 HA基本配置(1)3.1 HA基本配置(2)指定专门的网络接口，此网口仅用于配置同步和状态同步同步网口同步IP添加包过滤规则，允许另一台安全网关访问本安全网关secgate_ha_conf服务3.1 HA基本配置(3)控制节点（与VRRP是独

8、立的！）只针对配置而言！配置不同步时，以控制节点的配置为准，非控制节点进行同步正常情况下，配置立刻进行同步故障时，非控制节点主动重启，同步所有配置例外(个性信息不会进行同步)名称、IP、HA相关配置做设计时，建议把控制节点和Master FW配置在同一FW上3.2 VRRP实例(1)3.2 VRRP实例(2)VRID Vitual Router ID，是一个数字。是网络中Virtual Router的唯一的身份标识唯一的身份标识同一FW上不同实例必须不相同！两台FW上必须完全对应！数字应相同！3.2 VRRP实例(3)VRIP Virtual Router IPVirtual Router具有

9、一个或多个IP地址，在正常情况下，有这个Vritual Router中的主路由器掌管，当主路由器出现故障时由这个Virtual Router中的备份路由器掌管内网主机的网关就是VRIP！一个VRRP实例最多可配置60个IP地址，超过60个请设置多个实例两台FW上必须完全对应！推荐和网口地址在一个网段3.2 VRRP实例(4)网络接口VRIP绑定在这个物理接口上实例名称VRRP实例名称对于VRRP协议没有实际意义在一台FW上，实例名称是唯一的，可理解给VRID取了个名称3.2 VRRP实例(5)子实例名称仅在这种情况下可用：物理线路已经是备份的了，其中一条断了，不需要切换的情况仅在上述情况下，需

10、填写子实例名称若两个实例的名称相同，子实例名称不同，则理解为一条逻辑线路3.3 VRRP关联(1)3.3 VRRP关联(2)名称只是一个标识，无实际意义优先级当主路由器不可用时，备份路由器将根据自己的优先权来决定由谁接管主路由器的工作数字越小优先级越高两台FW上，对应VRRP关联的优先级必须不同！3.3 VRRP关联(3)VRRP列表来自已经定义的VRRP实例一个VRRP实例只能在一个VRRP关联中VRRP关联成员同生共死，一起生效或者失效3.3 VRRP关联(4)启动该VRRP关联开始工作，进入VRRP协议处理流程停止停止VRRP协议4.Active-Active设计案例(1)4.1 环境4

11、.2 设计目标4.3 主要设计思路4.4 故障切换4.5 设计要点4.1 环境 4.2设计目标环境两条线路出口不同部门走不同出口设计目标正常时，两台FW各负责一条线路当其中一路FW故障时，所有流量转移另一台FW上4.3 主要设计思路(1)主要设计思路在FW A/B上都配置两个VRRP关联FW A上VRRP关联1优先级高FW B上VRRP关联2优先级高正常时，关联1的Master在FW A上，关联2的Master在FW B上故障时，可切换，全部切换到一台FW上4.3 主要设计思路(2)两台虚拟路由器互为Active-Standby，Standby-ActiveServerA/B可看成路由器PCA

12、/B可看成内网不同部门4.4 故障切换(1)4.4 故障切换(2)故障切换当防火墙A出现故障时，防火墙B在接管防火墙A上的虚拟网关，承担整个链路的流量。防火墙A恢复之后，两台防火墙又会正常工作在Active-Active路由负载均衡状态 注意：如果两防火墙是用交换机连接注意：如果两防火墙是用交换机连接,那么交换那么交换机的端口必须设置为机的端口必须设置为portfast模式模式，否则切换时间过长4.5 设计要点设计要点：需求！（理清业务！）拓扑！（现有拓扑，设计后拓扑图）VRRP和控制节点规划地址（申请地址）纸面上跑通再上线推荐：VRRP实例和关联命名规则网口一一对应5.配置及实施5.1 配置

13、要点5.2 主要注意事项5.3 FW A主要配置步骤5.4 FW A主要配置步骤5.1 配置要点配置六步：设置同步网络接口，设置控制节点和非控制节点。允许两台FW相互可访问secgate_ha_conf服务允许VRRP组播报文到达本FW。（目的224.0.0.18）添加若干VRRP实例（VRID，VRIP）添加VRRP关联（priority）启动VRRP关联5.2 主要注意事项1.除了FW名称、网络接口地址、HA相关配置等个性信息，其它配置，比如安全规则等，FW可以进行同步，因此只需在主控节点上配置安全规则等，非主控节点启动以后可自动同步过来，避免手工输入错误！2.FW上所有网口工作在路由模式

14、。3.交换机上相应接口应设置为portfast模式，避免因交换机学习生成树协议，导致切换过慢5.3 FW A主要配置(1)1.设置同步网口等。在fe1口启动状态同步，选中设置为控制节点。启用自动配置同步和状态同步。5.3 FW A主要配置(2)2.允许同步服务。到”安全规则-安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.3 FW A主要配置(3)3.允许VRRP组播报文。配置防火墙A的fe2和fe3口工作在路由模式，添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则 5.3 FW A主要配置(4.1)4.添加VRRP实例。进入“高

15、可用性-路由模式HA-VRRP实例”，添加fe2和fe3口的四个VRRP实例，如下图所示注意事项：同一FW上四个VRRP实例的VRID不能相同不同FW上VRID相同的实例互为备份在后面配置防火墙B的VRRP实例时，防火墙B中虚拟网关的VRID要和防火墙A相同的虚拟网关的VRID相同5.3 FW A主要配置(4.2)5.3 FW A主要配置(4.3)5.3 FW A主要配置(4.4)5.3 FW A主要配置(4.5)5.3 FW A主要配置(5.1)5.添加VRRP关联。进入“高可用性-路由模式HA-VRRP关联”，如图添加两个VRRP关联。这样当一个VRRP实例出现故障时，则认为该VRRP关联

16、故障。5.3 FW A主要配置(5.2)5.3 FW A主要配置(6)6.启动VRRP关联。选中这两个VRRP关联，启动。5.4 FW B主要配置(1)1.设置同步网口等。在fe1口启动状态同步，不选中控制节点，即为非控制节点。启用自动配置同步和状态同步。5.4 FW B主要配置(2)2.允许同步服务。到”安全规则-安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.4 FW B主要配置(3)3.允许VRRP组播报文。添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则 5.4 FW B主要配置(4.1)4.添加VRRP实例。进入“高可用

17、性-路由模式HA-VRRP实例”，如图添加fe2和fe3口的四个VRRP实例。5.4 FW B主要配置(4.2)5.4 FW B主要配置(4.3)5.4 FW B主要配置(4.4)5.4 FW B主要配置(4.5)注意：四个VRRP实例中的虚拟网关VRID要分别和防火墙A上fe2和fe3端口对应的虚拟网关的VRID相同 5.4 FW B主要配置(5.1)5.添加VRRP关联。进入“高可用性-路由模式HA-VRRP关联”，如图添加两个VRRP关联。5.4 FW B主要配置(5.2)5.4 FW B主要配置(6)6.选中这两个VRRP关联，启动 关键内容回顾VRRP-虚拟冗余路由协议，工作原理Ac

18、tive-Active设计，一个案例，涵盖了Active-Standby设计设计要点FW配置主要分为6步一个配置实例在 网络配置-网络接口 修改接口为混合模式6 HA 透明桥模式在 网络配置-网络接口 修改接口为混合模式 并添加相应的VLAN ID6 HA 透明桥模式在 网络配置-网络接口 修改接口为混合模式 并添加相应的VLAN ID6 HA 透明桥模式在 网络配置-透明桥 添加绑定的接口6 HA 透明桥模式在 网络配置-透明桥 添加绑定的接口6 HA 透明桥模式在 网络配置-透明桥 启用透明桥监控6 HA 透明桥模式在 安全策略-安全规则 配置规则在 高可用性-HA基本配置 配置同步接口在 高可用性-路由模式HA-VRRP实例 添加VRID和虚拟IP地址在 高可用性-路由模式HA-VRRP关联 添加VRRP 优先级6 HA 透明桥模式注意：以上设置和HA路由模式完全相同。在 高可用性-桥模式HA-桥配置 选择是否启用STP协议（生成树）建议不启用6 HA 透明桥模式在 高可用性-桥模式HA-VLAN配置 添加VLAN 和 相关优先级6 HA 透明桥模式在 高可用性-桥模式HA-VLAN配置 添加VLAN 和 相关优先级6 HA 透明桥模式在 高可用性-桥模式HA-VLAN配置 启用使用PVST+6 HA 透明桥模式7 FAQ欢迎大家批评指正！欢迎大家批评指正！谢谢！谢谢！