防火墙双机热备功能最大的特点在于提供一条专门的备份通道(也称为心跳线),用于两台防火墙之间协商主备状态,以及备份会话、Server-map表等重要的状态信息和配置信息。成为备用设备的防火墙不会处理业务,只是通过备份通道接收来自主用设备FW1的状态信息以及配置信息。
主备情况下,先配置vrrp,hrp 双机热备状态成功建立后,FW_A的安全策略配置会自动备份到FW_B上。
双机热备状态成功建立后,FW_A的NAT策略配置会自动备份到FW_B上。
模拟器环境中安全策略和nat策略没有同步到 fw_b上,不知道啥情况。配置的hrp auto-sync 没有生效。
【防火墙技术连载38】强叔侃墙 双机热备篇 VRRP与VGMP的故事(上) (huawei.com)
vrrp备份组状态切换过程
当VRRP备份组状态切换完成后,新的Master路由器会立即发送携带VRRP备份组虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接的设备(下行交换机)中的MAC表项。下行的交换机的MAC表项会记录虚拟MAC地址与新的端口Eth0/0/2的对应关系。
在以太网中,MAC地址表项用于指导设备进行二层数据转发,ARP表项通过IP地址和MAC地址的映射指导设备进行不同网段间的通信。
在VRRP下挂服务器的场景中,MAC地址表项的出接口通过报文触发刷新,ARP表项的出接口是在老化时间到后通过老化探测进行刷新的。这样就可能会出现MAC表项和ARP表项出接口不一致的情况,即MAC地址表项的出接口已刷新,而ARP表项的出接口没有及时刷新的情况。此时可以使能MAC刷新ARP的功能,在MAC地址表项出接口刷新时,直接刷新ARP表项的出接口。如下图所示的场景,SwitchA和SwitchB作为Server的网关,通过VRRP来增强可靠性,VRRP协议报文通过两个Switch之间的直连链路收发。Server发送报文时,一般情况下只会选择一个网口发包,当检测到网络故障或者流量异常时,可能切换到另外一个网口发包。
这种情况下就可以在SwitchA和SwitchB上配置MAC刷新ARP功能,当MAC表项的出接口变化时,会即时更新ARP表项的出接口,从而保证MAC表项和ARP表项出接口的一致性。
基于MAC表项刷新ARP表项功能缺省未使能,可通过mac-address update arp命令使能该功能。此命令适用于动态ARP 表项生效。
Q:
什么是免费ARP和过路ARP?
A:
1、免费ARP
免费ARP:Gratuitous ARP(Address Resolution Protocol),是指报文净荷中的源IP地址和目的IP地址相等的ARP报文。
ARP报文格式:
免费ARP的作用:
1)向周边设备通告本设备的ARP。周边设备就可以学习ARP表项,当接受到报文时,无需重新请求ARP,提高了通信效率。
2)IP地址冲突检测。如果收到了免费ARP的应答报文,说明本地IP地址已经在网络中的其他地方被占用了。
使用场景:
在vrrp中VRRP备份组向周边设备发送免费arp通告虚拟的MAC地址和下行交换机接口的对应关系。
当master 故障时,backup及时接替master角色发布免费ARP ,通告下行交换机虚拟MAC地址与交换机接口的对应关系。
IP地址冲突检测:当设备接口的协议状态变为Up时,设备主动对外发送免费ARP报文。正常情况下不会收到ARP应答,如果收到,则表明本网络中存在与自身IP地址重复的地址。如果检测到IP地址冲突,设备会周期性的广播发送免费ARP应答报文,直到冲突解除。
用于通告一个新的MAC地址:发送方更换了网卡,MAC地址变化了,为了能够在动态ARP表项老化前通告网络中其他设备,发送方可以发送一个免费ARP。
port-group 1
group-member e0/0/0 to e0/0/10
port link-type access //注意配置有先后顺序,必须先指定接口类型,才能家加入VID.
port default vlan vid