VGMP组应对各种双机热备组网的招式,其中VGMP组监控的是防火墙本身的接口。下面我们再来学习两个VGMP组监控远端接口的招式。远端接口是指链路上其他设备的接口。需要注意的是这两种VGMP监控远端接口的招式只能用于防火墙业务接口工作在三层的组网,因为只有业务接口工作在三层才有IP地址,才能对远端设备发送IP-Link和BFD的探测报文。
一、通过IP-Link监控远端接口状态:方法是建立IP-Link探测远端接口, 然后VGMP组监控IP-Link状态。当IP-Link探测的接口故障时,IP-Link的状态变成Down,VGMP组感知到IP-Link的状态变化,从而降低自身的优先级。
二、通过BFD监控远端接口状态:方法是通过BFD探测远端接口, VGMP组监控BFD状态。当BFD探测的远端接口故障时,BFD的状态变成Down,VGMP组感知到BFD的状态变化,从而降低自身的优先级。
VGMP组如何通过VRRP备份组来实现接口故障监控、设备状态切换以及上下行流量引导。我们还发现VGMP与VRRP的配合只适用于防火墙连接二层设备的组网。那么当防火墙连接路由器或防火墙透明接入网络(业务接口工作在二层)时,VGMP组是使用什么招式来应对的呢?本篇强叔将为您揭秘VGMP组的其余保留招式~
一、上下行为路由器的方式
两台防火墙上下行业务接口工作在三层,连接路由器。防火墙与路由器之间运行OSPF协议。由于上下行不是二层交换机,所以VGMP组无法使用VRRP备份组。这时VGMP组使用的故障监控招式是直接监控接口状态。方法是直接将接口加入VGMP组。当VGMP组中的接口故障时,VGMP组会直接感知到接口状态变化,从而降低自身的优先级。
VGMP组直接监控接口状态的配置步骤如下(以主备备份方式的双机热备为例):
说明:如果是负载分担方式的双机热备,则需要在每个业务接口上执行hrp track active和hrp track standby,将业务接口分别加入Active组和Standby组。
【强叔问答】看到这里好奇的小伙伴们或许会问:不是将接口加入VGMP组,使VGMP组监控接口状态吗?为什么命令行是hrp track而不是vgmp track呢?这是因为上节讲到VGMP和HRP的报文都是由VRRP头和VGMP头封装的,区别只在于HRP报文还需要再封装一个HRP报文头。所以当初开发者设计命令时就统一使用了hrp这个参数,并流传至今。
配置完成后,FW1的VGMP组状态为Active,FW1成为主用设备;FW2的VGMP组状态为Standby,FW2成为备用设备。在双机热备的第一篇中讲到,如果我们希望PC1访问PC2的流量通过FW1转发,那么我们就需要手工将FW2所在链路(R1?>FW2?>R2)的OSPF Cost值调大。但是如果上下行的路由器R1或R2我们不方便或不能配置时怎么办呢?这就需要用到防火墙VGMP组的流量引导功能,将流量自动引导到主用设备上来。这种组网采用的VGMP流量引导招式为通过自动调整Cost值实现流量引导,即防火墙会根据VGMP组的状态自动调整OSPF的Cost值(命令为hrp ospf-cost adjust-enable)。启用此功能后,如果防火墙上存在状态为Active的VGMP组,则防火墙会正常对外发布路由;如果防火墙上的VGMP组状态都为Standby,则防火墙会在发布路由时将Cost值增加65500(此为缺省值,可调整)。
二、防火墙透明接入,连接交换机时的VGMP组网
两台防火墙上下行业务接口都工作在二层,连接交换机。由于防火墙的业务接口工作在二层,没有IP地址,所以VGMP组无法使用VRRP备份组或者直接监控接口的状态。这时VGMP组使用的故障监控招式是通过VLAN监控接口状态。方法是将二层业务接口加入VLAN,VGMP组监控VLAN。当VGMP组中的接口故障时,VGMP组会通过VLAN感知到其中接口状态变化,从而降低自身的优先级。
配置完成后,FW1的VGMP组状态为Active,FW1成为主用设备;FW2的VGMP组状态为Standby,FW2成为备用设备。由于防火墙的业务接口工作在二层,防火墙本身不能运行OSPF协议,因此VGMP组无法通过控制OSPF Cost值的变化来引导上下行流量。这时VGMP可以通过控制VLAN是否转发流量的招式来保证流量引导到主用设备上。当VGMP组状态为Active时,组内的VLAN能够转发流量;当VGMP组状态为Standby时,组内的VLAN被禁用,不能转发流量。VGMP控制VLAN是否转发流量不需要单独配置,只需要按照上表将VLAN加入VGMP组即可。
说明:当防火墙的业务接口工作在二层,连接二层设备时,不支持负载分担方式的双机热备。因为如果工作于负载分担方式,则两台设备上的VLAN都被启用,都能够转发流量,整个网络就会形成环路。
