Conceptos Básicos de Huawei Redundancy Protocol en una red con Sistema Dual Hot - Standby

Última respuesta ag. 12, 2019 09:11:47 71 1 1 1

OBJETIVO:


El propósito de esta publicación es explicar el funcionamiento de Huawei Redundancy Protocol(HPR) en una red con Sistema Dual Hot - Standby.


INTRODUCCIÓN:


A contiuación se detalla  el protocolo HRP (Huawei Redundancy Protocol), el cual permite realizar una copia de seguridad de los datos de estado dinámico y los comandos de configuración clave entre firewalls.


En la red con Sistema Dual Hot-Standby, si ocurre una falla en el firewall activo, todos los paquetes se conmutan al firewall en espera(standby). 

Debido a que los USG son firewalls de estado, si el firewall en espera no tiene los datos de estado de la conexión (tabla de sesión) del firewall activo original,  el tráfico conmutado al firewall en espera no puede pasar a través del mismo. Como resultado, la conexión existente se interrumpe.  Para restaurar los servicios, el usuario debe reiniciar la conexión.


HRP1

FIG1: Red con Sistema Dual Hot-Standby



El módulo HRP proporciona el mecanismo básico de respaldo de datos y la función de transmisión. Cada módulo de aplicación recopila los datos que el módulo debe respaldar

y los envía al módulo HRP. El módulo HRP envía los datos al módulo correspondiente en el peer firewall. El módulo de aplicación analiza los datos enviados por el módulo HRP 

y los agrega al grupo dinámico de datos en ejecución del firewall.


Datos de respaldo: tabla de sesión TCP / UDP, entradas del mapa del servidor, lista negra dinámica, entradas NO-PAT y entradas ARP.


Dirección de copia de seguridad: el firewall con el grupo VGMP activo realiza una copia de seguridad de los datos necesarios al peer firewall.


Canal de respaldo: en general, los puertos que interconectan directamente los dos firewalls se usan como el canal de respaldo, que también se denomina enlace de latido (VGMP usa este canal para la comunicación).



Interfaces HRP Heartbeat


Los dos firewalls intercambian datos de respaldo a través de las interfaces heartbeat sobre un enlace heartbeat.

Una interfaz heartbeat debe ser una interfaz independiente con una dirección IP. Puede ser una interfaz física (como una interfaz GE) o una interfaz lógica Eth-Trunk.


HRP2

FIG2: Interfaces HRP Heartbeat


Por lo general, los datos de respaldo representan del 20% al 30% del tráfico del servicio. Puede determinar la cantidad de interfaces Eth-Trunk miembros en función de la cantidad de datos de respaldo.



Estado de las interfaces Heartbeat Interfaces


La interfaces HRP heartbeat tienen 5 estados:


1. Invalid: Esto sucede cuando el estado físico es "Up" y el estado del protocolo es "Down", es decir la interfaz heartbeat local está configurada incorrectamente. 

Por ejemplo, la interfaz heartbeat es una interfaz de Capa 2, o no hay una dirección IP configurada para la interfaz heartbeat.


2. Down: Cuando los estados físico y de protocolo de la interfaz heartbeat local están inactivos.


3. Peerdown: Cuando los estados físicos y de protocolo son "Up". La interfaz  heartbeat no puede recibir paquetes "reply" para la detección de un enlace heartbeat

desde la interfaz peer heartbeat. En este caso, el firewall establece el estado de la interfaz heartbeat local en peerdown. 

Aun así, la interfaz heartbeat local continúa enviando paquetes de detección de enlace heartbeat y espera reanudar el enlace cuando se abra la interfaz peer heartbeat.



4. Ready: los estados físico y de protocolo están arriba "UP". La interfaz heartbeat local recibe paquetes "reply" de detección de enlace heartbeat  desde la interfaz peer heartbeat.

En este caso, el firewall establece el estado de la interfaz heartbeat  local en "ready", lo que indica que está listo para enviar y recibir paquetes heartbeat. 

Además, continúa enviando paquetes de detección de enlace heartbeat  para mantener el estado del enlace.


5. Running: cuando varias interfaces heartbeat  locales están en estado "ready", el firewall establece el estado de la primera configuracion a ejecución(running). Si solo una interfaz está en estado "ready",

el firewall establece su estado en "runnig". La interfaz en ejecución se utiliza para enviar paquetes heartbeat HRP, paquetes de datos HRP, paquetes de detección de enlaces HRP, paquetes VGMP y paquetes de verificación de consistencia.


HRP3

FIG3: Estados de las Interfaces HRP Heartbeat

Otras interfaces heartbeat locales en el estado "ready" sirven como copias de seguridad y toman servicios en secuencia (según el orden de configuración) 

cuando falla la interfaz hearbeat en ejecución o el enlace. 


Para concluir,  los paquetes de detección de enlace heartbeat se utilizan para detectar si la interfaz peer heartbeat  puede recibir paquetes y determinar si el enlace está disponible. 

La interfaz heartbeat local envía paquetes de detección de enlace siempre que sus estados físicos y de protocolo estén activados.


De esta manera, los paquetes heartbeat HRP se usan para detectar si el dispositivo par (grupo VGMP par) está funcionando correctamente. 

Estos paquetes solo pueden enviarse mediante la interfaz heartbeat en ejecución en el grupo VGMP en el elemento de red activo.



  • x
  • convención:

Gustavo.HdezF
Moderador Publicado 2019-8-12 09:11:47 Útil(0) Útil(0)
Interesante y clara información sobre este tema, muy útil si estas preparando el examen de certificación sobre seguridad. Gracias por compartir en el foro. Saludos.
  • x
  • convención:

Ingeniero%20en%20Comunicaciones%20y%20Electr%C3%B3nica%20con%2020%20a%C3%B1os%20de%20experiencia%20en%20el%20%C3%A1rea%20de%20las%20telecomunicaciones%20para%20voz%20y%20datos%2C%20comparto%20mi%20experiencia%20dando%20clases%20en%20la%20Universidad%20Polit%C3%A9cnica%20de%20Quer%C3%A9taro.

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje