[Dr.WoW] [No.50] La historia de VRRP y VGMP parte 3

Pubilicado 2019-1-10 10:35:41 54 0 0 0



 

7 el proceso de formación del Estado para/Standby Failover Hot Standby activo

El método de failover activo/standby del hot standby esta en uso en la actualidad. Su configuración y principios son relativamente simples, y por lo tanto empezaremos con una explicación de los procesos a través de los cuales los estados se forman en active/standby failover hot standby.

Para permitir que todos experimenten realmente cómo funcionan VRRP y VGMP en los firewalls, a continuación vamos a detallar primero la configuración de hot standby a través de failover activo/standby, y luego describir el proceso de estado hot standby.

Nota

La configuración de standby caliente que se describe en esta sección generalmente se hace utilizando la serie de cortafuegos Eudemon200E-N\1000E-N.

Como se muestra en la Figura 1-1 para implementar el failover activo/standby metodo de hot standby, necesitamos habilitar el grupo VGMP activo en FW1 y agregar los grupos VRRP de fw1 al grupo VGMP activo para monitorear los mismos. También habilitamos el grupo standby VGMP en FW2 y añadimos todos los grupos VRRP de FW2 al grupo standby VGMP para monitorearlos.

 

Figura 1-1Diagrama de red de/standby failover hot standby activo

                                               003216sn3523prtirfbrn7.png

El comando para lograr esta operación is vrrp vrid virtual-router-id virtual-ip virtual-address [ip-mask | ip-mask length] {active esta standby}. Este comando es simple pero muy útil y puede llevar a cabo las dos tareas siguientes:

l  Agregue una interfaz al grupo VRRP y asigne una dirección IP virtual y una máscara. Cuando la dirección IP de la interfaz y la dirección IP virtual del grupo VRRP no están en la misma subred, debe especificarse una máscara de subred de direcciones IP virtuales.

l  Utilice el parámetro "active by standby" para agregar grupos VRRP a los grupos de VGMP activos o standby.

La configuración del/standby failover hot standby activo en dos firewalls se muestra en la Tabla 1-1.

Tabla 1-1Configuración de Active/standby failover hot standby

Item

Configuración en FW1

Configuración en FW2

Configure el grupo 1 del VRRP.

Interfaz   GigabitEthernet 1/0 / 1

 Dirección   IP 10.1.1.2 255.255.255.0

VRRP   VRID 1 virtual-ip 10.1.1.1 255.255.255.0 active

Interfaz   GigabitEthernet 1/0 / 1

 Dirección   IP 10.1.1.3 255.255.255.0

VRRP   VRID 1 virtual-ip 10.1.1.1 255.255.255.0 standby

Configure el grupo de VRRP 2.

Interfaz   GigabitEthernet 1/0 / 3

 Dirección   IP 1.1.1.2 255.255.255.0

VRRP   VRID 2 virtual-ip 1.1.1.1 255.255.255.0 active

Interfaz   GigabitEthernet 1/0 / 3

 Dirección   IP 1.1.1.3 255.255.255.0

VRRP   VRID 2 virtual-ip 1.1.1.1 255.255.255.0 standby

Configure   la interfaz heartbeat.

Interfaz   hrp GigabitEthernet 1/0 / 2 

Interfaz   hrp GigabitEthernet 1/0 / 2

Habilitar   hot standby.

Habilitar   hrp

Habilitar   hrp

 

Los diferentes paquetes de VGMP y los paquetes HRP se envían a través de la interfaz heartbeat, que se puede entender como "sangre" del hot standby, y hay muchos puntos clave que requerirán su enfoque aquí:

l   Las interfaces heartbeat de los dos dispositivos deben ser agregadas a la misma zona de seguridad.

l   El tipo y número de interfaces del heartbeat de los dos dispositivos debe ser el mismo. Por ejemplo, si la interfaz heartbeat del dispositivo primario es GigabitEthernet 1/0 / 2 entonces la interfaz heartbeat del dispositivo de respaldo también debe ser GigabitEthernet 1/0 / 2.

l   A continuación se indican los detalles relativos a la elección de un método de conexión de interfaz de heartbeat adecuado.

? Cuando dos hot standby firewalls están relativamente cerca, las interfaces heartbeat pueden conectarse directamente, o conectarse a través de un switch 2 de capa. El método de configuración es que al configurar las interfaces heartbeat, el parámetro remote no es agregado. En este momento los paquetes enviados por las interfaces heartbeat se encapsulan en paquetes VRRP multicast. Los paquetes multicast no se pueden transmitir a través de las subredes y no están controlados por las políticas de seguridad. Este es el método preferido.

? Cuando la distancia entre dos hot standby firewalls es relativamente grande y la transmisión cruzada es necesaria, las interfaces heartbeat deben conectarse usando routers. Para configurar esto, se agrega un parámetro remoto al configurar las interfaces heartbeat, designando la dirección de la otra interfaz heartbeat (por ejemplo hrp interface GigabitEthernet 1/0/2 remote 10.1.1.2) .Después de añadir el parámetro remote, los diversos paquetes enviados desde una interfaz heartbeat serán encapsulados en paquetes UDP. Los paquetes UDP son paquetes unicast, y se pueden transmitir a través de subredes siempre y cuando se disponga de una ruta, pero deben ser controlados por las políticas de seguridad. Para configurar la política de seguridad, permita que los paquetes con un puerto de destino 18514 ó 1851515 pasen en ambas direcciones entre la zona local y la zona de seguridad en la que se encuentra la interfaz heartbeat.

? Cuando no se dispone de interfaz heartbeat, las interfaces de servicio también se pueden utilizar como interfaces heartbeat. Para configurar esto, al configurar la interfaz heartbeat agregar el parámetro remote, designando la otra interfaz del heartbeat (una de las interfaces de servicio). Para configurar la política de seguridad, permita que los paquetes con puertos de destino de 18514 y 18515 pasen en ambas direcciones entre la zona local y la zona de seguridad en la que se encuentra la interfaz heartbeat.

A estas alturas, creo que todos deben entender el método para controlar la encapsulación de paquetes VGMP y HRP.

Después de completar la configuración, ejecutamos el comando display hrp state en FW1 que nos permite ver que los grupos de VRRP 1 y 2 se han unido al VGMP grupo activo y están en estado activo.

HRP _ A < FW1 > display hrp state

El estado de configuración del firewall es: Activo

 

Estado actual de routers virtuales configurados activos:

GigabitEthernet1/0/3vrid2: Activo

GigabitEthernet1/0/1vrid1: Activo

La ejecución del comando display hrp state en FW2 muestra que los grupos de VRRP 1 y 2 se han unido al VGMP standby group y están en estado standby.

HRP _ S < FW2 > display hrp state

El estado de configuración del firewall es STANDBY

 

Estado actual de los routers virtuales configurados como standby:

GigabitEthernet1/0/3vrid2: Standby

GigabitEthernet1/0/1vrid1: Standby

La ejecución del comando display hrp group en FW1 muestra que el estado del grupo activo está activo, su prioridad es 65001 de 65001 y que el grupo standby no ha sido habilitado.

HRP _ A < FW1 > display hrp group

 

Active group status:

   Group enabled:         yes

   State:                 active

   Priority running:      65001

   Total VRRP members:    1

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      30

   Peer group available:  1

   Peer's member same:    yes

 Standby group status:

   Group enabled:         no

   State:                 initialize

   Priority running:      65000

   Total VRRP members:    0

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      0

   Peer group available:  0

   Peer's member same:    yes

La ejecución del comando display hrp group en FW2 muestra que el estado del grupo standby es standby, su prioridad es 65000 de 65000 y que el grupo activo no ha sido habilitado.

HRP _ S < FW2 > display hrp group

 

Active group status:

   Group enabled:         no

   State:                 initialize

   Priority running:      65001

   Total VRRP members:    0

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      30

   Peer group available:  1

   Peer's member same:    yes

 Standby group status:

   Group enabled:         yes

   State:                  standby

   Priority running:      65000

   Total VRRP members:    2

   Hello interval(ms):    1000

   Preempt enabled:       yes

   Preempt delay(s):      0

   Peer group available:  1

   Peer's member same:    yes

Nota

Después de completar la configuración y la conmutación de estado para las diversas redes de espera en caliente que vamos a discutir a continuación, podemos ejecutar los dos comandos anteriores para comprobar la información del grupo VGMP y verificar si nuestra configuración es correcta y si se ha producido la conmutación de estado.

Como se muestra en la Figura 1-2 después de la configuración, el proceso de formación de estado para el método failover activo/standby del hot standby es como se muestra (los números en la figura 1-2son los mismos números que en el texto siguiente)

1. Después de activar hot standby, el estado del grupo activo VGMP en fw1 cambia de inicializar a activo, y el estado del grupo standby VGMP en FW2 cambia de inicializar a standby.

2. Como los grupos VRRP de fw1 se han unido al grupo activo VGMP, y como el estado activo del grupo VGMP está activo, el grupo VRRP 1 y el grupo 2 de VRRP de fw1 están en estado activo. Del mismo modo, el grupo VRRP 1 y el grupo de VRRP 2 de FW2 se encuentran en estado standby.

3. En este momento, los grupos VRRP 1 y 2 de fw1 enviarán paquetes ARP gratuitos a los switches upstream y downstream para notificarles su dirección MAC virtual del grupo VRRP. 00-00-5E-00-01-01 es la dirección MAC virtual del grupo VRRP 1, y 00-00-5E-00-01-02 es la dirección MAC virtual del grupo VRRP 2.

4. Las tablas MAC de los switches upstream y downstream tendrán cada una de las entradas realizadas grabando el mapeo entre la dirección MAC virtual y el Eth0/0/1 del puerto. De esta manera, después de que los paquetes de servicio upstream y downstream lleguen a los switches, los switches enviarán los paquetes a fw1. Por lo tanto, el FW1 se convierte en el dispositivo principal, y FW2 se convierte en el dispositivo de copia de seguridad.

5. Al mismo tiempo, el grupo activo VGMP de FW1 también enviará paquetes de heartbeat HRP al grupo VGMP standby de FW2 a intervalos fijos a través del cable heartbeat.

Figura 1-2 Proceso de formación del estado Active/standby failover hot standby

003311u3hhf9zj2hfpunlj.png 

8 Proceso de conmutación de estado después de una falla de interfaz de dispositivo primario

Una vez que dos firewalls están en su estado active/standby failover, si la interfaz del dispositivo primario falla, los dos firewalls cambiarán su estado activo/standby como se muestra.

1.       Como se muestra en la Figura 1-3, después de que la interfaz del dispositivo primario GE1/0 / 1 falla, el estado del grupo VRRP 1 de fw1 cambia a inicializar.

2.       El grupo activo FW1 percibirá este cambio, y reducirá su propia prioridad por 2 (si una interfaz falla la prioridad es bajada por dos), y cambia su propio estado a "acti**** standby" (esto se abrevia en la figura como A To S). Active to standby es un estado intermedio temporal, invisible para el usuario.

3.       El grupo activo VGMP de FW1 enviará un paquete de solicitud VGMP a su grupo de pares, solicitando que su estado se cambie a standby. Los paquetes de solicitud VGMP son una especie de paquete VGMP, y este paquete lleva la prioridad ajustada del grupo VGMP de envío.

Figura 1-3 Enlace del dispositivo primario o falla de la interfaz y solicitud de conmutación de estado

003325wozzq7b9wo0of1oj.png 

4.       Como se muestra en la Figura 1-4, después de que el grupo standby VGMP de FW2 reciba la solicitud VGMP del grupo activo VGMP en fw1, comparará su prioridad VGMP con la de su grupo VGMP (grupo activo VGMP de fw1). Después de la comparación, descubre que su propia prioridad de 65000 es más alta que la 64999 de su homólogo, y por lo tanto el grupo standby de FW2 cambiará su estado a activo.

5. El grupo de VGMP standby de FW2 devolverá un paquete de respuesta VGMP a su grupo de pares (grupo VGMP activo de fw1), lo que permitirá a este peer cambiar estados.

6. Simultáneamente, el grupo standby VGMP de FW2 ordenará que sus grupos de VRRP 1 y 2 cambien sus estados a activos.

7. Los grupos VRRP 1 y 2 de FW2 enviarán paquetes ARP gratuitos a los switches downstream y upstream respectivamente para actualizar sus tablas de direcciones MAC.

Figura 1-4conmutación de estado del dispositivo de backup

003343wjjze6eapaaup5qj.png 

8. Como se muestra en la Figura 1-5, después de que el grupo activo VGMP de FW1 reciba el paquete de reconocimiento VGMP de su grupo de pares, cambia su propio estado a standby.

9. El grupo activo VGMP de FW1 ordenará que sus grupos VRRP cambien sus estados a standby. Debido a la falla de la interfaz dentro del grupo 1 del VRRP, el estado de inicialización del grupo 1 de VRRP no cambia, y sólo el estado del grupo 2 del VRRP cambiará a standby.

10. Al mismo tiempo, después de que los switches upstream y downstream reciban los paquetes ARP gratuitos de FW2, actualizarán sus entradas de tabla MAC, registrando el mapeo entre la dirección MAC virtual y el puerto Eth0/0/2 por lo tanto, después de que el tráfico de servicio upstream y downstream alcance estos switches, los switches enviarán el tráfico hacia FW2. En este punto los dos firewalls activos de conmutación de estado/standby están completos; FW2 se ha convertido en el nuevo dispositivo primario, y FW1 has se convierte en el nuevo dispositivo de copia de seguridad.

11. Después de la finalización de la conmutación de estado active/standby, FW2 (el nuevo dispositivo primario) enviará paquetes heartbeat a FW1 (el nuevo dispositivo de copia de seguridad) a intervalos fijos.

Figura 1-5Compleción de conmutación de estado active/standby

003402f02ala9lupqphu0l.png 

9 Proceso de conmutación de estado después de un fallo de todo el dispositivo primario

Si hay un fallo total del dispositivo primario, el grupo VGMP del dispositivo primario ya no enviará paquetes de heartbeat HRP. En tal momento, si el grupo VGMP del dispositivo de respaldo no ha recibido un paquete heartbeat HRP desde el dispositivo primario durante tres intervalos consecutivos, se considerará que esto significa que ha habido un fallo en el otro grupo VGMP, y cambiará su propio estado al estado activo.

10 proceso de conmutación de estado después de un fallo en el dispositivo primario original se fija (preemption)

Se ha corregido la falla de Aftera en el dispositivo primario original. Si la función de preferencia no se ha configurado, el dispositivo primario original permanecerá en un estado de copia de seguridad; si la función preemption ha sido configurada, el dispositivo primario original iniciará un 'golpe' para convertirse de nuevo en el dispositivo primario de la siguiente manera:

1. En la figure 1-6, después de que la interfaz GE1/0/1 del dispositivo primario original se recupere del fallo, el estado del grupo VRRP 1 cambia de inicializar a standby.

2. Después de que el grupo activo VGMP de FW1 perciba este cambio, aumenta su propia prioridad por 2 (si se fija un fallo en una interfaz, la prioridad aumenta en 2) a 65001 El grupo activo VGMP de FW1 comparará su prioridad VGMP con la de su grupo de pares obtenido a partir de un paquete heartbeat HRP enviado por el peer. La comparación encuentra que la prioridad del grupo VGMP activo de FW1 de 65001 es más alta que la 65000 de este grupo de pares. En este punto, si se ha configurado la función de preferencia, se habilitará el temporizador de retención de preferencia. Después de que expire el temporizador, el grupo activo VGMP de FW1 cambiará su estado de standby a 'standby to active' (esto se abrevia en la figura como S To A), que es un estado intermedio temporal que es invisible para el usuario.

3. El grupo activo VGMP de FW1 enviará una solicitud VGMP a su grupo de pares, solicitando que su estado se cambie a activo. La solicitud VGMP es una especie de paquete VGMP que transporta la prioridad ajustada del grupo activo (FW1 del grupo VGMP) de 65001.

Figura 1-6 Solicitud de conmutación de estado una vez que el dispositivo primario original se recupera del fallo.

003450duxf9wualzfxwu9o.png

 

4.  Como se muestra en la Figura 1-7, después de que el grupo standby de FW2 reciba el paquete de solicitud VGMP del grupo activo de FW1, comparará su prioridad VGMP con este grupo de pares. A través de esta comparación descubrirá que su prioridad de 65000 es menor que la de sus pares 65001 y por lo tanto el grupo standby de FW2 cambiará su propio estado de acti**** standby.

5.  El grupo standby de FW2 devolverá un paquete de respuesta VGMP a su grupo de pares, permitiendo que este grupo de pares cambie su estado a activo.

6.       Al mismo tiempo, el grupo standby de FW2 encargará a sus grupos de VRRP 1 y 2 que cambien sus estados a standby.

Figura 1-7Cambio de estado del dispositivo primario actual

003503me1hhyrx552mh1y2.png 

7.       Como se muestra en la Figura 1-8, después de que el grupo activo VGMP de FW1 reciba el paquete de reconocimiento VGMP del grupo de pares, cambiará su propio estado a activo.

8.       El grupo activo VGMP de FW1 ordenará que sus grupos de VRRP 1 y 2 también cambien sus estados a activos.

9.  Los grupos VRRP 1 y 2 de FW1 enviarán paquetes ARP gratuitos a los switches downstream y upstream respectivamente para actualizar sus tablas de direcciones MAC para registrar el mapeo entre la dirección MAC virtual y el Eth0/0/1 del puerto. De esta manera, después de que los paquetes de servicio upstream y downstream lleguen a los switches, los switches enviarán los paquetes a FW1. En este punto, la conmutación de estado activa/standby para los dos firewalls está completa. FW1 ha vuelto a arrancar la posición del dispositivo primario a través de la preemption, mientras que FW2 se ha convertido de nuevo en el dispositivo de respaldo.

10. Después de la finalización de la conmutación de estado activa/standby, el dispositivo primario (fw1) enviará paquetes heartbeat al dispositivo de respaldo (FW2) a intervalos fijos.

Figura 1-8 El dispositivo primario original se convierte en primario de nuevo

003518ins7gzqvljxnlrlx.png

 


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
Respuesta rápida Desplácese hasta arriba