防火墙双机热备配置指导书new

Eudemon防火墙双机热备配置指导书

的IP地址用于给网络中的主机/路由器指定下一跳。该虚拟IP地址可以是接口地址，也可以是同一个VRRP组中接口的同网段的IP地址。

? 虚拟MAC地址：是VRRP根据VRRP ID生成的MAC地址，同一个VRRP组其生

成的虚拟MAC地址必定相同。虚拟MAC地址为：0000-5e00-01XX，XX为16进制的VRRP的ID号。

? VRRP组成员优先级，每个VRRP组成员都具备一个成员优先级，从1到255。VRRP

组根据成员优先级的高低来确定备份组成员的主从状态。由备份组中优先级最高的成员将成为Master。

在VRRP中的成员应注意的几种状态：

VRRP成员状态一般有三种：Initialize(初始化状态)，表示配置了VRRP的相应接口没有UP；Master(主状态)，表示该成员工作在转发报文的状态，处于该状态下的VRRP成员具有虚拟IP地址以及相应虚拟MAC地址，并转发以虚拟IP地址为下一跳的IP报文，并定时发送通告报文，通知Slave状态的设备保持侦听；Slave(从状态)表示该成员工作在侦听状态，处于该状态下的成员侦听主设备的通告报文，如果在连续几个通告报文的时间内都没有收到通告报文则把自己变成主设备并转发报文 。

VRRP的工作原理：

VRRP的工作机制是把几个路由器组成一个虚拟路由器（VRRP组），提供统一的虚拟IP地址以及虚拟MAC地址在组成的虚拟路由器的设备中，通过由优先级等方式选举出主防火墙，只有主防火墙才会接收并转发以虚拟IP地址为下一跳的报文，备用设备则处于监控状态，用于保证有且只有一个设备处于主用并转发用户报文用户配置以虚拟地址为下一跳，这样在VRRP组中只要有一个设备的VRRP状态为主用，就可以保持链接不中断。

VRRP的状态切换原理：

VRRP中成员有两个状态Master和Slave，处于Master状态的设备会定时发送组播通告报文，状态为Slave的设备处于监测状态，其收到Master的通告报文后会更新其监测定时器；如果状态为Slave的设备在三个通告周期内都没有收到Master的通告报文则把自己变成Master并发送通告报文，并发送一个免费ARP报文用于更新三层交换机的ARP表；如果状态为Master的设备收到了另一个Master的通告报文，表明发生了抢占此时取报文的优先级和自己的优先级比较，决定是否变成Slave设备，如果VRRP配置为抢占方式，它收到报文时会比较报文的优先级和自己的优先级，一旦发现自己的优先级比当前的报文中VRRP的优先级高，则不会更新监测定时器，这样超时后便会发送通告报文抢占成为Master；

（3）VRRP应用举例

5

Eudemon防火墙双机热备配置指导书

10.100.10.2Master

RouterA

PC10.100.10.3

InternetBackup

RouterB 服务器

Backup内部网络

10.100.10.0/24 RouterC备份组 VirtualIP Address10.100.10.4 10.110.10.1

图6 VRRP协议的应用

RouteA/RouteB/RouteC属于同一个VRRP组，它们具备相同的虚拟IP地址10.110.10.1，局域网内部的用户设置该虚拟IP地址为默认的网关。开始的时候RouteA是该VRRP组的主设备，该设备拥有虚拟IP地址转发IP报文并定时（通常是一秒）发送VRRP通告报文，RouteB和RouteC是从设备并侦听RouteA的通告报文。如果RouteA因为某种原因导致设备故障，或者是RouteA到内部网络的链路故障，导致RouteB和RouteC收不到VRRP通告报文，如果从设备在连续三个通告报文的时间间隔中都没有收到VRRP组设备的VRRP通告报文，则RouteB和RouteC会竞争成为主，竞争的标准根据优先级或者接口IP的范围，最终有一台设备成为新的VRRP主设备并转发报文，从而保障业务正常运行。

（4）VRRP应用的局限性

? 每个备份组的VRRP是单独工作的，并且每个VRRP状态相对独立，因此无法保证

同一防火墙上各接口的VRRP状态都为主用或都为备用，也就是说在一台设备上的两个接口下的VRRP可能出现不同步的情况，即主备状态交互，从而导致业务中断。

? 由于Eudemon是状态防火墙，当首包通过检测后，会在安全区域之间形成动态的会

话表项，后续报文只有命中该会话表项的后续报文（包括返回报文）才能够通过Eudemon防火墙，这就要求某会话的进路径、出路径必须一致，但是对于VRRP如果发生切换后，主防火墙上的生成的表项不会备份到备防火墙上，因此如果发生状态切换会导致业务中断。

