双击热备份技术产生的原因:
理论基础
当主设备宕机,备设备会发送一个免费的arp给交换机,来冲刷交换机的mac地址表,从而把流量引导到备设备中;多个VRRP组,统一切换问题:VGMP(默认开启),统一管理VRRP组,实现统一切换,避免了来回路径不一致;安全策略的配置和会话同步问题:主备的安全策略和会话要同步才能保证来回路径不一致的问题,HRP来实现这个同步,部署在主备设备之间(心跳线);双击热备协议架构
VRRP:负责单个接口的故障检测和流量引导,每个VRRP备份组拥有一个虚拟IP地址,作为网络的网关地址,在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量;VGMP:将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上下行流量能同步切换备用防火墙;HRP:负责双击之间的同步;配置流程
三大配置原则: 在双机热备组网中,在配置其他业务之前必须在主备设备上先完成双击热备的所有配置,并保证双击状态正常;在主备备份组网中,关键业务在主设备上完成配置即可,备用设备可以同步主设备的配置命名,建议割接前对比主设备配置文件,保证双机配置一致;在负责分担组网中,两个设备处于互为主备的状态,所以业务特性要在两个设备上分别配置;配置注意事项
硬件限制 目前只支持两台设备进行双机热备;主备设备的产品型号和版本必须相同;主备设备接口ka的为止、类型和数目都必须相同,否则会出现朱勇设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题; 软件限制 主备设备的软件版本必须一致;主备设备的Bootrom版本必须一致;建议主备设备的配置文件均为初始文件,否则两台设备可能冲突;主备设备对应接口必须加入到相同的安全区域;主备设备的心跳口(HRP备份通道)配置必须一致,心跳口的MTU值必须是1500;主备设备业务接口的IP地址必须固定,因此双机热备不能与PPoE拨号、DHCP Client等自动获取地址等特性结合使用;双机热备成功建立后,如果希望使用Web界面更改“运行模式”(从“主备备份”切换成“负载分担”, 或者从“负载分担”切换成“主备备份”),则必须先请客所有双击热备的配置;流量引导
当VGMP管理组检测到成员状态变化,从而进行主备切换之后,需要能及时有效的对业务流量进行引导,VGMP管理组的流量引导功能负责在倒换时进行业务流量的引导,目前VGMP管理组支持的业务流量引导手段有如下几种: 虚拟IP地址方式:用于防火墙三层业务接口连接二层交换机组网;路由COST调整方式:用于防火墙三层业务接口连接路由器,主备备份猪王;动态路由收敛方式:用于防火墙三层业务接口连接路由器,路由器组网,负载分担组网;VLAN启用和禁用方式:用于防火墙业务接口工作在透明模式的组网中;