資源描述:
《華為防火墻(vrrp)雙機(jī)熱備配置及組網(wǎng)》由會(huì)員上傳分享����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、.防火墻雙機(jī)熱備配置及組網(wǎng)指導(dǎo)防火墻雙機(jī)熱備,主要是提供冗余備份的功能����,在網(wǎng)絡(luò)發(fā)生故障的時(shí)候避免業(yè)務(wù)出現(xiàn)中斷。防火墻雙機(jī)熱備組網(wǎng)根據(jù)防火墻的模式�����,分路由模式下的雙機(jī)熱備組網(wǎng)和透明模式下的雙機(jī)熱備組網(wǎng)�,下面分別根據(jù)防火墻的不同模式下的組網(wǎng)提供組網(wǎng)說明及典型配置。1防火墻雙機(jī)熱備命令行說明防火墻的雙機(jī)熱備的配置主要涉及到HRP的配置�����,VGMP的配置�,以及VRRP的配置,防火墻的雙機(jī)熱備組網(wǎng)配置需要根據(jù)現(xiàn)網(wǎng)的業(yè)務(wù)和用戶的需求來進(jìn)行調(diào)整���,下面就防火墻的雙機(jī)熱備配置涉及到的命令行做一個(gè)解釋說明���。1.1HRP命令行配置說明HRP是華為的冗余備份協(xié)議�,Eudemon防火
2��、墻使用此協(xié)議進(jìn)行備份組網(wǎng)��,達(dá)到鏈路狀態(tài)備份的目的�,從而保證在設(shè)備發(fā)生故障的時(shí)候業(yè)務(wù)正常。HRP協(xié)議是華為自己開發(fā)的協(xié)議�����,主要是在VGMP協(xié)議的基礎(chǔ)上進(jìn)行擴(kuò)展得到的����;VGMP是華為的私有協(xié)議,主要是用來管理VRRP的���,VGMP也是華為的私有協(xié)議���,是在VRRP的基礎(chǔ)上進(jìn)行擴(kuò)展得到的。不管是VGMP的報(bào)文�����,還是HRP的報(bào)文�,都是VRRP的報(bào)文,只是防火墻在識(shí)別這些報(bào)文的時(shí)候能根據(jù)自己定義的字段能判斷出是VGMP的報(bào)文����,HRP的報(bào)文,或者是普通的VRRP的報(bào)文����。在Eudemon防火墻上,hrp的作用主要是備份防火墻的會(huì)話表���,備份防火墻的servermap表�,備份防
3���、火墻的黑名單����,備份防火墻的配置�,以及備份ASPF模塊中的公私網(wǎng)地址映射表和上層會(huì)話表等。兩臺(tái)防火墻正確配置VRRP�����,VGMP,以及HRP之后�����,將會(huì)形成主備關(guān)系��,這個(gè)時(shí)候防火墻的命令行上會(huì)自動(dòng)顯示防火墻狀態(tài)是主還是備����,如果命令行上有HRP_M的標(biāo)識(shí),表示此防火墻和另外一臺(tái)防火墻進(jìn)行協(xié)商之后搶占為主防火墻���,如果命令行上有HRP_S的標(biāo)識(shí)�����,表示此防火墻和另外一臺(tái)防火墻進(jìn)行協(xié)商之后搶占為備防火墻�����。防火墻的主備狀態(tài)只能在兩臺(tái)防火墻之間進(jìn)行協(xié)商��,并且協(xié)商狀態(tài)穩(wěn)定之后一定是一臺(tái)為主狀態(tài)另外一臺(tái)為備狀態(tài)����,不可能出現(xiàn)兩臺(tái)都為主狀態(tài)或者都是備狀態(tài)的。在防火墻的HRP形成主備之
4��、后����,我們稱HRP的主備狀態(tài)為HRP主或者是HRP備狀態(tài)���,在形成HRP的主備狀態(tài)之后默認(rèn)是一部分配置在主防火墻上配置之后能自動(dòng)同步到備防火墻上的���,而這些命令將不能在備防火墻的命令行上執(zhí)行,這些命令包括ACL��,接口加入域等�����,但其中一些命令行是不會(huì)從主防火墻上備份到備防火墻上���。HRP的配置命令的功能和使用介紹如下:★hrpenable:HRP使能命令��,使能HRP之后防火墻將形成主備狀態(tài)�����?���!飄rpconfigurationcheckacl:檢查主備防火墻兩端的ACL的配置是否一致。執(zhí)行此命令之后���,主備防火墻會(huì)進(jìn)行交互��,執(zhí)行完之后可以通過命令行displayhrpc
5�、onfigurationcheckacl來查看兩邊的配置是否一致����。★hrpconfigurationcheckhrp...:檢查主備防火墻兩端的HRP的配置是否一致����。執(zhí)行此命令之后,主備防火墻會(huì)進(jìn)行交互��,執(zhí)行完之后可以通過命令行displayhrpconfigurationcheckacl來查看兩邊的配置是否一致����?�!飄rpinterfaceEthernet/GigabitEthernet:添加防火墻配置會(huì)話備份通道��。通常就是指防火墻心跳口�,此接口用來備份防火墻的會(huì)話的���。★hrpinterfaceEthernet1/0/0high-availability:
6��、配置防火墻的高可用性接口�。主要是用來實(shí)現(xiàn)防火墻的會(huì)話快速備份,如果不配置high-availability�����,會(huì)話快速備份的命令將不能使能����,配置此命令之后,此接口會(huì)被有限選擇作為防火墻會(huì)話備份的接口���。在防火墻上配置了hrpinterface之后�,防火墻選擇備份通道的接口為:先選擇配置的時(shí)候帶了high-availability的接口��,如果配置了多個(gè)帶high-availability的接口,先選擇槽位號(hào)和端口號(hào)比較小的接口�����,然后在選擇槽位號(hào)和端口號(hào)比較小的不帶high-availability的接口���。接口發(fā)生故障導(dǎo)致接口上的VRRP處于初始化狀態(tài)或者是接口上
7����、的VRRP所屬的VGMP沒有使能的時(shí)候����,防火墻會(huì)重新選擇備份通道?���!飄rpmirrorsessionenable:會(huì)話快速備份使能命令,此命令使能之后防火墻上對(duì)新建的會(huì)話或者是刷新的會(huì)話立即備份到對(duì)端防火墻上��,在配置high-availability之后才能配置此命令����?!飄rpmirrorpacketenable:報(bào)文搬遷使能命令�,此命令使能之后�,如果ICMP的應(yīng)答報(bào)文或者是TCP的ACK報(bào)文在其中一臺(tái)防火墻上找不到會(huì)話��,會(huì)把報(bào)文搬遷到另外一臺(tái)防火墻上����,如果在另外一臺(tái)防火墻上找到會(huì)話,報(bào)文根據(jù)會(huì)話轉(zhuǎn)發(fā)��,如果找不到會(huì)話�����,直接丟棄�����。此功能現(xiàn)在保留��,但是基本上不
8����、再使用�����,因?yàn)榉阑饓?huì)話快速備份使能之后會(huì)話在建立或者是刷新的時(shí)候馬
