1、雙機(jī)熱備技Copyright雙機(jī)熱備技Copyright .s.學(xué)完本課程后，您將能夠?qū)W完本課程后，您將能夠；Copyright .s.Page雙機(jī)熱備基本原雙機(jī)熱備基本原雙機(jī)熱備組網(wǎng)舉雙機(jī)熱備故障解Copyright .s.Page在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上，如果只部署一在網(wǎng)絡(luò)關(guān)鍵節(jié)點(diǎn)上，如果只部署一臺(tái)設(shè)備，無論其可靠性多高，系統(tǒng)都必然要承受單點(diǎn)故障而導(dǎo)致的網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)一般用作內(nèi)網(wǎng)的出口，是業(yè)務(wù)關(guān)鍵路徑上的設(shè)備。為了防止因一臺(tái)設(shè)故障而導(dǎo)致的業(yè)務(wù)中斷，要機(jī)熱備組網(wǎng)必須提供更高的可靠性，此時(shí)需要使雙Copyright .s.Page在雙機(jī)熱備組網(wǎng)中，當(dāng)一在雙機(jī)熱備組網(wǎng)中，當(dāng)一保證流量不中斷，使出現(xiàn)故障時(shí)

2、，業(yè)務(wù)流量能平滑地切換到備上用戶交互時(shí)完全感知不到曾經(jīng)出現(xiàn)過網(wǎng)絡(luò)故障Copyright .s.Page雙機(jī)熱備組網(wǎng)的建立和運(yùn)雙機(jī)熱備組網(wǎng)的建立和運(yùn)行需要解決以下五個(gè)關(guān)鍵問題設(shè)備的主備狀態(tài)是如何決定的如并發(fā)現(xiàn)接口或設(shè)備故障發(fā)現(xiàn)故障后，如何保證設(shè)備的主備狀態(tài)切正常情況和故障后，流量是如何引導(dǎo)的如何進(jìn)行信息同步，保證主備切換后業(yè)務(wù)不中斷以上問題都是由雙機(jī)熱備特性涉及的三大協(xié)議VRPP、VGMP、HRP共同配合解決的Copyright .s.Page雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備組網(wǎng)舉雙機(jī)熱備故障解Copyright .s.PageModuleModuleModuleAPP（

3、ModuleModuleModuleAPP（Copyright .s.Page負(fù)責(zé)單個(gè)接口的故障檢測(cè)和流量引導(dǎo)負(fù)責(zé)單個(gè)接口的故障檢測(cè)和流量引導(dǎo)。每個(gè)VRRP備份組擁有一個(gè)虛擬IP地址作為網(wǎng)絡(luò)的網(wǎng)關(guān)地址；在VRRP主備倒換時(shí)通過發(fā)送免費(fèi)ARP來刷新對(duì)接設(shè)MAC來引導(dǎo)流量將系統(tǒng)中所有的VRRP備份組集中管理，控制狀切換，保證出現(xiàn)故障時(shí)下行流量能同步切換到備負(fù)責(zé)雙機(jī)之間的數(shù)據(jù)同步。Copyright .s.Page雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備網(wǎng)舉雙機(jī)熱備故障解Copyright .s.PageVRRP在引入了VRRP（VirtualRouterRedundancyProt

4、ocol）。VRRP 臺(tái)VRRP在引入了VRRP（VirtualRouterRedundancyProtocol）。VRRP 臺(tái)主VirtualIPAddress PC10.100PC默認(rèn)網(wǎng)關(guān)備Copyright .s.PageVRRPVRRP報(bào)文用來將主用設(shè)備的優(yōu)先級(jí)和狀態(tài)通告給備用設(shè)備。VRRP報(bào)文承載在P上，為組播報(bào)文（組播地址為0.1VRRPVRRP報(bào)文用來將主用設(shè)備的優(yōu)先級(jí)和狀態(tài)通告給備用設(shè)備。VRRP報(bào)文承載在P上，為組播報(bào)文（組播地址為0.18），協(xié)議號(hào)為2。PriorityCopyright .s.PageVRRP加入VRRP備份組的接口有三種狀態(tài)，只VRRP加入VRRP備份組

