任务教案模块五防火墙双机热备技术第1单元双机热备技术原理.DOC

任务教案 模块五：防火墙双机热备技术 第1单元：双机热备技术原理 教学内容（课题）：双机热备基本组网与配置 教学时间： 年 月 日 第 周 星期 授课班级： 本次课课时： 2 一、教学目标： 了解双机热备份技术产生的原因 掌握双机热备在路由器上部署——VRRP 理解VGMP基本原理 理解HRP会话快速备份 二、教学重点： 双机热备在路由器上部署——VRRP VGMP基本原理 HRP会话快速备份 三、教学难点： 双机热备在路由器上部署——VRRP VGMP基本原理 HRP会话快速备份 四、教学方法： 设计教学工作环境、采用ENSP模拟器配合理论讲解，设置教学活动引导学生为中心的教学方式进行教学。 五、教学步骤及内容： 1.1双机热备份技术产生的原因 双机热备份技术的出现改变了可靠性难以保证的尴尬状态，通过在网络出口位置部署两台或多台网关设备，保证了内部网络于外部网络之间的通讯畅通。 USG防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位于业务接口点上。在这种业务点上，如果仅仅使用一台USG防火墙设备，无论其可靠性多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。 1.2双机热备在路由器上部署——VRRP 为了避免路由器传统组网所引起的单点故障的发生，通常情况可以采用多条链路的保护机制，依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性，当不能使用动态路由协议时，仍然会导致链路中断的问题，因此推出了另一种保护机制VRRP（虚拟路由冗余协议）来进行。采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短，同时弥补了不能使用动态路由情况下的链路保护。 VRRP（Virtual Router Redundancy Protocol）是一种基本的容错协议。 备份组：同一个广播域的一组路由器组织成一个虚拟路由器，备份组中的所有路由器一起，共同提供一个虚拟IP地址，作为内部网络的网关地址。 主（Master）路由器：在同一个备份组中的多个路由器中，只有一台处于活动状态，只有主路由器能转发以虚拟IP地址作为下一跳的报文。 备份（Backup）路由器：在同一个备份组中的多个路由器中，除主路由器外，其他路由器均为备份路由器，处于备份状态。 主路由器通过组播方式定期向备份路由器发送通告报文（HELLO），备份路由器则负责监听通告报文，以此来确定其状态。由于VRRP HELLO报文为组播报文，所以要求备份组中的各路由器通过二层设备相连，即启用VRRP时上下行设备必须具有二层交换功能，否则备份路由器无法收到主路由器发送的HELLO报文。如果组网条件不满足，则不能使用VRRP。 a)VRRP在多区域防火墙组网中的应用: 当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备份组。 由于USG防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即需要保证在主防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而另外一台防火墙则充当备份设备。 b)VRRP在防火墙应用中存在的缺陷: 传统VRRP方式无法实现主、备用防火墙状态的一致性。 1.3 VRRP用于防火墙多区域备份 VRRP在防火墙中应用的要求： VRRP状态的一致性 会话表状态备份 VGMP提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。 1.4 VGMP基本原理 当防火墙上的VGMP为Master状态时，组内所有VRRP备份组的状态统一为Master状态，所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。 通过指定VGMP组的优先级来决定谁将成为主防火墙或备用防火墙。 VGMP的优先级会根据组内的VRRP备份组成员的状态动态调整，以此完成两台防火墙的主备倒换。 与VRRP类似，状态为Master的VGMP也会定期向对端发送HELLO报文，通知Slave端本身的运行状态（包括优先级、VRRP成员状态等）。与VRRP不同的是，Slave端收到HELLO报文后，会回应一个ACK消息，该消息中也会携带本身的优先级、VRRP成员状态等。 VGM