LS13 VRRP原理及實施課件

HA高可用性－VRRP原理及實施

(V2.3)網(wǎng)御神州客服中心2008.04HA高可用性－VRRP原理及實施

(V2.3)網(wǎng)御神州客1學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠了解網(wǎng)絡(luò)高可用性基本概念掌握VRRP協(xié)議工作原理可用VRRP進(jìn)行鏈路可靠性設(shè)計可用網(wǎng)神設(shè)備實施配置VRRP功能學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠2課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計VRRP協(xié)議網(wǎng)神VRRPHA重要概念A(yù)ctive-Active設(shè)計案例(含Active-Standby)配置及實施HA透明橋模式FAQ課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計31.網(wǎng)絡(luò)高可用性設(shè)計HA(HighAvailable)高可用性網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時，網(wǎng)絡(luò)提供服務(wù)的不間斷性進(jìn)行網(wǎng)絡(luò)可靠性設(shè)計時，關(guān)注以下方面：用戶投資計劃關(guān)鍵業(yè)務(wù)高可用性1.網(wǎng)絡(luò)高可用性設(shè)計HA(HighAvailable)4用戶投資計劃設(shè)備投資：為保障可靠性的冗余設(shè)備線路投資：主要是冗余線路的租賃費維護(hù)成本：設(shè)備管理、維修及人員的投入等用戶投資計劃設(shè)備投資：為保障可靠性的冗余設(shè)備5關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對網(wǎng)絡(luò)要求不同，如：視頻服務(wù)要求低延時、高帶寬，是一種時性業(yè)務(wù)IP電話業(yè)務(wù)也要求低延時，并且保證帶寬為確保數(shù)據(jù)中心高可用性，可考慮采用：服務(wù)器備份鏈路備份網(wǎng)絡(luò)設(shè)備備份關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對網(wǎng)絡(luò)要求不同，如：6鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)局域網(wǎng)鏈路備份技術(shù)第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，廠家各行其是，CISCO私有）第三代STP：MISTP多實例生成樹協(xié)議（CISCO私有），MSTP多生成樹協(xié)議（802.1S）路由協(xié)議備份技術(shù)動態(tài)路由協(xié)議（RIP/OSPF/BGP）設(shè)備備份技術(shù)（冗余）VRRP協(xié)議（最有代表性，各廠家都支持，衍生變種改進(jìn)）HSRP協(xié)議（CISCO私有）鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)72.VRRP協(xié)議VRRP－（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議），提供了局域網(wǎng)上的路由設(shè)備備份機(jī)制2.VRRP協(xié)議VRRP－（Virtualrouter82.VRRP協(xié)議2.1VRRP解決方法2.2VRRP協(xié)議原理2.3網(wǎng)神對于VRRP協(xié)議的改進(jìn)2.4VRRP與HSRP的區(qū)別和聯(lián)系2.VRRP協(xié)議2.1VRRP解決方法92.1VRRP解決方法(1)Router單點故障！再加一臺Router？2.1VRRP解決方法(1)Router單點故障！102.1VRRP解決方法(2)2.1VRRP解決方法(2)112.1VRRP解決方法(3)VRRP優(yōu)點不需改變組網(wǎng)，配置簡單實現(xiàn)了主機(jī)默認(rèn)網(wǎng)關(guān)的備份對內(nèi)網(wǎng)主機(jī)無任何負(fù)擔(dān)可多臺冗余備份（不僅2臺）2.1VRRP解決方法(3)VRRP優(yōu)點122.2VRRP協(xié)議原理一種報文（選票？）三種狀態(tài)（身份？）選舉機(jī)制（啥時選？怎么選？）選舉發(fā)布（通告！）主要參數(shù)2.2VRRP協(xié)議原理一種報文（選票？）132.2VRRP協(xié)議原理(一種報文)VRRP報文這樣定義是組播報文（224.0.0.18），適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等）封裝在IP報文上定時廣播主路由器定期發(fā)送VRRP報文2.2VRRP協(xié)議原理(一種報文)VRRP報文這樣定義142.2VRRP協(xié)議原理(一種報文)報文格式2.2VRRP協(xié)議原理(一種報文)報文格式152.2VRRP協(xié)議原理(一種報文)一個實際環(huán)境中抓取的報文2.2VRRP協(xié)議原理(一種報文)一個實際環(huán)境中抓取的報文162.