5、的接口有三種狀態(tài)，只有處于主用狀態(tài)的設(shè)備才可響應(yīng)ARP請(qǐng)求，轉(zhuǎn)業(yè)務(wù)報(bào)文。并且發(fā)送VRRP報(bào)文，主動(dòng)聯(lián)系備用設(shè)備。Copyright .s.PageVRRP鏈路正常時(shí)虛擬IP地址在狀態(tài)為Active的設(shè)備接口上VRRP鏈路正常時(shí)虛擬IP地址在狀態(tài)為Active的設(shè)備接口上生效PC請(qǐng)求網(wǎng)關(guān)地址的ARP時(shí)，只有狀態(tài)為Active的設(shè)備會(huì)應(yīng)答ARP業(yè)務(wù)流量被引導(dǎo)到狀態(tài)為Active的設(shè)備接口上進(jìn)行轉(zhuǎn)發(fā)ARP備份VirtualIPAddress PC PC 默認(rèn)網(wǎng)關(guān)Copyright .s.PageVRRP當(dāng)Active設(shè)備出現(xiàn)接口、鏈路或整機(jī)故障時(shí)Active設(shè)備接VRRP當(dāng)Active設(shè)備出現(xiàn)接口、

6、鏈路或整機(jī)故障時(shí)Active設(shè)備接口上的VRRP備份組狀態(tài)進(jìn)入InitializeStandby設(shè)備接口上的VRRP備份組狀態(tài)將切換到Active ，發(fā)送免費(fèi)ARP交換機(jī)上的MACPC發(fā)出的業(yè)務(wù)流量被引導(dǎo)到備用設(shè)備接口上進(jìn)行轉(zhuǎn)發(fā)免費(fèi)備份VirtualIPAddress PCPC默認(rèn)網(wǎng)關(guān)Copyright .s.PageVRRP當(dāng)上下行業(yè)務(wù)端口上都配置了VRRP備份組時(shí)，這兩個(gè)VRRP備份組是獨(dú)立行的，VRRP當(dāng)上下行業(yè)務(wù)端口上都配置了VRRP備份組時(shí)，這兩個(gè)VRRP備份組是獨(dú)立行的，可能出現(xiàn)上下行兩個(gè)VRRP備份組狀態(tài)不一致的情況例如，主用網(wǎng)去的流量從備用網(wǎng)上內(nèi)網(wǎng)側(cè)的接口故障，VRRP倒換到備

7、用網(wǎng)，因上上轉(zhuǎn)發(fā)。但是側(cè)的VRRP，主用網(wǎng)VRRP仍然是主，因此回程的流量仍然會(huì)送到主用網(wǎng)回內(nèi)網(wǎng)，導(dǎo)致業(yè)務(wù)中斷上，但業(yè)務(wù)流量無備份VirtualIPAddress PCPC備份VirtualIPAddress Copyright .s.Page雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備網(wǎng)舉雙機(jī)熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.PageVGMP為了解決前面提到的單獨(dú)配置VRRP可能遇到的狀態(tài)不一致問題公司在VRRP的VGMP為了解決前面提到的單獨(dú)配置VRRP可能遇到的狀態(tài)不一致問題公司在VRRP的礎(chǔ)上開發(fā)了VRR

8、P組管理協(xié)議（VRRP Group Management Protocol），即VGMPVGMP的基本功能是集中管理VRRP備份組，控制VRRP備份組將一組VRRP備份組組成一個(gè)VGMP管理組。 由VGMP管理組控制所有VRRP備份組同報(bào)文跟對(duì)端設(shè)備進(jìn)行協(xié)商實(shí)現(xiàn)主備狀態(tài)切vrrpvridvirtual-router-idvirtual-ipaddressip-mask|ip-mask-length|standbyvrrp6 vrid virtual-router-id virtual-ip FE80:X:X link-local active | standby vrrp6vridvirtua

9、l-router-idvirtual-ipvirtual-Device A VGMPGroupDevice B VGMPGroupVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageVGMPUSG6600 VGMP報(bào)文支持2VGMPUSG6600 VGMP報(bào)文支持2vType：VGMP報(bào)文的類型報(bào)文（常用）定義了四種o為HRP報(bào)文時(shí)，還需要在VGMP報(bào)文之上承載Copyright .s.PageVGMPVGMPVGMPVGMPCopyright .s.PageDataIPUDPVGMP(HRP)IPVRRPVGMPCopyright .s.Pa

