LS13 VRRP原理及实施课件

HA高可用性－VRRP原理及实施

(V2.3)网御神州客服中心2008.04HA高可用性－VRRP原理及实施

(V2.3)网御神州客1学习目标学习完本课程，您应该能够了解网络高可用性基本概念掌握VRRP协议工作原理可用VRRP进行链路可靠性设计可用网神设备实施配置VRRP功能学习目标学习完本课程，您应该能够2课程内容网络高可用性设计VRRP协议网神VRRPHA重要概念Active-Active设计案例(含Active-Standby)配置及实施HA透明桥模式FAQ课程内容网络高可用性设计31.网络高可用性设计HA(HighAvailable)高可用性网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性进行网络可靠性设计时，关注以下方面：用户投资计划关键业务高可用性1.网络高可用性设计HA(HighAvailable)4用户投资计划设备投资：为保障可靠性的冗余设备线路投资：主要是冗余线路的租赁费维护成本：设备管理、维修及人员的投入等用户投资计划设备投资：为保障可靠性的冗余设备5关键业务高可用性不同服务对网络要求不同，如：视频服务要求低延时、高带宽，是一种时性业务IP电话业务也要求低延时，并且保证带宽为确保数据中心高可用性，可考虑采用：服务器备份链路备份网络设备备份关键业务高可用性不同服务对网络要求不同，如：6链路备份技术广域网链路备份技术局域网链路备份技术第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，厂家各行其是，CISCO私有）第三代STP：MISTP多实例生成树协议（CISCO私有），MSTP多生成树协议（802.1S）路由协议备份技术动态路由协议（RIP/OSPF/BGP）设备备份技术（冗余）VRRP协议（最有代表性，各厂家都支持，衍生变种改进）HSRP协议（CISCO私有）链路备份技术广域网链路备份技术72.VRRP协议VRRP－（Virtualrouterredundancyprotocol,虚拟路由器冗余协议），提供了局域网上的路由设备备份机制2.VRRP协议VRRP－（Virtualrouter82.VRRP协议2.1VRRP解决方法2.2VRRP协议原理2.3网神对于VRRP协议的改进2.4VRRP与HSRP的区别和联系2.VRRP协议2.1VRRP解决方法92.1VRRP解决方法(1)Router单点故障！再加一台Router？2.1VRRP解决方法(1)Router单点故障！102.1VRRP解决方法(2)2.1VRRP解决方法(2)112.1VRRP解决方法(3)VRRP优点不需改变组网，配置简单实现了主机默认网关的备份对内网主机无任何负担可多台冗余备份（不仅2台）2.1VRRP解决方法(3)VRRP优点122.2VRRP协议原理一种报文（选票？）三种状态（身份？）选举机制（啥时选？怎么选？）选举发布（通告！）主要参数2.2VRRP协议原理一种报文（选票？）132.2VRRP协议原理(一种报文)VRRP报文这样定义是组播报文（224.0.0.18），适用于支持组播或广播的局域网（如以太网等）封装在IP报文上定时广播主路由器定期发送VRRP报文2.2VRRP协议原理(一种报文)VRRP报文这样定义142.2VRRP协议原理(一种报文)报文格式2.2VRRP协议原理(一种报文)报文格式152.2VRRP协议原理(一种报文)一个实际环境中抓取的报文2.2VRRP协议原理(一种报文)一个实际环境中抓取的报文162.2VRRP协议原理(三种状态)VRRP定义了三种状态：初始状态（Initialize）活动状态（Master）一组VRRP路由器中的一台路由器处于活动状态，称为主路由器（Master）备份状态（Backup）其余路由器处于备份状态，称为备份路由器（Backup）2.2VRRP协议原理(三种状态)VRRP定义了三种状态：172.2VRRP协议原理(选举机制)状态机转换2.2VRRP协议原理(选举机制)状态机转换182.2VRRP协议原理(选举机制)选举时机初始状态时，各路由器都发送VRRP报文，选举主路由器当主路由器出现故障的时候，备份路由器通过选举产生新的主路由器。