![图片[1]-5.3 VGMP修复VRRP缺陷-大赛人网](https://www.dsrw.com/wp-content/uploads/2023/09/图片54-1.png)
1.华为防火墙双机热备:两侧主角色确保一致
在华为防火墙中支持VGMP(VRRP Group management protocol), VRRP备份组管理协议确保组角色一致性,在使用VGMP 在VRRP组角色基础之上,创建VGMP组角色。
2.VRRP在路由器中只有VRRP角色 (master / backup),VRRP在防火墙中必须添加到VGMP组中进行管理,VRRP状态/角色在防火墙中:Master/backup,在防火墙中 VRRP中,无法直接修改VRRP优先级,VGMP 状态/角色:Active/standby,受到当前设备VGMP角色控制
3.VGMP有三种角色/状态
Active / standby / local-balance(负载均衡)
当前设备VGMP组状态active,设备VRRP组状态master
当前设备VGMP组状态standby,设备VRRP组状态backup
每个防火墙VGMP组只有一个,不能删除,不能再创建其他VGMP组
4.在进行防火墙双机热备份,两台设备之间需要通过心跳线传递VGMP组消息
1)心跳线:通过防火墙一种特殊接口,传递双机热备份流量。
2)心跳报文,感知对方心跳1S,VGMP消息确定本端和对端状态是否稳定,是否需要进行故障切换。
3)通过HRP协议传递表项(session table nat table(server-map) )
5.如果角色通过VGMP组,全部切换成功,但是表项没有同步,导致切换后重新建立会话表。
6.HRP协议,华为冗余协议 ,通过防火墙心跳接口/心跳线同步各类表项。
7.当在防火墙中配置心跳接口后,防火墙自动传递心跳报文/ VGMP消息/HRP消息。
8.对于防火墙心跳接口的流量,不受防火墙安全区域策略管控,该接口通常划分到DMZ区域中。
9.FW1配置
firewall zone dmz
add interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/6
ip address 10.10.10.1 255.255.255.0
#配置心跳接口
hrp enable
hrp interface GigabitEthernet 1/0/6 remote 10.10.10.2
display hrp state
2023-08-03 10:29:07.320
Role: active, peer: standby
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2023-08-03 10:27:46 HRP link changes to up.
display vrrp brief
1 Master GE1/0/1 Vgmp 192.168.1.254
2 Master GE1/0/2 Vgmp 192.168.2.254
display firewall session table all
icmp VPN: public --> public 192.168.1.1:33144 --> 192.168.2.1:2048
udp VPN: public --> public 10.10.10.2:16384 --> 10.10.10.1:18514
udp VPN: public --> public 10.10.10.2:49152 --> 10.10.10.1:18514
icmp VPN: public --> public 192.168.1.1:32632 --> 192.168.2.1:2048
icmp VPN: public --> public 192.168.1.1:32888 --> 192.168.2.1:2048
icmp VPN: public --> public 192.168.1.1:32376 --> 192.168.2.1:2048
icmp VPN: public --> public 192.168.1.1:32120 --> 192.168.2.1:2048
udp VPN: public --> public 10.10.10.1:49152 --> 10.10.10.2:18514
10.FW2配置
firewall zone dmz
add interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/6
ip address 10.10.10.2 255.255.255.0
#配置心跳接口
hrp enable
hrp interface GigabitEthernet 1/0/6 remote 10.10.10.1
display hrp state
2023-08-03 10:29:20.070
Role: standby, peer: active
Running priority: 45000, peer: 45000
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2023-08-03 10:27:45 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000.
display vrrp brief
1 Backup GE1/0/1 Vgmp 192.168.1.254
1 Backup GE1/0/2 Vgmp 192.168.2.254
display firewall session table all
2023-08-03 10:32:11.100
Current Total Sessions : 8
icmp VPN: public --> public Remote 192.168.1.1:33144 --> 192.168.2.1:2048
udp VPN: public --> public 10.10.10.2:49152 --> 10.10.10.1:18514
icmp VPN: public --> public Remote 192.168.1.1:32632 --> 192.168.2.1:2048
udp VPN: public --> public 10.10.10.1:16384 --> 10.10.10.2:18514
icmp VPN: public --> public Remote 192.168.1.1:32888 --> 192.168.2.1:2048
icmp VPN: public --> public Remote 192.168.1.1:32376 --> 192.168.2.1:2048
icmp VPN: public --> public 192.168.1.1:32120 --> 192.168.2.1:2048
udp VPN: public --> public 10.10.10.1:49152 --> 10.10.10.2:18514
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
请登录后查看评论内容