淄博建设网站,seo整站优化吧,网站建设实施背景分析,网站移动端怎么做的目录
一、冗余分类
1、双机热备的产生
2、热备和冷备
二、VRRP
VRRP注意事项
VRRP通告报文
三、VGMP
两种VGMP组
VGMP优先级
四、HRP
五、双机热备基本组网与配置
配置步骤 一、冗余分类
物理冗余#xff1a;单设备改多设备#xff0c;多线路连接。
网络冗余单设备改多设备多线路连接。
网络冗余多线路保障网络冗余性单条链路挂掉还能走另一条。
设备冗余交换机堆叠、关类做双机热备。
链路冗余线路做链路聚合。
1、双机热备的产生 传统的组网方式内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断通讯可靠性无法保证。
双机热备两台或多台设备解决单台机器的单点故障。 2、热备和冷备
热备实时备份业务中断时间短。
冷备手动备份/离线备份业务中断时间久需要人为干预。 二、VRRP
VRRP虚拟路由冗余协议在一个广播域内将多台路由器的接口加入同一个逻辑备份组备份组有一个虚拟IP地址这个虚拟的IP地址只有主设备会响应。
虚拟MAC每一个VRRP备份组都会有自己的虚拟MAC地址。 VRRP注意事项
1、在一个VRRP组中收到ARP请求只有主设备会响应这个请求。
2、ARP应答中MAC地址为这个VRRP组中虚拟MAC地址。
3、交换机具备学习的功能会把接口跟这个虚拟MAC做映射。
4、PC会记录ARP映射表。
5、PC会把这个虚拟MAC地址进行封装后发送。 VRRP通告报文
VRRP通告报文组播报文224.0.0.18只有组设备会周期性1s在该广播域内发送3倍hello时间没收到VRRP通告报文进行VRRP主备切换备设备切换为主设备并在该广播域发送免费ARP检测IP地址是否有冲突源MAC是【虚拟MAC地址】交换机本来映射表是虚MAC——接口1收到免费ARP后映射表虚MAC——接口2。
VRRP技术在一个广播域内将不同路由器的多个接口做一个逻辑备份组这个逻辑备份组有一个虚IP可以给主机做网关这个虚IP会对应一个虚拟MAC当三倍hello时间没有收到组播通告报文备机会切换为主机并发送免费ARP。
由于VRRP组只在一个广播域比如路由器上联接口是一个VRRP组下联接口是另一个VRRP组R1的下联口发生故障R2的下联口成为主上联都没有变化这样会造成流量来回路径不一致。 VRRP track将多个接口做逻辑绑定一个接口故障会影响绑定组里的其他接口进行优先级降低。
三、VGMP
VGMPVRRP组管理协议将不同的VRRP备份组加入到相同的VGMP管理组VGMP组内会让关联者状态一致下边的变为备上边也变为备实现同步切换。 两种VGMP组 组名 状态 Active组 Active Standby组 Standby
启用了VGMP后VRRP优先级就会失效不能通过VRRP选举主备而是VMGP的Active主和Strandby备组决定。 VGMP优先级
1、V1Active优先级65001Standby优先级65000。
2、V5Active优先级45000Strandby优先级45000。
优先级高状态为Active组内有一个VRRP成员故障会导致这个VGMP优先级下降2Strandby组的状态就会由Strandby变为Active会发免费ARP引导流量。 路由器换成防火墙主备切换会产生问题由于没有会话同步流量到备机后新会话首包过来并且通过防火墙安全策略放行正常没有问题之前主机旧会话由于没有同步会直接被拦截。 四、HRP
HRP华为冗余协议用于双机之间数据同步引入心跳线的概念。 心跳线单独拿防火墙一个接口配置主墙会周期性1s自动备份快速备份同步状态信息状态信息会话表。
数据同步同步配置接口IP路由不同步、同步状态 周期性同步 1、自动备份 1s 2、快速备份 负载分担下用产生立刻备份。 五、双机热备基本组网与配置 配置步骤
1、配置接口IP。
2、配置接口区域
3、配置tracert区域内接口的VRRP组配置Untrust区域内接口的VRRP组。
4、配置心跳口。
5、指定双机热备备墙。
6、开启双机热备。 防火墙接口加入区域
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0 防火墙不老化
user-interface con 0
idle-timeout 0 0
做双机之前配置要完全一致
[FW1]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.254 active
[FW1-GigabitEthernet0/0/0]vrrp vrid 2 timer advertise 6 VRRP通告时间6s一次 配置心跳口
[FW1]hrp interface GigabitEthernet 1/0/1 remote 1.1.1.2 指定本端心跳口和对端心跳IP
[FW2]hrp standby-device 指定FW2做备墙
[FW1]hrp interface Eth-Trunk 1 监听聚合接口
[FW1]hrp enable 开启双机热备
双机组建完成后配置只能在主墙上配置
HRP_M[FW1]security-policy (B) B的意思的立即同步备墙配置防火墙安全策略
HRP_M[FW1-policy-security]rule name PC1-to-PC2 (B) 配置策略名
HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-zone trust (B) 配置策略源区域
HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-zone untrust (B) 配置策略目的区域
HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 32 (B) 配置源地址
HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 32 (B ) 配置目的地址
HRP_M[FW1-policy-security-rule-PC1-to-PC2]service icmp (B) 配置匹配的协议
HRP_M[FW1-policy-security-rule-PC1-to-PC2]action permit (B) 配置放行策略
主备部署心跳线断了两边都认为自己是主都会主动发送免费ARP引流会导致流量时断时续。
正常双主负载模式非正常双组心跳口断开导致双主流量路径不一致会话没同步丢包时断时续
防火墙主备模式心跳线断开备机从备切到主VRRP会发免费ARP引流但是这个时候心跳线恢复备从主切回备就不会发免费ARP主墙依旧是主下边链路还没切得等主墙的ARRP通告时间到了发报文下边交换机arp和mac地址表才能更新流量才能走正确路径。
