5.3 VGMP修复VRRP缺陷

图片[1]-5.3 VGMP修复VRRP缺陷-大赛人网

1.华为防火墙双机热备:两侧主角色确保一致

在华为防火墙中支持VGMP(VRRP Group management protocol), VRRP备份组管理协议确保组角色一致性,在使用VGMP 在VRRP组角色基础之上,创建VGMP组角色。

2.VRRP在路由器中只有VRRP角色 (master / backup),VRRP在防火墙中必须添加到VGMP组中进行管理,VRRP状态/角色在防火墙中:Master/backup,在防火墙中 VRRP中,无法直接修改VRRP优先级,VGMP 状态/角色:Active/standby,受到当前设备VGMP角色控制

3.VGMP有三种角色/状态

Active / standby / local-balance(负载均衡)

当前设备VGMP组状态active,设备VRRP组状态master

当前设备VGMP组状态standby,设备VRRP组状态backup

每个防火墙VGMP组只有一个,不能删除,不能再创建其他VGMP组

4.在进行防火墙双机热备份,两台设备之间需要通过心跳线传递VGMP组消息

1)心跳线:通过防火墙一种特殊接口,传递双机热备份流量。

2)心跳报文,感知对方心跳1S,VGMP消息确定本端和对端状态是否稳定,是否需要进行故障切换。

3)通过HRP协议传递表项(session table  nat table(server-map) )

5.如果角色通过VGMP组,全部切换成功,但是表项没有同步,导致切换后重新建立会话表。

6.HRP协议,华为冗余协议 ,通过防火墙心跳接口/心跳线同步各类表项。

7.当在防火墙中配置心跳接口后,防火墙自动传递心跳报文/ VGMP消息/HRP消息。

8.对于防火墙心跳接口的流量,不受防火墙安全区域策略管控,该接口通常划分到DMZ区域中。

9.FW1配置

firewall zone dmz
 add interface GigabitEthernet1/0/6
interface GigabitEthernet1/0/6
ip address 10.10.10.1 255.255.255.0

#配置心跳接口
hrp enable
hrp interface GigabitEthernet 1/0/6 remote 10.10.10.2

display hrp state
2023-08-03 10:29:07.320 
 Role: active, peer: standby
 Running priority: 45000, peer: 45000
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 1 minutes
 Last state change information: 2023-08-03 10:27:46 HRP link changes to up.

display vrrp brief 
1     Master       GE1/0/1                  Vgmp     192.168.1.254  
2     Master       GE1/0/2                  Vgmp     192.168.2.254  

display firewall session table all
 icmp  VPN: public --> public  192.168.1.1:33144 --> 192.168.2.1:2048
 udp  VPN: public --> public  10.10.10.2:16384 --> 10.10.10.1:18514
 udp  VPN: public --> public  10.10.10.2:49152 --> 10.10.10.1:18514
 icmp  VPN: public --> public  192.168.1.1:32632 --> 192.168.2.1:2048
 icmp  VPN: public --> public  192.168.1.1:32888 --> 192.168.2.1:2048
 icmp  VPN: public --> public  192.168.1.1:32376 --> 192.168.2.1:2048
 icmp  VPN: public --> public  192.168.1.1:32120 --> 192.168.2.1:2048
 udp  VPN: public --> public  10.10.10.1:49152 --> 10.10.10.2:18514

10.FW2配置

firewall zone dmz
 add interface GigabitEthernet1/0/6

interface GigabitEthernet1/0/6
ip address 10.10.10.2 255.255.255.0

#配置心跳接口
hrp enable
hrp interface GigabitEthernet 1/0/6 remote 10.10.10.1

display hrp state
2023-08-03 10:29:20.070 
 Role: standby, peer: active
 Running priority: 45000, peer: 45000
 Backup channel usage: 0.00%
 Stable time: 0 days, 0 hours, 1 minutes
 Last state change information: 2023-08-03 10:27:45 HRP core state changed, old_state = abnormal(standby), new_state = normal, local_priority = 45000, peer_priority = 45000.

display vrrp brief
1     Backup       GE1/0/1                  Vgmp     192.168.1.254  
1     Backup       GE1/0/2                  Vgmp     192.168.2.254 

display firewall session table all
2023-08-03 10:32:11.100 
 Current Total Sessions : 8
 icmp  VPN: public --> public  Remote 192.168.1.1:33144 --> 192.168.2.1:2048
 udp  VPN: public --> public  10.10.10.2:49152 --> 10.10.10.1:18514
 icmp  VPN: public --> public  Remote 192.168.1.1:32632 --> 192.168.2.1:2048
 udp  VPN: public --> public  10.10.10.1:16384 --> 10.10.10.2:18514
 icmp  VPN: public --> public  Remote 192.168.1.1:32888 --> 192.168.2.1:2048
 icmp  VPN: public --> public  Remote 192.168.1.1:32376 --> 192.168.2.1:2048
 icmp  VPN: public --> public  192.168.1.1:32120 --> 192.168.2.1:2048
 udp  VPN: public --> public  10.10.10.1:49152 --> 10.10.10.2:18514
© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称

    请登录后查看评论内容