10、geCopyright .s.PageVGMPVGMP管理組的主備狀態(tài)決定了雙VGMPVGMP管理組的主備狀態(tài)決定了雙機(jī)熱備組設(shè)備的主備狀態(tài)，因此VGMP的狀態(tài)也可以看做設(shè)備的狀態(tài)使能HRP功能關(guān)閉HRP功能對(duì)端心跳報(bào)文超時(shí)；接收到的報(bào)文中對(duì)端優(yōu)先級(jí)比本端（對(duì)端故障）搶占定時(shí)器超時(shí)；接收到的報(bào)文中對(duì)端優(yōu)先級(jí)相等，并對(duì)端不是Active狀態(tài)（之前兩端同時(shí)為Standby狀態(tài)）對(duì)端心跳報(bào)文超時(shí)；接收到的報(bào)文中，對(duì)端優(yōu)先級(jí)比本端低（對(duì)端故障）接收到的報(bào)文中，對(duì)端優(yōu)先級(jí)和本端相等，并且對(duì)端不是處于Standby狀態(tài)（被搶占，或者之前兩端同時(shí)Active狀態(tài)）Copyright .s.PageVGMP兩

11、之間的VGMP狀態(tài)主備倒換的具體交VGMP兩之間的VGMP狀態(tài)主備倒換的具體交互過程及動(dòng)作分以下三種情況因接口或鏈路故障引起的切VGMP即切換，瞬間完成業(yè)務(wù)流量的倒換。因整機(jī)或心跳鏈路故障引起的這種故障發(fā)生時(shí)，由于主設(shè)備無法發(fā)送狀態(tài)通知消息到備機(jī)，因此只能依靠搶占流o報(bào)文）超時(shí)才能發(fā)現(xiàn)故障，因此切換時(shí)間為故障恢復(fù)后的切換流程，由于備設(shè)備處于正常轉(zhuǎn)發(fā)狀態(tài)，等主機(jī)故障恢復(fù)后切換回去，因此基本上不會(huì)影響業(yè)Copyright .s.PageVGMP狀態(tài)切換三大原每個(gè)VGMP狀態(tài)切換三大原每個(gè)接口Down時(shí)，VGMP管理組優(yōu)先級(jí)降低2，計(jì)算公式為VGMP管理組優(yōu)先級(jí)=VGMP管理組初始優(yōu)先級(jí)-每臺(tái)設(shè)備的

12、VGMP管理組初始狀態(tài)由用戶指定（ Active或先級(jí)為65001， Standby的優(yōu)先級(jí)為65000ActiveVGMP管理組的狀態(tài)決定了該設(shè)備的主備狀態(tài)，也決定了VGMP管理組成員VRRP備份組或接口）的狀態(tài)Copyright .s.Page接口或鏈路故障引起的狀態(tài)切DeviceB DeviceA 進(jìn)入Initialize狀態(tài)） (2)調(diào)整優(yōu)先級(jí) 接口或鏈路故障引起的狀態(tài)切DeviceB DeviceA 進(jìn)入Initialize狀態(tài)） (2)調(diào)整優(yōu)先級(jí) VRPVRRP(4) VGMP管理組收到請(qǐng)求切換的報(bào)文，比較本身的優(yōu) (5)本端優(yōu)先級(jí)高，將自己切換到主狀態(tài) (6)控制VGMP管理組中

13、所有成(7)回一個(gè)確認(rèn)報(bào)文(8)VGMP VRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP心跳VRRPVRRPCopyright .s.PageDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRPVRRPDeviceB VGMPGroup DeviceA VGMPGroup 心跳鏈路故DeviceB DeviceA VGMPGroup VRRPVRRPVRRPVRRPVVRRP

14、VRRPVRRPVRRPOOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP(1)整機(jī)故障 (2)(1)心跳鏈路故障(2)(3) (4)切換到主狀態(tài) (5)控制VGMPCopyright .s.Page故障恢復(fù)回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時(shí)結(jié)束，VRRP故障恢復(fù)回切（搶占(1) (2) (3)DeviceB VGMPGroupDeviceA (4)延時(shí)結(jié)束，VRRPVRRPOVRRPVR

15、RPVRRPVRRP(5)收到請(qǐng)求報(bào)文，比較本身的優(yōu)先級(jí)和報(bào)文中攜帶的優(yōu)先級(jí)數(shù) (6) (7)流量 (8)發(fā)送確認(rèn)報(bào)文(9) (10控制VGMPVRRPVRRPVRRPVRRPOVRRPVRRPVRRPVRRPVRRPVRRPVRRPVRRP缺省情況下，VGMP管理組的搶占功能為啟狀態(tài)，搶占延遲時(shí)間為60shrpOVRRPVRRPVRRPVRRPVRRPVRRPCopyright .s.Page加入到VGMP管理組中的VRRP備份組中接口的優(yōu)先級(jí)還起作用么原始的VRRP協(xié)議中VRRP加入到VGMP管理組中的VRRP備份組中接口的優(yōu)先級(jí)還起作用么原始的VRRP協(xié)議中VRRP備份組的接口優(yōu)先級(jí)是手

16、工指定的，雙機(jī)熱備中功能已經(jīng)失效（保持缺省值100不變），改由VGMP管理組的優(yōu)先級(jí)取代了VRRP組中接口優(yōu)先級(jí)加入到VGMP管理組中的VRRP備份組的接口主備狀態(tài)是由什么決定原始的VRRP協(xié)議中VRRP備份組的接口的主備狀態(tài)是由接口優(yōu)先級(jí)決定的，但管理組下VRRP備份組的接口主備狀態(tài)實(shí)際上是由VMP管理組狀態(tài)決定的，所以 VRRP備份組的狀態(tài)機(jī)中主備狀態(tài)已經(jīng)沒有實(shí)際意義了。VGMP管理組只能通過VRRP備份接口狀態(tài)么No， VGMP提供了多種故障監(jiān)接口狀態(tài)來應(yīng)對(duì)復(fù)雜的組網(wǎng)情況，不只是通過VRRP備份Copyright .s.PageCopyright .s.PageCopyright .s.

17、Page各種故障，才能觸發(fā)后續(xù)的業(yè)務(wù)倒換。前面提到的檢測(cè)VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一各種故障，才能觸發(fā)后續(xù)的業(yè)務(wù)倒換。前面提到的檢測(cè)VRRP備份組所在接口故障，只是VGMP眾多故障檢中的一種。目前雙機(jī)熱備中檢測(cè)故障的方式有以下檢測(cè)VRRP備份組狀態(tài)：用機(jī)場(chǎng)景業(yè)務(wù)接口為三層接口，業(yè)務(wù)接口連接二層直接檢測(cè)單個(gè)物理接口狀態(tài)：由于三層設(shè)備無法處理VRRP組播報(bào)文，所以當(dāng)墻業(yè)務(wù)接口為三層接口，業(yè)務(wù)接口連接三層設(shè)備（路由器）時(shí)使用此方式檢測(cè)透明模式下VLAN接口狀態(tài)：由VRRP，所以采用此方式業(yè)務(wù)接口為二層接口，無法配檢測(cè)IP-LINK邏輯鏈路的狀態(tài)：用于檢測(cè)非直檢測(cè)BFD邏輯

18、鏈路的狀態(tài)：用于檢測(cè)非直連鏈路的可達(dá)Copyright .s.Page檢測(cè)VRRP備份組當(dāng)用三層接口連接二層設(shè)檢測(cè)VRRP備份組當(dāng)用三層接口連接二層設(shè)備時(shí)，可以在接口下配置VRRP，將VRRP備份組加到VGMP管理組中物理端口故障時(shí)，接口下的VRRP備份組狀態(tài)：Active或Standby 物理端口故障恢復(fù)時(shí)，接口下的VRRP備份組狀態(tài)：Initialize Active或Standby 組之間的主備切換，進(jìn)而影響管理組中所有成員同步切換，業(yè)務(wù)流量也隨之進(jìn)vrrpvridvirtual-router-idvirtual-ipvirtual-addressip-mask|ip-mask-leng

19、thactivestandbyvrrp6vridvirtual-router-idvirtual-ipFE80:X:Xlink-localactive|standbyvrrp6vridvirtual-router-idvirtual-ipvirtual-ipv6-Copyright s.Page直接檢測(cè)接口狀當(dāng)接口連接三層設(shè)備時(shí)，可以配直接檢測(cè)接口狀當(dāng)接口連接三層設(shè)備時(shí)，可以配置由VGMP管理組鏈路狀態(tài)。當(dāng)接狀態(tài)變化時(shí)，將直接觸發(fā)相關(guān)的VGMP管理組調(diào)整優(yōu)先級(jí)并進(jìn)行主備倒接口視hrptrackactive |standby檢測(cè)透明模式下VLAN接口狀當(dāng)接口為二層接口時(shí)（透明模式），可以由VGM

20、P管理組直整個(gè)VLAN當(dāng)VLAN中有任何一個(gè)接口狀態(tài)變化時(shí)，都會(huì)觸發(fā)相關(guān)的VMP并進(jìn)行主備倒換。VLAN視圖下hrptrackactive |standbyCopyright .s.Page檢測(cè)IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測(cè)檢測(cè)IP-LINK邏輯鏈路狀VGMP可以利用IP-LINK用來探測(cè)可以用來檢測(cè)以下幾種故直連或者非直連鏈路的三層可達(dá)性。IP-非直連鏈路（中間接有交換機(jī)或傳輸設(shè)備），遠(yuǎn)端設(shè)備故障在這幾種情況下，有可能本端接口狀態(tài)為UP，但鏈路無法轉(zhuǎn)發(fā)報(bào)文。可以通過管理組系統(tǒng)視圖下IP-LINK鏈路檢測(cè)結(jié)果來檢測(cè)這種故障hrptrackip-linklink-

21、idactive |standbyCopyright .s.Page檢測(cè)BFD鏈路的狀VGMP可以利用BFD用來探檢測(cè)BFD鏈路的狀VGMP可以利用BFD用來探測(cè)用來檢測(cè)以下幾種故直連或者非直連鏈路的三層可達(dá)性。 BFD可非直連鏈路（中間接有交換機(jī)或傳輸設(shè)備），遠(yuǎn)端設(shè)備故障在這幾種情況下，有可能本端接口狀態(tài)為UP，但鏈路無法轉(zhuǎn)發(fā)報(bào)文。可以通過管理組檢測(cè)BFD鏈路來發(fā)現(xiàn)這種故障系統(tǒng)視圖下hrptrackbfd-local-discr-valueactive|standbyCopyright .s.PageCopyright .s.PageCopyright .s.Page當(dāng)VGMP管理組檢測(cè)到成

22、員狀態(tài)變化，當(dāng)VGMP管理組檢測(cè)到成員狀態(tài)變化，從而進(jìn)行主備倒換之后有效地業(yè)務(wù)流量進(jìn)行引導(dǎo)。VGMP管理組的流量引導(dǎo)功能負(fù)責(zé)在倒換時(shí)進(jìn)行業(yè)務(wù)流量的引。目前VGMP管理組支持的業(yè)務(wù)流量有如下幾種虛擬IP地址方式：用路由COST調(diào)整方式：用VLAN啟用和禁用方式：用三層業(yè)務(wù)接口連接二層交換機(jī)組網(wǎng)三層業(yè)務(wù)接口連接路由器，主備備份組網(wǎng)三層業(yè)務(wù)接口連接路由器，路由器組網(wǎng)，負(fù)業(yè)務(wù)接口工作在透明模式的組網(wǎng)Copyright .s.Page虛擬IP地址方與對(duì)接的設(shè)備上配置到目的網(wǎng)段的報(bào)文，下虛擬IP地址方與對(duì)接的設(shè)備上配置到目的網(wǎng)段的報(bào)文，下一跳為VRRP備份組的虛IPVRRP狀態(tài)變化時(shí)，新的主設(shè)備將發(fā)送免費(fèi)

23、ARP，刷行上下行設(shè)備的MA將下一跳為虛IP的業(yè)務(wù)報(bào)文引導(dǎo)到新的主設(shè)備業(yè)務(wù)接口上。當(dāng)對(duì)接設(shè)備請(qǐng)求虛IP的ARP時(shí)，只有主設(shè)備才會(huì)進(jìn)行ARP應(yīng)答，備份VirtualIPAddress PCCopyright .s.Page路由COST調(diào)整方主與對(duì)接的設(shè)備上運(yùn)行OSPF動(dòng)態(tài)路由協(xié)主設(shè)備業(yè)務(wù)路由COST調(diào)整方主與對(duì)接的設(shè)備上運(yùn)行OSPF動(dòng)態(tài)路由協(xié)主設(shè)備業(yè)務(wù)配置的路由COST較小，業(yè)務(wù)流量送到主設(shè)備進(jìn)行轉(zhuǎn)主設(shè)備業(yè)務(wù)板故障或者其它不運(yùn)行SPF的業(yè)務(wù)端口故障，SPF能自動(dòng)收斂；VGMP管理組能感知到這種故障，進(jìn)行主備倒換；狀態(tài)為Standby的VGMP管理組，控制運(yùn)行OSPF的業(yè)務(wù)鏈路自動(dòng)升高路COST，

24、觸發(fā)對(duì)接設(shè)備路由收斂到備用設(shè)備COSTCOSTCOSTCOST standby-cost standby-costCOSTCOSTCopyright .s.Page動(dòng)態(tài)路由收主與對(duì)接的設(shè)備上運(yùn)行動(dòng)態(tài)動(dòng)態(tài)路由收主與對(duì)接的設(shè)備上運(yùn)行動(dòng)態(tài)路由協(xié)議一般情況下，主設(shè)備相關(guān)業(yè)務(wù)進(jìn)行轉(zhuǎn)發(fā)配置的路由COST較小，業(yè)務(wù)流量送到主主設(shè)備業(yè)務(wù)端口故障時(shí)，動(dòng)態(tài)路由自動(dòng)收斂，業(yè)務(wù)流量送到備用設(shè)備繼續(xù)進(jìn)行轉(zhuǎn)發(fā)使用動(dòng)態(tài)路由方式，故障發(fā)生時(shí)，不需要VGMP管理組控制流量倒換Copyright .s.PageVLAN啟用和禁用方當(dāng)工作在二層轉(zhuǎn)發(fā)時(shí)，無法通過路由的變化VLAN啟用和禁用方當(dāng)工作在二層轉(zhuǎn)發(fā)時(shí)，無法通過路由的變化來引

25、導(dǎo)上下行設(shè)備的流量。通過用接口down/up的方式來刷新上下行設(shè)備的MAC或促使路由收斂，然后通過能/禁用VLAN轉(zhuǎn)發(fā)功能的方式來保證流量不會(huì)發(fā)送到出故障。二層轉(zhuǎn)發(fā)模式下，VLAN和VGMP管理組綁定管理組狀態(tài)為Active：VLAN能轉(zhuǎn)發(fā)報(bào)文管理組狀態(tài)為Standby：VLAN被禁用，不能轉(zhuǎn)發(fā)報(bào)文管理組切換到Standby時(shí)，VLAN內(nèi)所有接口都會(huì)downup一次，觸發(fā)上下行刷新MAC或者路由收斂；接口重新up后，由于VLAN被禁用，接口仍然法轉(zhuǎn)發(fā)相關(guān)VLAN的報(bào)文VLAN內(nèi)任何一個(gè)接口故觸發(fā)VGMP管理組調(diào)整優(yōu)先主備倒備VLAN被禁用 備設(shè)備VLAN被使能，轉(zhuǎn)發(fā)業(yè)務(wù)Copyright .s

26、.Page雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備網(wǎng)舉雙機(jī)熱備故障解Copyright .s.PageHRP狀態(tài)檢對(duì)于每一個(gè)會(huì)話連接都有一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng)，主用HRP狀態(tài)檢對(duì)于每一個(gè)會(huì)話連接都有一個(gè)會(huì)話表項(xiàng)與之對(duì)應(yīng)，主用設(shè)備處理業(yè)備的業(yè)務(wù)流量因?yàn)闊o法匹配會(huì)話表而中斷。為了實(shí)現(xiàn)主用備用設(shè)備平滑切換，必須用和備用設(shè)備之間備份關(guān)鍵配置命令和會(huì)話表狀態(tài)信息引入了Redundancy Protocol）協(xié)議，實(shí)置命令的實(shí)時(shí)備份雙機(jī)之間動(dòng)態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵在雙機(jī)熱備組網(wǎng)中，指定心跳線作為專門的備份通道，用于備份配置命令和狀態(tài)信Device A VGMPGroup Device B VGMP

27、Group VRRPVRRPVRRPVRRPVRRPVRRP心跳線-備份通VRRPVRRPCopyright .s.PageHRPHRP報(bào)文實(shí)際上是一種HRPHRP報(bào)文實(shí)際上是一種VGMP報(bào)文，承載在VGMP報(bào)文的DATA封裝方式管理面HRP報(bào)文兩種封裝VRRP封UDP封管理面HRP報(bào)文中會(huì)攜帶以下信息：指定自動(dòng)備份還是批量備份、指定是發(fā)送還是應(yīng)、備份的數(shù)據(jù)類型轉(zhuǎn)發(fā)面HRP同步報(bào)文（實(shí)時(shí)備份報(bào)文）也有兩種封VRRP封UDP封Copyright .s.PageHRPdata-flowloghost host-idip-addressip-addressHRPdata-flowloghost ho

28、st-idip-addressip-address port port-number -instance-name data-flowloghost sourceip-addressip-addresssource-portport-numberCopyright Page.安全策略 、NAT策略 、帶寬管理 、認(rèn)證策略 防范 、地址、服務(wù)、應(yīng)用、用戶、認(rèn)證服務(wù)器、時(shí)間段、URL分類、關(guān)鍵字組、郵件地址組、簽名 、安全配置文件（反防御 、URL過濾、文件過濾 、內(nèi)容過濾 、應(yīng)用行為控制 、郵件過濾）新建邏輯接口、安全區(qū)域、DNS、IPSec、TSM聯(lián)HRP可以備份的主用設(shè)備狀態(tài)N表表表HRP可

29、以備份的主用設(shè)備狀態(tài)N表表表1erface-numberremoteip-address2hrpCopyright .s.PageHRP備份方備份命備份狀態(tài)信配置命（缺省開啟一條可以備份 令 HRP備份方備份命備份狀態(tài)信配置命（缺省開啟一條可以備份 令 hrpauto-config|us（手工觸發(fā)hrpsync configushrpmirrorses Copyright Page.running：正常運(yùn)行會(huì)判斷心跳接口的物理與協(xié)議狀態(tài)。心跳ready：正常運(yùn)行。此接口為備用備份通道，當(dāng)前未使用peerdown：本端正常，但是收不到對(duì)端的心跳報(bào)invalid：未指定心跳口的IP地址，心跳口工作

30、在二層down：心跳接口的物理狀態(tài)與協(xié)議狀態(tài)均為DownCopyright .s.PageVGMreaVGMread狀態(tài)的心跳接口。此動(dòng)作與對(duì)端無關(guān)。Copyright .s.Page雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備網(wǎng)舉雙機(jī)熱備故障解Copyright .s.PageCopyright .s.PageCopyright .s.Page場(chǎng)主備備負(fù)載分Copyright .s.Page場(chǎng)主備備負(fù)載分Copyright s.Page.Copyright s.Page. 雙機(jī)熱備概雙機(jī)熱雙機(jī)熱備概雙機(jī)熱備基本原雙機(jī)熱備故障解Copyright .s.Page三大配置原則在雙機(jī)熱

31、備三大配置原則在雙機(jī)熱備組網(wǎng)中，在配置其雙機(jī)狀態(tài)正常于互為主備的狀態(tài)，所以業(yè)務(wù)性要在兩個(gè)設(shè)備上分別配置Copyright .s.Page。 ntCopyright .s.Page雙機(jī)熱備與NAT雙機(jī)熱備與NAT雙機(jī)熱備與IPSecCopyright .s.PageCopyright .sCopyright .s.PageWeb 此場(chǎng)景要配置VRRP虛擬Web 此場(chǎng)景要配置VRRP虛擬IP Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEtherne

32、t1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_A配#hrperfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10

33、.2.0.1vrrpvrid1virtual-ip1.1.1.1255.255.255.0active erfaceGigabitEthernetipaddress10.3.0.1vrrpvrid2virtual-ip10.3.0.3active erfaceGigabitEthernetipaddress10.10.0.1#firewallzonetrust set priority 85erfaceGigabitEthernet1/0/3 firewallzonesetpriorityerfaceGigabitEthernetCLICopyright .sCLICopyright .s.P

34、age#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 iproute-ic0.0.0.00.0.0.0nataddress-groupsection01.1.1.11.1.1.1 rule name policy_sec source-zone trust destination-zoneuntrust action permit#rule name policy_nat source-zone trust destination-zone untrust actionnataddress-group1_B配#hrphrps

35、tandby-erfaceGigabitEthernet1/0/7 erfaceGigabitEthernetipaddress10.2.0.2vrrpvrid1virtual-ip1.1.1.1255.255.255.0standby erfaceGigabitEthernetipaddress10.3.0.2vrrpvrid2virtual-ip10.3.0.3standby erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonetrust set priority 85erfaceGigabitEthernet1

36、/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 備用設(shè)備（缺省值，可調(diào)整）Copyright 備用設(shè)備（缺省值，可調(diào)整）Copyright .s.PageWeb 此場(chǎng)景要配接口（HRP Web 此場(chǎng)景要配接口（HRP 2.啟用OSPFCopyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceGigabitEthernet1/0/7 ospfareanetwork10.2.0.0network10.3.

37、0.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFWA#hrppf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2.0.1255.255.255.0 hrp track active#erface Gig

38、abitEthernet 1/0/3 ipaddress10.3.0.1255.255.255.0 hrp track active#erfaceGigabitEthernetipaddress10.10.0.1255.255.255.0 firewall zonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernetCLICopyright .sCLICopyright .s.Page#firewallzonedmz set priority 50erfaceG

39、igabitEthernet1/0/7 ospfareanetwork10.2.1.0network10.3.1.00.0.0.255 rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneFWB#hrphrpstandby-pf-costadjust-erfaceGigabitEthernet1/0/7 erface GigabitEthernet 1/0/1 ipaddress10.2

40、.1.1255.255.255.0 hrp track standby#erface GigabitEthernet 1/0/3 ipaddress10.3.1.1255.255.255.0 hrp track standby#erfaceGigabitEthernetipaddress10.10.0.2255.255.255.0 firewallzonesetpriority erfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet 。N 。NCopyright .s.PageWeb

41、OSPF”此場(chǎng)景要配置VRRP虛Web OSPF”此場(chǎng)景要配置VRRP虛擬IP 此場(chǎng)景要配接口（HRP Copyright .s.PageCLIs15.5.255.255.0PageCLIs15.5.255.255.0Page Copyright #firewallzonetrust set priority 85 Ethernet#firewallzoneuntrust set priority 5Ethernet#firewallzonedmz set priority 50 Ethernet#ospfareanetworknetwork#security-rule name policy

42、_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destination-zonedestination-zoneuntrust action permitFW_B的配置#ospfareanetwork10.2.0.0network10.3.0.0#security-rule name policy_sec source-zone local source-zone trust source-zone untrust destination-zonelocal destinati

43、on-zonedestination-zoneuntrust action permit#hrp mirror seshrp enablehrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.1.1255.255.255.0hrp track active hrptrackstandby#erface GigabitEthernet 1/0/3 address10.3.0.2255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpv

44、rid2virtual-ip10.3.0.4 #erfaceGigabitEthernetFWA#hrpmirrorhrphrploadbalance-pf-costadjust-erfaceGigabitEthernet#erface GigabitEthernet 1/0/1 address10.2.0.1255.255.255.0hrptrackhrptrack#erface GigabitEthernet 1/0/3 address10.3.0.1255.255.255.0vrrpvrid1virtual-ip10.3.0.3 vrrpvrid2virtual-ip10.3.0.4 #

45、erface GigabitEthernet 1/0/7 address10.10.0.1255.255.255.0#firewallzonetrust set priority 85erfaceGigabitEthernet#firewallzoneuntrust set priority 5erfaceGigabitEthernet#firewallzonedmz set priority 50erfaceGigabitEthernet 接量通過Copyright 接量通過Copyright .s.PageWeb 2.CopyrightWeb 2.Copyright .s.PageCLICopyright .sCLICopyright .s.Page#firewallzonesetpriorityerfaceGigabitEthernet1/0/3 firewallzoneuntrust set priority 5erfaceGigabitEthernet1/0/1 firewallzonesetpriorityerfaceGigabitEthernet1/0/7 rule name policy_sec source-zone