文档介绍:E1000E培训胶片�——双机热备网络安全产品族汇报提纲双机热备技术背景介绍双机热备原理介绍双机热备需要备份哪些数据E1000E和其他防火墙双机热备的差异双机热备典型组网及配置命令双机热备的缺陷和技术发展双机热备技术背景介绍在传统的组网方式下,因设备故障导致链路中断后,就会导致业务中断,对于重要的业务点(如电信、银行等)就会带来巨大的影响和损失单点故障双机热备技术背景介绍为了避免这种单点故障的发生,通常情况可以采用多条链路的保护机制,依靠动态路由协议进行链路切换。但使用动态路由协议来进行切换保护存在一定的局限性,就是当不能使用动态路由协议时,仍然会导致链路中断的问题因此推出了另一种链路保护机制VRRP(虚拟路由冗余协议)来进行双机热备技术背景介绍VRRP将局域网的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态(Master)并承担报文转发任务,其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备采用VRRP的链路保护机制比依赖动态路由协议来进行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护双机热备技术背景介绍上面我们讲的两种技术都是针对链路的热备技术,而E1000E防火墙是状态防火墙,因此我们还要完成会话状态和数据热备报文的转发机制不同路由器是逐包转发的,而防火墙是流转发的。即在路由器中,每个报文只要查到路由表就可进行转发,当链路切换后,后续报文不会受到影响。而防火墙只有匹配上对应的流,并且状态正确时才会进行转发其实对于路由器当配置NAT后也会存在同样的问题,因为在进行NAT后会形成一个NAT转换各种数据在不同时刻不完全一致主备防火墙上不同时刻的检测数据不完全一致,为了业务的一致性,也需要双机热备各接口的主用或备用状态也不完全一致每个备份组的VRRP是单独工作的,并且每个VRRP状态相对独立,因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用基于上面的一些分析,防火墙的双机热备还需要其他的一些技术和配置,因此就有了VGMP和HRP的引入,由VGMP完成状态一致性管理、通道管理以及主备切换的决策。HRP完成数据的备份双机热备原理介绍双机热备原理介绍VRRP协议介绍VGMP协议介绍HRP协议介绍双机热备使用注意事项双机热备原理介绍双机热备的基本原理两台防火墙形成双机热备,两台防火墙之间通过VRRP的hello报文协商主备关系,根据VGMP的优先级确定防火墙的master和slave关系,并且master防火墙会通过HRP协议定时向slave传送备份信息(命令行备份信息和动态备份信息),当master防火墙出现故障时,主备关系发生转换,业务会平滑切换,不会影响这个业务的进行实现双机热备的基本步骤在接口上配置VRRP(虚拟路由器冗余协议)备份组将VRRP备份组加入到VGMP(VRRP组管理协议)中,以实现对VRRP管理组的统一管理使能HRP(华为冗余协议),实现双机情况下的信息备份注意对于双机热备目前只支持两台设置进行备份,不支持多台设备进行备份。对于只使用VRRP的组网可以支持多台设备进行冗余备份双机热备原理介绍