1、HA高可用性VRRP原理及实施(V2.3)网御神州 客服中心 2008.04 学习目标 学习完本课程,您应该能够 了解网络高可用性基本概念 掌握VRRP协议工作原理 可用VRRP进行链路可靠性设计 可用网神设备实施配置VRRP功能 课程内容 1.网络高可用性设计 2.VRRP协议 3.网神VRRP HA重要概念 4.Active-Active设计案例(含Active-Standby)5.配置及实施 6.HA 透明桥模式 7.FAQ 1.网络高可用性设计 HA(High Available)高可用性 网络可靠性主要是指当设备或网络出现故障时,网络提供服务的不间断性 进行网络可靠性设计时,关注以下
2、方面:用户投资计划 关键业务高可用性 用户投资计划 设备投资:为保障可靠性的冗余设备 线路投资:主要是冗余线路的租赁费 维护成本:设备管理、维修及人员的投入等 关键业务高可用性 不同服务对网络要求不同,如:视频服务要求低延时、高带宽,是一种时性业务 IP电话业务也要求低延时,并且保证带宽 为确保数据中心高可用性,可考虑采用:服务器备份 链路备份 网络设备备份 链路备份技术 广域网链路备份技术 局域网链路备份技术 第一代STP:STP(802.1D),RTSP(802.1W)第二代STP:PVST/PVST+(802.1Q大行其道,厂家各行其是,CISCO私有)第三代STP:MISTP多实例生成
3、树协议(CISCO私有),MSTP多生成树协议(802.1S)路由协议备份技术 动态路由协议(RIP/OSPF/BGP)设备备份技术(冗余)VRRP协议(最有代表性,各厂家都支持,衍生变种改进)HSRP协议(CISCO私有)2.VRRP协议 VRRP(Virtual router redundancy protocol,虚拟路由器冗余协议),提供了局域网上的路由设备备份机制 2.VRRP协议 2.1 VRRP解决方法 2.2 VRRP协议原理 2.3 网神对于VRRP协议的改进 2.4 VRRP与HSRP的区别和联系 2.1 VRRP解决方法(1)Router单点故障!再加一台Router?2
4、.1 VRRP解决方法(2)2.1 VRRP解决方法(3)VRRP优点 不需改变组网,配置简单 实现了主机默认网关的备份 对内网主机无任何负担 可多台冗余备份(不仅2台)2.2 VRRP协议原理 一种报文(选票?)三种状态(身份?)选举机制(啥时选?怎么选?)选举发布(通告!)主要参数 2.2 VRRP协议原理(一种报文)VRRP报文这样定义 是组播报文(224.0.0.18),适用于支持组播或广播的局域网(如以太网等)封装在IP报文上 定时广播 主路由器定期发送VRRP报文 2.2 VRRP协议原理(一种报文)报文格式 2.2 VRRP协议原理(一种报文)一个实际环境中抓取的报文 2.2 V
5、RRP协议原理(三种状态)VRRP定义了三种状态:初始状态(Initialize)活动状态(Master)一组VRRP路由器中的一台路由器处于活动状态,称为主路由器(Master)备份状态(Backup)其余路由器处于备份状态,称为备份路由器(Backup)2.2 VRRP协议原理(选举机制)状态机转换 2.2 VRRP协议原理(选举机制)选举时机 初始状态时,各路由器都发送VRRP报文,选举主路由器 当主路由器出现故障的时候,备份路由器通过选举产生新的主路由器。2.2 VRRP协议原理(选举机制)选举方法 默认情况下选择优先级最大的为主路由器,其它路由器作为备份路由器 主路由器定期发送VRR
6、P报文 如果备份路由器长时间没有收到主路由器报文,则将自己状态改为Master 若有多台备份路由器,则根据接收的VRRP报文,选举优先级最大的路由器成为新的主路由器 2.2 VRRP协议原理(选举发布)选举发布 发布时机:选举出主路由器之后,立即进行 发布方法:免费ARP 发布对象:周边设备,主动更新其ARP表 2.2 VRRP协议原理(主要参数)VRRP主要参数如下:接口的虚拟IP地址(必填)备份组的优先级(必填)监视指定接口(必填)备份组的抢占方式和延迟时间(固定)备份组的认证方式和认证字(固定)备份组的定时器(固定)2.3 网神防火墙改进VRRP协议 状态表同步 路由器只“见”IP,网神
7、防火墙关注“连接”,所有连接信息都在状态表中,并且进行同步 优点:能保持现有TCP连接不断 配置同步 优点:保持配置一致性 其它改进 探测方法等 2.4 VRRP与HSRP的区别和联系 在功能上,VRRP和HSRP非常相似 VRRP更安全,允许参与VRRP组的设备间建立认证机制 VRID等价于HSRP的组标识符 HSRP有3种报文,6种状态,8种事件 VRRP有1种报文,3种状态,5种事件 3.网神防火墙VRRP重要概念 3.1 HA基本配置 同步网口及IP 控制节点 3.2 VRRP实例 3.3 VRRP关联 3.1 HA基本配置(1)3.1 HA基本配置(2)指定专门的网络接口,此网口仅用
8、于配置同步和状态同步 同步网口 同步IP 添加包过滤规则,允许另一台安全网关访问本安全网关secgate_ha_conf服务 3.1 HA基本配置(3)控制节点(与VRRP是独立的!)只针对配置而言!配置不同步时,以控制节点的配置为准,非控制节点进行同步 正常情况下,配置立刻进行同步 故障时,非控制节点主动重启,同步所有配置 例外(个性信息不会进行同步)名称、IP、HA相关配置 做设计时,建议把控制节点和Master FW配置在同一FW上 3.2 VRRP实例(1)3.2 VRRP实例(2)VRID Vitual Router ID,是一个数字。是网络中Virtual Router的唯一的身份
9、标识唯一的身份标识 同一FW上不同实例必须不相同!两台FW上必须完全对应!数字应相同!3.2 VRRP实例(3)VRIP Virtual Router IP Virtual Router具有一个或多个IP地址,在正常情况下,有这个Vritual Router中的主路由器掌管,当主路由器出现故障时由这个Virtual Router中的备份路由器掌管 内网主机的网关就是VRIP!一个VRRP实例最多可配置60个IP地址,超过60个请设置多个实例 两台FW上必须完全对应!推荐和网口地址在一个网段 3.2 VRRP实例(4)网络接口 VRIP绑定在这个物理接口上 实例名称 VRRP实例名称对于VRRP
10、协议没有实际意义 在一台FW上,实例名称是唯一的,可理解给VRID取了个名称 3.2 VRRP实例(5)子实例名称 仅在这种情况下可用:物理线路已经是备份的了,其中一条断了,不需要切换的情况 仅在上述情况下,需填写子实例名称 若两个实例的名称相同,子实例名称不同,则理解为一条逻辑线路 3.3 VRRP关联(1)3.3 VRRP关联(2)名称 只是一个标识,无实际意义 优先级 当主路由器不可用时,备份路由器将根据自己的优先权来决定由谁接管主路由器的工作 数字越小优先级越高 两台FW上,对应VRRP关联的优先级必须不同!3.3 VRRP关联(3)VRRP列表 来自已经定义的VRRP实例 一个VRR
11、P实例只能在一个VRRP关联中 VRRP关联成员 同生共死,一起生效或者失效 3.3 VRRP关联(4)启动 该VRRP关联开始工作,进入VRRP协议处理流程 停止 停止VRRP协议 4.Active-Active设计案例(1)4.1 环境 4.2 设计目标 4.3 主要设计思路 4.4 故障切换 4.5 设计要点 4.1 环境 4.2设计目标 环境 两条线路出口 不同部门走不同出口 设计目标 正常时,两台FW各负责一条线路 当其中一路FW故障时,所有流量转移另一台FW上 4.3 主要设计思路(1)主要设计思路 在FW A/B上都配置两个VRRP关联 FW A上VRRP关联1优先级高 FW B
