[Dr.WoW] [No.51] La historia de VRRP y VGMP-parte 4

53 0 0 0

11 Proceso de formación del Estado en Load Sharing Hot Standby

 

Anteriormente describimos la formación del estado y el proceso de switching para el método activo de failover/standby de hot standby. A continuación vamos a echar un vistazo a los estados de load sharing.

 

Como se muestra en la Figura 1-1, necesitamos habilitar grupos VRRP activos y standby en ambos FW1 y FW2, permitir que los grupos VRRP activos de FW1 se comuniquen con los grupos VRRP standby de FW2. De esta forma, los dos FWs estarán en estados activos/standby complementarios, que en realidad son estados de load sharing.

 

Figura 1-1 Load sharing hot standby Diagrama de red

56960547ad837.png 

Configuración del método de load sharing de hot stanby, mostrada en la Tabla 1-1.

 

Tabla 1-1 Configuración del load sharing hot standby.

 

Item

Configuration on FW1

Configuration on FW2

Configure dos grupos VRRP en la interfaz GE1/0 /   1 y agregue uno al grupo VGMP activo y el otro al grupo VGMP standby.

interface GigabitEthernet 1/0/1

 ip address 10.1.1.3 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active

vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 standby

interface GigabitEthernet 1/0/1

 ip address 10.1.1.4 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 standby  

vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 active    

Configure dos grupos VRRP en la interfaz GE1/0 /   3 y agregue uno al grupo VGMP activo y el otro al grupo VGMP standby.

interface GigabitEthernet 1/0/3

 ip address 1.1.1.3 255.255.255.0

 vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 active

vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 standby

interface GigabitEthernet 1/0/3

 ip address 1.1.1.4 255.255.255.0

 vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 standby

vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 active

Configure la interfaz heartbeat

hrp interface GigabitEthernet 1/0/2

hrp interface GigabitEthernet 1/0/2

Habilitar hot standby

hrp enable

hrp enable

 

De la Tabla 1-1 podemos ver que:

 

1. En escenarios de reparto de carga, cada interfaz de servicio debe ser agregada en dos grupos VRRP, y uno de estos dos grupos VRRP debe ser agregado al grupo activo VGMP y el otro debe ser agregado al grupo standby VGMP. Por ejemplo, la interfaz GE1/0 / 1 se agrega a los grupos 1 y 2, y los grupos 1 y 2 se agregan al grupo VGMP activo y al grupo VGMP standby respectivamente.

 

2. Para cada par de los grupos de VRRP con numeración idéntica de los dos firewalls, se debe agregar un grupo al grupo activo VGMP y el otro al grupo standby VGMP. Por ejemplo, el grupo VRRP 1 de fw1 se agrega al grupo activo VGMP, y el grupo VRRP 1 de FW2 se agrega al grupo VGMP standby.

 

Como se muestra en la Figura 1-2, una vez finalizada la configuración, el proceso de formación del estado para el método de load sharing de hot standby es el siguiente:

 

3. FW1 y los estados activos de los grupos VGMP de FW2 cambian de inicializar a activo, y sus estados de grupos VGMP standby cambian de inicializar a standby.

 

4. Como los grupos VRRP 1 y 3 de FW1 se han unido al grupo activo VGMP cuyo estado está activo, los grupos VRRP 1 y 3 de fw1 están activos; como los grupos de VRRP 2 y 4 se han unido al grupo standby VGMP. Del mismo modo, los estados de los grupos VRRP 1 y 3 de FW2 están en standby, y los estados de los grupos de VRRP 2 y 4 están activos.

 

 

5. En este punto, los grupos de VRRP 1 y 3 enviarán paquetes ARP gratuitos a los switches downstream y upstream respectivamente, notificándoles las direcciones MAC virtuales de los grupos VRRP 1 y 3;

 

6. Las entradas se harán en la tabla de direcciones MAC del switch downstream registrando el mapeo entre la dirección MAC virtual del grupo VRRP 1 (00-00-5E-00-01-01) y port eth0/0 / 1, así como el mapeo entre el grupo de VRRP 2 's MAC address virtual (00-00-5E-00-01-02) y port eth0/0 / 2. De esta manera, cuando los paquetes de servicio lleguen al switch downstream, el switch enviará paquetes a fw1 o FW2 de acuerdo con la dirección MAC de destino específica. Si el gateway predeterminado del dispositivo downstream del switch es la dirección del grupo 1 de VRRP, entonces sus paquetes serán reenviados a fw1; si el gateway predeterminado del dispositivo downstream del switch se establece en la dirección del grupo 2 de VRRP, sus paquetes serán reenviados a FW2. Los switches y dispositivos upstream operan bajo los mismos principios.

 

7. Después de que se logre un estado de load sharing, el grupo activo VGMP de FW1 enviará paquetes de heartbeat HRP al grupo VGMP standby VGMP a intervalos fijos, y el grupo activo VGMP de FW2 enviará paquetes de heartbeat HRP al grupo VGMP standby VGMP a intervalos fijos.

 

Figura 1-2 Proceso de formación del Estado en load sharing hot standby.

 

5696055a22f7b.png

12 Proceso de switching de estado en Load Sharing Hot Standby

 

Después de que dos firewalls implementen hot standby utilizando el método de reparto de carga, si una de las interfaces del firewall falla, los firewalls cambiarán a un/standby failover state activo, cuyo proceso se describe a continuación.

 

1. Como se muestra en la Figura 1-3, cuando la interfaz GE1/0 / 1 de FW1 falla, los estados de los grupos 1 y 2 del VRRP de fw1 cambiarán a inicializar.

 

2. La prioridad de los grupos activos y standby VGMP de FW1 se reducirá cada uno por 2. Después de esto, la prioridad del grupo VGMP activo de FW1 se cambiará a 64999 inferior a la prioridad de 65000 en el grupo standby VGMP de FW2. La prioridad del grupo VGMP standby de FW2 cambiará a 64998 que sigue siendo inferior a la prioridad del grupo VGMP activo de 65001 de FW2. Por lo tanto, después de la negociación del estado entre los grupos VGMP, el estado activo del grupo VGMP de FW1 cambiará a standby, y el estado del grupo VGMP standby se cambiará a activo.

 

3. El grupo VGMP activo VGMP y el grupo VGMP standby de FW2 confiarán que los grupos VRRP dentro de ellos también se sometan a switching state, y por lo tanto los estados de los grupos VRRP 1 y 3 de FW2 cambiarán a activo.

 

4. Los grupos VRRP 1 y 3 de FW2 enviarán paquetes ARP gratuitos a los switches downstream y upstream respectivamente para actualizar sus tablas de direcciones MAC.

 

5. Después de que el switch downstream recibe el paquete ARP gratuito, actualizará su propia tabla de direcciones MAC y enlazará la dirección MAC virtual del grupo VRRP 00-00-5E-00-01-01 con eth0/0 / 2. Del mismo modo, el switch upstream enlazará la dirección MAC virtual del grupo de VRRP (00-00-5E-00-01-03) con eth0/0 / 2. Por lo tanto, cuando los paquetes de servicio upstream y downstream lleguen a estos switches, los switches enviarán los paquetes a FW2. En este punto, la conmutación de estado hot standby está completa. FW1 se ha convertido en el dispositivo de copia de seguridad y FW2 el dispositivo principal, lo que significa que el estado de reparto de carga se ha convertido en un estado activo de failover/standby.

 

6. Después de que el uso compartido de la carga haya cambiado al failover activo de/standby, el dispositivo primario (FW2) envía paquetes heartbeat al dispositivo de copia de seguridad (fw1) a intervalos fijos.

 

Figura 1-3 Proceso del estado switching en load sharing hot standby

5696056627e48.png13



Resumen

 

El contenido anterior debería haber proporcionado una respuesta satisfactoria a la pregunta: " ¿Cómo se llevan a cabo los dos firewalls" el intercambio de paquetes de grupos VGMP y la negociación estatal y los procesos de conmutación de estado? "Por lo tanto, ahora sabemos que en hot standby, las tres funciones principales de VGMP son:

 

1. Monitoreo de fallas: Los grupos VGMP son capaces de monitorear los cambios en los estados de los grupos de VRRP, y por lo tanto perciben ambos fallos de interfaz dentro de los grupos VRRP, así como cuando estos fallos se fijan. Aquí, he pensado en una nueva pregunta: ¿pueden los grupos VGMP monitorear directamente los fallos de la interfaz, y tienen que llevar a cabo su monitoreo de interfaz a través de grupos VRRP?

 

2. Switching State: El proceso de switching de estado del grupo VGMP es en realidad también el proceso de switching de estado activo del dispositivo/standby. Después de que un grupo VGMP perciba cambios en el estado de VRRP, ajustará su propia prioridad y renegociará estados activos de/standby con el VGMP group de su dispositivo de pares. Este punto ya debería ser bastante claro, ya que esta sección ha profundizado profundamente en cómo se logra la conmutación y negociación del estado.

 

3. Orientación del tráfico: Después de que dos grupos de VGMP activos/standby estén establecidos o conmutados, el VGMP groups ordenará que sus estados de grupo VRRP se sometan a conmutación unificada. A continuación, el grupo activo VRRP enviará un paquete ARP gratuito para dirigir el tráfico hacia él (el dispositivo principal). Aquí, una nueva pregunta ha llegado a la mente: "Si los grupos VGMP fueron capaces de monitorear directamente las interfaces, cómo se lograría la dirección de tráfico.

 

En realidad, la funcionalidad de VGMP es extremadamente fuerte, y el control de fallas de firewall y la dirección de tráfico mediante el monitoreo de estados de grupo VRRP es sólo una de las técnicas de VGMP. Esta técnica sólo se puede utilizar cuando los dispositivos upstream o downstream del firewall son switches, ya que VRRP fue creado especialmente para este tipo de escenarios. ¿Es VGMP inútil cuando un dispositivo (s) upstream o downstream de un firewall es un router? ¡Por supuesto que no! En la siguiente sección presentaré más de las características de VGMP para permitir a todos obtener una comprensión profunda de la función hot standby, y estar completamente preparado para todas las contingencias!

 

14 Anexo: Máquina de estado VGMP

 

Arriba, hemos aprendido acerca de los procesos para los diversos cambios de estado de los grupos VGMP. A continuación, usaré una explicación de una máquina de estado VGMP (una representación visual se muestra en la Figura 1-4) para ayudar a profundizar la comprensión de todo el mundo de la conmutación del estado del grupo VGMP.

 

Nota

La máquina de estado VGMP discutida en esta sección es actualmente aplicable a la serie USG2000/5000/6000 y a la versión V100R003 de la serie USG9500.



Figura 1-4 VGMP Máquina de estado

569605737cc19.png 



0. Después de activar la función hot standby, cada VGMP group ingresa al estado de inicialización.

 

1. Después de activar el grupo activo VGMP, el estado del grupo activo cambia de inicializar a activo.

 

2. Una vez habilitado el grupo standby VRRP, el estado del grupo standby cambia de inicializar a standby.

 

3. Cuando falla una de las interfaces monitoreadas por el grupo VGMP de este dispositivo, su estado cambia de 'activo' a 'acti**** standby', y envía un paquete de solicitud VGMP al grupo VGMP del dispositivo de pares.

 

4. Cuando este grupo VGMP recibe el paquete de solicitud VGMP del peer, descubre que su prioridad es mayor que la de sus pares, cambia del estado standby al estado activo, y envía un paquete de reconocimiento VGMP al grupo VGMP del dispositivo equivalente.

 

5. Este grupo VGMP recibe el paquete de reconocimiento VGMP de su peer, y confirma que (este dispositivo) necesita realizar el switching de estado, por lo que el estado del grupo VGMP de este dispositivo se cambia de 'acti**** standby' a 'standby'.

 

6. El grupo VGMP del dispositivo peer determina que el grupo VGMP de este dispositivo no necesita someterse a conmutación de estado o que el peer no responde a los paquetes de solicitud VGMP de este dispositivo durante tres intervalos, por lo que el estado del grupo VGMP cambia del estado "acti**** standby" al estado "activo".

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesi | Registrarse

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje
Respuesta rápida Desplácese hasta arriba