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動狀態(tài)（Master）一組VRRP路由器中的一臺路由器處于活動狀態(tài)，稱為主路由器（Master）備份狀態(tài)（Backup）其余路由器處于備份狀態(tài)，稱為備份路由器（Backup）2.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：172.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換2.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換182.2VRRP協(xié)議原理(選舉機(jī)制)選舉時機(jī)初始狀態(tài)時，各路由器都發(fā)送VRRP報文，選舉主路由器當(dāng)主路由器出現(xiàn)故障的時候，備份路由器通過選舉產(chǎn)生新的主路由器。2.2VRRP協(xié)議原理(選舉機(jī)制)選舉時機(jī)192.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法默認(rèn)情況下選擇優(yōu)先級最大的為主路由器，其它路由器作為備份路由器主路由器定期發(fā)送VRRP報文如果備份路由器長時間沒有收到主路由器報文，則將自己狀態(tài)改為Master若有多臺備份路由器，則根據(jù)接收的VRRP報文，選舉優(yōu)先級最大的路由器成為新的主路由器2.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法202.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布發(fā)布時機(jī)：選舉出主路由器之后，立即進(jìn)行發(fā)布方法：免費ARP發(fā)布對象：周邊設(shè)備，主動更新其ARP表2.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布212.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：接口的虛擬IP地址（必填）備份組的優(yōu)先級（必填）監(jiān)視指定接口（必填）備份組的搶占方式和延遲時間（固定）備份組的認(rèn)證方式和認(rèn)證字（固定）備份組的定時器（固定）2.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：222.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步路由器只“見”IP，網(wǎng)神防火墻關(guān)注“連接”，所有連接信息都在狀態(tài)表中，并且進(jìn)行同步優(yōu)點：能保持現(xiàn)有TCP連接不斷配置同步優(yōu)點：保持配置一致性其它改進(jìn)探測方法等2.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步232.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和HSRP非常相似VRRP更安全，允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制VRID等價于HSRP的組標(biāo)識符HSRP有3種報文，6種狀態(tài)，8種事件VRRP有1種報文，3種狀態(tài)，5種事件2.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和H243.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置同步網(wǎng)口及IP控制節(jié)點3.2VRRP實例3.3VRRP關(guān)聯(lián)3.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置253.1HA基本配置(1)3.1HA基本配置(1)263.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配置同步和狀態(tài)同步同步網(wǎng)口同步IP添加包過濾規(guī)則，允許另一臺安全網(wǎng)關(guān)訪問本安全網(wǎng)關(guān)secgate_ha_conf服務(wù)3.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配273.1HA基本配置(3)控制節(jié)點（與VRRP是獨立的?。┲会槍ε渲枚裕∨渲貌煌綍r，以控制節(jié)點的配置為準(zhǔn)，非控制節(jié)點進(jìn)行同步正常情況下，配置立刻進(jìn)行同步故障時，非控制節(jié)點主動重啟，同步所有配置例外(個性信息不會進(jìn)行同步)名稱、IP、HA相關(guān)配置做設(shè)計時，建議把控制節(jié)點和MasterFW配置在同一FW上3.1HA基本配置(3)控制節(jié)點（與VRRP是獨立的?。?83.2VRRP實例(1)3.2VRRP實例(1)293.2VRRP實例(2)VRIDVitualRouterID，是一個數(shù)字。是網(wǎng)絡(luò)中VirtualRouter的唯一的身份標(biāo)識同一FW上不同實例必須不相同！兩臺FW上必須完全對應(yīng)！數(shù)字應(yīng)相同！3.2VRRP實例(2)VRID303.2VRRP實例(3)VRIPVirtualRouterIPVirtualRouter具有一個或多個IP地址，在正常情況下，有這個VritualRouter中的主路由器掌管，當(dāng)主路由器出現(xiàn)故障時由這個VirtualRouter中的備份路由器掌管內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)就是VRIP！一個VRRP實例最多可配置60個IP地址，超過60個請設(shè)置多個實例兩臺FW上必須完全對應(yīng)！推薦和網(wǎng)口地址在一個網(wǎng)段3.2VRRP實例(3)VRIP313.2VRRP實例(4)網(wǎng)絡(luò)接口VRIP綁定在這個物理接口上實例名稱VRRP實例名稱對于VRRP協(xié)議沒有實際意義在一臺FW上，實例名稱是唯一的，可理解給VRID取了個名稱3.2VRRP實例(4)網(wǎng)絡(luò)接口323.2VRRP實例(5)子實例名稱僅在這種情況下可用：物理線路已經(jīng)是備份的了，其中一條斷了，不需要切換的情況僅在上述情況下，需填寫子實例名稱若兩個實例的名稱相同，子實例名稱不同，則理解為一條邏輯線路3.2VRRP實例(5)子實例名稱333.3VRRP關(guān)聯(lián)(1)3.3VRRP關(guān)聯(lián)(1)343.3VRRP關(guān)聯(lián)(2)名稱只是一個標(biāo)識，無實際意義優(yōu)先級當(dāng)主路由器不可用時，備份路由器將根據(jù)自己的優(yōu)先權(quán)來決定由誰接管主路由器的工作數(shù)字越小優(yōu)先級越高兩臺FW上，對應(yīng)VRRP關(guān)聯(lián)的優(yōu)先級必須不同！3.3VRRP關(guān)聯(lián)(2)名稱353.3VRRP關(guān)聯(lián)(3)VRRP列表來自已經(jīng)定義的VRRP實例一個VRRP實例只能在一個VRRP關(guān)聯(lián)中VRRP關(guān)聯(lián)成員同生共死，一起生效或者失效3.3VRRP關(guān)聯(lián)(3)VRRP列表363.3VRRP關(guān)聯(lián)(4)啟動該VRRP關(guān)聯(lián)開始工作，進(jìn)入VRRP協(xié)議處理流程停止停止VRRP協(xié)議3.3VRRP關(guān)聯(lián)(4)啟動374.Active-Active設(shè)計案例(1)4.1環(huán)境4.2設(shè)計目標(biāo)4.3主要設(shè)計思路4.4故障切換4.5設(shè)計要點4.Active-Active設(shè)計案例(1)4.1環(huán)境384.1環(huán)境4.2設(shè)計目標(biāo)環(huán)境兩條線路出口不同部門走不同出口設(shè)計目標(biāo)正常時，兩臺FW各負(fù)責(zé)一條線路當(dāng)其中一路FW故障時，所有流量轉(zhuǎn)移另一臺FW上4.1環(huán)境4.2設(shè)計目標(biāo)環(huán)境394.3主要設(shè)計思路(1)主要設(shè)計思路在FWA/B上都配置兩個VRRP關(guān)聯(lián)FWA上VRRP關(guān)聯(lián)1優(yōu)先級高FWB上VRRP關(guān)聯(lián)2優(yōu)先級高正常時，關(guān)聯(lián)1的Master在FWA上，關(guān)聯(lián)2的Master在FWB上故障時，可切換，全部切換到一臺FW上4.3主要設(shè)計思路(1)主要設(shè)計思路404.3主要設(shè)計思路(2)兩臺虛擬路由器互為Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成內(nèi)網(wǎng)不同部門4.3主要設(shè)計思路(2)兩臺虛擬路由器互為Active-S414.4故障切換(1)4.4故障切換(1)424.4故障切換(2)故障切換當(dāng)防火墻A出現(xiàn)故障時，防火墻B在接管防火墻A上的虛擬網(wǎng)關(guān)，承擔(dān)整個鏈路的流量。防火墻A恢復(fù)之后，兩臺防火墻又會正常工作在Active-Active路由負(fù)載均衡狀態(tài)注意：如果兩防火墻是用交換機(jī)連接,那么交換機(jī)的端口必須設(shè)置為portfast模式，否則切換時間過長4.4故障切換(2)故障切換434.5設(shè)計要點設(shè)計要點：需求?。ɡ砬鍢I(yè)務(wù)?。┩?fù)洌。ìF(xiàn)有拓?fù)?，設(shè)計后拓?fù)鋱D）VRRP和控制節(jié)點規(guī)劃地址（申請地址）紙面上跑通再上線推薦：VRRP實例和關(guān)聯(lián)命名規(guī)則網(wǎng)口一一對應(yīng)4.5設(shè)計要點設(shè)計要點：445.配置及實施5.1配置要點5.2主要注意事項5.3FWA主要配置步驟5.4FWA主要配置步驟5.配置及實施5.1配置要點455.1配置要點配置六步：設(shè)置同步網(wǎng)絡(luò)接口，設(shè)置控制節(jié)點和非控制節(jié)點。允許兩臺FW相互可訪問secgate_ha_conf服務(wù)允許VRRP組播報文到達(dá)本FW。（目的224.0.0.18）添加若干VRRP實例（VRID，VRIP）添加VRRP關(guān)聯(lián)（priority）啟動VRRP關(guān)聯(lián)5.1配置要點配置六步：465.2主要注意事項除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置等個性信息，其它配置，比如安全規(guī)則等，F(xiàn)W可以進(jìn)行同步，因此只需在主控節(jié)點上配置安全規(guī)則等，非主控節(jié)點啟動以后可自動同步過來，避免手工輸入錯誤！FW上所有網(wǎng)口工作在路由模式。交換機(jī)上相應(yīng)接口應(yīng)設(shè)置為portfast模式，避免因交換機(jī)學(xué)習(xí)生成樹協(xié)議，導(dǎo)致切換過慢5.2主要注意事項除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置475.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動狀態(tài)同步，選中設(shè)置為控制節(jié)點。啟用自動配置同步和狀態(tài)同步。5.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1485.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)495.3FWA主要配置(3)3.允許VRRP組播報文。配置防火墻A的fe2和fe3口工作在路由模式，添加一條允許224.0.0.0/255.255.255.0組播地址通過的包過濾安全規(guī)則5.3FWA主要配置(3)3.允許VRRP組播報文。配505.3FWA主要配置(4.1)4.添加VRRP實例。進(jìn)入“高可用性->路由模式HA->VRRP實例”，添加fe2和fe3口的四個VRRP實例，如下圖所示注意事項：同一FW上四個VRRP實例的VRID不能相同不同F(xiàn)W上VRID相同的實例互為備份在后面配置防火墻B的VRRP實例時，防火墻B中虛擬網(wǎng)關(guān)的VRID要和防火墻A相同的虛擬網(wǎng)關(guān)的VRID相同5.3FWA主要配置(4.1)4.添加VRRP實例。進(jìn)515.3FWA主要配置(4.2)5.3FWA主要配置(4.2)525.3FWA主要配置(4.3)5.3FWA主要配置(4.3)535.3FWA主要配置(4.4)5.3FWA主要配置(4.4)545.3FWA主要配置(4.5)5.3FWA主要配置(4.5)555.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個VRRP關(guān)聯(lián)。這樣當(dāng)一個VRRP實例出現(xiàn)故障時，則認(rèn)為該VRRP關(guān)聯(lián)故障。5.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)565.3FWA主要配置(5.2)5.3FWA主要配置(5.2)575.3FWA主要配置(6)6.啟動VRRP關(guān)聯(lián)。選中這兩個VRRP關(guān)聯(lián)，啟動。5.3FWA主要配置(6)6.啟動VRRP關(guān)聯(lián)。選中這585.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動狀態(tài)同步，不選中控制節(jié)點，即為非控制節(jié)點。啟用自動配置同步和狀態(tài)同步。5.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1595.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)605.4FWB主要配置(3)3.允許VRRP組播報文。添加一條允許224.0.0.0/255.255.255.0組播地址通過的包過濾安全規(guī)則5.4FWB主要配置(3)3.允許VRRP組播報文。添加615.4FWB主要配置(4.1)4.添加VRRP實例。進(jìn)入“高可用性->路由模式HA->VRRP實例”，如圖添加fe2和fe3口的四個VRRP實例。5.4FWB主要配置(4.1)4.添加VRRP實例。進(jìn)625.4FWB主要配置(4.2)5.4FWB主要配置(4.2)635.4FWB主要配置(4.3)5.4FWB主要配置(4.3)645.4FWB主要配置(4.4)5.4FWB主要配置(4.4)655.4FWB主要配置(4.5)注意：

四個VRRP實例中的虛擬網(wǎng)關(guān)VRID要分別和防火墻A上fe2和fe3端口對應(yīng)的虛擬網(wǎng)關(guān)的VRID相同

5.4FWB主要配置(4.5)注意：665.4FWB主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個VRRP關(guān)聯(lián)。5.4FWB主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)675.4FWB主要配置(5.2)5.4FWB主要配置(5.2)685.4FWB主要配置(6)6.選中這兩個VRRP關(guān)聯(lián)，啟動

5.4FWB主要配置(6)6.選中這兩個VRRP關(guān)聯(lián)，69關(guān)鍵內(nèi)容回顧VRRP-虛擬冗余路由協(xié)議，工作原理Active-Active設(shè)計，一個案例，涵蓋了Active-Standby設(shè)計設(shè)計要點FW配置主要分為6步一個配置實例關(guān)鍵內(nèi)容回顧VRRP-虛擬冗余路由協(xié)議，工作原理70在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式6HA透71在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的VLANID6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的72在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的VLANID6HA透明橋模式在網(wǎng)絡(luò)配置-〉網(wǎng)絡(luò)接口修改接口為混合模式并添加相應(yīng)的73在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式74在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋添加綁定的接口6HA透明橋模式75在網(wǎng)絡(luò)配置-〉透明橋啟用透明橋監(jiān)控6HA透明橋模式在網(wǎng)絡(luò)配置-〉透明橋啟用透明橋監(jiān)控6HA透明橋模76在安全策略-〉安全規(guī)則配置規(guī)則在高可用性-〉HA基本配置配置同步接口在高可用性-〉路由模式HA-〉VRRP實例添加VRID和虛擬IP地址在高可用性-〉路由模式HA-〉VRRP關(guān)聯(lián)添加VRRP優(yōu)先級6HA透明橋模式注意：以上設(shè)置和HA路由模式完全相同。在安全策略-〉安全規(guī)則配置規(guī)則6HA透明橋模式注77在高可用性-〉橋模式HA-〉橋配置選擇是否啟用STP協(xié)議（生成樹）建議不啟用6HA透明橋模式在高可用性-〉橋模式HA-〉橋配置選擇是否啟用STP協(xié)議78在高可用性-〉橋模式HA-〉VLAN配置添加VLAN和相關(guān)優(yōu)先級6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置添加VLAN79在高可用性-〉橋模式HA-〉VLAN配置添加VLAN和相關(guān)優(yōu)先級6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置添加VLAN80在高可用性-〉橋模式HA-〉VLAN配置啟用使用PVST+6HA透明橋模式在高可用性-〉橋模式HA-〉VLAN配置啟用使用PVS817FAQ7FAQ82歡迎大家批評指正！謝謝！歡迎大家批評指正！83HA高可用性－VRRP原理及實施

(V2.3)網(wǎng)御神州客服中心2008.04HA高可用性－VRRP原理及實施

(V2.3)網(wǎng)御神州客84學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠了解網(wǎng)絡(luò)高可用性基本概念掌握VRRP協(xié)議工作原理可用VRRP進(jìn)行鏈路可靠性設(shè)計可用網(wǎng)神設(shè)備實施配置VRRP功能學(xué)習(xí)目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠85課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計VRRP協(xié)議網(wǎng)神VRRPHA重要概念A(yù)ctive-Active設(shè)計案例(含Active-Standby)配置及實施HA透明橋模式FAQ課程內(nèi)容網(wǎng)絡(luò)高可用性設(shè)計861.網(wǎng)絡(luò)高可用性設(shè)計HA(HighAvailable)高可用性網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時，網(wǎng)絡(luò)提供服務(wù)的不間斷性進(jìn)行網(wǎng)絡(luò)可靠性設(shè)計時，關(guān)注以下方面：用戶投資計劃關(guān)鍵業(yè)務(wù)高可用性1.網(wǎng)絡(luò)高可用性設(shè)計HA(HighAvailable)87用戶投資計劃設(shè)備投資：為保障可靠性的冗余設(shè)備線路投資：主要是冗余線路的租賃費維護(hù)成本：設(shè)備管理、維修及人員的投入等用戶投資計劃設(shè)備投資：為保障可靠性的冗余設(shè)備88關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對網(wǎng)絡(luò)要求不同，如：視頻服務(wù)要求低延時、高帶寬，是一種時性業(yè)務(wù)IP電話業(yè)務(wù)也要求低延時，并且保證帶寬為確保數(shù)據(jù)中心高可用性，可考慮采用：服務(wù)器備份鏈路備份網(wǎng)絡(luò)設(shè)備備份關(guān)鍵業(yè)務(wù)高可用性不同服務(wù)對網(wǎng)絡(luò)要求不同，如：89鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)局域網(wǎng)鏈路備份技術(shù)第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，廠家各行其是，CISCO私有）第三代STP：MISTP多實例生成樹協(xié)議（CISCO私有），MSTP多生成樹協(xié)議（802.1S）路由協(xié)議備份技術(shù)動態(tài)路由協(xié)議（RIP/OSPF/BGP）設(shè)備備份技術(shù)（冗余）VRRP協(xié)議（最有代表性，各廠家都支持，衍生變種改進(jìn)）HSRP協(xié)議（CISCO私有）鏈路備份技術(shù)廣域網(wǎng)鏈路備份技術(shù)902.VRRP協(xié)議VRRP－（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議），提供了局域網(wǎng)上的路由設(shè)備備份機(jī)制2.VRRP協(xié)議VRRP－（Virtualrouter912.VRRP協(xié)議2.1VRRP解決方法2.2VRRP協(xié)議原理2.3網(wǎng)神對于VRRP協(xié)議的改進(jìn)2.4VRRP與HSRP的區(qū)別和聯(lián)系2.VRRP協(xié)議2.1VRRP解決方法922.1VRRP解決方法(1)Router單點故障！再加一臺Router？2.1VRRP解決方法(1)Router單點故障！932.1VRRP解決方法(2)2.1VRRP解決方法(2)942.1VRRP解決方法(3)VRRP優(yōu)點不需改變組網(wǎng)，配置簡單實現(xiàn)了主機(jī)默認(rèn)網(wǎng)關(guān)的備份對內(nèi)網(wǎng)主機(jī)無任何負(fù)擔(dān)可多臺冗余備份（不僅2臺）2.1VRRP解決方法(3)VRRP優(yōu)點952.2VRRP協(xié)議原理一種報文（選票？）三種狀態(tài)（身份？）選舉機(jī)制（啥時選？怎么選？）選舉發(fā)布（通告?。┲饕獏?shù)2.2VRRP協(xié)議原理一種報文（選票？）962.2VRRP協(xié)議原理(一種報文)VRRP報文這樣定義是組播報文（224.0.0.18），適用于支持組播或廣播的局域網(wǎng)（如以太網(wǎng)等）封裝在IP報文上定時廣播主路由器定期發(fā)送VRRP報文2.2VRRP協(xié)議原理(一種報文)VRRP報文這樣定義972.2VRRP協(xié)議原理(一種報文)報文格式2.2VRRP協(xié)議原理(一種報文)報文格式982.2VRRP協(xié)議原理(一種報文)一個實際環(huán)境中抓取的報文2.2VRRP協(xié)議原理(一種報文)一個實際環(huán)境中抓取的報文992.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：初始狀態(tài)（Initialize）活動狀態(tài)（Master）一組VRRP路由器中的一臺路由器處于活動狀態(tài)，稱為主路由器（Master）備份狀態(tài)（Backup）其余路由器處于備份狀態(tài)，稱為備份路由器（Backup）2.2VRRP協(xié)議原理(三種狀態(tài))VRRP定義了三種狀態(tài)：1002.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換2.2VRRP協(xié)議原理(選舉機(jī)制)狀態(tài)機(jī)轉(zhuǎn)換1012.2VRRP協(xié)議原理(選舉機(jī)制)選舉時機(jī)初始狀態(tài)時，各路由器都發(fā)送VRRP報文，選舉主路由器當(dāng)主路由器出現(xiàn)故障的時候，備份路由器通過選舉產(chǎn)生新的主路由器。2.2VRRP協(xié)議原理(選舉機(jī)制)選舉時機(jī)1022.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法默認(rèn)情況下選擇優(yōu)先級最大的為主路由器，其它路由器作為備份路由器主路由器定期發(fā)送VRRP報文如果備份路由器長時間沒有收到主路由器報文，則將自己狀態(tài)改為Master若有多臺備份路由器，則根據(jù)接收的VRRP報文，選舉優(yōu)先級最大的路由器成為新的主路由器2.2VRRP協(xié)議原理(選舉機(jī)制)選舉方法1032.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布發(fā)布時機(jī)：選舉出主路由器之后，立即進(jìn)行發(fā)布方法：免費ARP發(fā)布對象：周邊設(shè)備，主動更新其ARP表2.2VRRP協(xié)議原理(選舉發(fā)布)選舉發(fā)布1042.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：接口的虛擬IP地址（必填）備份組的優(yōu)先級（必填）監(jiān)視指定接口（必填）備份組的搶占方式和延遲時間（固定）備份組的認(rèn)證方式和認(rèn)證字（固定）備份組的定時器（固定）2.2VRRP協(xié)議原理(主要參數(shù))VRRP主要參數(shù)如下：1052.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步路由器只“見”IP，網(wǎng)神防火墻關(guān)注“連接”，所有連接信息都在狀態(tài)表中，并且進(jìn)行同步優(yōu)點：能保持現(xiàn)有TCP連接不斷配置同步優(yōu)點：保持配置一致性其它改進(jìn)探測方法等2.3網(wǎng)神防火墻改進(jìn)VRRP協(xié)議狀態(tài)表同步1062.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和HSRP非常相似VRRP更安全，允許參與VRRP組的設(shè)備間建立認(rèn)證機(jī)制VRID等價于HSRP的組標(biāo)識符HSRP有3種報文，6種狀態(tài)，8種事件VRRP有1種報文，3種狀態(tài)，5種事件2.4VRRP與HSRP的區(qū)別和聯(lián)系在功能上,VRRP和H1073.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置同步網(wǎng)口及IP控制節(jié)點3.2VRRP實例3.3VRRP關(guān)聯(lián)3.網(wǎng)神防火墻VRRP重要概念3.1HA基本配置1083.1HA基本配置(1)3.1HA基本配置(1)1093.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配置同步和狀態(tài)同步同步網(wǎng)口同步IP添加包過濾規(guī)則，允許另一臺安全網(wǎng)關(guān)訪問本安全網(wǎng)關(guān)secgate_ha_conf服務(wù)3.1HA基本配置(2)指定專門的網(wǎng)絡(luò)接口，此網(wǎng)口僅用于配1103.1HA基本配置(3)控制節(jié)點（與VRRP是獨立的?。┲会槍ε渲枚?！配置不同步時，以控制節(jié)點的配置為準(zhǔn)，非控制節(jié)點進(jìn)行同步正常情況下，配置立刻進(jìn)行同步故障時，非控制節(jié)點主動重啟，同步所有配置例外(個性信息不會進(jìn)行同步)名稱、IP、HA相關(guān)配置做設(shè)計時，建議把控制節(jié)點和MasterFW配置在同一FW上3.1HA基本配置(3)控制節(jié)點（與VRRP是獨立的！）1113.2VRRP實例(1)3.2VRRP實例(1)1123.2VRRP實例(2)VRIDVitualRouterID，是一個數(shù)字。是網(wǎng)絡(luò)中VirtualRouter的唯一的身份標(biāo)識同一FW上不同實例必須不相同！兩臺FW上必須完全對應(yīng)！數(shù)字應(yīng)相同！3.2VRRP實例(2)VRID1133.2VRRP實例(3)VRIPVirtualRouterIPVirtualRouter具有一個或多個IP地址，在正常情況下，有這個VritualRouter中的主路由器掌管，當(dāng)主路由器出現(xiàn)故障時由這個VirtualRouter中的備份路由器掌管內(nèi)網(wǎng)主機(jī)的網(wǎng)關(guān)就是VRIP！一個VRRP實例最多可配置60個IP地址，超過60個請設(shè)置多個實例兩臺FW上必須完全對應(yīng)！推薦和網(wǎng)口地址在一個網(wǎng)段3.2VRRP實例(3)VRIP1143.2VRRP實例(4)網(wǎng)絡(luò)接口VRIP綁定在這個物理接口上實例名稱VRRP實例名稱對于VRRP協(xié)議沒有實際意義在一臺FW上，實例名稱是唯一的，可理解給VRID取了個名稱3.2VRRP實例(4)網(wǎng)絡(luò)接口1153.2VRRP實例(5)子實例名稱僅在這種情況下可用：物理線路已經(jīng)是備份的了，其中一條斷了，不需要切換的情況僅在上述情況下，需填寫子實例名稱若兩個實例的名稱相同，子實例名稱不同，則理解為一條邏輯線路3.2VRRP實例(5)子實例名稱1163.3VRRP關(guān)聯(lián)(1)3.3VRRP關(guān)聯(lián)(1)1173.3VRRP關(guān)聯(lián)(2)名稱只是一個標(biāo)識，無實際意義優(yōu)先級當(dāng)主路由器不可用時，備份路由器將根據(jù)自己的優(yōu)先權(quán)來決定由誰接管主路由器的工作數(shù)字越小優(yōu)先級越高兩臺FW上，對應(yīng)VRRP關(guān)聯(lián)的優(yōu)先級必須不同！3.3VRRP關(guān)聯(lián)(2)名稱1183.3VRRP關(guān)聯(lián)(3)VRRP列表來自已經(jīng)定義的VRRP實例一個VRRP實例只能在一個VRRP關(guān)聯(lián)中VRRP關(guān)聯(lián)成員同生共死，一起生效或者失效3.3VRRP關(guān)聯(lián)(3)VRRP列表1193.3VRRP關(guān)聯(lián)(4)啟動該VRRP關(guān)聯(lián)開始工作，進(jìn)入VRRP協(xié)議處理流程停止停止VRRP協(xié)議3.3VRRP關(guān)聯(lián)(4)啟動1204.Active-Active設(shè)計案例(1)4.1環(huán)境4.2設(shè)計目標(biāo)4.3主要設(shè)計思路4.4故障切換4.5設(shè)計要點4.Active-Active設(shè)計案例(1)4.1環(huán)境1214.1環(huán)境4.2設(shè)計目標(biāo)環(huán)境兩條線路出口不同部門走不同出口設(shè)計目標(biāo)正常時，兩臺FW各負(fù)責(zé)一條線路當(dāng)其中一路FW故障時，所有流量轉(zhuǎn)移另一臺FW上4.1環(huán)境4.2設(shè)計目標(biāo)環(huán)境1224.3主要設(shè)計思路(1)主要設(shè)計思路在FWA/B上都配置兩個VRRP關(guān)聯(lián)FWA上VRRP關(guān)聯(lián)1優(yōu)先級高FWB上VRRP關(guān)聯(lián)2優(yōu)先級高正常時，關(guān)聯(lián)1的Master在FWA上，關(guān)聯(lián)2的Master在FWB上故障時，可切換，全部切換到一臺FW上4.3主要設(shè)計思路(1)主要設(shè)計思路1234.3主要設(shè)計思路(2)兩臺虛擬路由器互為Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成內(nèi)網(wǎng)不同部門4.3主要設(shè)計思路(2)兩臺虛擬路由器互為Active-S1244.4故障切換(1)4.4故障切換(1)1254.4故障切換(2)故障切換當(dāng)防火墻A出現(xiàn)故障時，防火墻B在接管防火墻A上的虛擬網(wǎng)關(guān)，承擔(dān)整個鏈路的流量。防火墻A恢復(fù)之后，兩臺防火墻又會正常工作在Active-Active路由負(fù)載均衡狀態(tài)注意：如果兩防火墻是用交換機(jī)連接,那么交換機(jī)的端口必須設(shè)置為portfast模式，否則切換時間過長4.4故障切換(2)故障切換1264.5設(shè)計要點設(shè)計要點：需求?。ɡ砬鍢I(yè)務(wù)！）拓?fù)洌。ìF(xiàn)有拓?fù)?，設(shè)計后拓?fù)鋱D）VRRP和控制節(jié)點規(guī)劃地址（申請地址）紙面上跑通再上線推薦：VRRP實例和關(guān)聯(lián)命名規(guī)則網(wǎng)口一一對應(yīng)4.5設(shè)計要點設(shè)計要點：1275.配置及實施5.1配置要點5.2主要注意事項5.3FWA主要配置步驟5.4FWA主要配置步驟5.配置及實施5.1配置要點1285.1配置要點配置六步：設(shè)置同步網(wǎng)絡(luò)接口，設(shè)置控制節(jié)點和非控制節(jié)點。允許兩臺FW相互可訪問secgate_ha_conf服務(wù)允許VRRP組播報文到達(dá)本FW。（目的224.0.0.18）添加若干VRRP實例（VRID，VRIP）添加VRRP關(guān)聯(lián)（priority）啟動VRRP關(guān)聯(lián)5.1配置要點配置六步：1295.2主要注意事項除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置等個性信息，其它配置，比如安全規(guī)則等，F(xiàn)W可以進(jìn)行同步，因此只需在主控節(jié)點上配置安全規(guī)則等，非主控節(jié)點啟動以后可自動同步過來，避免手工輸入錯誤！FW上所有網(wǎng)口工作在路由模式。交換機(jī)上相應(yīng)接口應(yīng)設(shè)置為portfast模式，避免因交換機(jī)學(xué)習(xí)生成樹協(xié)議，導(dǎo)致切換過慢5.2主要注意事項除了FW名稱、網(wǎng)絡(luò)接口地址、HA相關(guān)配置1305.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動狀態(tài)同步，選中設(shè)置為控制節(jié)點。啟用自動配置同步和狀態(tài)同步。5.3FWA主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe11315.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.3FWA主要配置(2)2.允許同步服務(wù)。到”安全規(guī)1325.3FWA主要配置(3)3.允許VRRP組播報文。配置防火墻A的fe2和fe3口工作在路由模式，添加一條允許224.0.0.0/255.255.255.0組播地址通過的包過濾安全規(guī)則5.3FWA主要配置(3)3.允許VRRP組播報文。配1335.3FWA主要配置(4.1)4.添加VRRP實例。進(jìn)入“高可用性->路由模式HA->VRRP實例”，添加fe2和fe3口的四個VRRP實例，如下圖所示注意事項：同一FW上四個VRRP實例的VRID不能相同不同F(xiàn)W上VRID相同的實例互為備份在后面配置防火墻B的VRRP實例時，防火墻B中虛擬網(wǎng)關(guān)的VRID要和防火墻A相同的虛擬網(wǎng)關(guān)的VRID相同5.3FWA主要配置(4.1)4.添加VRRP實例。進(jìn)1345.3FWA主要配置(4.2)5.3FWA主要配置(4.2)1355.3FWA主要配置(4.3)5.3FWA主要配置(4.3)1365.3FWA主要配置(4.4)5.3FWA主要配置(4.4)1375.3FWA主要配置(4.5)5.3FWA主要配置(4.5)1385.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)入“高可用性->路由模式HA->VRRP關(guān)聯(lián)”，如圖添加兩個VRRP關(guān)聯(lián)。這樣當(dāng)一個VRRP實例出現(xiàn)故障時，則認(rèn)為該VRRP關(guān)聯(lián)故障。5.3FWA主要配置(5.1)5.添加VRRP關(guān)聯(lián)。進(jìn)1395.3FWA主要配置(5.2)5.3FWA主要配置(5.2)1405.3FWA主要配置(6)6.啟動VRRP關(guān)聯(lián)。選中這兩個VRRP關(guān)聯(lián)，啟動。5.3FWA主要配置(6)6.啟動VRRP關(guān)聯(lián)。選中這1415.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe1口啟動狀態(tài)同步，不選中控制節(jié)點，即為非控制節(jié)點。啟用自動配置同步和狀態(tài)同步。5.4FWB主要配置(1)1.設(shè)置同步網(wǎng)口等。在fe11425.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)則->安全策略“添加包過濾規(guī)則，允許雙向secgate_ha_conf服務(wù)。5.4FWB主要配置(2)2.允許同步服務(wù)。到”安全規(guī)1435.4FWB主要配置(3)3.允許VRRP組播報文。添加一條允許224.0.0.0/255.255.255.0組播地址通過的包過濾安全規(guī)則5.4FWB主要配置(3)3.允許VRRP組播報文。添加1445.4FWB主要配置(4