3 Technique VGMP lorsque les pare-feu accèdent et se connectent en toute transparence aux routeurs
Dans la figure 1-3 , les interfaces de service amont et aval de deux pare-feu fonctionnent toutes les deux dans la couche 2 et sont connectées à des routeurs. OSPF s'exécute entre les deux pare-feu. Dans ce type de mise en réseau, les méthodes de surveillance des pannes et de direction du trafic adoptées par les groupes VGMP des pare-feu sont essentiellement les mêmes que dans la technique 0 2 VGMP lorsque les pare-feu accèdent et se connectent de manière transparente aux commutateurs , c'est-à-dire que le VLAN est utilisé pour surveiller l'interface défauts et contrôler la direction du trafic.
La différence entre ces méthodes réside dans le fait que la mise en réseau décrite dans cette section prend uniquement en charge la méthode de partage de charge de la redondance d'UC et ne prend pas en charge le basculement actif / redondant. En effet, si vous travaillez avec la méthode de basculement actif / de secours, le VLAN du périphérique de sauvegarde serait désactivé et ses routeurs en amont et en aval ne pourraient pas communiquer ou établir de routes OSPF. Par conséquent, lorsque la commutation active / veille se produisait, le nouveau VLAN du périphérique principal (le périphérique de sauvegarde d'origine) était activé, et ses routeurs en amont et en aval ne commençaient alors qu'à créer de nouvelles routes OSPF. Cependant, la construction de nouvelles routes OSPF nécessite un certain temps, ce qui entraînerait une interruption temporaire du service.
Figure 1-3 Mise en réseau avec un pare-feu accédant et se connectant de manière transparente aux routeurs
![[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-1](https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2016/0115/10/569858c312c66.png)
Les étapes de configuration du groupe VGMP pour surveiller les états d'interface (partage de charge) via le VLAN sont présentées dans le Tableau 1-3 .
Tableau 1-3 Configuration du groupe VGMP pour surveiller les interfaces à l'aide d'un VLAN (partage de charge)
Article | Configuration sur FW1 | Configuration sur FW2 |
Ajoutez les interfaces de service de couche 2 au même VLAN et configurez les groupes VGMP actifs et de secours pour surveiller le VLAN. | vlan 2 port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3 piste hrp active veille piste hrp | vlan 2 port GigabitEthernet 1/0/1 port GigabitEthernet 1/0/3 piste hrp active veille piste hrp |
Configurez l'interface de pulsation. | interface hrp GigabitEthernet 1/0/2 | interface hrp GigabitEthernet 1/0/2 |
Activez la fonction de redondance d'UC. | activer hrp | activer hrp |
REMARQUE
Lorsque les interfaces de service des pare-feu fonctionnent dans la couche 2 et sont connectées à des routeurs, n'utilisez pas la méthode de basculement actif / veille de la redondance d'UC. En effet, le VLAN du périphérique de sauvegarde est désactivé et ses routeurs en amont et en aval ne peuvent pas communiquer et ne peuvent donc pas établir de routes. Par conséquent, lors de la commutation active / veille, le périphérique de sauvegarde n'est pas en mesure de remplacer immédiatement le périphérique principal, ce qui entraîne une interruption de service.
Après la configuration, car il existe des groupes VGMP actifs sur FW1 et FW2, FW1 et FW2 sont tous deux des appareils principaux, et chacun de leurs VLAN2 transmettra le trafic. À l'heure actuelle, la table de routage de R1 montre que le trafic allant vers PC2 peut être transféré via FW1 ou FW2.
<R1> display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 14 Routes : 15
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.0/24 OSPF 10 2 D 10.1.1.2 GigabitEthernet0/0/1
OSPF 10 2 D 10.1.2.2 GigabitEthernet0/0/2
Après l'échec de l'une des interfaces de service de FW1, les groupes VGMP des deux pare-feu procèdent à une commutation d'état et l'état de redondance d'UC passe du partage de charge au basculement actif / redondant. Lorsque l'état du groupe VGMP de FW1 passe de l'état actif à l'état de veille, toutes les interfaces des groupes VLAN descendent puis remontent. Cela entraînera la modification et la convergence des routes des routeurs en amont et en aval, et tout le trafic sera donc dirigé vers FW2.
