VRRP技术介绍
传统TACS中,多于两台防火墙部署在出口,当防火墙发生故障后,内部网络中所有以防火墙做为默认网关的主机与内部网络之间的通讯中断,通讯可靠性无法确保。
双机热备份技术的发生改变了可靠性难以确保的尴尬状态,透过在网络出口位置部署两台或几台网关设备,确保了内部网络于内部网络之间的通讯畅通。
为了避免路由器传统TACS所引起的单点故障的发生,通常情况能使用多条链路的维护机制,依靠动态路由协议展开链路转换。但这种路由协议来展开转换维护的方式存有一定的局限性,当无法使用动态路由协议时,仍然会引致链路中断的问题,因此推出了另一种维护机制VRRP(交互式路由高速缓存协议)来展开。使用VRRP的链路维护机制比依赖动态路由协议的广主播文来展开链路转换的时间更短,同时弥补了无法使用动态路由情况下的链路维护。
VRRP(Virtual Router Redundancy Protocol)是一种基本的纠错协议。
备份组:同一个广播域的一组路由器组织成一个交互式路由器,备份体中的所有路由器一起,共同提供一个交互式IP地址,做为内部网络的网关地址。
主(Master)路由器:在同一个备份体中的数个路由器中,多于两台处在活动状态,多于主路由器能留言以交互式IP地址做为下一跳的报文。
备份(Backup)路由器:在同一个备份体中的数个路由器中,除主路由器外,其他路由器均为备份路由器,处在备份状态。
主路由器透过多播方式定期向备份路由器传送通告报文(HELLO),备份路由器则负责监听通告报文,以此来确定其状态。因VRRP HELLO报文为多主播文,所以要求备份体中的各路由器透过三层设备相连接,即启用VRRP时上下行设备必须具有三层交换功能,否则备份路由器无法收到主路由器传送的HELLO报文。如果TACS条件不满足,则无法使用VRRP。
VRRP在防火墙应用领域中存有的瑕疵
VRRP在防火墙应用领域中存有的瑕疵一
传统VRRP方式无法实现主可供使用防火墙状态的完全一致性
如上图:当PC1出访PC2 正常情况下透过Master(下面的)防火墙将数据包留言出去,回包也是透过Master回包。当10.100.10.2这个网段的网络发生故障或者down掉了,这时PC1出访PC2就走Backup(下面的)服务器,但回包不一定会按照原路回到,当PC2把包回给下面的防火墙,因下面链路故障,就会发生丢包的情况
VRRP在防火墙应用领域中存有的瑕疵二
传统VRRP方式无法实现主、可供使用防火墙会话表项的完全一致性
如图所示,假设USG A和USG B的VRRP状态完全一致,即USG A的所有USB均为主用状态,USG B的所有USB均为可供使用状态。
这时,Trust区域的PC1出访Untrust区域的PC2,报文的留言路线为(1)-(2)-(3)-(4)。USG A留言出访报文时,动态分解成会话表项。当PC2的回到报文经过(4)-(3)抵达USG A时,因能够命中会话表项,才能再经过(2)-(1)抵达PC1,顺利回到。同理,当PC2和DMZ区域的Server也能互派。
假设USG A和USG B的VRRP状态不完全一致,例如,当USG B与Trust区域相连接的USB为可供使用状态,但与Untrust区域的USB为主用状态,则PC1的报文透过USG A设备抵达PC2后,在USG A上动态分解成会话表项。PC2的回到报文透过路线(4)-(9)回到。这时因USG B上没有相应数据流的会话表项,在没有其他报文过滤规则允许透过的情况下,USG B将丢弃太阳报文,引致会话中断。
问题产生的原因:报文的留言机制不同。 如何解决下面的问题呢????
HRP协议的产生
HRP(Huawei Redundancy Protocol)协议,用于将主防火墙关键布局和连接状态等数据向备防火墙上同步
HRP的功能
双机热备的布局