2.2VRRP协议原理(选举机制)选举时机192.2VRRP协议原理(选举机制)选举方法默认情况下选择优先级最大的为主路由器，其它路由器作为备份路由器主路由器定期发送VRRP报文如果备份路由器长时间没有收到主路由器报文，则将自己状态改为Master若有多台备份路由器，则根据接收的VRRP报文，选举优先级最大的路由器成为新的主路由器2.2VRRP协议原理(选举机制)选举方法202.2VRRP协议原理(选举发布)选举发布发布时机：选举出主路由器之后，立即进行发布方法：免费ARP发布对象：周边设备，主动更新其ARP表2.2VRRP协议原理(选举发布)选举发布212.2VRRP协议原理(主要参数)VRRP主要参数如下：接口的虚拟IP地址（必填）备份组的优先级（必填）监视指定接口（必填）备份组的抢占方式和延迟时间（固定）备份组的认证方式和认证字（固定）备份组的定时器（固定）2.2VRRP协议原理(主要参数)VRRP主要参数如下：222.3网神防火墙改进VRRP协议状态表同步路由器只“见”IP，网神防火墙关注“连接”，所有连接信息都在状态表中，并且进行同步优点：能保持现有TCP连接不断配置同步优点：保持配置一致性其它改进探测方法等2.3网神防火墙改进VRRP协议状态表同步232.4VRRP与HSRP的区别和联系在功能上,VRRP和HSRP非常相似VRRP更安全，允许参与VRRP组的设备间建立认证机制VRID等价于HSRP的组标识符HSRP有3种报文，6种状态，8种事件VRRP有1种报文，3种状态，5种事件2.4VRRP与HSRP的区别和联系在功能上,VRRP和H243.网神防火墙VRRP重要概念3.1HA基本配置同步网口及IP控制节点3.2VRRP实例3.3VRRP关联3.网神防火墙VRRP重要概念3.1HA基本配置253.1HA基本配置(1)3.1HA基本配置(1)263.1HA基本配置(2)指定专门的网络接口，此网口仅用于配置同步和状态同步同步网口同步IP添加包过滤规则，允许另一台安全网关访问本安全网关secgate_ha_conf服务3.1HA基本配置(2)指定专门的网络接口，此网口仅用于配273.1HA基本配置(3)控制节点（与VRRP是独立的！）只针对配置而言！配置不同步时，以控制节点的配置为准，非控制节点进行同步正常情况下，配置立刻进行同步故障时，非控制节点主动重启，同步所有配置例外(个性信息不会进行同步)名称、IP、HA相关配置做设计时，建议把控制节点和MasterFW配置在同一FW上3.1HA基本配置(3)控制节点（与VRRP是独立的！）283.2VRRP实例(1)3.2VRRP实例(1)293.2VRRP实例(2)VRIDVitualRouterID，是一个数字。是网络中VirtualRouter的唯一的身份标识同一FW上不同实例必须不相同！两台FW上必须完全对应！数字应相同！3.2VRRP实例(2)VRID303.2VRRP实例(3)VRIPVirtualRouterIPVirtualRouter具有一个或多个IP地址，在正常情况下，有这个VritualRouter中的主路由器掌管，当主路由器出现故障时由这个VirtualRouter中的备份路由器掌管内网主机的网关就是VRIP！一个VRRP实例最多可配置60个IP地址，超过60个请设置多个实例两台FW上必须完全对应！