你好,这里是网络技术联盟站。
作为USG防火墙最重要的功能之一,双机热备极大地提高了设备的可靠性,当主用设备发生故障时,备用设备可以立即接管受影响的业务,从而显着减少业务中断的持续时间。
VRRP、VGMP 和 HRP 之间有什么区别?
与路由和交换技术一样,防火墙中的VRRP也是Virtual Routing Redundancy Protocol的缩写。它主要通过两个或多个设备协商一个虚拟IP地址,用作与其他设备通信的地址。它通过在 VRRP 组中的周期性检测来感知转发设备的故障,以便在转发设备发生故障时及时切换。由于虚拟地址用于与其他外部设备进行通信,因此这种切换对其他设备是透明的。
VGMP(VRRP Group Management Protocol)是华为的专有协议,它定义了一个VGMP组,FW基于VGMP组 实现设备主备状态管理。VGMP的目的是解决设备上存在多个VRRP备份组时,每个备份组的主备状态切换不一致的问题。
实际上,VGMP消息是VRRP消息的修改版本:
如上图所示,可以看到报文类型字段为2时为VGMP报文,为1时为VRRP报文。在本文中,我不会详细介绍VGMP消息。
HRP报文实际上是一个VGMP报文,承载在VGMP报文的Data区,HRP的作用主要是实现备份会话表等状态信息和关键配置的作用。
VRRP、VGMP和HRP的比较
VRRP
创建虚拟IP和MAC,实现与其他设备的不间断连接
VGMP
统一管理设备上多个VRRP备份组的切换,解决多个VRRP备份组切换不一致导致的业务中断
HRP
备份会话表等状态信息和关键配置
防火墙能否只配置 VRRP 而不启用 VGMP 或 HRP?
答案是否。
如果没有VGMP支持或配置,防火墙将无法启用VRRP,这是防火墙的特性造成的。
众所周知,防火墙目前是根据第一个包检测为正常流量创建会话表,而后续流量通过匹配会话表进行转发。当启用VRRP时,假设我们不需要HRP,当前VRRP上的会话表主防火墙不会同步到备用防火墙。
当主防火墙发生故障时,业务切换到备用防火墙。但是没有对应的会话表条目。结果,所有会话都将被中断。
一方面,大规模的业务切换会给防火墙设备带来突发的业务检测影响,消耗大量的设备资源。
另一方面,这种切换与重启和重新建立会话基本相同,对服务切换毫无意义。
因此,VRRP配置必须使用HRP和VGMP 。
服务活动设备和配置活动设备必须相同吗?
不可以。
一般来说,服务活跃设备是指当前正在转发业务流量的设备,而配置活跃设备是指管理员可以修改配置的设备。
在主备双机热备模式和镜像热备模式组网中,业务主设备为配置主设备,业务备设备为配置备设备。但是,在负载均衡双机热备模式下,服务主用设备和配置主用设备可以是不同的设备。
在负载均衡双机热备模式网络中,两台FW根据以下原则协商主备配置设备:
- 活动和备用配置设备由主机名 ( sysname )的 ASCII 码的顺序决定,具有较小 ASCII 代码顺序的设备成为配置活动设备,具有较高 ASCII 代码顺序的设备成为配置备用设备。例如,两个 FW 的主机名分别为FW_A和FW_B;FW_A成为配置活动设备,FW_B成为配置备用设备;
- 当两台FW的主机名(sysnames)相同时,配置主备设备由双机热备功能开启时的时钟决定。时钟较小的设备成为配置主设备,而时钟较大的设备成为配置备份。
在负载均衡热备模式网络中,由于两台设备都参与业务流量转发,所以两台设备都是业务活跃设备。
