1、修訂記錄課程編碼適用產品產品版本課程版本ISSUEDS002005EudemonAll1.00開發/優化者時間審核人開發類型（新開發/優化）盧希2009-05-15劉志根新開發Eudemon防火墻雙機熱備業務特性與配置前 言在當前的組網運用中，用戶對網絡可靠性的要求越來越高，特別是在一些重要的業務入口或接入點上需求保證網絡不延續運轉。對于這些重要的業務點如何保證網絡的不延續傳輸，成為必需處理的一個問題。本膠片主要引見防火墻的雙機熱備份技術原理和詳細配置，以及在Eudemon防火墻上實施雙機熱備份技術所運用的三種協議：VRRP、VGMP和HRP。培訓目的學完本課程后，您應該能：掌握雙機熱備份技術

2、原理掌握VRRP，VGMP和HRP之間的關系掌握典型雙機組網的配置目 錄雙機熱備份技術原理Eudemon防火墻雙機熱備份技術雙機熱備份技術在防火墻上的實施目 錄雙機熱備份技術原理Eudemon防火墻雙機熱備份技術雙機熱備份技術在防火墻上的實施雙機熱備份技術產生的緣由傳統的組網方式如下圖，內部用戶和外部用戶的交互報文全部經過Firewall A。假設Firewall A出現缺點，內部網絡中一切以Firewall A作為默許網關的主機與外部網絡之間的通訊將中斷，通訊可靠性無法保證。Firewall A10.100.10.1/24InternetPC效力器內部網絡10.100.10.0/24傳統雙機

3、熱備份技術在路由器上的部署RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup備份組Virtual IP Address10.100.10.1InternetPC效力器內部網絡10.100.10.0/24路由器組網中經過VRRP協議實現雙機熱備份VRRP在多區域防火墻組網中的運用DMZTrustUntrustEudemon A10.100.20.0/24MasterEudemon BBackup10.100.10.0/24備份組1Virtual IP Address10.100.10.1備份組2Virt

4、ual IP Address10.100.20.1備份組3Virtual IP Address202.38.10.1為防火墻上多個區域提供雙機備份功能時，需求在每一臺防火墻上配置多個VRRP備份組。VRRP在防火墻運用中存在的缺陷Eudemon AMasterEudemon BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實踐連線報文流徑(9)傳統VRRP方式無法實現主、備用Eudemon防火墻形狀的一致性。目 錄雙機熱備份技術原理Eudemon防火墻雙機熱備份技術雙機熱備份技術在防火墻上的實施防火墻雙擊熱備份技術的特

5、征控制主、備用防火墻的切換形狀信息的備份Eudemon防火墻的雙機熱備份技術依托三種協議實現：VRRP虛擬路由冗余協議VGMPVRRP組管理協議HRP華為冗余協議防火墻雙機熱備份技術分析防火墻主備形狀切換的實現VGMPVRRP Group Management Protocol) 提出VRRP管理組的概念，將同一臺防火墻上的多個VRRP備份組都參與到一個VRRP管理組，由管理組一致管理一切VRRP備份組。經過一致控制各VRRP備份組形狀的切換，來保證管理組內的一切VRRP備份組形狀都是一致的。VGMP的作用：防火墻主備形狀控制切換VRRP管理組的功能：形狀一致性管理管理組內VRRP備份組同步形

6、狀切換搶占管理屏蔽VRRP備份組搶占通道管理data，trans-onlyVGMP實現原理Eudemon AMasterEudemon BBackupTrustDMZUntrust備份組1備份組2備份組3A1A2A3B2B1B3管理組管理組備份組4VGMP數據通道Eudemon AMasterEudemon BBackupTrustDMZUntrustA1A2A3B2B1B3A4B4A4-B4A3-B3A1-B1A2-B2防火墻形狀信息的備份 VGMP可以保證報文來回途徑經過同一臺防火墻。當主防火墻出現缺點時，一切流量都將切換到備防火墻。但Eudemon防火墻是形狀防火墻，假設備防火墻上沒有原

7、來主防火墻上的銜接形狀數據，那么切換到備防火墻的很多流量將無法經過防火墻，呵斥現有的銜接中斷，此時用戶必需重新發起銜接。為了實現主用設備出現缺點時能由備用設備平滑地接替任務，需求在主、備用設備之間備份關鍵配置命令和會話表形狀等關鍵信息。HRPHRPHuawei Redundancy Protocol 華為冗余協議華為公司冗余協議HRPHuawei Redundancy Protocol是承載在VGMP報文上進展傳輸的。HRP用于在主用設備和備用設備之間備份關鍵配置命令和會話表形狀等關鍵信息。 HRP/VGMP/VRRP之間的關系VRRP備份組VGMP管理組VGMP報文HRP模塊HRP報文接口V