推荐和网口地址在一个网段3.2VRRP实例(3)VRIP313.2VRRP实例(4)网络接口VRIP绑定在这个物理接口上实例名称VRRP实例名称对于VRRP协议没有实际意义在一台FW上，实例名称是唯一的，可理解给VRID取了个名称3.2VRRP实例(4)网络接口323.2VRRP实例(5)子实例名称仅在这种情况下可用：物理线路已经是备份的了，其中一条断了，不需要切换的情况仅在上述情况下，需填写子实例名称若两个实例的名称相同，子实例名称不同，则理解为一条逻辑线路3.2VRRP实例(5)子实例名称333.3VRRP关联(1)3.3VRRP关联(1)343.3VRRP关联(2)名称只是一个标识，无实际意义优先级当主路由器不可用时，备份路由器将根据自己的优先权来决定由谁接管主路由器的工作数字越小优先级越高两台FW上，对应VRRP关联的优先级必须不同！3.3VRRP关联(2)名称353.3VRRP关联(3)VRRP列表来自已经定义的VRRP实例一个VRRP实例只能在一个VRRP关联中VRRP关联成员同生共死，一起生效或者失效3.3VRRP关联(3)VRRP列表363.3VRRP关联(4)启动该VRRP关联开始工作，进入VRRP协议处理流程停止停止VRRP协议3.3VRRP关联(4)启动374.Active-Active设计案例(1)4.1环境4.2设计目标4.3主要设计思路4.4故障切换4.5设计要点4.Active-Active设计案例(1)4.1环境384.1环境4.2设计目标环境两条线路出口不同部门走不同出口设计目标正常时，两台FW各负责一条线路当其中一路FW故障时，所有流量转移另一台FW上4.1环境4.2设计目标环境394.3主要设计思路(1)主要设计思路在FWA/B上都配置两个VRRP关联FWA上VRRP关联1优先级高FWB上VRRP关联2优先级高正常时，关联1的Master在FWA上，关联2的Master在FWB上故障时，可切换，全部切换到一台FW上4.3主要设计思路(1)主要设计思路404.3主要设计思路(2)两台虚拟路由器互为Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成内网不同部门4.3主要设计思路(2)两台虚拟路由器互为Active-S414.4故障切换(1)4.4故障切换(1)424.4故障切换(2)故障切换当防火墙A出现故障时，防火墙B在接管防火墙A上的虚拟网关，承担整个链路的流量。防火墙A恢复之后，两台防火墙又会正常工作在Active-Active路由负载均衡状态注意：如果两防火墙是用交换机连接,那么交换机的端口必须设置为portfast模式，否则切换时间过长4.4故障切换(2)故障切换434.5设计要点设计要点：需求！（理清业务！）拓扑！（现有拓扑，设计后拓扑图）VRRP和控制节点规划地址（申请地址）纸面上跑通再上线推荐：VRRP实例和关联命名规则网口一一对应4.5设计要点设计要点：445.配置及实施5.1配置要点5.2主要注意事项5.3FWA主要配置步骤5.4FWA主要配置步骤5.配置及实施5.1配置要点455.1配置要点配置六步：设置同步网络接口，设置控制节点和非控制节点。允许两台FW相互可访问secgate_ha_conf服务允许VRRP组播报文到达本FW。（目的224.0.0.18）添加若干VRRP实例（VRID，VRIP）添加VRRP关联（priority）启动VRRP关联5.1配置要点配置六步：465.2主要注意事项除了FW名称、网络接口地址、HA相关配置等个性信息，其它配置，比如安全规则等，FW可以进行同步，因此只需在主控节点上配置安全规则等，非主控节点启动以后可自动同步过来，避免手工输入错误！FW上所有网口工作在路由模式。交换机上相应接口应设置为portfast模式，避免因交换机学习生成树协议，导致切换过慢5.2主要注意事项除了FW名称、网络接口地址、HA相关配置475.3FWA主要配置(1)1.设置同步网口等。在fe1口启动状态同步，选中设置为控制节点。启用自动配置同步和状态同步。5.3FWA主要配置(1)1.设置同步网口等。在fe1485.3FWA主要配置(2)2.允许同步服务。到”安全规则->安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.3FWA主要配置(2)2.允许同步服务。到”安全规495.3FWA主要配置(3)3.