資源描述:
《華為防火墻(vrrp)雙機熱備配置及組網(wǎng)》由會員上傳分享,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1����、.防火墻雙機熱備配置及組網(wǎng)指導防火墻雙機熱備����,主要是提供冗余備份的功能,在網(wǎng)絡(luò)發(fā)生故障的時候避免業(yè)務(wù)出現(xiàn)中斷�����。防火墻雙機熱備組網(wǎng)根據(jù)防火墻的模式���,分路由模式下的雙機熱備組網(wǎng)和透明模式下的雙機熱備組網(wǎng)���,下面分別根據(jù)防火墻的不同模式下的組網(wǎng)提供組網(wǎng)說明及典型配置。1防火墻雙機熱備命令行說明防火墻的雙機熱備的配置主要涉及到HRP的配置��,VGMP的配置��,以及VRRP的配置����,防火墻的雙機熱備組網(wǎng)配置需要根據(jù)現(xiàn)網(wǎng)的業(yè)務(wù)和用戶的需求來進行調(diào)整,下面就防火墻的雙機熱備配置涉及到的命令行做一個解釋說明。1.1HRP命令行配置說明HRP是華為的冗余備份協(xié)議�����,Eudemon防火
2���、墻使用此協(xié)議進行備份組網(wǎng)���,達到鏈路狀態(tài)備份的目的,從而保證在設(shè)備發(fā)生故障的時候業(yè)務(wù)正常���。HRP協(xié)議是華為自己開發(fā)的協(xié)議�����,主要是在VGMP協(xié)議的基礎(chǔ)上進行擴展得到的�;VGMP是華為的私有協(xié)議�����,主要是用來管理VRRP的����,VGMP也是華為的私有協(xié)議��,是在VRRP的基礎(chǔ)上進行擴展得到的����。不管是VGMP的報文�,還是HRP的報文����,都是VRRP的報文,只是防火墻在識別這些報文的時候能根據(jù)自己定義的字段能判斷出是VGMP的報文��,HRP的報文�,或者是普通的VRRP的報文。在Eudemon防火墻上����,hrp的作用主要是備份防火墻的會話表,備份防火墻的servermap表�����,備份防
3��、火墻的黑名單���,備份防火墻的配置���,以及備份ASPF模塊中的公私網(wǎng)地址映射表和上層會話表等���。兩臺防火墻正確配置VRRP,VGMP�����,以及HRP之后����,將會形成主備關(guān)系,這個時候防火墻的命令行上會自動顯示防火墻狀態(tài)是主還是備�����,如果命令行上有HRP_M的標識��,表示此防火墻和另外一臺防火墻進行協(xié)商之后搶占為主防火墻���,如果命令行上有HRP_S的標識�����,表示此防火墻和另外一臺防火墻進行協(xié)商之后搶占為備防火墻����。防火墻的主備狀態(tài)只能在兩臺防火墻之間進行協(xié)商,并且協(xié)商狀態(tài)穩(wěn)定之后一定是一臺為主狀態(tài)另外一臺為備狀態(tài)����,不可能出現(xiàn)兩臺都為主狀態(tài)或者都是備狀態(tài)的�����。在防火墻的HRP形成主備之
4�����、后����,我們稱HRP的主備狀態(tài)為HRP主或者是HRP備狀態(tài),在形成HRP的主備狀態(tài)之后默認是一部分配置在主防火墻上配置之后能自動同步到備防火墻上的����,而這些命令將不能在備防火墻的命令行上執(zhí)行,這些命令包括ACL����,接口加入域等�����,但其中一些命令行是不會從主防火墻上備份到備防火墻上���。HRP的配置命令的功能和使用介紹如下:★hrpenable:HRP使能命令,使能HRP之后防火墻將形成主備狀態(tài)����。★hrpconfigurationcheckacl:檢查主備防火墻兩端的ACL的配置是否一致�。執(zhí)行此命令之后,主備防火墻會進行交互����,執(zhí)行完之后可以通過命令行displayhrpc
5、onfigurationcheckacl來查看兩邊的配置是否一致��?��!飄rpconfigurationcheckhrp...:檢查主備防火墻兩端的HRP的配置是否一致���。執(zhí)行此命令之后�,主備防火墻會進行交互��,執(zhí)行完之后可以通過命令行displayhrpconfigurationcheckacl來查看兩邊的配置是否一致��?!飄rpinterfaceEthernet/GigabitEthernet:添加防火墻配置會話備份通道。通常就是指防火墻心跳口����,此接口用來備份防火墻的會話的?�!飄rpinterfaceEthernet1/0/0high-availability:
6�����、配置防火墻的高可用性接口�����。主要是用來實現(xiàn)防火墻的會話快速備份����,如果不配置high-availability���,會話快速備份的命令將不能使能���,配置此命令之后��,此接口會被有限選擇作為防火墻會話備份的接口�。在防火墻上配置了hrpinterface之后�����,防火墻選擇備份通道的接口為:先選擇配置的時候帶了high-availability的接口��,如果配置了多個帶high-availability的接口�,先選擇槽位號和端口號比較小的接口,然后在選擇槽位號和端口號比較小的不帶high-availability的接口�����。接口發(fā)生故障導致接口上的VRRP處于初始化狀態(tài)或者是接口上
7�、的VRRP所屬的VGMP沒有使能的時候,防火墻會重新選擇備份通道���?�!飄rpmirrorsessionenable:會話快速備份使能命令�,此命令使能之后防火墻上對新建的會話或者是刷新的會話立即備份到對端防火墻上,在配置high-availability之后才能配置此命令�。★hrpmirrorpacketenable:報文搬遷使能命令�,此命令使能之后,如果ICMP的應(yīng)答報文或者是TCP的ACK報文在其中一臺防火墻上找不到會話����,會把報文搬遷到另外一臺防火墻上,如果在另外一臺防火墻上找到會話�����,報文根據(jù)會話轉(zhuǎn)發(fā)����,如果找不到會話����,直接丟棄。此功能現(xiàn)在保留����,但是基本上不
8、再使用����,因為防火墻會話快速備份使能之后會話在建立或者是刷新的時候馬
