LS13 VRRP原理及实施-V22

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

HA高可用性-VRRP原理及实施(V2.3)网御神州客服中心2008.04学习目标学习完本课程,您应该能够•了解网络高可用性基本概念•掌握VRRP协议工作原理•可用VRRP进行链路可靠性设计•可用网神设备实施配置VRRP功能课程内容1.网络高可用性设计2.VRRP协议3.网神VRRPHA重要概念4.Active-Active设计案例(含Active-Standby)5.配置及实施6.HA透明桥模式7.FAQ1.网络高可用性设计•HA(HighAvailable)高可用性•网络可靠性主要是指当设备或网络出现故障时,网络提供服务的不间断性•进行网络可靠性设计时,关注以下方面:–用户投资计划–关键业务高可用性用户投资计划•设备投资:为保障可靠性的冗余设备•线路投资:主要是冗余线路的租赁费•维护成本:设备管理、维修及人员的投入等关键业务高可用性•不同服务对网络要求不同,如:–视频服务要求低延时、高带宽,是一种时性业务–IP电话业务也要求低延时,并且保证带宽•为确保数据中心高可用性,可考虑采用:–服务器备份–链路备份–网络设备备份链路备份技术•广域网链路备份技术•局域网链路备份技术–第一代STP:STP(802.1D),RTSP(802.1W)–第二代STP:PVST/PVST+(802.1Q大行其道,厂家各行其是,CISCO私有)–第三代STP:MISTP多实例生成树协议(CISCO私有),MSTP多生成树协议(802.1S)•路由协议备份技术–动态路由协议(RIP/OSPF/BGP)–设备备份技术(冗余)•VRRP协议(最有代表性,各厂家都支持,衍生变种改进)•HSRP协议(CISCO私有)2.VRRP协议•VRRP-(Virtualrouterredundancyprotocol,虚拟路由器冗余协议),提供了局域网上的路由设备备份机制2.VRRP协议2.1VRRP解决方法2.2VRRP协议原理2.3网神对于VRRP协议的改进2.4VRRP与HSRP的区别和联系2.1VRRP解决方法(1)•Router单点故障!•再加一台Router?2.1VRRP解决方法(2)2.1VRRP解决方法(3)VRRP优点•不需改变组网,配置简单•实现了主机默认网关的备份•对内网主机无任何负担•可多台冗余备份(不仅2台)2.2VRRP协议原理•一种报文(选票?)•三种状态(身份?)•选举机制(啥时选?怎么选?)•选举发布(通告!)•主要参数2.2VRRP协议原理(一种报文)•VRRP报文这样定义–是组播报文(224.0.0.18),适用于支持组播或广播的局域网(如以太网等)–封装在IP报文上•定时广播–主路由器定期发送VRRP报文2.2VRRP协议原理(一种报文)•报文格式2.2VRRP协议原理(一种报文)•一个实际环境中抓取的报文2.2VRRP协议原理(三种状态)•VRRP定义了三种状态:–初始状态(Initialize)–活动状态(Master)•一组VRRP路由器中的一台路由器处于活动状态,称为主路由器(Master)–备份状态(Backup)•其余路由器处于备份状态,称为备份路由器(Backup)2.2VRRP协议原理(选举机制)•状态机转换2.2VRRP协议原理(选举机制)•选举时机–初始状态时,各路由器都发送VRRP报文,选举主路由器–当主路由器出现故障的时候,备份路由器通过选举产生新的主路由器。2.2VRRP协议原理(选举机制)•选举方法–默认情况下选择优先级最大的为主路由器,其它路由器作为备份路由器–主路由器定期发送VRRP报文–如果备份路由器长时间没有收到主路由器报文,则将自己状态改为Master–若有多台备份路由器,则根据接收的VRRP报文,选举优先级最大的路由器成为新的主路由器2.2VRRP协议原理(选举发布)•选举发布–发布时机:选举出主路由器之后,立即进行–发布方法:免费ARP–发布对象:周边设备,主动更新其ARP表2.2VRRP协议原理(主要参数)•VRRP主要参数如下:–接口的虚拟IP地址(必填)–备份组的优先级(必填)–监视指定接口(必填)–备份组的抢占方式和延迟时间(固定)–备份组的认证方式和认证字(固定)–备份组的定时器(固定)2.3网神防火墙改进VRRP协议•状态表同步–路由器只“见”IP,网神防火墙关注“连接”,所有连接信息都在状态表中,并且进行同步–优点:能保持现有TCP连接不断•配置同步–优点:保持配置一致性•其它改进–探测方法等2.4VRRP与HSRP的区别和联系•在功能上,VRRP和HSRP非常相似•VRRP更安全,允许参与VRRP组的设备间建立认证机制•VRID等价于HSRP的组标识符•HSRP有3种报文,6种状态,8种事件•VRRP有1种报文,3种状态,5种事件3.网神防火墙VRRP重要概念3.1HA基本配置–同步网口及IP–控制节点3.2VRRP实例3.3VRRP关联3.1HA基本配置(1)3.1HA基本配置(2)•指定专门的网络接口,此网口仅用于配置同步和状态同步–同步网口–同步IP•添加包过滤规则,允许另一台安全网关访问本安全网关secgate_ha_conf服务3.1HA基本配置(3)•控制节点(与VRRP是独立的!)–只针对配置而言!•配置不同步时,以控制节点的配置为准,非控制节点进行同步•正常情况下,配置立刻进行同步•故障时,非控制节点主动重启,同步所有配置–例外(个性信息不会进行同步)•名称、IP、HA相关配置–做设计时,建议把控制节点和MasterFW配置在同一FW上3.2VRRP实例(1)3.2VRRP实例(2)•VRID–VitualRouterID,是一个数字。–是网络中VirtualRouter的唯一的身份标识–同一FW上不同实例必须不相同!–两台FW上必须完全对应!数字应相同!3.2VRRP实例(3)•VRIP–VirtualRouterIP–VirtualRouter具有一个或多个IP地址,在正常情况下,有这个VritualRouter中的主路由器掌管,当主路由器出现故障时由这个VirtualRouter中的备份路由器掌管–内网主机的网关就是VRIP!–一个VRRP实例最多可配置60个IP地址,超过60个请设置多个实例–两台FW上必须完全对应!–推荐和网口地址在一个网段3.2VRRP实例(4)•网络接口–VRIP绑定在这个物理接口上•实例名称–VRRP实例名称对于VRRP协议没有实际意义–在一台FW上,实例名称是唯一的,可理解给VRID取了个名称3.2VRRP实例(5)•子实例名称–仅在这种情况下可用:物理线路已经是备份的了,其中一条断了,不需要切换的情况–仅在上述情况下,需填写子实例名称–若两个实例的名称相同,子实例名称不同,则理解为一条逻辑线路3.3VRRP关联(1)3.3VRRP关联(2)•名称–只是一个标识,无实际意义•优先级–当主路由器不可用时,备份路由器将根据自己的优先权来决定由谁接管主路由器的工作–数字越小优先级越高–两台FW上,对应VRRP关联的优先级必须不同!3.3VRRP关联(3)•VRRP列表–来自已经定义的VRRP实例–一个VRRP实例只能在一个VRRP关联中•VRRP关联成员–同生共死,一起生效或者失效3.3VRRP关联(4)•启动–该VRRP关联开始工作,进入VRRP协议处理流程•停止–停止VRRP协议4.Active-Active设计案例(1)4.1环境4.2设计目标4.3主要设计思路4.4故障切换4.5设计要点4.1环境4.2设计目标•环境–两条线路出口–不同部门走不同出口•设计目标–正常时,两台FW各负责一条线路–当其中一路FW故障时,所有流量转移另一台FW上4.3主要设计思路(1)•主要设计思路–在FWA/B上都配置两个VRRP关联–FWA上VRRP关联1优先级高–FWB上VRRP关联2优先级高–正常时,关联1的Master在FWA上,关联2的Master在FWB上–故障时,可切换,全部切换到一台FW上4.3主要设计思路(2)Fe2虚拟网关:10.0.2.253GW:10.0.2.253PCAGW:10.0.2.254PCBGW:10.0.1.253ServerAGW:10.0.1.254ServerBIP:10.0.2.1IP:10.0.2.2IP:10.0.1.10IP:10.0.1.20同步状态表FW-AFe3虚拟网关:10.0.1.253FW-BFe2虚拟网关:10.0.2.254Fe3虚拟网关:10.0.1.254•两台虚拟路由器互为Active-Standby,Standby-Active•ServerA/B可看成路由器•PCA/B可看成内网不同部门4.4故障切换(1)GW:10.0.2.253PCAGW:10.0.2.254PCBGW:10.0.1.253ServerAGW:10.0.1.254ServerBIP:10.0.2.1IP:10.0.2.2IP:10.0.1.10IP:10.0.1.20同步状态表FW-AFW-BFe2虚拟网关:10.0.2.254虚拟网关:10.0.2.253Fe3虚拟网关:10.0.1.254虚拟网关:10.0.1.2534.4故障切换(2)•故障切换–当防火墙A出现故障时,防火墙B在接管防火墙A上的虚拟网关,承担整个链路的流量。–防火墙A恢复之后,两台防火墙又会正常工作在Active-Active路由负载均衡状态–注意:如果两防火墙是用交换机连接,那么交换机的端口必须设置为portfast模式,否则切换时间过长4.5设计要点设计要点:•需求!(理清业务!)•拓扑!(现有拓扑,设计后拓扑图)•VRRP和控制节点•规划地址(申请地址)•纸面上跑通再上线推荐:•VRRP实例和关联命名规则•网口一一对应5.配置及实施5.1配置要点5.2主要注意事项5.3FWA主要配置步骤5.4FWA主要配置步骤5.1配置要点配置六步:•设置同步网络接口,设置控制节点和非控制节点。•允许两台FW相互可访问secgate_ha_conf服务•允许VRRP组播报文到达本FW。(目的224.0.0.18)•添加若干VRRP实例(VRID,VRIP)•添加VRRP关联(priority)•启动VRRP关联5.2主要注意事项1.除了FW名称、网络接口地址、HA相关配置等个性信息,其它配置,比如安全规则等,FW可以进行同步,因此只需在主控节点上配置安全规则等,非主控节点启动以后可自动同步过来,避免手工输入错误!2.FW上所有网口工作在路由模式。3.交换机上相应接口应设置为portfast模式,避免因交换机学习生成树协议,导致切换过慢5.3FWA主要配置(1)1.设置同步网口等。在fe1口启动状态同步,选中设置为控制节点。启用自动配置同步和状态同步。5.3FWA主要配置(2)2.允许同步服务。到”安全规则-安全策略“添加包过滤规则,允许双向secgate_ha_conf服务。5.3FWA主要配置(3)3.允许VRRP组播报文。配置防火墙A的fe2和fe3口工作在路由模式,添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则5.3FWA主要配置(4.1)4.添加VRRP实例。进入“高可用性-路由模式HA-VRRP实例”,添加fe2和fe3口的四个VRRP实例,如下图所示注意事项:–同一FW上四个VRRP实例的VRID不能相同–不同FW上VRID相同的实例互为备份–在后面配置防火墙B的VRRP实例时,防火墙B中虚拟网关的VRID要和防火墙A相同的虚拟网关的VRID相同5.3FWA主要配置(4.2)5.3FWA主要配置(4.3)5.3FWA主要配置(4.4)5.3FWA主要配置(4.5)5.3FWA主要配置(5.1)5.添加VRRP关联。进入“高可用性-路由模式HA-VRRP关联”,如图添加两个VRRP关联。这样当一个VRRP实例出现故障时,则认为该VRRP关联故障。5.3FWA主要配置(5.2)5.3FWA主要配置(6)6.启动VRRP关联。选中这两个VRRP关联,启动。5

1 / 83
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功