三、防火墙透明接入,连接路由器时的VGMP组网
两台防火墙上下行业务接口都工作在二层,连接路由器。两台路由器之间运行OSPF。在此种组网中防火墙的VGMP组采用的故障监控和流量引导方式与上一种组网相同,即通过VLAN监控接口状态实现故障监控,通过控制VLAN是否转发流量实现流量引导。
故障监控的区别之处在于此种组网只支持负载分担方式的双机热备,不支持主备备份方式。因为如果工作于主备备份方式,备用设备上的VLAN被禁用,它的上下行路由器就无法进行通信,无法建立OSPF路由。这样当主备切换时,新的主用设备(原备用设备)的VLAN被启用,它的上下行路由器才开始新建OSPF路由。而OSPF路由的新建是需要一定时间的,所以会导致业务的暂时中断。此组网的双机热备配置步骤如下:
一、主备备份双机热备状态形成过程
为了实现主备备份方式的双机热备,我们需要在FW1上启用Active组,并将FW1上的VRRP备份组都加入Active组;在FW2上启用Standby组,并将FW2上的VRRP备份组都加入Standby组。实现此操作的命令为vrrp vrid virtual-router-id virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }。这条命令看似简单,但功能很强大,一条命令配置下去两件事轻松搞定:
l 由于是在接口视图下执行这条命令,所示实际上是将接口加入了VRRP备份组,同时指定了虚拟IP地址和掩码。
当接口的IP地址与VRRP备份组的虚拟IP地址不在同一网段时,必须配置虚拟IP地址的掩码。
l “active | standby”参数是将VRRP备份组加入Active或Standby组。
结合下面的图来给出我们建立主备方式双机热备的具体配置,如下表所示:
各种VGMP报文和HRP报文都是通过心跳口发送的,心跳口可以说是双机热备的“命脉”,要点多多,务必关注:
二、负载分担双机热备状态形成和切换过程
为了实现负载分担方式的双机热备,我们需要在FW1和FW2上都启用Active组和Standby组,使FW1的Active组与FW2的Standby组进行通信,构成一组“主备”,FW2的Active组与FW1的Standby组进行通信,也构成一组“主备”。这样两台FW形成互为主备的状态,也就是负载分担状态。
结合下图给出负载分担方式的双机热备配置,如下表所示:
三、VGMP的功能
而由上面的例子可以看出,VGMP在双机热备中主要实现以下三个功能:
1、 故障监控:VGMP组能够监控VRRP备份组状态变化,从而感知到VRRP组内接口的故障和恢复。(私下里嘀咕:VGMP组能不能直接监控接口故障呢,一定要通过VRRP备份组监控接口么?)
2、 状态切换:VGMP组感知到VRRP备份组状态变化后,会调整自身的优先级,并与对端的VGMP组重新协商主备状态。(私下里嘀咕:这一点比较清楚了,本篇都是在讲状态如何切换和协商的。)
3、 流量引导:两个VGMP组主备状态建立或者切换后,会强制组内VRRP备份组状态统一切换,然后由状态为Active的VRRP备份组发送免费ARP来引导流量通过自身转发。(私下里嘀咕:如果VGMP组能够直接监控接口的话,流量引导方式也是这样么?)
实际上VGMP功能很强大,通过监控VRRP备份组状态实现防火墙主备状态切换和流量引导仅仅是VGMP的一个招式。这个招式仅仅适用于防火墙上行或下行设备是交换机的场景,因为VRRP本身就是为这个场景量身定制的。当防火墙上行或下行设备是路由器的时候,VGMP就无力应对了么?当然不会的!
防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。成为备用设备的防火墙不会处理业务,只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。
主备情况下,先配置vrrp,hrp 双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。
模拟器环境中安全策略和nat策略没有同步到 fw_b上,不知道啥情况。配置的hrp auto-sync 没有生效。
【防火墙技术连载38】强叔侃墙 双机热备篇 VRRP与VGMP的故事(上) (huawei.com)
vrrp备份组状态切换过程
当VRRP备份组状态切换完成后,新的Master路由器会立即发送携带VRRP备份组虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接的设备(下行交换机)中的MAC表项。下行的交换机的MAC表项会记录虚拟MAC地址与新的端口Eth0/0/2的对应关系。
