本帖最后由 小唯初闻花香 于 2021-7-5 09:35 编辑
背景:某客户反馈使用过程出现配置接口监控出现丢包情况 上来先拷400,”深信服工程师优良的习惯”研发给出结论设备mac地址会变.
首先我们要知道深信服热备用到的是VRRP协议。 注意:下面是根据深信服NGAF来的高可用介绍的,和传统的有点区别。 VRRP(虚拟路由冗余协议)-此处不多做介绍。
NGAF高可用VRRP的基本概念如下:
1、虚拟组(VRID):虚拟标识,用来唯一的表识一个高可用组;
2、抢占模式:在抢占模式下,如果备用防火墙的优先级高于高可用组中的其他防火墙(包括当前的主用防火墙),将立即成为新的主用防火墙;
注意:NGAF设备能组建双机性能相差都不大。当网络规模较大时,建议配置为非抢占模式,因为这样可以减少网络的波动。
3、非抢占模式:在非抢占模式下,如果备用防火墙的优先级高于高可用组中的其他防火墙(包括当前的主用防火墙),则不会立即成为主用防火墙,直到下一次公平选举(如断电、设备重启等);
4、虚拟IP地址:我们是以防火墙接口IP为虚拟IP的。所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应;
5、虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用防火墙提供该MAC地址; 注:mac:00-00-5E+接口序号+虚拟组(VRID)
6、优先级:用于表示VRRP防火墙的优先级,并通过每个VRRP防火墙的优先级选举主用设备及备用设备;
热备工作原理可用参考,传统VRRP的工作原理如图: 故障切换过程:默认情况下,Master设备(FW1)会周期性(每1s)地向Backup设备发送VRRP通告,而Backup设备每次收到VRRP通告,就将Master_DOWN_Interval计时器重置为0。当Master设备出现故障,无法发出VRRP通告报文时,Backup设备将无法接收到VRRP,在Master_DOWN_Interval超时后,将直接由Backup状态切换为Master状态,FW2代替FW1成为新的Master设备。同时会向下游交换机发出免费ARP报文,以更新下游交换机的MAC地址表。而后续客户机发起的针对虚拟IP的ARP请求报文,FW2将直接代为回应,客户机发出的报文也将由FW2转发,而这一切变化对客户机而言都是透明的。因为虚拟IP地址仍然可用!
错误的地方还请多多指正。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-7-5 08:47
坚持每日学习打卡
技术员2级 
