Sistema de protocolo de espera activa (Hot Standby Protocol System)

43 0 1 0

Comunidad Huawei Enterprise, buen día.


Les traigo la siguiente publicación, esperando les sea de utilidad, asi mismo espero sus comentarios y/o retroalimentación.


Sistema de protocolo de espera activa (Hot Standby Protocol System).


z


VRRP es un protocolo de tolerancia a fallas que permite que un router en espera (standby) reemplace automáticamente el router activo con falla para reenviar paquetes, asegurando la continuidad y disponibilidad del servicio.

 

VGMP se utiliza para administrar múltiples grupos VRRP de manera centralizada para garantizar que el estado de estos grupos VRRP sea coherente.

 

HRP se utiliza para hacer una copia de seguridad de los datos de estado dinámico y comandos de configuración clave entre firewalls activos/en espera (standby).

 

Resumen del Sistema de protocolo de espera activa (Hot Standby Protocol System).


s


Principios del protocolo VRRP:


  • Dirección IP virtual.

  • Múltiples routers en un grupo VRRP proporcionan una dirección IP virtual como puerta de enlace (gateway) para los usuarios de intranet.

  • La dirección IP virtual solo tiene efecto en el router activo. Si el router activo falla, los routers en espera (standby) eligen un nuevo router activo y la dirección IP virtual se migra automáticamente al nuevo router activo.

  • En la configuración de la puerta de enlace (gateway) de servicios, se utiliza una dirección IP virtual VRRP para reemplazar la dirección IP real de una interfaz. De esta manera, se puede lograr una conmutación automática y sin problemas si ocurre una falla.


  • Paquetes de saludo (Hello packet) y detección de fallas.


  • El router activo envía periódicamente paquetes de saludo (Hello packet) a los routers en espera (standby) a través de multidifusión (multicast). Los routers en espera (standby) interceptan los paquetes de saludo (hello packets).

  • Si ocurre una falla en el enlace del router activo, los paquetes de saludo (hello packets) no pueden enviarse a los routers en espera (standby). Como resultado, si los routers en espera (standby) no reciben ningún paquete de saludo (hello packet) dentro de tres intervalos de paquete, renegocian un nuevo router activo. Este nuevo router habilita automáticamente la dirección IP virtual del grupo VRRP y envía paquetes ARP gratuitous que contienen esta dirección IP para notificar a los dispositivos ascendentes y descendentes acerca de la actualización de entradas ARP. Además, los nuevos routers activos cambian el tráfico de servicios a su interfaz de servicios y reenvían paquetes con la dirección IP virtual como el próximo salto.

  • Debido a que los paquetes de saludo (hello packets) VRRP son paquetes de multidifusión (multicast), todos los routers en un grupo VRRP deben estar interconectados a través de un dispositivo de capa 2 (un switch o routers de capa 2 con una placa de capa 2). Es decir, después de habilitar VRRP, los dispositivos ascendentes y descendentes deben admitir la función de conmutación (switching) de capa 2, asegurando que los routers en espera (standby) puedan recibir paquetes de saludo (hello packets) del router activo. Si no se cumple esta condición de red, no se puede usar VRRP.


Principios del protocolo VGMP:


  • Estado VGMP (activo/en espera (standby)).

  • Si el estado del grupo VGMP en un firewall es Activo, todos los grupos VRRP en este grupo VGMP están en estado Activo. En este caso, todos los paquetes pasan a través del firewall y este se convierte en el dispositi****ctivo. El estado del grupo VGMP en el otro firewall es en espera (standby), y este firewall se convierte en el dispositivo en espera (standby).

  • El grupo VGMP prioritario se ajusta dinámicamente con base al estado de los grupos VRRP miembros, lo que desencadena el cambio activo/ en espera (standby) de los dos firewalls.


  • Paquete de saludo (hello packet) VGMP.


  • El grupo VGMP activo envía regularmente paquetes de saludo (hello packets) al grupo VGMP en espera (standby) para informar a este último sobre su propio estado de ejecución, incluida la prioridad y el estado de los miembros de VRRP. La implementación es similar a la de VRRP.

  • Los dos firewalls usan paquetes de saludo (hello packets) para intercambiar su información de estado.

  • El intervalo predeterminado para enviar paquetes de saludo (hello packets) VGMP es 1s. Si el firewall en espera (standby) no recibe ningún paquete de saludo (hello packet) del firewall activo dentro de tres intervalos de paquetes de saludo (hello packets), el firewall en espera (standby) considera que falla el firewall activo y cambia al estado Activo.


  • Principios del protocolo HRP.

  • Si falla el firewall activo, todo el tráfico de servicio cambia al firewall en espera (standby). Sin embargo, la puerta de enlace (gateway) de seguridad unificada (USG) es un firewall de estado. Es decir, si el firewall en espera (standby) no tiene los datos del estado de conexión del antiguo firewall activo, la mayor parte del tráfico que pasa al firewall en espera (standby) no puede pasar. Como resultado, la conexión existente se interrumpe y los usuarios tienen que establecer una conexión nuevamente.

  • El HRP proporciona el mecanismo básico de respaldo de datos y la función de transmisión. Los módulos de aplicación recopilan datos que deben respaldarse y los envían al módulo HRP. Luego, el módulo HRP envía datos al módulo correspondiente en el firewall de igual. Los módulos de aplicación del firewall igual analizan los datos enviados por el módulo HRP y agregan los datos al conjunto dinámico de datos en ejecución del firewall.


  • Contenido de respaldo.

 

o   Datos de estado de conexión, incluidas tablas de sesión.

o   Tabla de mapas del servidor.

o   Lista negra.

o   Lista blanca.

o   Tabla de mapeo de puertos basada en PAT.

o   Tabla de mapeo de direcciones basada en NO-PAT.


  • Si el firewall en espera (standby) no tiene estos datos, el tráfico que cambia al firewall en espera (standby) puede bloquearse, lo que lleva a la interrupción de la conexión.


  • Dirección de respaldo.

  • En una red activa/pasiva, el firewall activo realiza una copia de seguridad de los comandos de configuración y la información de estado en el firewall en espera (standby).

  • En una red de equilibrio de carga (load balancing), ambos firewalls son dispositivos activos. Si los dos dispositivos activos pueden hacer copias de seguridad de los comandos entre sí, los comandos de ambos dispositivos pueden sobrescribirse o entrar en conflicto. Por lo tanto, se introduce la configuración de dispositivos maestros y esclavos para facilitar la administración centralizada de los administradores de los dos firewalls y evitar errores.

  • En una red de equilibrio de carga (load balancing), el firewall que envía comandos de configuración de respaldo se denomina dispositivo maestro, y el firewall que recibe estos comandos se denomina dispositivo esclavo. Los prefijos de HRP_M y HRP_S se incluyen al comienzo de un comando para los firewalls maestro y esclavo, respectivamente.

  • En una red de equilibrio de carga (load balancing), solo el dispositi****ctivo puede hacer una copia de seguridad de los comandos de configuración en el dispositivo esclavo. Sin embargo, ambos dispositivos pueden hacer una copia de seguridad del estado.

 

  • Modo de respaldo.

  • Copia de seguridad automática.

  • Por defecto, la función de copia de seguridad automática está habilitada. Los firewalls pueden realizar copias de seguridad de los comandos de configuración en tiempo real y periódicamente realizar copias de seguridad de la información de estado. Esta función es aplicable a varios tipos de redes de espera activa.

  • Copia de seguridad manual por lotes (batch).

  • Los administradores deben activar esta función manualmente. Cuando ejecutan el comando de copia de seguridad manual por lotes (batch), el firewall activo sincroniza inmediatamente los comandos de configuración y la información de estado con el firewall en espera (standby).

  • Copia de seguridad de sesión rápida.

  • Después de habilitar esta función, el firewall activo realiza una copia de seguridad de todas las sesiones que se pueden respaldar en el firewall en espera en tiempo real.


  • Sincronización automática de configuraciones en los firewalls activos y en espera (standby) después de un reinicio.

  • En una red activa/pasiva, si se reinicia un firewall, el otro firewall p***esa todos los servicios durante el reinicio. En este período, los servicios de p***esamiento del firewall pueden tener configuraciones agregadas, eliminadas o modificadas. Para garantizar que los firewalls activos y en espera (standby) tengan las mismas configuraciones, después de reiniciar un firewall, sincroniza automáticamente las configuraciones del firewall que p***esa los servicios.

 

  • Canal de respaldo.

  • Generalmente, el canal entre las interfaces conectadas directamente en dos dispositivos es un canal de respaldo, que también se denomina "enlace de latido (heartbeat link)". (VGMP usa este canal para la comunicación).

  • Los tipos de interfaz heartbeat admitidos incluyen la interfaz Ethernet de capa 3 y sus subinterfaces, la interfaz Eth-Trunk de capa 3 y sus subinterfaces, la interfaz POS, la interfaz IP-trunk y la interfaz VLAN.

  • Puede ejecutar el comando hrp interface interface-name para configurar un canal de respaldo.


Saudos!


NOTA: De antemano una disculpa si en la traducción de ingles a español cometo errores y/o por utilizar spaninglish, pero esto es debido a desde un punto personal hay terminos en ingles que no tienen una traducción al español y/o en español, quiere decir y/o interpretar ot****oncepto y/o idea.

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión