VRRP、VGMP 和 HRP 之间有什么区别?这篇文章给你答案!

2022-05-20 18:22:25 浏览数 (2)

你好,这里是网络技术联盟站。

作为USG防火墙最重要的功能之一,双机热备极大地提高了设备的可靠性,当主用设备发生故障时,备用设备可以立即接管受影响的业务,从而显着减少业务中断的持续时间。

VRRP、VGMP 和 HRP 之间有什么区别?

与路由和交换技术一样,防火墙中的VRRP也是Virtual Routing Redundancy Protocol的缩写。它主要通过两个或多个设备协商一个虚拟IP地址,用作与其他设备通信的地址。它通过在 VRRP 组中的周期性检测来感知转发设备的故障,以便在转发设备发生故障时及时切换。由于虚拟地址用于与其他外部设备进行通信,因此这种切换对其他设备是透明的

图片来源于华为云社区图片来源于华为云社区

VGMP(VRRP Group Management Protocol)是华为的专有协议,它定义了一个VGMP组,FW基于VGMP组 实现设备主备状态管理。VGMP的目的是解决设备上存在多个VRRP备份组时,每个备份组的主备状态切换不一致的问题。

实际上,VGMP消息是VRRP消息的修改版本:

图 1. VGMP 数据包与 VRRP 数据包图 1. VGMP 数据包与 VRRP 数据包

如上图所示,可以看到报文类型字段为2时为VGMP报文,为1时为VRRP报文。在本文中,我不会详细介绍VGMP消息。

HRP报文实际上是一个VGMP报文,承载在VGMP报文的Data区,HRP的作用主要是实现备份会话表等状态信息和关键配置的作用。

VRRP、VGMP和HRP的比较

VRRP

创建虚拟IP和MAC,实现与其他设备的不间断连接

VGMP

统一管理设备上多个VRRP备份组的切换,解决多个VRRP备份组切换不一致导致的业务中断

HRP

备份会话表等状态信息和关键配置

防火墙能否只配置 VRRP 而不启用 VGMP 或 HRP?

答案是

如果没有VGMP支持或配置,防火墙将无法启用VRRP,这是防火墙的特性造成的。

众所周知,防火墙目前是根据第一个包检测为正常流量创建会话表,而后续流量通过匹配会话表进行转发。当启用VRRP时,假设我们不需要HRP,当前VRRP上的会话表主防火墙不会同步到备用防火墙。

当主防火墙发生故障时,业务切换到备用防火墙。但是没有对应的会话表条目。结果,所有会话都将被中断。

一方面,大规模的业务切换会给防火墙设备带来突发的业务检测影响,消耗大量的设备资源。

另一方面,这种切换与重启和重新建立会话基本相同,对服务切换毫无意义。

因此,VRRP配置必须使用HRP和VGMP 。

服务活动设备和配置活动设备必须相同吗?

不可以。

一般来说,服务活跃设备是指当前正在转发业务流量的设备,而配置活跃设备是指管理员可以修改配置的设备。

在主备双机热备模式和镜像热备模式组网中,业务主设备为配置主设备,业务备设备为配置备设备。但是,在负载均衡双机热备模式下,服务主用设备和配置主用设备可以是不同的设备。

在负载均衡双机热备模式网络中,两台FW根据以下原则协商主备配置设备:

  • 活动和备用配置设备由主机名 ( sysname )的 ASCII 码的顺序决定,具有较小 ASCII 代码顺序的设备成为配置活动设备,具有较高 ASCII 代码顺序的设备成为配置备用设备。例如,两个 FW 的主机名分别为FW_A和FW_B;FW_A成为配置活动设备,FW_B成为配置备用设备;
  • 当两台FW的主机名(sysnames)相同时,配置主备设备由双机热备功能开启时的时钟决定。时钟较小的设备成为配置主设备,而时钟较大的设备成为配置备份。

在负载均衡热备模式网络中,由于两台设备都参与业务流量转发,所以两台设备都是业务活跃设备。

0 人点赞