大家好,又见面了,我是你们的朋友全栈君。
点击上方蓝字关注我吧!
双机热备技术
双机热备技术产生的原因:传统的组网中,内部用户和外部用户的交互全部通过唯一的一台防火墙,当该防火墙出现故障时,内部网络中所有的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。双机热备技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通。为了避免传统组网中所形起的单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换,存在一定的局限性。一种新的保护机制VRRP(虚拟路由冗余协议):比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。VRRP(virtual router Redundancy protocol, 虚拟路由冗余协议)。备份组:同一个广播域的一组路由器组织成一个虚拟路由器,备份组中的所有路由器一起,共同提供一个虚拟IP地址,作为内部网络的网关地址。主(Master)路由器:在同一个备份组中的多个路由器中,只有一台处于活动状态,只有主路由器能转发以虚拟IP地址作为下一跳的报文。备份(Backup)路由器:除主路由外,其他路由器均为备份路由器,处于备份状态。VRRP在防火墙应用中存在的缺陷:VRRP的状态应保持一致,即防火墙1的所有接口均为主用状态,防火墙2的所有接口均为备用状态。否则会导致会话中断。为了保证所有VRRP备份组切换的一致性,在VRRP的基础上进行扩展,推出了VGMP(VRRP Group Management Protocol)来弥补此局限。
VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组加入到一个VRRP管理组,由管理组统一管理所有的VRRP备份组:从而保证管理组内所有的VRRP备份组状态都是一致的;会话表状态备份。
通过指定VGMP组的优先级来决定谁成为主防火墙或备用防火墙。状态为MASTER的VGMP会定期向对端发送HELLO报文,发送周期缺少为1秒,SLAVE端收到HELLO报文后,会回应一个ACK消息。当SLAVE端三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到MASTER状态。当原来出现故障的主设备故障恢复时,其优先级也会恢复,重新将自己的状态抢占为主。
配置
在接口视图下,配置VRRP:
vrrp vrid ID virtual-ip-address [mask] {master | slaver}
vrrp virtual-mac enable
指定心跳线
hrp interface interface-type interface-number
启用HRP备份功能
hrp enable
实验拓扑
根据如下拓扑图,完成双机热备配置:
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/127289.html原文链接:https://javaforall.net