À l'heure actuelle, la table de routage de R1 (ci-dessous) montre également que le prochain saut de paquets allant vers le réseau 1.1.1.0 a changé pour l'adresse GE0 / 0/2 de R2 10.1.2.2.
<R1>display ip routing-table
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
Destinations : 10 Routes : 11
Destination/Mask Proto Pre Cost Flags NextHop Interface
1.1.1.0/24 OSPF 10 2 D 10.1.2.2 GigabitEthernet0/0/2
10.1.2.0/24 Direct 0 0 D 10.1.2.1 GigabitEthernet0/0/2
4 Techniques de surveillance d'interface à distance des groupes VGMP
Les techniques utilisées par les groupes VGMP pour gérer divers réseaux de secours à chaud ont été décrites ci-dessus, et dans ces groupes, les groupes VGMP surveillaient les propres interfaces du pare-feu. Ci-dessous, nous examinerons deux techniques de surveillance de groupe VGMP des interfaces distantes. Les "interfaces distantes" font référence aux interfaces d'autres appareils sur un lien. Lorsqu'une interface distante surveillée par un groupe VGMP échoue, la priorité du groupe VGMP diminue de 2, comme nous l'avons vu précédemment. Les techniques par lesquelles VGMP surveille les propres interfaces des pare-feu peuvent être utilisées avec les techniques par lesquelles les interfaces distantes sont surveillées.
Il est important de noter que les deux types de techniques utilisées par VGMP pour surveiller les interfaces distantes ne peuvent être utilisées que sur les réseaux dans lesquels les interfaces de service des pare-feu fonctionnent dans la couche 3, car seules les interfaces de la couche 3 ont des adresses IP et peuvent envoyer IP-Link et Paquets de détection BFD vers le ou les appareils distants.
l Surveillance de l'état des interfaces distantes à l'aide de la liaison IP
La méthode consiste à établir une liaison IP pour sonder l'interface distante, puis à faire contrôler par le groupe VGMP l'état de la liaison IP. Lorsqu'une interface testée via une liaison IP échoue, l'état de la liaison IP passe à Bas et le groupe VGMP perçoit le changement d'état de la liaison IP et, par conséquent, diminue sa propre priorité.
Comme le montre la figure 1-4 , nous devons utiliser IP-Link 1 sur FW1 (FW2) pour inspecter l'interface GE1 / 0/1 de R1 (R2) (une interface distante indirectement connectée), puis ajouter IP-Link 1 à la groupe VGMP actif (veille) pour surveiller l'état de IP-Link 1.
Figure 1-4 Surveillance VGMP des interfaces distantes à l'aide de la liaison IP
![[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-2](https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2016/0115/10/569858d2da734.png)
Les détails de configuration sont indiqués dans le Tableau 1-4 (la configuration de la fonction de redondance d'UC doit être terminée avant la configuration ci-dessous)
Tableau 1-4 Configuration de la surveillance VGMP des interfaces distantes à l'aide de la liaison IP
Article | Configuration sur FW1 | Configuration sur FW2 |
Activez la liaison IP. | ip-link check enable | ip-link check enable |
Configurez la liaison IP pour surveiller l'adresse distante. | ip-link 1 destination 1.1.1.1 interface GigabitEthernet1/0/3 mode icmp | ip-link 1 destination 2.2.2.1 interface GigabitEthernet1/0/3 mode icmp |
Configurez VGMP pour surveiller la liaison IP. | hrp track ip-link 1 active | hrp track ip-link 1 standby |
l Surveillance de l'état de l'interface à distance à l'aide de BFD
Cette méthode implique l'utilisation de BFD pour sonder les interfaces distantes, avec un groupe VGMP surveillant l'état BFD. En cas de défaillance de l'interface distante inspectée par BFD, l'état de BFD passera à Down et le groupe VGMP percevra le changement d'état de BFD et diminuera donc sa propre priorité.
Comme le montre la figure 1-5 , nous devons utiliser la session BFD 10 sur FW1 (FW2) pour sonder l'interface GE1 / 0/1 de R1 (R2) (une interface distante connectée indirectement), puis ajouter la session BFD 1 à l'actif ( veille) Groupe VGMP pour surveiller l'état de la session BFD 1.
Figure 1-5 Surveillance VGMP des interfaces distantes à l'aide de BFD
![[Dr.WoW] [No.52] Explication de VGMP Techniques-part 2-1041533-3](https://forum.huawei.com/enterprise/en/data/attachment/forum/dm/ecommunity/uploads/2016/0115/10/569858e0e9aad.png)
Les détails de configuration sont indiqués dans le Tableau 1-5 (la fonction de redondance d'UC doit être configurée avant la configuration ci-dessous)
Tableau 1-5 Configuration de la surveillance VGMP des interfaces distantes à l'aide de BFD
Article | Configuration sur FW1 | Configuration sur FW2 |
Configurez BFD pour surveiller l'adresse distante et spécifiez les discriminateurs locaux et homologues. | bfd 1 bind peer-ip 1.1.1.1 discriminator local 10 discriminator remote 20 | bfd 1 bind peer-ip 2.2.2.1 discriminator local 10 discriminator remote 20 |
Configurez le groupe VGMP pour surveiller BFD. | hrp track bfd-session 10 active | hrp track bfd-session 10 standby |
5 Résumé
En résumé, bien qu'il existe de nombreuses techniques différentes de surveillance de groupe VGMP et de direction du trafic, elles respectent toutes les deux principes suivants:
l Chaque fois qu'une défaillance se produit sur une interface surveillée par un groupe VGMP, qu'elle soit directement ou indirectement surveillée et que la surveillance soit de la propre interface d'un pare-feu ou d'une interface distante, la priorité du groupe VGMP sera abaissé de 2.
l Seuls les périphériques principaux (groupe VGMP à l'état actif) dirigeront le trafic sur eux-mêmes, tandis que les périphériques de sauvegarde (groupe VGMP à l'état de veille) réfléchiront à un moyen de refuser que le trafic soit dirigé vers eux.
Enfin, je vais résumer les relations entre les divers réseaux de secours automatique typiques et les techniques de surveillance des défauts VGMP et de direction du trafic dans le Tableau 1-6 .
Tableau 1-6 Résumé des différentes techniques VGMP des réseaux de secours à chaud
Réseau de redondance d'UC | Scénarios pris en charge | Technique de surveillance des défauts | Technique de direction du trafic |
Les interfaces de service de pare-feu fonctionnent dans la couche 3 et sont connectées aux commutateurs de la couche 2. | Basculement actif / veille et partage de charge | l Surveillance d'interface à l'aide de groupes VRRP l Surveillance de l'interface à l'aide de liaisons IP (facultatif) l Surveillance de l'interface à l'aide de BFD (en option) | Le périphérique principal enverra des paquets ARP gratuits aux commutateurs connectés, mettant à jour les tables d'adresses MAC des commutateurs |
Les interfaces de service de pare-feu fonctionnent dans la couche 3 et sont connectées aux routeurs. | Basculement actif / veille et partage de charge | l Surveillance d'interface directe l Surveillance de l'interface à l'aide de liaisons IP (facultatif) l Surveillance de l'interface à l'aide de BFD (en option) | Le périphérique principal annonce des itinéraires avec des coûts normaux, et le coût des itinéraires annoncés par le périphérique de sauvegarde augmente de 65 500. |
Les interfaces de service de pare-feu fonctionnent en couche 2 (mode transparent) et sont connectées aux commutateurs de couche 2. | Prise en charge uniquement du basculement actif / veille | Surveillance d'interface à l'aide de VLAN | Le VLAN du périphérique principal peut transférer le trafic, tandis que le VLAN du périphérique de sauvegarde est désactivé. Lorsque le périphérique principal devient le périphérique de sauvegarde, les interfaces du VLAN du périphérique principal descendent puis remontent, déclenchant les périphériques de couche 2 en amont et en aval pour mettre à jour leurs tables d'adresses MAC. |
Les interfaces de service de pare-feu fonctionnent en couche 2 (mode transparent) et sont connectées à des routeurs. | Ne prend en charge que le partage de charge | Surveillance d'interface à l'aide de VLAN | Le VLAN du périphérique principal peut transférer le trafic, tandis que le VLAN du périphérique de sauvegarde est désactivé. Lorsque le périphérique principal devient le périphérique de sauvegarde, les interfaces dans le VLAN du périphérique principal descendent puis remontent une fois, déclenchant la convergence des routes sur les périphériques de couche 3 en amont et en aval. |
Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .
