j'ai compris

[Dr.WoW] [No.51] L'histoire de VRRP et VGMP-partie 4

publié il y a  2020-3-31 22:56:42 14 0 0 0

11 Processus de formation d'état dans le partage de charge Hot Standby

Ci-dessus, nous avons décrit la formation de l'état et le processus de commutation pour la méthode de basculement actif / veille de la redondance d'UC. Ci-dessous, nous allons voir les états de partage de charge.

Comme le montre la figure 1-1 , afin de réaliser la méthode de partage de charge de la redondance d'UC, nous devons activer les groupes VRRP actifs et de secours sur FW1 et FW2, permettre aux groupes VRRP actifs de FW1 de communiquer avec les groupes VRRP de secours de FW2 pour former un "actif / veille", et permettre aux groupes VRRP actifs de FW2 et aux groupes VRRP de secours de FW1 de communiquer (formant également un groupe "actif / veille"). De cette façon, les deux FW seront dans des états complémentaires actifs / en attente, qui sont en fait des états de partage de charge.

Figure 1-1 Diagramme du réseau de secours à chaud


[Dr.WoW] [No.51] L'histoire de VRRP et VGMP-partie 4-1040905-1

La configuration de la méthode de partage de charge de la redondance d'UC est indiquée dans le Tableau 1-1 .

Tableau 1-1 Configuration de la redondance d'UC pour le partage de charge


Article

Configuration sur FW1

Configuration sur FW2

Configurez deux groupes VRRP sur l'interface GE1 / 0/1 et ajoutez-en un au groupe VGMP actif et l'autre au groupe VGMP de secours .

interface GigabitEthernet 1/0/1

  adresse IP 10.1.1.3 255.255.255.0

  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 active

vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 standby  

interface GigabitEthernet 1/0/1

  adresse IP 10.1.1.4 255.255.255.0

  vrrp vrid 1 virtual-ip 10.1.1.1 255.255.255.0 standby  

vrrp vrid 2 virtual-ip 10.1.1.2 255.255.255.0 active   

Configurez deux groupes VRRP sur l'interface GE1 / 0/3 et ajoutez-en un au groupe VGMP actif et l'autre au groupe VGMP de secours.

interface GigabitEthernet 1/0/3

  adresse IP 1.1.1.3 255.255.255.0

  vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 active

vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 standby  

interface GigabitEthernet 1/0/3

  adresse IP 1.1.1.4 255.255.255.0

  vrrp vrid 3 virtual-ip 1.1.1.1 255.255.255.0 standby  

vrrp vrid 4 virtual-ip 1.1.1.2 255.255.255.0 active

Configurer l'interface Heartbeat

interface hrp GigabitEthernet 1/0/2

interface hrp GigabitEthernet 1/0/2

Activer la redondance d'UC

hrp enable

hrp enable



Le tableau 1-1 ci-dessus montre que:

1.          Dans les scénarios de partage de charge, chaque interface de service doit être ajoutée à deux groupes VRRP, et l'un de ces deux groupes VRRP doit être ajouté au groupe VGMP actif et l'autre doit être ajouté au groupe VGMP de secours. Par exemple, l'interface GE1 / 0/1 est ajoutée aux groupes 1 et 2 et les groupes 1 et 2 sont ajoutés respectivement au groupe VGMP actif et au groupe VGMP de secours.

2.          Pour chaque paire des deux groupes VRRP numérotés de façon identique, un groupe doit être ajouté au groupe VGMP actif et l'autre au groupe VGMP de secours. Par exemple, le groupe VRRP 1 de FW1 est ajouté au groupe VGMP actif et le groupe VRRP 1 de FW2 est ajouté au groupe VGMP de secours.

Comme le montre la figure 1-2 , une fois la configuration terminée, le processus de formation d'état pour la méthode de partage de charge de la redondance d'UC est le suivant:

3.          Les états des groupes VGMP actifs de FW1 et FW2 passent de l'initialisation à l'actif, et les états de leurs groupes VGMP de veille passent de l'initialisation à la veille.

4.          Comme les groupes VRRP 1 et 3 de FW1 ont rejoint le groupe VGMP actif dont l'état est actif, les groupes VRRP 1 et 3 de FW1 sont tous deux actifs; comme les groupes VRRP 2 et 4 de FW1 ont rejoint le groupe VGMP de secours dont l'état est en veille, les groupes VRRP 2 et 4 de FW1 sont tous deux en veille. De même, les états des groupes VRRP 1 et 3 de FW2 sont tous deux en attente, et les états des groupes VRRP 2 et 4 sont tous deux actifs.

5.          À ce stade, les groupes VRRP 1 et 3 de FW1 enverront des paquets ARP gratuits aux commutateurs aval et amont respectivement, les informant des adresses MAC virtuelles des groupes VRRP 1 et 3; Les groupes VRRP 2 et 4 de FW2 enverront respectivement des paquets ARP gratuits aux commutateurs aval et amont pour les informer des adresses MAC virtuelles des groupes VRRP 2 et 4.

6.          Des entrées seront effectuées dans la table d'adresses MAC du commutateur en aval enregistrant le mappage entre l'adresse MAC virtuelle du groupe VRRP 1 (00-00-5E-00-01-01) et le port Eth0 / 0/1, ainsi que le mappage entre le groupe VRRP Adresse MAC virtuelle de 2 (00-00-5E-00-01-02) et port Eth0 / 0/2. De cette façon, lorsque des paquets de service arrivent au commutateur en aval, le commutateur enverra des paquets à FW1 ou FW2 selon l'adresse MAC de destination spécifique. Si la passerelle par défaut du périphérique en aval du commutateur est l'adresse du groupe VRRP 1, ses paquets seront transmis à FW1; si la passerelle par défaut du périphérique en aval du commutateur est définie sur l'adresse du groupe VRRP 2, ses paquets seront transmis à FW2. Les commutateurs et appareils en amont fonctionnent selon les mêmes principes.

Par conséquent, FW1 et FW2 peuvent tous les deux transmettre des paquets de service, et donc FW1 et FW2 sont tous deux des périphériques principaux, et un état de partage de charge a été atteint.

sept.          Une fois l'état de partage de charge atteint, le groupe VGMP actif de FW1 enverra des paquets de pulsation HRP au groupe VGMP de secours de FW2 à intervalles fixes, et le groupe VGMP actif de FW2 enverra des paquets de pulsation HRP au groupe VGMP de secours de FW1 à intervalles fixes.

Figure 1-2 Processus de formation de l'état dans le partage de secours à chaud


[Dr.WoW] [No.51] L'histoire de VRRP et VGMP-partie 4-1040905-2

Processus de commutation à 12 états dans la redondance d'UC

Après que deux pare-feu ont implémenté la redondance d'UC en utilisant la méthode de partage de charge, si l'une des interfaces du pare-feu fonctionne mal, les pare-feu basculent dans un état de basculement actif / redondant, dont le processus est décrit ci-dessous.

1.          Comme le montre la figure 1-3 , lorsque l'interface GE1 / 0/1 de FW1 échoue, les états des groupes VRRP 1 et 2 de FW1 changeront chacun pour s'initialiser.

2.          La priorité des groupes VGMP actifs et de secours du FW1 sera réduite de 2. Après cela, la priorité du groupe VGMP actif de FW1 sera modifiée à 64999, inférieure à la priorité du groupe VGMP de secours de FW2 de 65000. La priorité du groupe VGMP de secours du FW2 passera à 64998, qui est toujours inférieure à la priorité du groupe VGMP actif de FW2 de 65001. Par conséquent, après la négociation d'état entre les groupes VGMP, l'état du groupe VGMP actif de FW1 passera en veille et l'état du groupe VGMP de secours de FW2 passera à actif.

3.          Le groupe VGMP actif de FW1 et le groupe VGMP de secours de FW2 exigeront que les groupes VRRP en leur sein subissent également une commutation d'état, et donc les états des groupes VRRP 1 et 3 de FW2 passeront à actifs.

4.          Les groupes VRRP 1 et 3 de FW2 enverront des paquets ARP gratuits aux commutateurs en aval et en amont respectivement pour mettre à jour leurs tables d'adresses MAC.

5.          Une fois que le commutateur en aval a reçu le paquet ARP gratuit, il mettra à jour sa propre table d'adresses MAC et liera l'adresse MAC virtuelle du groupe VRRP 1 (00-00-5E-00-01-01) avec Eth0 / 0/2. De même, le commutateur en amont reliera l'adresse MAC virtuelle du groupe VRRP 3 (00-00-5E-00-01-03) à Eth0 / 0/2. Par conséquent, lorsque les paquets de service en amont et en aval atteignent ces commutateurs, les commutateurs transfèrent les paquets sur FW2. À ce stade, la commutation de l'état de secours automatique est terminée. FW1 est devenu le périphérique de sauvegarde et FW2 le périphérique principal, ce qui signifie que l'état de partage de charge est passé à un état de basculement actif / de secours.

6.          Une fois que le partage de charge est passé en basculement actif / veille, le périphérique principal (FW2) envoie des paquets de pulsation au périphérique de sauvegarde (FW1) à intervalles fixes.

Figure 1-3 Processus de commutation d'état dans le partage de charge en redondance d'UC



[Dr.WoW] [No.51] L'histoire de VRRP et VGMP-part 4-1040905-3 13 Résumé

Le contenu ci-dessus aurait dû fournir une réponse satisfaisante à la question: "Comment l'échange de paquets et les processus de négociation et de commutation d'état des groupes VGMP des deux pare-feu sont-ils accomplis?" Par conséquent, nous savons maintenant qu'en mode de redondance d'UC, les trois fonctions principales de VGMP sont:

1.          Surveillance des pannes: les groupes VGMP sont capables de surveiller les changements dans les états des groupes VRRP, et ainsi percevoir les deux défaillances d'interface au sein des groupes VRRP ainsi que lorsque ces pannes sont corrigées. Ici, j'ai pensé à une nouvelle question: les groupes VGMP peuvent-ils surveiller directement les défaillances d'interface, et doivent-ils effectuer leur surveillance d'interface via les groupes VRRP?

2.          Commutation d'état: le processus de commutation d'état du groupe VGMP est en fait également le processus de commutation d'état actif / veille du périphérique. Une fois qu'un groupe VGMP perçoit les changements d'état VRRP, il ajuste sa propre priorité et renégocie les états actif / veille avec le groupe VGMP de son périphérique homologue. Ce point devrait déjà être assez clair, car cette section a approfondi la façon dont le changement d'état et la négociation sont accomplis.

3.          Direction du trafic: après l'établissement ou la commutation des états actifs / en attente de deux groupes VGMP, les groupes VGMP exigeront que leurs états de groupe VRRP subissent une commutation unifiée. Après cela, le groupe VRRP actif enverra un paquet ARP gratuit pour diriger le trafic vers lui (le périphérique principal). Ici, une nouvelle question vient à l'esprit: "Si les groupes VGMP étaient capables de surveiller directement les interfaces, comment la direction du trafic serait-elle accomplie?

En fait, la fonctionnalité de VGMP est extrêmement solide, et effectuer la surveillance des pannes du pare-feu et la direction du trafic en surveillant les états du groupe VRRP n'est qu'une des techniques de VGMP. Cette technique ne peut être utilisée que lorsque les périphériques en amont ou en aval du pare-feu sont des commutateurs, car VRRP lui-même a été créé spécialement pour ce type de scénario. VGMP est-il inutile lorsque les périphériques en amont ou en aval d'un pare-feu sont un routeur? Bien sûr que non! Dans la section suivante, je présenterai plus de fonctionnalités de VGMP pour permettre à tout le monde d'acquérir une compréhension approfondie de la fonction de redondance d'UC et de se préparer complètement à toutes les éventualités!

14 Addendum: VGMP State Machine

Ci-dessus, nous avons découvert les processus de divers changements d'état des groupes VGMP. Ci-dessous, je vais utiliser une explication d'une machine à états VGMP (une représentation visuelle est montrée dans la figure 1-4 ) pour aider à approfondir la compréhension de chacun de la commutation d'état de groupe VGMP.

REMARQUE

La machine d'état VGMP décrite dans cette section est actuellement applicable à la série de pare-feu USG2000 / 5000/6000 et à la version V100R003 de la série de pare-feu USG9500.

Figure 1-4 Machine d'état VGMP


[Dr.WoW] [No.51] L'histoire de VRRP et VGMP-partie 4-1040905-4

0.          Une fois la fonction de redondance d'UC activée, chaque groupe VGMP entre dans l'état d'initialisation.

1.          Une fois le groupe VGMP actif activé, l'état du groupe actif passe d'initialiser à actif.

2.          Une fois le groupe VRRP de secours activé, l'état du groupe de secours passe de l'initialisation au mode veille.

3.          Lorsque l'une des interfaces surveillées par le groupe VGMP de cet appareil tombe en panne, son état passe de «actif» à «actif en veille» et envoie un paquet de demande VGMP au groupe VGMP de son appareil homologue.

4.          Lorsque ce groupe VGMP reçoit le paquet de demande VGMP de l'homologue, il découvre que sa priorité est supérieure à celle de son homologue, passe de l'état de veille à l'état actif et envoie un paquet d'accusé de réception VGMP au groupe VGMP du périphérique homologue.

5.          Le groupe VGMP de ce périphérique reçoit le paquet d'accusé de réception VGMP de son homologue et confirme qu'il (ce périphérique) doit effectuer un changement d'état, de sorte que l'état du groupe VGMP de ce périphérique passe de `` actif à veille '' à `` veille ''.

6.          Le groupe VGMP de l'appareil homologue détermine que le groupe VGMP de cet appareil n'a pas besoin de subir de changement d'état ou l'homologue ne répond pas aux paquets de demande VGMP de cet appareil pendant trois intervalles, et donc l'état du groupe VGMP de cet appareil passe de l'état `` actif à l'état de veille '' à l'état «actif».

sept.          Après l'échec de l'interface surveillée par le groupe VGMP de cet appareil, si la priorité de ce groupe VGMP est supérieure à celle de l'appareil homologue, et si la fonction de préemption a été configurée, l'état du groupe VGMP de cet appareil passera de `` veille '' à ' standby to active' , et il enverra un paquet de demande VGMP à son homologue.

8.          Le groupe VGMP de ce périphérique reçoit le paquet de demande VGMP du périphérique homologue et découvre que la priorité du périphérique homologue est plus élevée.Il passe donc de l'état actif à l'état de veille et envoie un paquet d'accusé de réception VGMP au groupe VGMP du périphérique homologue.

9.          Le groupe VGMP de ce périphérique reçoit le paquet d'accusé de réception VGMP du périphérique homologue et confirme qu'il (ce périphérique) doit subir une commutation d'état. Le groupe VGMP de cet appareil passe donc de l'état «veille à actif» à l'état «actif», terminant ainsi le processus de préemption.

dix.       Le groupe VGMP homologue détermine que le groupe VGMP de cet appareil n'a pas besoin de subir de changement d'état, ou qu'il n'a pas répondu au paquet de demande VGMP de cet appareil pendant trois intervalles consécutifs, et donc le groupe VGMP de cet appareil passe de l'état «veille à actif» à l'état «veille».



Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise