《新一代防火墻技術(shù)及應(yīng)用》課件第8章 高可用技術(shù)

8.1VRRP概述8.2VRRP在NGAF中的配置

8.3本章小結(jié)新一代防火墻技術(shù)及應(yīng)用12學(xué)習(xí)目標(biāo)掌握NGAF設(shè)備高可用性的定義和工作原理掌握路由、網(wǎng)橋模式下高可用性部署的方法和注意事項本章重點(diǎn)路由、網(wǎng)橋模式下高可用性部署的方法和注意事項本章難點(diǎn)路由、網(wǎng)橋模式下高可用性部署的方法和注意事項新一代防火墻技術(shù)及應(yīng)用在NGAF設(shè)備中高可用性指的就是VRRP（Virtualrouterredundancyprotocol,虛擬路由器冗余協(xié)議）。虛擬路由器冗余協(xié)議（VRRP）是一種選擇協(xié)議，它可以把一個虛擬路由器的責(zé)任動態(tài)分配到局域網(wǎng)上的VRRP路由器中的一臺?？刂铺摂M路由器IP地址的VRRP路由器稱為主路由器，它負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)包到這些虛擬IP地址。一旦主路由器不可用，這種選擇過程就提供了動態(tài)的故障轉(zhuǎn)移機(jī)制，這就允許虛擬路由器的IP地址可以作為終端主機(jī)的默認(rèn)第一跳路由器。使用VRRP的好處是有更高的默認(rèn)路徑的可用性而無需在每個終端主機(jī)上配置動態(tài)路由或路由發(fā)現(xiàn)協(xié)議。VRRP包封裝在IP包中發(fā)送。新一代防火墻技術(shù)及應(yīng)用38.1VRRP概述新一代防火墻技術(shù)及應(yīng)用48.1.1VRRP簡介VRRP是一種路由容錯協(xié)議，也可以叫做備份路由協(xié)議。一個局域網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置缺省路由，當(dāng)網(wǎng)內(nèi)主機(jī)發(fā)出的目的地址不在本網(wǎng)段時，報文將被通過缺省路由發(fā)往外部路由器，從而實現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)缺省路由器down掉（即端口關(guān)閉）之后，內(nèi)部主機(jī)將無法與外部通信，如果路由器設(shè)置了VRRP時，那么這時，虛擬路由將啟用備份路由器，從而實現(xiàn)全網(wǎng)通信。在配置VRRP時，通常，一個網(wǎng)絡(luò)內(nèi)的所有主機(jī)都設(shè)置一條缺省路由，這樣，主機(jī)發(fā)出的目的地址不在本網(wǎng)段的報文將被通過缺省路由發(fā)往路由器RouterA，從而實現(xiàn)了主機(jī)與外部網(wǎng)絡(luò)的通信。當(dāng)路由器RouterA壞掉時，本網(wǎng)段內(nèi)所有以RouterA為缺省路由下一跳的主機(jī)將斷掉與外部的通信產(chǎn)生單點(diǎn)故障。VRRP就是為解決上述問題而提出的，它為具有多播組播或廣播能力的局域網(wǎng)（如：以太網(wǎng)）設(shè)計。新一代防火墻技術(shù)及應(yīng)用58.1.1VRRP簡介VRRP將局域網(wǎng)的一組路由器（包括一個Master即活動路由器和若干個Backup即備份路由器）組織成一個虛擬路由器，稱之為一個備份組。這個虛擬的路由器擁有自己的IP地址10.100.10.1（這個IP地址可以和備份組內(nèi)的某個路由器的接口地址相同，相同的則稱為ip擁有者），備份組內(nèi)的路由器也有自己的IP地址（如Master的IP地址為10.100.10.2，Backup的IP地址為10.100.10.3）。局域網(wǎng)內(nèi)的主機(jī)僅僅知道這個虛擬路由器的IP地址10.100.10.1，而并不知道具體的Master路由器的IP地址10.100.10.2以及Backup路由器的IP地址10.100.10.3。

它們將自己的缺省路由下一跳地址設(shè)置為該虛擬路由器的IP地址10.100.10.1。于是，網(wǎng)絡(luò)內(nèi)的主機(jī)就通過這個虛擬的路由器來與其它網(wǎng)絡(luò)進(jìn)行通信。如果備份組內(nèi)的Master路由器壞掉，Backup路由器將會通過選舉策略選出一個新的Master路由器，繼續(xù)向網(wǎng)絡(luò)內(nèi)的主機(jī)提供路由服務(wù)。從而實現(xiàn)網(wǎng)絡(luò)內(nèi)的主機(jī)不間斷地與外部網(wǎng)絡(luò)進(jìn)行通信。新一代防火墻技術(shù)及應(yīng)用68.1.2VRRP工作原理VRRP的工作過程如下：1、路由器開啟VRRP功能后，會根據(jù)優(yōu)先級確定自己在備份組中的角色。優(yōu)先級高的路由器成為主用路由器，優(yōu)先級低的成為備用路由器。主用路由器定期發(fā)送VRRP通告報文，通知備份組內(nèi)的其他路由器自己工作正常；備用路由器則啟動定時器等待通告報文的到來。2、VRRP在不同的主用搶占方式下，主用角色的替換方式不同：在搶占方式下，當(dāng)主用路由器收到VRRP通告報文后，會將自己的優(yōu)先級與通告報文中的優(yōu)先級進(jìn)行比較。如果大于通告報文中的優(yōu)先級，則成為主用路由器；否則將保持備用狀態(tài)。在非搶占方式下，只要主用路由器沒有出現(xiàn)故障，備份組中的路由器始終保持主用或備用狀態(tài)，備份組中的路由器即使隨后被配置了更高的優(yōu)先級也不會成為主用路由器。3、如果備用路由器的定時器超時后仍未收到主用路由器發(fā)送來的VRRP通告報文，則認(rèn)為主用路由器已經(jīng)無法正常工作，此時備用路由器會認(rèn)為自己是主用路由器，并對外發(fā)送VRRP通告報文。備份組內(nèi)的路由器根據(jù)優(yōu)先級選舉出主用路由器，承擔(dān)報文的轉(zhuǎn)發(fā)功能。新一代防火墻技術(shù)及應(yīng)用78.1.2VRRP工作原理在實際組網(wǎng)中一般會進(jìn)行VRRP負(fù)載分擔(dān)方式的設(shè)置。負(fù)載分擔(dān)方式是指多臺路由器同時承擔(dān)業(yè)務(wù)，避免設(shè)備閑置，因此需要建立兩個或更多的備份組實現(xiàn)負(fù)載分擔(dān)。VRRP負(fù)載分擔(dān)方式具有以下特點(diǎn)：每個備份組都包括一個主用路由器和若干個備用路由器。各備份組的主用路由器可以不相同。同一臺路由器可以加入多個備份組，在不同備份組中有不同的優(yōu)先級，使得該路由器可以在一個備份組中作為主用路由器，在其他的備份組中作為備用路由器。新一代防火墻技術(shù)及應(yīng)用88.1.2VRRP工作原理VRRP在提高可靠性的同時，簡化了主機(jī)的配置。一個VRRP路由器有唯一的標(biāo)識：VRID，范圍為0—255?該路由器對外表現(xiàn)為唯一的虛擬MAC地址，地址的格式為00-00-5E-00-01-[VRID]?VRRP控制報文只有一種：VRRP通告(advertisement)?它使用IP多播數(shù)據(jù)包進(jìn)行封裝，組地址為224.0.0.18，發(fā)布范圍只限于同一局域網(wǎng)內(nèi)?在VRRP路由器組中，按優(yōu)先級選舉主控路由器，VRRP協(xié)議中優(yōu)先級范圍是0—255?為了保證VRRP協(xié)議的安全性，提供了兩種安全認(rèn)證措施：明文認(rèn)證和IP頭認(rèn)證?新一代防火墻技術(shù)及應(yīng)用98.2VRRP在NGAF中的配置新一代防火墻技術(shù)及應(yīng)用108.2VRRP在NGAF中的配置通常人們所了解的VRRP，其拓?fù)浣Y(jié)構(gòu)如圖所示，用VRRP實現(xiàn)虛擬路由器，確保網(wǎng)關(guān)設(shè)備在其中一臺出現(xiàn)故障的情況下仍能正常工作。新一代防火墻技術(shù)及應(yīng)用118.2VRRP在NGAF中的配置一般VRRP在網(wǎng)絡(luò)中應(yīng)用有如下需求：1、兩個路由器IP地址不一樣，需要虛擬IP。---AF不需要虛擬IP，因為接口IP一樣。2、根據(jù)虛擬組ID找同伴，同一虛擬組的設(shè)備之間選主備。----AF也是這樣。3、可能影響主備的條件：1、優(yōu)先級，優(yōu)先級高的為主，2、接口IP，IP地址大的為主。---AF也是一樣，但因為接口IP一致，最終是看心跳口IP的大小。4、可以設(shè)置搶占模式，優(yōu)先級高的設(shè)備故障恢復(fù)后，如果配置成搶占模式，可以成為主。----AF也一樣。5、心跳協(xié)商通過組播224.0.0.18。----AF也一樣。6、AF需要配置心跳口，心跳口是一個普通網(wǎng)口。新一代防火墻技術(shù)及應(yīng)用128.2VRRP在NGAF中的配置應(yīng)用場景：客戶希望在原有網(wǎng)絡(luò)中上架NGAF，對內(nèi)網(wǎng)用戶以及服務(wù)器進(jìn)行保護(hù)，同時不影響原有網(wǎng)絡(luò)拓?fù)洌遣渴饐闻_會有單點(diǎn)故障現(xiàn)象，希望多部署兩臺設(shè)備做備份來提高可靠性。解決方案：采用網(wǎng)橋模式雙機(jī)部署，主備模式。兩臺設(shè)備配置一樣，并且配置同步。同時只有一臺主機(jī)工作，主機(jī)宕掉以后由備機(jī)接替工作，對用戶透明。新一代防火墻技術(shù)及應(yīng)用138.2.1NGAF雙機(jī)交換模式的配置拓?fù)鋱D如圖所示：新一代防火墻技術(shù)及應(yīng)用148.2.1NGAF雙機(jī)交換模式的配置NGAF交換雙機(jī)全冗余配置步驟1、配置物理接口為access口并屬于vlan12、配置心跳口eth53、配置vlan1接口并做鏈路雙向檢測4、啟用雙機(jī)，配置本端和對端IP，并配置虛擬路由組5、配置備機(jī)并同步配置（略）新一代防火墻技術(shù)及應(yīng)用158.2.1NGAF雙機(jī)交換模式的配置1.配置物理接口為access口并屬于vlan1，如圖所示。新一代防火墻技術(shù)及應(yīng)用168.2.1NGAF雙機(jī)交換模式的配置2.配置心跳口在接口區(qū)域中選擇一個物理口作為雙機(jī)的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA，如圖所示。新一代防火墻技術(shù)及應(yīng)用178.2.1NGAF雙機(jī)交換模式的配置3.配置wan口和vlan1接口與鏈路檢測,如圖所示。新一代防火墻技術(shù)及應(yīng)用188.2.1NGAF雙機(jī)交換模式的配置4.啟用雙機(jī)，配置本端和對端IP，并配置虛擬路由組，如圖所示。新一代防火墻技術(shù)及應(yīng)用198.2.1NGAF雙機(jī)交換模式的配置5.配置備機(jī)并同步配置，備機(jī)的配置和主機(jī)的配置基本一樣，在這里省略。注意：任意一組網(wǎng)口狀態(tài)為斷開時，即切換設(shè)備為備機(jī)狀態(tài)。（一組網(wǎng)口中的所有網(wǎng)口斷開才判定該組網(wǎng)口狀態(tài)為斷開）。在交叉冗余部署情況下，若設(shè)備網(wǎng)口之間bypass，可能會產(chǎn)生廣播風(fēng)暴。請到接口/區(qū)域?qū)?yīng)的接口上詳細(xì)配置鏈路檢測（請不要同時設(shè)置搶占和接口鏈路監(jiān)控，任意一個接口故障都會引起雙機(jī)切換）。新一代防火墻技術(shù)及應(yīng)用208.2.1NGAF雙機(jī)交換模式的配置NGAF交換雙機(jī)切換過程如圖所示。新一代防火墻技術(shù)及應(yīng)用21NGAF交換雙機(jī)切換流程前置條件：

1.AD1、NGAF1、核心交換1為活動狀態(tài)，其他為非活動狀態(tài)；2.數(shù)據(jù)包走C1<=>A1；3.AF1、AF2開啟雙向鏈路ping檢測功能；4.AD1、AD2開啟雙機(jī)ping檢測功能；5.核心交換以SVI接口組建vrrp，使用track功能ping上行IP作為切換條件。切換過程：1、A1線路故障且AF1先探測出來；2、出口1宕機(jī)，AF1沒有探測出來。NGAF交換雙機(jī)切換過程：切換場景2，AF向下ping不通；與向上ping不通場景相同。

優(yōu)點(diǎn)：任意1個設(shè)備宕機(jī)拔線不會影響業(yè)務(wù)任意3個不同角色的設(shè)備宕機(jī)拔線不會影響業(yè)務(wù)8.2.2NGAF雙機(jī)路由模式的配置拓?fù)鋱D如圖所示：新一代防火墻技術(shù)及應(yīng)用228.2.2NGAF雙機(jī)路由模式的配置NGAF路由雙機(jī)配置：1、配置內(nèi)網(wǎng)物理接口為access口屬于vlan1。2、配置心跳口eth5。3、配置wan口和vlan1接口與鏈路檢測。4、啟用雙機(jī)，配置本端和對端IP，配置虛擬路由組。5、配置備機(jī)并同步配置。（略）新一代防火墻技術(shù)及應(yīng)用238.2.2NGAF雙機(jī)路由模式的配置1.配置內(nèi)網(wǎng)物理接口為access口屬于vlan1，如圖所示。新一代防火墻技術(shù)及應(yīng)用248.2.2NGAF雙機(jī)路由模式的配置2.配置心跳口（在接口區(qū)域中選擇一個物理口作為雙機(jī)的心跳口，配置界面如下，使用的IP地址需要后面跟上-HA），如圖所示。新一代防火墻技術(shù)及應(yīng)用258.2.2NGAF雙機(jī)路由模式的配置3.配置Eth1和vlan1接口與鏈路檢測，如圖所示。新一代防火墻技術(shù)及應(yīng)用268.2.2NGAF雙機(jī)路由模式的配置4、啟用雙機(jī)，配置本端和對端IP，并配置虛擬路由組，如圖所示。新一代防火墻技術(shù)及應(yīng)用278.2.2NGAF雙機(jī)路由模式的配置NGAF雙機(jī)路由模式切換過程如圖所示。新一代防火墻技術(shù)及應(yīng)用288.2.2NGAF雙機(jī)路由模式的配置NGAF雙機(jī)路由模式切換過程：前置條件：1.NGAF1、核心交換1為活動狀態(tài)，其他為非活動狀態(tài)；2.數(shù)據(jù)包走交換機(jī)1<=>AF1；3.AF1、AF2開啟雙向鏈路ping檢測功能；4.核心交換以SVI接口組建vrrp，使用track功能ping上行IP作為切換條件。NGAF雙機(jī)路由模式切換過程：切換場景1，AF向上ping不通：同交換場景。切換場景2，AF向下ping不通：同交換場景。注意事項：1.核心交換以SVI接口做VRRP，并使用track的ping檢測作為切換條件，2.AF開啟雙向ping檢測，3.搶占與鏈路檢測不能同時開啟，4.不要使用bypass接口做雙機(jī)，避免廣播風(fēng)暴，5.雙機(jī)不支持聚合口。新一代防火墻技術(shù)及應(yīng)用298.2.3VRRP配置常見故障1、AF雙機(jī)部署，管理口登陸web控制臺出現(xiàn)閃退，ping管理口IP丟包【問題現(xiàn)象】：AF雙機(jī)部署并配置同步，兩臺AF管理口eth0接內(nèi)網(wǎng)交換機(jī)且不屬于虛擬路由組，從管理口IP登陸控制臺出現(xiàn)閃退，ping管理口IP丟包，無法正常管理兩臺AF?！締栴}原因】：AF雙機(jī)部署，只要啟用配置同步，則所有非HA的接口IP都會同步，因此若管理口僅僅配置了不同IP，則會被配置同步為相同的IP，在內(nèi)網(wǎng)交換機(jī)上出現(xiàn)IP沖突，導(dǎo)致控制臺閃退，ping丟包等現(xiàn)象，如客戶選定eth0為管理口，主機(jī)管理IP為192.168.15.1，備機(jī)管理IP為192.168.15.2，配置同步后會出現(xiàn)主備兩臺AF的eth0IP都為192.168.15.1，出現(xiàn)IP沖突。【解決辦法】：為管理口IP標(biāo)注HA屬性即可，無需修改其他配置。新一代防火墻技術(shù)及應(yīng)用308.2.3VRRP配置常見故障2、AF設(shè)備雙機(jī)配置完成后，發(fā)現(xiàn)內(nèi)網(wǎng)交換機(jī)上報我們設(shè)備接口IP沖突【問題現(xiàn)象】：雙機(jī)配置完成后，發(fā)現(xiàn)內(nèi)網(wǎng)相連的交換機(jī)上一直報AF接口IP沖突【解決辦法】：需要確認(rèn)下AF兩臺雙機(jī)虛擬路由組里面是否把需要監(jiān)控的網(wǎng)口列表都寫完全了，正常檢測的網(wǎng)口加進(jìn)去了，備機(jī)該網(wǎng)口是不收發(fā)包，如果沒寫完全，則會出現(xiàn)兩臺設(shè)備網(wǎng)口雙活情況，導(dǎo)致IP沖突。新一代防火墻技術(shù)及應(yīng)用318.2.3VRRP配置常見故障3、網(wǎng)口不夠，能否用管理口作為心跳口【問題原因】：管理口可以作為心跳口，但是不能作為雙機(jī)內(nèi)外網(wǎng)通信網(wǎng)口新一代防火墻技術(shù)及應(yīng)用328.2.3VRRP配置常見故障4、雙機(jī)配置不同步【解決辦法】：檢