HRP理解

防火墙双机热备配置及组网指导2013-4-17华为机密，未经许可不得扩散第4页,共26页★addinterfaceEthernet1/0/7vrrpvrid1：把接口Ethernet1/0/7下配置的VRRP1加入到此管理组进行管理。★addinterfaceEthernet1/0/7vrrpvrid1data：把接口Ethernet1/0/7下配置的VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。配置了发送VGMP的数据通道之后，VGMP才能使能。防火墙的配置同步是通过VGMP的数据通道进行发送的。★addinterfaceEthernet1/0/7vrrpvrid1datatransfer-only：把接口Ethernet1/0/7下配置的VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况，心跳口上的VRRP可以以此种方式加入到VGMP组中。★addinterfaceEthernet1/0/7vrrpvrid1dataip-link1：把接口Ethernet1/0/7下配置的VRRP1加入到此管理组进行管理，并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道，同时在VGMP上绑定ip-link功能。ip-link的使用介绍请参考其他文档。★vrrp-groupenable：VGMP组使能命令。在配置了VGMP的数据通道之后，此命令才可以执行，执行此命令后，防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互，确定VGMP的主备状态。★vrrp-grouppreempt：配置VGMP组的抢占模式。此命令配置之后本端VGMP和对端VGMP进行协商，并进行抢占，如果优先级高就抢占为主，如果优先级低就被抢占为备。配置此命令后默认抢占延时为0，即立即抢占。★vrrp-grouppreemptdelay0-1800000：配置VGMP组抢占延时，单位为毫秒（ms），如果本地的VGMP组的优先级比对端的VGMP的优先级高，在延时配置的时间后VGMP就抢占为Master状态。对于防火墙组网，我们建议的抢占方式是备防火墙抢占延时为0，主防火墙配置抢占延时为20000ms或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。★vrrp-grouppriority1-254：配置VGMP组的优先级。配置VGMP组的优先级后，VGMP和对端的防火墙的VGMP进行协商，并确定VGMP的主备状态。默认使用这种方式作为VGMP组的优先级，默认优先级是100。VGMP组的优先级调整算法为：当前优先级－（当前优先级/16）。如果VGMP组下的一个VRRP变成初始化状态，则VGMP组的优先级调整一次，同样如果配置的一个ip-link检测远端IP为不可达，VGMP组的优先级也会调整一次，每次都使用上面的算法进行调整。对于采用此种方式，建议主防火墙配置为105，备防火墙使用默认配置100。★vrrp-grouppriorityusing-vrrppriority：使用VRRP的优先级作为VGMP组的优先级。配置VGMP组的优先级后，VGMP和对端的防火墙的VGMP进行协商，并确定VGMP的主备防火墙双机热备配置及组网指导2013-4-17华为机密，未经许可不得扩散第5页,共26页状态。如果采用此种方式决定VGMP组的优先级，首先把VGMP组下所有的VRRP的优先级加起来，再除以VGMP组下的VRRP的个数。如果还在VGMP下面配置了ip-link，并且ip-link检测到远端的IP地址不可达，计算出ip-link调整的优先级，计算方法为ip-link绑定的VRRP的优先级除以16，然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip-link调整的优先级，得到最终的VGMP组的优先级。采用此种方式，建议VRRP的优先级主防火墙配置为105，备防火墙配置为默认的100。★vrrp-grouppriorityplus0-254：此命令也是用来调整VGMP的优先级的，但是现在不再使用，也不推荐配置此命令。★vrrp-groupmanual-preempt：VGMP组手动抢占命令。在VGMP配置了抢占延时的时候，如果延时时间没有到，即使本地防火墙的VGMP组的优先级比对端高，也不进行抢占。如果在VGMP组下面配置了不抢占，即使本地优先级比对端高，也不进行抢占。但是通过vrrp-groupmanual-preempt可以进行手动抢占，如果本地VGMP组优先级高，配置的抢占延时没有到或者配置不抢占，通过此命令本地VGMP能马上抢占为Master状态。★vrrp-grouptimerhello200-60000：VGMP组发送VGMP的hello报文的时间间隔，单位为毫秒（ms），默认值为1000ms。通过配置VGMP组下的VGMP的hello报文的发送时间间隔，VGMP组能更快的进行抢占切换。建议采用默认值，如果参数设置的太小，导致防火墙发送和接受的VGMP的报文的数量会很多，会占用较多的CPU资源，并且配置1s的hello报文的时间间隔也能满足现网故障反应时间间隔。★vrrp-groupgroup-send：VGMP组下的所有数据通道都发送VGMP报文。配置此命令后，VGMP发送数据报文和hello报文的时候，加入此VGMP组的每个数据通道都发送一次。此命令默认不使能，VGMP会自动选择一个数据通道作为发送VGMP报文的通道，并且在检测到数据通道发生故障的时候重新进行选择。1.31.3VRRP配置说明防火墙的VRRP和标准的VRRP协议一样，下面大概说说VRRP的配置，详细信息可以找相关的RFC查看。在防火墙上，如果VRRP加入到VGMP中，VRRP的状态由VGMP决定，不再自己协商。VRRP的配置命令的功能和使用介绍如下：★vrrpvrid1virtual-ip1.1.1.100：在接口视图下配置VRRP。此命令是在接口上配置VRRP的ID以及VRRP的虚地址。★vrrpvrid1trackEthernet1/0/6：配置VRRP监视的端口。配置监视的端口之后，如果此端口的协议状态down，VRRP的优先级会自动调整。默认是调整10，可以在此命令后面继续配置下降多少。★vrrpvrid1priority1-254：配置VRRP的优先级。默认值是100，如果是主防火墙，建议配置为105，备防火墙建议配置为默认值100。★vrrpvrid1timeradvertise1-255：VRRP的hello报文发送的时间间隔。默认VRRP防火墙双机热备配置及组网指导2013-4-17华为机密，未经许可不得扩散第6页,共26页的hello报文的发送时间间隔为1s，建议使用默认配置。★vrrpvrid1preempt-mode：VRRP的抢占参数。如果VRRP加入VGMP组中，VRRP的抢占参数不再生效。