La historia de VRRP y VGMP-parte 2

290 0 0 0

4 La creación de VGMP resuelve problemas VRRPs

Para resolver este problema de falta de unidad de estado en múltiples grupos VRRP, los firewalls de Huawei incorporan VGMP (VRRP group Management Protocol en el ejercicio de la gestión unificada sobre grupos VRRP para garantizar la consistencia del estado en los grupos VRRP. Agregamos todos los grupos VRRP en firewalls en un grupo VGMP, y el grupo VGMP supervisa y gestiona de forma centralizada los estados de todos los grupos VRRP. Si el grupo VGMP descubre que uno de los estados de su grupo de VRRP ha cambiado, el grupo VGMP ordenará que todos los grupos VRRP en el grupo VGMP se sometan a conmutación de estado unificado, garantizando la consistencia del estado en todos los grupos VRRP.

Un grupo VGMP tiene dos atributos básicos (estado y prioridad) y tres principios operativos básicos:

l  El estado de un grupo VGMP determina el estado de los grupos VRRP dentro del grupo, y también determina el estado active/standby del firewall.

l  Los estados del grupo VGMP de dos firewalls se determinan mediante la comparación de prioridades mutuas. El estado del grupo VGMP con mayor prioridad es activo, mientras que el estado del grupo (s) VGMP con menor prioridad es standby.

l  Un grupo VGMP actualizará su propia prioridad de acuerdo con los cambios de estado por parte de los grupos VRRP dentro de él. Cuando el estado del grupo VRRP cambia a Inicializar, la prioridad del grupo VGMP disminuirá en 2.

Ahora que entendemos y estamos íntimamente familiarizados con los principios básicos de la operación del grupo VGMP, vamos a echar un vistazo a cómo el protocolo VGMP resuelve el problema de la discordancia del estado del grupo VRRP.

Como se muestra en la Figura 1-1, en FW1 hemos añadido tanto el grupo VRRP 1 como el grupo VRRP 2 a un grupo VGMP en estado activo. En FW2 hemos añadido el grupo de VRRP 1 y el grupo de VRRP 2 a un grupo VGMP en estado standby. Como el estado de un grupo VGMP determina los estados de los grupos VRRP del grupo, los estados de los grupos 1 y 2 del VRRP en fw1 están activos, y los estados de los grupos 1 y 2 del VRRP en FW2 son ambos standby. Por lo tanto, el FW1 es el router activo en el grupo VRRP 1 y el grupo 2 VRRP (es el dispositivo principal de los dos firewalls), mientras que FW2 es el router standby para ellos (es el dispositivo de copia de seguridad de los dos firewalls).

Figura 1-1 VGMP que garantiza la conmutación de estado unificado de VRRP060538xnhnhdjv7z7we3eh.pngNota

Se necesita un cable entre dos firewalls para intercambiar paquetes de protocolo VGMP.

[Pregunta del doctor WoW] Antes, mientras explicaba los VRRPs, los estados que estudiamos eran todos "Master" y "standby" -¿por qué han cambiado de"active" y "standby"?

Respuesta: En la serie de USG6000 de firewalls, los estados de hot standby (originalmente "Master" y "Esclavo") y los estados VRRP (originalmente "Master" y "standby") han sido modificados uniformemente para leer "activo" y "standby". Por lo tanto, cuando usted ve otros documentos usar múltiples términos diferentes para describir los estados, por favor no piense esto inusual; entender estos estados como el "activo" y "standby" descrito aquí funcionará bien.

Como se muestra en la Figura 1-1, cuando falla una de las interfaces de FW1, el proceso por el cual el grupo VGMP controla la conmutación de estado unificado de los grupos VRRP es el siguiente:

1. Cuando falla la interfaz GE1/0 / 1 de FW1, el grupo 1 de VRRP en fw1 cambia estados (cambia de acti**** inicializar).

2. Después de que el grupo VGMP de fw1 percibe este fallo, reducirá su propia prioridad, y luego comparará las prioridades con el grupo VGMP de FW2 y renegociará sus estados standby/active.

3. Después de la negociación, el estado del grupo VGMP en fw1 cambia de active a standby, y el estado del grupo VGMP en FW2 cambia de standby a active.

4. Al mismo tiempo, como el estado de un grupo VGMP determina el estado de los grupos VRRP del grupo, el grupo VGMP de Fw1 mandatará que su grupo de VRRP 2 cambie del estado active al estado standby, y el grupo VGMP de FW2.

De esta manera, FW2 se convierte en el router activo en el grupo VRRP 1 y VRRP 2, y también es el dispositivo principal de los dos firewalls; mientras tanto, fw1 se convierte en el router standby en el grupo VRRP 1 y VRRP en el grupo 2.

5. FW2 enviará paquetes ARP gratuitos tanto a LSW1 como a LSW2 para actualizar sus tablas de direcciones MAC, causando que los paquetes upstream de PC1 y los paquetes de retorno que acceden a PC2 sean reenviados a FW2. Esto completa la conmutación unificada de los estados del grupo VRRP y garantiza un tráfico de servicio ininterrumpido.

5 VGMP estructura de paquetes

Después de leer el contenido anterior, todos deben entender que VGMP no sólo permite la gestión unificada de los grupos VRRP, sino que también sustituye a VRRP en la gestión de los estados standby/active de firewall según sea necesario. En este punto surge una pregunta: ¿Cómo se envía la información sobre estados y prioridades entre dos grupos de firewalls VGMP?

En 2 Mecanismos de trabajo VRRP anteriores, explicamos que los grupos VRRP de dos routers utilizan paquetes VRRP para enviar información de estado y prioridad. Así que, ¿los grupos de firewalls VGMP todavía usan paquetes VRRP para enviar información de estado y prioridad? Por supuesto, esto no es muy probable, ya que el nuevo liderazgo naturalmente trae consigo nuevos métodos.

Durante el arranque de los grupos VGMP de dos firewalls utilizan paquetes VGMP para enviar información de estado y prioridad. VGMP es el protocolo propietario de Huawei, y este protocolo se expande y altera los paquetes VRRP para lograr la función de espera en caliente del firewall, derivando múltiples tipos de paquetes que utilizan encabezados VGMP en su encapsulación. Una comprensión de los paquetes y encabezados VGMP es la base necesaria para entender la negociación y conmutación del estado de VGMP, así que primero echemos un vistazo a la estructura de los paquetes VGMP.

Nota

La estructura de paquetes VGMP discutida en esta sección se aplica a la serie de firewall USG2000/5000/6000 y a la serie de cortafuegos USG9500 "V100R003 version".

Figura 1-2 VGMP Estructura de paquetes

060758k51yfybh8dhdzwyw.png


Desde la secuencia de encapsulación de paquetes VGMP que se muestra en la Figura 1-2, podemos ver que los paquetes VGMP están enraizados en paquetes VRRP y se encapsulan desde el encabezado VRRP. Sin embargo, el encabezado VRRP no es un encabezado VRRP estándar, sino que es "nuevo encabezado VRRP" que ha sido ampliado y modificado por Huawei. Los cambios específicos se enumeran a continuación:

l  El campo "Type" del encabezado VRRP estándar sólo tiene un valor de "1", mientras que el nuevo encabezado VRRP ha añadido un valor de "2". Esto es para decir que si Type = 1, esta es una cabecera VRRP estándar; si Type = 2, este es un nuevo tipo de encabezado VRRP que ha sido alterado *****osotros.

l  El campo "Virtual Rtr ID" del encabezado VRRP estándar representa la ID del grupo VRRP, mientras que el nuevo encabezado VRRP modificado "" ID de Rtr Virtual "value siempre está configurado como" 0 ".

l  El campo "IP address" de la cabecera VRRP estándar ha sido eliminado de la nueva cabecera VRRP alterada.

l  El campo "Priority" en el encabezado VRRP estándar ha sido cambiado a un campo Type2 en el nuevo encabezado VRRP.

? Cuando Type2 = 1 los paquetes se encapsulan como paquetes de detección de enlaces heartbeat. Los paquetes Heartbeat link detection se utilizan para detectar si la interfaz heartbeat del dispositivo de pares puede o no recibir paquetes del dispositivo de envío; esto verifica si se puede utilizar o no la interfaz heartbeat.

? Cuando Type2 = 5 los paquetes se encapsulan como paquetes de verificación de consistencia. Los paquetes de verificación de consistencia se utilizan para inspeccionar si dos cortafuegos del estado de hot standby tienen la misma configuración de política and standby.

? Sólo cuando Type2 = 2 va a encapsular más paquetes VRRP en una cabecera VGMP. Estos paquetes se separan más en tres tipos de paquetes de acuerdo con el campo "VType" del encabezado VGMP.

ü Paquetes VGMP (paquetes VGMP Hello). Los paquetes VGMP Hello se utilizan para negociar states activo/standby entre dos grupos VGMP de firewalls.

ü Paquetes de heartbeat HRP de HRP). Los paquetes de heartbeat HRP se utilizan para detectar si un grupo VGMP de pares está en estado de funcionamiento. Un grupo VGMP en el estado activo enviará paquetes de heartbeat HRP a su grupo VGMP peer a intervalos (el valor predeterminado es 1s), y estos se utilizan para notificar al grupo del grupo de envío VGMP estado y prioridad del grupo de envío. Si un grupo VGMP en estado standby no recibe paquetes de heartbeat HRP enviados desde su grupo de pares durante tres intervalos consecutivos, considerará que esto significa que ha habido un fallo en el grupo VGMP peer, y cambiará su propio estado a activo.

ü Paquetes de datos HRP. Sólo añadiendo una cabecera HRP después de la cabecera VGMP se puede encapsular un paquete en un paquete de datos HRP. Los paquetes de datos de HRP se utilizan para la copia de seguridad de datos entre dispositivos activos y standby, e incluyen la copia de seguridad de la configuración de la línea de comandos y la información del estado.

Para este punto, todo el mundo probablemente se preguntará: Si durante el firewall hot standby una nueva cabecera VRRP se utiliza para encapsular paquetes VGMP, entonces los paquetes VRRP estándar todavía existen, y si es así, ¿para qué se utilizan? La respuesta es que los paquetes VRRP estándar todavía existen, y todavía se utilizan para la comunicación interna dentro de los grupos VRRP. Sin embargo, dado que su campo de prioridad (Priority) ya es un valor fijo, no se puede configurar, por lo que los paquetes VRRP estándar sólo existen en nombre. La pérdida del campo Priority significa que los paquetes VRRP estándar ya no pueden controlar la negociación del estado del grupo VRRP y sólo pueden proporcionar notificación de los estados del grupo VRRP y las direcciones IP virtuales entre los firewalls activos y standby. Esto es lo mismo que el papel del "emperador" en una monarquía constitucional -su título se conserva pero carecen del poder para manejar la nación.

El deseo de VGMP de asumir la gestión del firewall y de los estados del grupo VRRP significa que los paquetes VGMP deben contener información de estado y prioridad del grupo VGMP. Volvamos a mirar la estructura de la cabecera VGMP.

l  El campo "Modo" indica si se trata de un paquete de solicitud o de un paquete de respuesta.

l  El campo "vgmpID" indica si el grupo VGMP es un grupo activo o un grupo standby.

l  El campo "vPriority" indica la prioridad del grupo VGMP.

Además, la información sobre el estado de un grupo VGMP está contenida en los "datos" de paquetes de VGMP. Estos dos puntos demuestran que el VGMP protocol posee la base material necesaria para permitir que reemplace el protocolo VRRP estándar en la gestión de los estados del grupo VRRP y del firewall.

Para resumir lo anterior, el protocolo VGMP altera el encabezado VRRP estándar y define diferentes tipos de paquetes que utilizan el encabezado VGMP en encapsulación. Con esto en mente, ¿a través de qué canal se envían estos paquetes entre dos firewalls? Anteriormente, discutimos el hecho de que los firewalls utilizan un canal de failover (el cable heartbeat) para enviar datos de copia de seguridad, y es obvio que los paquetes de datos de HRP se transmiten a través del canal de failover. De hecho, todos los paquetes VGMP discutidos anteriormente (con la excepción de los paquetes VRRP estándar) se transmiten a través del canal de failover.

Además, la serie theUSG6000 firewall y el USG2000/5000 serie firewall "V300R001 versión también soporta la encapsulación de los diversos paquetes VGMP y HRP (con la excepción de paquetes VRRP estándar) en paquetes UDP. La estructura para esto se muestra en la Figura 1-3.

Figura 1-3 UDP para encapsular un paquete VGMP

060817n8bd45yawe888ev8.png


Entonces, ¿cuál es la diferencia entre usar paquetes VGMP encapsulados con VRRP y paquetes VGMP encapsulados UDP? Los primeros son paquetes multicast, no pueden ser transmitidos fuera de la subred, y no son controlados por políticas de seguridad; estos últimos son paquetes unicast, y pueden ser transmitidos fuera de la subred siempre y cuando la ruta sea accesible, y estén controlados por políticas de seguridad. Un poco más específicamente, si se utilizan paquetes multicast, las interfaces heartbeat de los dos firewalls deben conectarse directamente o conectarse a través de un switch 2 de capa, pero no se debe configurar ninguna política de seguridad. Si se utilizan paquetes unicast, las interfaces heartbeat de los dos firewalls pueden conectarse a través de un dispositivo de capa 3 como un router, pero se debe configurar una política de seguridad que permita que los paquetes pasen en ambas direcciones entre la zona local y la zona de seguridad. Además, al utilizar una interfaz de servicio como interfaz heartbeat, se deben utilizar paquetes VGMP encapsulados UDP.

Estados por defecto de grupos 6 Firewall VGMP

En 4 La creación de problemas de VGMP resuelve VRRPs, ya hemos hecho una simple introducción en cómo VGMP garantiza la conmutación unificada de los estados del grupo VRRP, pero el proceso de conmutación real y el intercambio de paquetes es un poco más complicado. Antes de introducir la formación de los estados de VGMP y el proceso de conmutación en más detalle, primero introduciremos los cortafuegos de los estados y prioridades predeterminados de los grupos VGMP.

En la Figura 1-4, cada firewall provee dos grupos VGMP: El grupo activo y el grupo standby. Por defecto, la prioridad del grupo activo es 65001 y su estado está activo; la prioridad del grupo standby es 65000 y su estado está standby. En un escenario de failover activo de/standby, el dispositivo primario permite al grupo activo, y todos los miembros (por ejemplo, grupos VRRP) se unen al grupo activo; el dispositivo de copia de seguridad permite el grupo standby, y todos los miembros se unen al grupo standby. En un escenario de reparto de carga, ambos firewalls permiten grupos activos y standby, y todos los miembros de cada dispositivo se unen tanto al grupo activo como al grupo standby. El grupo activo de FW1 y el grupo standby de FW2 forman un grupo active/standby, y el grupo active de FW2 y el grupo standby de fw1 forman otro "group activo/standby"; los dos firewalls se complementan entre sí "activo/standby", creando load compartido.

Figura 1-4 Firewall VGMP grupos

060835ia6bhw78z48ddkn5.png


La descripción anterior es aplicable a la serie de firewall theUSG2000/5000/6000. Como theUSG9500 firewall cuenta con tarjetas de interfaz y tarjetas de servicio, sus prioridades predeterminadas son diferentes. 

Las prioridades predeterminadas de la versión V100R003 de la versión V100R003 son las siguientes:

priority = 45001 + 1000 x principal (activo) del grupo (# de tarjetas de servicio + # de tarjetas de interfaz)

priority = 45000 + 1000 x de grupo secundario (standby) por defecto (# de tarjetas de servicio + # de tarjetas de interfaz)

 

Para ver la lista de todos los puestos técnicos del doctor WoW, haga clic aquí.

 

This post was last edited by xelamaster69 at 2019-01-09 16:08.
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba