VRRP技術(shù)介紹
傳統(tǒng)TACS中,多于兩臺(tái)防火墻部署在出口���,當(dāng)防火墻發(fā)生故障后�����,內(nèi)部網(wǎng)絡(luò)中所有以防火墻做為默認(rèn)網(wǎng)關(guān)的主機(jī)與內(nèi)部網(wǎng)絡(luò)之間的通訊中斷���,通訊可靠性無(wú)法確保�����。
雙機(jī)熱備份技術(shù)的發(fā)生改變了可靠性難以確保的尷尬狀態(tài)��,透過(guò)在網(wǎng)絡(luò)出口位置部署兩臺(tái)或幾臺(tái)網(wǎng)關(guān)設(shè)備����,確保了內(nèi)部網(wǎng)絡(luò)于內(nèi)部網(wǎng)絡(luò)之間的通訊暢通。
為了避免路由器傳統(tǒng)TACS所引起的單點(diǎn)故障的發(fā)生���,通常情況能使用多條鏈路的維護(hù)機(jī)制��,依靠動(dòng)態(tài)路由協(xié)議展開(kāi)鏈路轉(zhuǎn)換�����。但這種路由協(xié)議來(lái)展開(kāi)轉(zhuǎn)換維護(hù)的方式存有一定的局限性���,當(dāng)無(wú)法使用動(dòng)態(tài)路由協(xié)議時(shí),仍然會(huì)引致鏈路中斷的問(wèn)題���,因此推出了另一種維護(hù)機(jī)制VRRP(交互式路由高速緩存協(xié)議)來(lái)展開(kāi)����。使用VRRP的鏈路維護(hù)機(jī)制比依賴(lài)動(dòng)態(tài)路由協(xié)議的廣主播文來(lái)展開(kāi)鏈路轉(zhuǎn)換的時(shí)間更短,同時(shí)彌補(bǔ)了無(wú)法使用動(dòng)態(tài)路由情況下的鏈路維護(hù)�����。
VRRP(Virtual Router Redundancy Protocol)是一種基本的糾錯(cuò)協(xié)議�。
備份組:同一個(gè)廣播域的一組路由器組織成一個(gè)交互式路由器,備份體中的所有路由器一起��,共同提供一個(gè)交互式IP地址��,做為內(nèi)部網(wǎng)絡(luò)的網(wǎng)關(guān)地址�����。
主(Master)路由器:在同一個(gè)備份體中的數(shù)個(gè)路由器中����,多于兩臺(tái)處在活動(dòng)狀態(tài)�����,多于主路由器能留言以交互式IP地址做為下一跳的報(bào)文���。
備份(Backup)路由器:在同一個(gè)備份體中的數(shù)個(gè)路由器中�,除主路由器外,其他路由器均為備份路由器�,處在備份狀態(tài)。
主路由器透過(guò)多播方式定期向備份路由器傳送通告報(bào)文(HELLO)�,備份路由器則負(fù)責(zé)監(jiān)聽(tīng)通告報(bào)文,以此來(lái)確定其狀態(tài)����。因VRRP HELLO報(bào)文為多主播文,所以要求備份體中的各路由器透過(guò)三層設(shè)備相連接�����,即啟用VRRP時(shí)上下行設(shè)備必須具有三層交換功能�,否則備份路由器無(wú)法收到主路由器傳送的HELLO報(bào)文。如果TACS條件不滿足���,則無(wú)法使用VRRP��。
VRRP在防火墻應(yīng)用領(lǐng)域中存有的瑕疵
傳統(tǒng)VRRP方式無(wú)法實(shí)現(xiàn)主可供使用防火墻狀態(tài)的完全一致性
如上圖:當(dāng)PC1出訪PC2 正常情況下透過(guò)Master(下面的)防火墻將數(shù)據(jù)包留言出去��,回包也是透過(guò)Master回包����。當(dāng)10.100.10.2這個(gè)網(wǎng)段的網(wǎng)絡(luò)發(fā)生故障或者down掉了,這時(shí)PC1出訪PC2就走Backup(下面的)服務(wù)器���,但回包不一定會(huì)按照原路回到��,當(dāng)PC2把包回給下面的防火墻��,因下面鏈路故障�����,就會(huì)發(fā)生丟包的情況
傳統(tǒng)VRRP方式無(wú)法實(shí)現(xiàn)主�����、可供使用防火墻會(huì)話表項(xiàng)的完全一致性
如圖所示,假設(shè)USG A和USG B的VRRP狀態(tài)完全一致��,即USG A的所有USB均為主用狀態(tài)��,USG B的所有USB均為可供使用狀態(tài)����。
這時(shí),Trust區(qū)域的PC1出訪Untrust區(qū)域的PC2����,報(bào)文的留言路線為(1)-(2)-(3)-(4)�����。USG A留言出訪報(bào)文時(shí)�,動(dòng)態(tài)分解成會(huì)話表項(xiàng)��。當(dāng)PC2的回到報(bào)文經(jīng)過(guò)(4)-(3)抵達(dá)USG A時(shí)����,因能夠命中會(huì)話表項(xiàng),才能再經(jīng)過(guò)(2)-(1)抵達(dá)PC1��,順利回到�����。同理��,當(dāng)PC2和DMZ區(qū)域的Server也能互派�����。
假設(shè)USG A和USG B的VRRP狀態(tài)不完全一致,例如�,當(dāng)USG B與Trust區(qū)域相連接的USB為可供使用狀態(tài),但與Untrust區(qū)域的USB為主用狀態(tài)�,則PC1的報(bào)文透過(guò)USG A設(shè)備抵達(dá)PC2后,在USG A上動(dòng)態(tài)分解成會(huì)話表項(xiàng)��。PC2的回到報(bào)文透過(guò)路線(4)-(9)回到��。這時(shí)因USG B上沒(méi)有相應(yīng)數(shù)據(jù)流的會(huì)話表項(xiàng)�,在沒(méi)有其他報(bào)文過(guò)濾規(guī)則允許透過(guò)的情況下,USG B將丟棄太陽(yáng)報(bào)文�����,引致會(huì)話中斷�����。
問(wèn)題產(chǎn)生的原因:報(bào)文的留言機(jī)制不同��。 如何解決下面的問(wèn)題呢��?����??�?
HRP協(xié)議的產(chǎn)生
HRP(Huawei Redundancy Protocol)協(xié)議,用于將主防火墻關(guān)鍵布局和連接狀態(tài)等數(shù)據(jù)向備防火墻上同步
HRP的功能
雙機(jī)熱備的布局