8、RRP報文目 錄雙機熱備份技術原理Eudemon防火墻雙機熱備份技術雙機熱備份技術在防火墻上的實施防火墻雙機熱備份組網方式Eudemon的雙機熱備份，可以任務在路由方式和混合方式兩種方式下：路由方式是指Eudemon的業務端口和HRP備份通道接口均任務在路由方式下。 混合方式是指Eudemon的業務端口任務在透明方式下，而HRP備份通道接口任務在路由方式下。路由方式和混合方式都包含兩種組網方式：主備組網方式負載分擔組網方式路由方式-主備組網方式防火墻設備管理組成員優先級狀態會話量AMaster備份組1，2，3高主用100%BSlave備份組1，2，3低備用0Eudemon ATrustUntr

9、ust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0PC1PC2路由方式-主備組網方式配置參考1Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 1/0/0 Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.2 24

10、 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address 202.38.10.2 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master #將GE1/0/0和GE3/0/0參與到對應的VRRP備份組中。路由方式-主備組網方式配置參考2Eudemon ATrust

11、Untrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 2/0/0Eudemon-GigabitEthernet2/0/0 ip address 10.100.20.2 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip 10.100.20.1 master#將GE2/0/0參與到對應的VRRP備份組中。 Eudemon hrp interface Gi

12、gabitEthernet 2/0/0 Eudemon hrp enable #指定HRP的備份通道并使能HRP功能。路由方式-主備組網方式配置參考3Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255

13、 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untrust HRP_MEudemon-interzone-trust-untrust packet-filter 2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自動備份功能并添加區域間包過濾規那么。路由方式-主備組網方式配置驗證Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eu

14、demon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon display hrp state The firewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet1/0/0 vrid 1 : master GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master #在Eudemon A上執行display hrp state命令，檢查當

15、前HRP的形狀，顯示以上信息表示HRP建立勝利。 路由方式-負載分擔組網方式防火墻設備管理組備份組優先級狀態會話量AMaster備份組1，2，3高主用部分BSlave備份組1，2，3低備用0ASlave備份組4，5，6低備用0BMaster備份組4，5，6高主用部分Master/Slave管理組Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5PC1PC2Eudemon ATrustUntrust備份組1備份組2GE1/0/

16、0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5路由方式-負載分擔組網方式配置參考1Eudemon interface GigabitEthernet 1/0/0 Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.3 24 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon-GigabitEthernet1/

17、0/0 vrrp vrid 4 virtual-ip 10.100.10.2 slave Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address 202.38.10.3 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master Eudemon-GigabitEthernet3/0/0 vrrp vrid 5 virtual-ip 202.38.10.2 slave 將接口GE1/0/0和GE3/0/0參

18、與到對應的VRRP備份組中路由方式-負載分擔組網方式配置參考2Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5Eudemon interface GigabitEthernet 2/0/0 Eudemon-GigabitEthernet2/0/0 ip address 10.100.20.3 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual

19、-ip 10.100.20.1 master Eudemon-GigabitEthernet2/0/0 vrrp vrid 6 virtual-ip 10.100.20.2 slave Eudemon hrp interface GigabitEthernet 2/0/0 Eudemon hrp enable #將GE1/0/0和GE3/0/0參與對應的備份組；指定HRP備份通道并使能HRP功能。 路由方式-負載分擔組網方式配置參考3Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備

20、份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untrust HRP_MEudemon-interzone-trust-untrust packet-filter

21、2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自動備份功能并添加區域間包過濾規那么。HRP_MEudemon dis hrp state The firewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master GigabitEthernet1/0/0 vrid

22、 1 : master Current state of virtual routers configured as slave: GigabitEthernet3/0/0 vrid 5 : slave GigabitEthernet2/0/0 vrid 6 : slave GigabitEthernet1/0/0 vrid 4 : slave #在Eudemon A上執行display hrp state命令，檢查當前HRP的形狀。從以上顯示信息可以看出，在Eudemon A上，VRRP備份組1、2、3屬于Master管理組；VRRP備份組4、5、6屬于Slave管理組。路由方式-負載分擔組

23、網方式配置驗證混合方式-主備組網方式上圖組網方式可以實現負載分擔嗎？G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1PC1PC2混合方式-主備組網方式配置參考1G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon interface GigabitEthernet 0/0/1

24、Eudemon-GigabitEthernet0/0/1 ip address 10.100.20.2 24 Eudemon-GigabitEthernet0/0/1 vrrp vrid 1 virtual-ip 10.100.20.1 master Eudemon firewall zone dmz Eudemon-zone-dmz add interface gigabitethernet 0/0/1 #配置GE0/0/1所屬的VRRP備份組和虛擬IP地址，并將其參與DMZ區域 混合方式-主備組網方式配置參考2G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eude

25、mon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon interface gigabitethernet 0/0/0 Eudemon-GigabitEthernet 0/0/0 portswitch Eudemon interface gigabitethernet 0/0/2 Eudemon-GigabitEthernet 0/0/2 portswitch #配置GE0/0/0和GE0/0/2任務在透明方式。 混合方式-主備組網方式配置參考3G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon vlan 2 Eudemon-vlan-2 port interface GigabitEthernet 0/0/0 Eudemon-vlan-2 port interface GigabitEthernet 0/0/2 Eudemon-vlan-2 hrp track master #建立VLAN 2，將接口GE0/0/0和