12、上VRRP关联2优先级高 正常时,关联1的Master在FW A上,关联2的Master在FW B上 故障时,可切换,全部切换到一台FW上 4.3 主要设计思路(2)两台虚拟路由器互为Active-Standby,Standby-Active ServerA/B可看成路由器 PCA/B可看成内网不同部门 4.4 故障切换(1)4.4 故障切换(2)故障切换 当防火墙A出现故障时,防火墙B在接管防火墙A上的虚拟网关,承担整个链路的流量。防火墙A恢复之后,两台防火墙又会正常工作在Active-Active路由负载均衡状态 注意:如果两防火墙是用交换机连接注意:如果两防火墙是用交换机连接,那么交换那
13、么交换机的端口必须设置为机的端口必须设置为portfast模式模式,否则切换时间过长 4.5 设计要点 设计要点:需求!(理清业务!)拓扑!(现有拓扑,设计后拓扑图)VRRP和控制节点 规划地址(申请地址)纸面上跑通再上线 推荐:VRRP实例和关联命名规则 网口一一对应 5.配置及实施 5.1 配置要点 5.2 主要注意事项 5.3 FW A主要配置步骤 5.4 FW A主要配置步骤 5.1 配置要点 配置六步:设置同步网络接口,设置控制节点和非控制节点。允许两台FW相互可访问secgate_ha_conf服务 允许VRRP组播报文到达本FW。(目的224.0.0.18)添加若干VRRP实例(
14、VRID,VRIP)添加VRRP关联(priority)启动VRRP关联 5.2 主要注意事项 1.除了FW名称、网络接口地址、HA相关配置等个性信息,其它配置,比如安全规则等,FW可以进行同步,因此只需在主控节点上配置安全规则等,非主控节点启动以后可自动同步过来,避免手工输入错误!2.FW上所有网口工作在路由模式。3.交换机上相应接口应设置为portfast模式,避免因交换机学习生成树协议,导致切换过慢 5.3 FW A主要配置(1)1.设置同步网口等。在fe1口启动状态同步,选中设置为控制节点。启用自动配置同步和状态同步。5.3 FW A主要配置(2)2.允许同步服务。到”安全规则-安全策
15、略“添加包过滤规则,允许双向secgate_ha_conf服务。5.3 FW A主要配置(3)3.允许VRRP组播报文。配置防火墙A的fe2和fe3口工作在路由模式,添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则 5.3 FW A主要配置(4.1)4.添加VRRP实例。进入“高可用性-路由模式HA-VRRP实例”,添加fe2和fe3口的四个VRRP实例,如下图所示 注意事项:同一FW上四个VRRP实例的VRID不能相同 不同FW上VRID相同的实例互为备份 在后面配置防火墙B的VRRP实例时,防火墙B中虚拟网关的VRID要和防火墙A相同的虚拟网关的VRI
16、D相同 5.3 FW A主要配置(4.2)5.3 FW A主要配置(4.3)5.3 FW A主要配置(4.4)5.3 FW A主要配置(4.5)5.3 FW A主要配置(5.1)5.添加VRRP关联。进入“高可用性-路由模式HA-VRRP关联”,如图添加两个VRRP关联。这样当一个VRRP实例出现故障时,则认为该VRRP关联故障。5.3 FW A主要配置(5.2)5.3 FW A主要配置(6)6.启动VRRP关联。选中这两个VRRP关联,启动。5.4 FW B主要配置(1)1.设置同步网口等。在fe1口启动状态同步,不选中控制节点,即为非控制节点。启用自动配置同步和状态同步。5.4 FW B主要配置(2)2.允许同步服务。到”安全规则-安全策略“添加包过滤规则,允许双向secgate_ha_conf服务。5.4 FW B主要配置(3)3.允许VRRP组播报文。添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则 5.4 FW B主要配置(4.1)4.添加VRRP实例。进入“高可用性-路由模式HA-VRRP实例”,如图添加fe2和fe3口的四个VRRP实