De acuerdo

Hot Standby Protocol System Destacado

23 0 2 0

Buenos días


Hot Standby Protocol System.

Imagen1


VRRP es un protocolo de tolerancia a fallas que permite que un enrutador en espera reemplace automáticamente el enrutador activo defectuoso para reenviar paquetes, asegurando la continuidad y disponibilidad del servicio.


VGMP se utiliza para gestionar múltiples grupos VRRP de forma centralizada para garantizar que el estado de estos grupos VRRP sea coherente.


HRP se utiliza para hacer una copia de seguridad de los datos de estado dinámico y comandos de configuración clave entre firewalls activos / en espera.


Descripción general del Hot Standby Protocol System.

Imagen2


Principios del protocolo VRRP:


  • Dirección IP virtual

  • Varios enrutadores en un grupo VRRP proporcionan una dirección IP virtual como puerta de enlace para los usuarios de la intranet.

  • La dirección IP virtual solo tiene efecto en el enrutador activo. Si el enrutador activo falla, los enrutadores en espera eligen un nuevo enrutador activo y la dirección IP virtual se migra automáticamente al nuevo enrutador activo.

  • En la configuración de la puerta de enlace de servicios, se utiliza una dirección IP virtual VRRP para reemplazar la dirección IP real de una interfaz. De esta manera, se puede lograr una conmutación automática y sin problemas si ocurre una falla.

 

  • Hello packet y detección de fallas..

  • El enrutador activo envía periódicamente paquetes de saludo a los enrutadores en espera a través de multidifusión. Los enrutadores en espera interceptan los paquetes de saludo.

  • Si ocurre una falla en el enlace del enrutador activo, los paquetes de saludo no pueden enviarse a los enrutadores en espera. Como resultado, si los enrutadores en espera no reciben ningún paquete de saludo dentro de tres intervalos de paquete, renegocian un nuevo enrutador activo. Este nuevo enrutador habilita automáticamente la dirección IP virtual del grupo VRRP y envía paquetes ARP gratuitos que contienen esta dirección IP para notificar a los dispositivos ascendentes y descendentes acerca de la actualización de entradas ARP. Además, los nuevos enrutadores activos cambian el tráfico de servicios a su interfaz de servicios y reenvían paquetes con la dirección IP virtual como el próximo salto.

  • Debido a que los paquetes de saludo VRRP son paquetes de multidifusión, todos los enrutadores de un grupo VRRP deben estar interconectados a través de un dispositivo de capa 2 (un conmutador o enrutador de capa 2 con una placa de capa 2). Es decir, después de habilitar VRRP, los dispositivos ascendentes y descendentes deben admitir la función de conmutación de capa 2, asegurando que los enrutadores en espera puedan recibir paquetes de saludo del enrutador activo. Si no se cumple esta condición de red, no se puede usar VRRP.


Principios del protocolo VGMP:

 

  • Estado VGMP (activo/en espera).

  • Si el estado del grupo VGMP en un firewall es Activo, todos los grupos VRRP en este grupo VGMP están en estado Activo. En este caso, todos los paquetes pasan a través del firewall y el firewall se convierte en el dispositivo activo. El estado del grupo VGMP en el otro firewall es En espera(Standby), y este firewall se convierte en el dispositivo en espera.

  • El grupo VGMP prioritario se ajusta dinámicamente en base al estado de los grupos VRRP miembros, lo que desencadena una conmutación activa / en espera de los dos cortafuegos

 

  • VGMP hello packet.

  • El grupo VGMP activo envía regularmente paquetes de saludo al grupo VGMP en espera para informar a este último sobre su propio estado de ejecución, incluida la prioridad y el estado de los miembros de VRRP. La implementación es similar a la de VRRP.

  • Los dos firewalls usan paquetes de saludo para intercambiar su información de estado.

  • El intervalo predeterminado para enviar paquetes hello VGMP es 1s. Si el cortafuegos en espera no recibe ningún paquete de saludo del cortafuegos activo dentro de tres intervalos de paquetes de saludo, el cortafuegos en espera considera que falla el cortafuegos activo y cambia al estado Activo.


 Principios del protocolo HRP:

  • Si falla el firewall activo, todo el tráfico de servicio cambia al firewall en espera. Sin embargo, la puerta de enlace de seguridad unificada (USG) es un firewall de estado. Es decir, si el firewall en espera no tiene los datos del estado de conexión del antiguo firewall activo, la mayor parte del tráfico que pasa al firewall en espera no puede pasar. Como resultado, la conexión existente se interrumpe y los usuarios tienen que establecer una conexión nuevamente.

  • El HRP proporciona el mecanismo básico de respaldo de datos y la función de transmisión. Los módulos de aplicación recopilan datos que deben respaldarse y los envían al módulo HRP. Luego, el módulo HRP envía datos al módulo correspondiente en el firewall de igual. Los módulos de aplicación del firewall igual analizan los datos enviados por el módulo HRP y agregan los datos al conjunto dinámico de datos en ejecución del firewall.


Contenido de copia de seguridad.

  • Datos del estado de la conexión, incluidas las tablas de sesión.

  • Tabla de mapas del servidor.

  • Lista negra.

  • Lista blanca.

  • Tabla de mapeo de puertos basada en PAT.

  • Tabla de mapeo de direcciones basada en NO-PAT.

  • Si el cortafuegos en espera no tiene estos datos, el tráfico que cambia al cortafuegos en espera puede bloquearse, lo que lleva a la interrupción de la conexión.

 

  • Dirección de respaldo.

  • En una red active/standby, el firewall activo realiza una copia de seguridad de los comandos de configuración y la información de estado en el firewall en espera.

  • En una red de equilibrio de carga, ambos firewalls son dispositivos activos. Si los dos dispositivos activos pueden hacer copias de seguridad de los comandos entre sí, los comandos de ambos dispositivos pueden sobrescribirse o entrar en conflicto. Por lo tanto, se introduce la configuración de dispositivos maestros y esclavos para facilitar la administración centralizada de los administradores de los dos firewalls y evitar errores.

  • En una red de equilibrio de carga, el firewall que envía comandos de configuración de respaldo se denomina dispositivo maestro y el firewall que recibe estos comandos se denomina dispositivo esclavo. Los prefijos de HRP_M y HRP_S se incluyen al comienzo de un comando para los firewalls maestro y esclavo, respectivamente.

  • En una red de equilibrio de carga, solo el dispositivo activo puede hacer una copia de seguridad de los comandos de configuración en el dispositivo esclavo. Sin embargo, ambos dispositivos pueden hacer una copia de seguridad del estado.

 

  • Modo de respaldo

  • Copia de seguridad automática.

  • Por defecto, la función de copia de seguridad automática está habilitada. Los cortafuegos pueden realizar copias de seguridad de los comandos de configuración en tiempo real y periódicamente realizar copias de seguridad de la información de estado. Esta función es aplicable a varios tipos de redes de espera activa.

  • Copia de seguridad manual por lotes.

  • Los administradores deben activar esta función manualmente. Cuando ejecutan el comando de copia de seguridad manual por lotes, el firewall activo sincroniza inmediatamente los comandos de configuración y la información de estado con el firewall en espera.

  • Copia de seguridad de sesión rápida.

  • Después de habilitar esta función, el firewall activo realiza una copia de seguridad de todas las sesiones que se pueden respaldar en el firewall en espera en tiempo real.

 

  • Sincronización automática de configuraciones en los firewalls activos y en espera después de un reinicio.

  • En una red en espera activa, si se reinicia un firewall, el otro firewall procesa todos los servicios durante el reinicio. En este período, los servicios de procesamiento de firewall pueden tener configuraciones agregadas, eliminadas o modificadas. Para garantizar que los firewalls activos y en espera tengan las mismas configuraciones, después de reiniciar un firewall, sincroniza automáticamente las configuraciones del firewall que procesa los servicios.


  • Canal de respaldo.

  • En general, el canal entre las interfaces conectadas directamente en dos dispositivos es un canal de respaldo, que también se denomina "heartbeat link". (VGMP usa este canal para la comunicación).

  • Los tipos de interfaz de latido admitidos incluyen la interfaz Ethernet de capa 3 y sus subinterfaces, la interfaz Eth-Trunk de capa 3 y sus subinterfaces, la interfaz POS, la interfaz troncal IP y la interfaz VLAN.

  • Puede ejecutar el comando hrp interface interface-name para configurar un canal de respaldo.





  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise