Eudemon特性－双机备份特性介绍.doc

Edumon特性-双机备份特性介绍l 机密Eudemon特性双机备份特性介绍Huawei Technologies Co., Ltd. 华为技术有限公司Revision record 修订记录Date日期Revision Version修订版本CR ID / Defect IDCR号Section Number修改章节Change Description修改描述Author作者2004-05-091.00initial 初稿完成Catalog 目 录1简介51.1概述51.2范围52双机备份的实现原理52.1一些基本的概念52.2双机备份实现的基本工作流程62.3VRRP备份组、管理组、接口之间的隶属关系62.4双机备份的实现功能73双机备份的组网应用73.1主备备份73.2负载分担组网应用84双机备份的组网优势94.1支持VRRP协议94.2支持配置主设备的选举94.3支持对配置命令进行热备份94.4支持对连接状态进行热备份94.5支持设备实现负载分担10Keywords 关键词：Abstract 摘 要：List of abbreviations 缩略语清单： Abbreviations缩略语Full spelling 英文全名Chinese explanation 中文解释1 简介1.1 概述双机热备份特性的实现目的是实现系统的双机热备份机制，以使上层模块能够将配置和连接信息从主用防火墙实时地备份到备用防火墙，并且在主用防火墙不能正常工作时，由备用防火墙自动接替主用防火墙进行工作，原有的连接和配置信息得到保持，业务不会中断，对于用户来说感受不到防火墙系统产生的任何变化范围。eudemon防火墙可以支持双机备份，而且是一种真正意义上的“热备份”特性，在对网络稳定性要求很高的场合，双机备份可以使得网络的可靠性更高，不会因为设备的故障而发生网络中断的现象。1.2 范围本文描述了eudemon系列防火墙实现的双机备份的基本原理和规格等方面的内容。2 双机备份的实现原理2.1 一些基本的概念1. VRRP：虚拟路由器冗余协议（Virtual Router Redundancy Protocol） VRRP管理组，是指Eudemon防火墙上满足某种备份需求的若干备份组组成的逻辑集合。 2. VGMP ：VRRP组管理协议（华为私有协议）（VRRP Group Management Protocol）负责统一管理加入其中的各备份组VRRP状态。状态一致性管理各备份组的主/备状态变化都需要通知其所属的VRRP管理组，由VRRP管理组决定是否允许VRRP备份组进行主/备状态切换。 2抢占管理 无论各VRRP备份组内Eudemon防火墙设备是否使能了抢占功能，抢占行为发生与否必须由VRRP管理组统一决定。 3通道管理 所谓通道管理，是为了提供传输VGMP报文、VGMP相关承载报文、VRRP状态报文的可靠通路而提出的，这是相对正常业务流的业务通道而言的。 3. HRP：华为公司冗余协议（Huawei Redundancy Protocol） HRP协议是承载在VGMP报文上进行传输的，在Master和Backup防火墙设备之间备份关键配置命令和会话表状态信息。4. 备份组（虚拟路由器）VRRP将局域网的一组路由器组织成一个虚拟路由器，称之为一个备份组。其中仅有一台设备处于活动状态（Master）并承担报文转发任务，其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备。5. 备份组优先级根据优先级来确定参与备份组的每台Eudemon防火墙的地位。由备份组中优先级最高的Eudemon防火墙将成为Master。 6. 状态切换机制如果Eudemon防火墙配置为抢占方式，它一旦发现自己的优先级比当前的Master的优先级高，则会变成为主用。相应地，原来的Master将会变成Backup。 7. 配置主设备：发送配置备份内容的防火墙。配置从设备：接收配置备份内容的防火墙。一台防火墙要想成为配置主设备，必须具备如下条件：只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP组优先级、接口真实IP地址从大到小的顺序选择配置主设备。2.2 双机备份实现的基本工作流程补充一下，针对上面的概念的详细一点的工作流程。2.3 VRRP备份组、管理组、接口之间的隶属关系图1 VRRP备份组、管理组、接口之间的隶属关系图两个防火墙上各接口之间的隶属关系 两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。两个防火墙上各VRRP备份组之间的隶属关系 两个防火墙上的备份组编号、构成必须完全一样。这就是说EudemonA上的A1接口隶属备份组1，A2接口隶属备份组2，A3接口隶属备份组3；则EudemonB上的B1、B2和B3接口也必须分别隶属备份组1、2和3。 两个防火墙上各VRRP管理组之间的隶属关系 两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。 同一防火墙上接口、备份组、管理组之间的隶属关系 同一防火墙（例如EudemonA）上，一个物理接口可以隶属多个VRRP备份组。一个备份组中能包含多个物理接口，对应多个虚拟IP地址。同一VRRP管理组可以包含多个备份组，但是相同备份组不能隶属多个VRRP管理组。 2.4 双机备份的实现功能下面这部分的内容可以再充实一点：支持VRRP协议支持配置主设备的选举支持对配置命令进行热备份支持对连接状态进行热备份支持VRRP组管理支持VRRP组抢占功能VRRP通道管理VRRP命令行、以及VRRP组成员管理3 双机备份的组网应用3.1 主备备份图2 主备组网的组网示意图图3 流量情况示意图3.2 负载分担组网应用图4 负载分担的组网应用示意图图5 负载分担情况下的流量示意图4 双机备份