（5）VRRP的配置命令

? 配置备份组的虚拟IP地址 ◆

vrrp vrid <1-255> virtual-ip x.x.x.x

说明：x.x.x.x需与接口ip同网段或者为接口地址

6

Eudemon防火墙双机热备配置指导书

? 配置备份组的优先级◆

vrrp vrid <1-255> priority <1-254>

说明：如果虚拟IP地址为接口的IP地址时，默认优先级为255 ? 配置备份组的抢占方式和延迟时间

vrrp vrid <1-255> preempt-mode [ timer delay <0-255>]

说明：该命令是VRRP的抢占命令，当配置延迟时间时，是为了避免出现误操作，而导致的频繁状态切换，即当在延迟时间内纠正误操作如误拔掉接口网线等，不会出现状态的切换。

? 配置备份组的认证方式和认证字◆

vrrp authentication-mode simple/md5 string

说明：该命令主要是对备份组中的组播报文进行认证的处理，以保证各个虚拟路由之间传送的组播报文不会因为非法报文，而出现状态混乱的问题。 ? 配置备份组的定时器◆

vrrp vrid <1-255> timer advertise <1-255>

说明：设置备份组中组播报文的发送间隔，默认值为1秒。 ? 配置监视指定接口

vrrp vrid <1-255> track ethernet [reduced <1-255>]

说明：接口监视命令，其目的是同一台设备上的各个VRRP组能够统一变化状态。当监控的接口down掉后，该监控方会根据设置的reduced参数值来降低自身的VRRP优先级，已达到VRRP的同时变化。

2. VGMP（ VRRP Group Management Protocol VRRP组管理协议） （1）采用VGMP的作用

由于VRRP存在，工作和状态都独立的情况，为了更好的避免不能使同一防火墙上各接口的VRRP状态都为主用或都为备用的情况，开发了对VRRP备份组进行统一管理的协议——VGMP协议。VGMP的作用：确保各VRRP备份组之间通路状态一致性，并且由管理组统一管理各独立运行的VRRP备份组，从而实现各备份组之间的互通。以防止可能导致的VRRP状态不一致现象的发生。从而实现对多个VRRP备份组（虚拟路由器）的状态一致性管理、抢占管理和通道管理等功能。

注意：VGMP不支持VRRP备份组虚拟IP为接口IP的管理。

（2）VGMP功能介绍 ? 状态一致性管理

各VRRP备份组的主/备状态变化都需要通知其所属的VRRP管理组，由VRRP管理组决定是否允许VRRP备份组进行主/备状态切换。

? 抢占管理

无论各VRRP备份组内Eudemon防火墙设备是否使能了抢占功能，抢占行为发生与否必须由VRRP管理组统一决定。

? 通道管理

所谓通道管理，是为了提供传输VGMP报文、VGMP相关承载报文、VRRP状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。

7

Eudemon防火墙双机热备配置指导书

（3）VGMP的成员属性

VRRP管理组成员属性分为data和transfer-only两种，data表示数据通道，transfer-only表示该通道不参与状态切换，即在配有transfer-only属性的接口上，如果接口down了，不会影响VRRP管理组的优先级变化。在VRRP管理组的模式下，VRRP管理组成员的状态保持一致，其状态迁移需要通知其所属的VRRP管理组，并受VRRP管理组状态控制。

（4）VGMP状态切换原理

VRRP管理组在收到VRRP成员的状态改变消息的时候需要通知VRRP管理组进行预处理，VRRP管理组收到消息后会根据，VGMP的状态，VGMP管理组中VRRP的状态以及状态改变消息决定是否需要改变状态。

VGMP由master状态——>slave状态的过程： 管理组状态为Master，当进行状态切换时遍历组内所有的VRRP如果有状态为Master的则将其状态转换为Slave。并通过可用的数据通道通知对方管理组状态改变Master?Slave，用于触发快速切换。

（5）VGMP应用举例 EudemonA管理组1Master

备份组1A1 A3 A2Trust区域 Untrust区域

DMZ区域 备份组3B1 B3B2备份组2

Backup管理组1EudemonB

图7 VGMP协议的应用

在该组网中，EudemonA中有三个接口，并且每个接口上配置一条VRRP备份组，并将这三条VRRP备份组加入一个VRRP管理组1中，当EudemonA发生故障或接口出现故障时，VRRP会向VGMP发送状态切换消息，当VRRP管理组1 确认后，遍历组内所有VRRP成员将状态由master转变为slave，同时通知EudemonB进行状态切换。

（6）VGMP的注意事项（参考上图）

? 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、

编号、相关配置等（IP地址除外）。

? 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接

口隶属备份组1，A2接口隶属备份组2，A3接口隶属备份组3；则EudemonB上的

8