允许VRRP组播报文。配置防火墙A的fe2和fe3口工作在路由模式，添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则5.3FWA主要配置(3)3.允许VRRP组播报文。配505.3FWA主要配置(4.1)4.添加VRRP实例。进入“高可用性->路由模式HA->VRRP实例”，添加fe2和fe3口的四个VRRP实例，如下图所示注意事项：同一FW上四个VRRP实例的VRID不能相同不同FW上VRID相同的实例互为备份在后面配置防火墙B的VRRP实例时，防火墙B中虚拟网关的VRID要和防火墙A相同的虚拟网关的VRID相同5.3FWA主要配置(4.1)4.添加VRRP实例。进515.3FWA主要配置(4.2)5.3FWA主要配置(4.2)525.3FWA主要配置(4.3)5.3FWA主要配置(4.3)535.3FWA主要配置(4.4)5.3FWA主要配置(4.4)545.3FWA主要配置(4.5)5.3FWA主要配置(4.5)555.3FWA主要配置(5.1)5.添加VRRP关联。进入“高可用性->路由模式HA->VRRP关联”，如图添加两个VRRP关联。这样当一个VRRP实例出现故障时，则认为该VRRP关联故障。5.3FWA主要配置(5.1)5.添加VRRP关联。进565.3FWA主要配置(5.2)5.3FWA主要配置(5.2)575.3FWA主要配置(6)6.启动VRRP关联。选中这两个VRRP关联，启动。5.3FWA主要配置(6)6.启动VRRP关联。选中这585.4FWB主要配置(1)1.设置同步网口等。在fe1口启动状态同步，不选中控制节点，即为非控制节点。启用自动配置同步和状态同步。5.4FWB主要配置(1)1.设置同步网口等。在fe1595.4FWB主要配置(2)2.允许同步服务。到”安全规则->安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.4FWB主要配置(2)2.允许同步服务。到”安全规605.4FWB主要配置(3)3.允许VRRP组播报文。添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则5.4FWB主要配置(3)3.允许VRRP组播报文。添加615.4FWB主要配置(4.1)4.添加VRRP实例。进入“高可用性->路由模式HA->VRRP实例”，如图添加fe2和fe3口的四个VRRP实例。5.4FWB主要配置(4.1)4.添加VRRP实例。进625.4FWB主要配置(4.2)5.4FWB主要配置(4.2)635.4FWB主要配置(4.3)5.4FWB主要配置(4.3)645.4FWB主要配置(4.4)5.4FWB主要配置(4.4)655.4FWB主要配置(4.5)注意：

四个VRRP实例中的虚拟网关VRID要分别和防火墙A上fe2和fe3端口对应的虚拟网关的VRID相同

5.4FWB主要配置(4.5)注意：665.4FWB主要配置(5.1)5.添加VRRP关联。进入“高可用性->路由模式HA->VRRP关联”，如图添加两个VRRP关联。5.4FWB主要配置(5.1)5.添加VRRP关联。进675.4FWB主要配置(5.2)5.4FWB主要配置(5.2)685.4FWB主要配置(6)6.选中这两个VRRP关联，启动

5.4FWB主要配置(6)6.选中这两个VRRP关联，69关键内容回顾VRRP-虚拟冗余路由协议，工作原理Active-Active设计，一个案例，涵盖了Active-Standby设计设计要点FW配置主要分为6步一个配置实例关键内容回顾VRRP-虚拟冗余路由协议，工作原理70在网络配置-〉网络接口修改接口为混合模式6HA透明桥模式在网络配置-〉网络接口修改接口为混合模式6HA透71在网络配置-〉网络接口修改接口为混合模式并添加相应的VLANID6HA透明桥模式在网络配置-〉网络接口修改接口为混合模式并添加相应的72在网络配置-〉网络接口修改接口为混合模式并添加相应的VLANID6HA透明桥模式在网络配置-〉网络接口修改接口为混合模式并添加相应的73在网络配置-〉透明桥添加绑定的接口6HA透明桥模式在网络配置-〉透明桥添加绑定的接口6HA透明桥模式74在网络配置-〉透明桥添加绑定的接口6HA透明桥模式在网络配置-〉透明桥添加绑定的接口6HA透明桥模式75在网络配置-〉透明桥启用透明桥监控6HA透明桥模式在网络配置-〉透明桥启用透明桥监控6HA透明桥模76在安全策略-〉安全规则配置规则在高可用性-〉HA基本配置配置同步接口在高可用性-〉路由模式HA-〉VRRP实例添加VRID和虚拟IP地址在高可用性-〉路由模式HA-〉VRRP关联添加VRRP优先级6HA透明桥模式注意：以上设置和HA路由模式完全相同。在安全策略-〉安全规则配置规则6HA透明桥模式注77在高可用性-〉桥模式HA-〉桥配置选择是否启用STP协议（生成树）建议不启用6HA透明桥模式在高可用性-〉桥模式HA-〉桥配置选择是否启用STP协议78在高可用性-〉桥模式HA-〉VLAN配置添加VLAN和相关优先级6HA透明桥模式在高可用性-〉桥模式HA-〉VLAN配置添加VLAN79在高可用性-〉桥模式HA-〉VLAN配置添加VLAN和相关优先级6HA透明桥模式在高可用性-〉桥模式HA-〉VLAN配置添加VLAN80在高可用性-〉桥模式HA-〉VLAN配置启用使用PVST+6HA透明桥模式在高可用性-〉桥模式HA-〉VLAN配置启用使用PVS817FAQ7FAQ82欢迎大家批评指正！谢谢！欢迎大家批评指正！83HA高可用性－VRRP原理及实施

(V2.3)网御神州客服中心2008.04HA高可用性－VRRP原理及实施

(V2.3)网御神州客84学习目标学习完本课程，您应该能够了解网络高可用性基本概念掌握VRRP协议工作原理可用VRRP进行链路可靠性设计可用网神设备实施配置VRRP功能学习目标学习完本课程，您应该能够85课程内容网络高可用性设计VRRP协议网神VRRPHA重要概念Active-Active设计案例(含Active-Standby)配置及实施HA透明桥模式FAQ课程内容网络高可用性设计861.网络高可用性设计HA(HighAvailable)高可用性网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性进行网络可靠性设计时，关注以下方面：用户投资计划关键业务高可用性1.网络高可用性设计HA(HighAvailable)87用户投资计划设备投资：为保障可靠性的冗余设备线路投资：主要是冗余线路的租赁费维护成本：设备管理、维修及人员的投入等用户投资计划设备投资：为保障可靠性的冗余设备88关键业务高可用性不同服务对网络要求不同，如：视频服务要求低延时、高带宽，是一种时性业务IP电话业务也要求低延时，并且保证带宽为确保数据中心高可用性，可考虑采用：服务器备份链路备份网络设备备份关键业务高可用性不同服务对网络要求不同，如：89链路备份技术广域网链路备份技术局域网链路备份技术第一代STP：STP（802.1D)，RTSP（802.1W）第二代STP：PVST/PVST+（802.1Q大行其道，厂家各行其是，CISCO私有）第三代STP：MISTP多实例生成树协议（CISCO私有），MSTP多生成树协议（802.1S）路由协议备份技术动态路由协议（RIP/OSPF/BGP）设备备份技术（冗余）VRRP协议（最有代表性，各厂家都支持，衍生变种改进）HSRP协议（CISCO私有）链路备份技术广域网链路备份技术902.VRRP协议VRRP－（Virtualrouterredundancyprotocol,虚拟路由器冗余协议），提供了局域网上的路由设备备份机制2.VRRP协议VRRP－（Virtualrouter912.VRRP协议2.1VRRP解决方法2.2VRRP协议原理2.3网神对于VRRP协议的改进2.4VRRP与HSRP的区别和联系2.VRRP协议2.1VRRP解决方法922.1VRRP解决方法(1)Router单点故障！再加一台Router？2.1VRRP解决方法(1)Router单点故障！932.1VRRP解决方法(2)2.1VRRP解决方法(2)942.1VRRP解决方法(3)VRRP优点不需改变组网，配置简单实现了主机默认网关的备份对内网主机无任何负担可多台冗余备份（不仅2台）2.1VRRP解决方法(3)VRRP优点952.2VRRP协议原理一种报文（选票？）三种状态（身份？）选举机制（啥时选？怎么选？）选举发布（通告！）主要参数2.2VRRP协议原理一种报文（选票？）962.2VRRP协议原理(一种报文)VRRP报文这样定义是组播报文（224.0.0.18），适用于支持组播或广播的局域网（如以太网等）封装在IP报文上定时广播主路由器定期发送VRRP报文2.2VRRP协议原理(一种报文)VRRP报文这样定义972.2VRRP协议原理(一种报文)报文格式2.2VRRP协议原理(一种报文)报文格式982.2VRRP协议原理(一种报文)一个实际环境中抓取的报文2.2VRRP协议原理(一种报文)一个实际环境中抓取的报文992.2VRRP协议原理(三种状态)VRRP定义了三种状态：初始状态（Initialize）活动状态（Master）一组VRRP路由器中的一台路由器处于活动状态，称为主路由器（Master）备份状态（Backup）其余路由器处于备份状态，称为备份路由器（Backup）2.2VRRP协议原理(三种状态)VRRP定义了三种状态：1002.2VRRP协议原理(选举机制)状态机转换2.2VRRP协议原理(选举机制)状态机转换1012.2VRRP协议原理(选举机制)选举时机初始状态时，各路由器都发送VRRP报文，选举主路由器当主路由器出现故障的时候，备份路由器通过选举产生新的主路由器。2.2VRRP协议原理(选举机制)选举时机1022.2VRRP协议原理(选举机制)选举方法默认情况下选择优先级最大的为主路由器，其它路由器作为备份路由器主路由器定期发送VRRP报文如果备份路由器长时间没有收到主路由器报文，则将自己状态改为Master若有多台备份路由器，则根据接收的VRRP报文，选举优先级最大的路由器成为新的主路由器2.2VRRP协议原理(选举机制)选举方法1032.2VRRP协议原理(选举发布)选举发布发布时机：选举出主路由器之后，立即进行发布方法：免费ARP发布对象：周边设备，主动更新其ARP表2.2VRRP协议原理(选举发布)选举发布1042.2VRRP协议原理(主要参数)VRRP主要参数如下：接口的虚拟IP地址（必填）备份组的优先级（必填）监视指定接口（必填）备份组的抢占方式和延迟时间（固定）备份组的认证方式和认证字（固定）备份组的定时器（固定）2.2VRRP协议原理(主要参数)VRRP主要参数如下：1052.3网神防火墙改进VRRP协议状态表同步路由器只“见”IP，网神防火墙关注“连接”，所有连接信息都在状态表中，并且进行同步优点：能保持现有TCP连接不断配置同步优点：保持配置一致性其它改进探测方法等2.3网神防火墙改进VRRP协议状态表同步1062.4VRRP与HSRP的区别和联系在功能上,VRRP和HSRP非常相似VRRP更安全，允许参与VRRP组的设备间建立认证机制VRID等价于HSRP的组标识符HSRP有3种报文，6种状态，8种事件VRRP有1种报文，3种状态，5种事件2.4VRRP与HSRP的区别和联系在功能上,VRRP和H1073.网神防火墙VRRP重要概念3.1HA基本配置同步网口及IP控制节点3.2VRRP实例3.3VRRP关联3.网神防火墙VRRP重要概念3.1HA基本配置1083.1HA基本配置(1)3.1HA基本配置(1)1093.1HA基本配置(2)指定专门的网络接口，此网口仅用于配置同步和状态同步同步网口同步IP添加包过滤规则，允许另一台安全网关访问本安全网关secgate_ha_conf服务3.1HA基本配置(2)指定专门的网络接口，此网口仅用于配1103.1HA基本配置(3)控制节点（与VRRP是独立的！）只针对配置而言！配置不同步时，以控制节点的配置为准，非控制节点进行同步正常情况下，配置立刻进行同步故障时，非控制节点主动重启，同步所有配置例外(个性信息不会进行同步)名称、IP、HA相关配置做设计时，建议把控制节点和MasterFW配置在同一FW上3.1HA基本配置(3)控制节点（与VRRP是独立的！）1113.2VRRP实例(1)3.2VRRP实例(1)1123.2VRRP实例(2)VRIDVitualRouterID，是一个数字。是网络中VirtualRouter的唯一的身份标识同一FW上不同实例必须不相同！两台FW上必须完全对应！数字应相同！3.2VRRP实例(2)VRID1133.2VRRP实例(3)VRIPVirtualRouterIPVirtualRouter具有一个或多个IP地址，在正常情况下，有这个VritualRouter中的主路由器掌管，当主路由器出现故障时由这个VirtualRouter中的备份路由器掌管内网主机的网关就是VRIP！一个VRRP实例最多可配置60个IP地址，超过60个请设置多个实例两台FW上必须完全对应！推荐和网口地址在一个网段3.2VRRP实例(3)VRIP1143.2VRRP实例(4)网络接口VRIP绑定在这个物理接口上实例名称VRRP实例名称对于VRRP协议没有实际意义在一台FW上，实例名称是唯一的，可理解给VRID取了个名称3.2VRRP实例(4)网络接口1153.2VRRP实例(5)子实例名称仅在这种情况下可用：物理线路已经是备份的了，其中一条断了，不需要切换的情况仅在上述情况下，需填写子实例名称若两个实例的名称相同，子实例名称不同，则理解为一条逻辑线路3.2VRRP实例(5)子实例名称1163.3VRRP关联(1)3.3VRRP关联(1)1173.3VRRP关联(2)名称只是一个标识，无实际意义优先级当主路由器不可用时，备份路由器将根据自己的优先权来决定由谁接管主路由器的工作数字越小优先级越高两台FW上，对应VRRP关联的优先级必须不同！3.3VRRP关联(2)名称1183.3VRRP关联(3)VRRP列表来自已经定义的VRRP实例一个VRRP实例只能在一个VRRP关联中VRRP关联成员同生共死，一起生效或者失效3.3VRRP关联(3)VRRP列表1193.3VRRP关联(4)启动该VRRP关联开始工作，进入VRRP协议处理流程停止停止VRRP协议3.3VRRP关联(4)启动1204.Active-Active设计案例(1)4.1环境4.2设计目标4.3主要设计思路4.4故障切换4.5设计要点4.Active-Active设计案例(1)4.1环境1214.1环境4.2设计目标环境两条线路出口不同部门走不同出口设计目标正常时，两台FW各负责一条线路当其中一路FW故障时，所有流量转移另一台FW上4.1环境4.2设计目标环境1224.3主要设计思路(1)主要设计思路在FWA/B上都配置两个VRRP关联FWA上VRRP关联1优先级高FWB上VRRP关联2优先级高正常时，关联1的Master在FWA上，关联2的Master在FWB上故障时，可切换，全部切换到一台FW上4.3主要设计思路(1)主要设计思路1234.3主要设计思路(2)两台虚拟路由器互为Active-Standby，Standby-ActiveServerA/B可看成路由器PCA/B可看成内网不同部门4.3主要设计思路(2)两台虚拟路由器互为Active-S1244.4故障切换(1)4.4故障切换(1)1254.4故障切换(2)故障切换当防火墙A出现故障时，防火墙B在接管防火墙A上的虚拟网关，承担整个链路的流量。防火墙A恢复之后，两台防火墙又会正常工作在Active-Active路由负载均衡状态注意：如果两防火墙是用交换机连接,那么交换机的端口必须设置为portfast模式，否则切换时间过长4.4故障切换(2)故障切换1264.5设计要点设计要点：需求！（理清业务！）拓扑！（现有拓扑，设计后拓扑图）VRRP和控制节点规划地址（申请地址）纸面上跑通再上线推荐：VRRP实例和关联命名规则网口一一对应4.5设计要点设计要点：1275.配置及实施5.1配置要点5.2主要注意事项5.3FWA主要配置步骤5.4FWA主要配置步骤5.配置及实施5.1配置要点1285.1配置要点配置六步：设置同步网络接口，设置控制节点和非控制节点。允许两台FW相互可访问secgate_ha_conf服务允许VRRP组播报文到达本FW。（目的224.0.0.18）添加若干VRRP实例（VRID，VRIP）添加VRRP关联（priority）启动VRRP关联5.1配置要点配置六步：1295.2主要注意事项除了FW名称、网络接口地址、HA相关配置等个性信息，其它配置，比如安全规则等，FW可以进行同步，因此只需在主控节点上配置安全规则等，非主控节点启动以后可自动同步过来，避免手工输入错误！FW上所有网口工作在路由模式。交换机上相应接口应设置为portfast模式，避免因交换机学习生成树协议，导致切换过慢5.2主要注意事项除了FW名称、网络接口地址、HA相关配置1305.3FWA主要配置(1)1.设置同步网口等。在fe1口启动状态同步，选中设置为控制节点。启用自动配置同步和状态同步。5.3FWA主要配置(1)1.设置同步网口等。在fe11315.3FWA主要配置(2)2.允许同步服务。到”安全规则->安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.3FWA主要配置(2)2.允许同步服务。到”安全规1325.3FWA主要配置(3)3.允许VRRP组播报文。配置防火墙A的fe2和fe3口工作在路由模式，添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则5.3FWA主要配置(3)3.允许VRRP组播报文。配1335.3FWA主要配置(4.1)4.添加VRRP实例。进入“高可用性->路由模式HA->VRRP实例”，添加fe2和fe3口的四个VRRP实例，如下图所示注意事项：同一FW上四个VRRP实例的VRID不能相同不同FW上VRID相同的实例互为备份在后面配置防火墙B的VRRP实例时，防火墙B中虚拟网关的VRID要和防火墙A相同的虚拟网关的VRID相同5.3FWA主要配置(4.1)4.添加VRRP实例。进1345.3FWA主要配置(4.2)5.3FWA主要配置(4.2)1355.3FWA主要配置(4.3)5.3FWA主要配置(4.3)1365.3FWA主要配置(4.4)5.3FWA主要配置(4.4)1375.3FWA主要配置(4.5)5.3FWA主要配置(4.5)1385.3FWA主要配置(5.1)5.添加VRRP关联。进入“高可用性->路由模式HA->VRRP关联”，如图添加两个VRRP关联。这样当一个VRRP实例出现故障时，则认为该VRRP关联故障。5.3FWA主要配置(5.1)5.添加VRRP关联。进1395.3FWA主要配置(5.2)5.3FWA主要配置(5.2)1405.3FWA主要配置(6)6.启动VRRP关联。选中这两个VRRP关联，启动。5.3FWA主要配置(6)6.启动VRRP关联。选中这1415.4FWB主要配置(1)1.设置同步网口等。在fe1口启动状态同步，不选中控制节点，即为非控制节点。启用自动配置同步和状态同步。5.4FWB主要配置(1)1.设置同步网口等。在fe11425.4FWB主要配置(2)2.允许同步服务。到”安全规则->安全策略“添加包过滤规则，允许双向secgate_ha_conf服务。5.4FWB主要配置(2)2.允许同步服务。到”安全规1435.4FWB主要配置(3)3.允许VRRP组播报文。添加一条允许224.0.0.0/255.255.255.0组播地址通过的包过滤安全规则5.4FWB主要配置(3)3.允许VRRP组播报文。添加1445.4FWB主要配置(4