精华内容
下载资源
问答
  • 双机热备

    2020-12-18 08:12:58
    双机热备是一种概念,各种设备均可以采用此概念进行部署,比如三层交换机 、路由器、防火墙、服务器等。如果仅部署一台设备,难免会有单点故障风险,所以部署两台,一主一备较为保险,一台坏了,另一台自动“顶上...

    1双机热备
    双机热备是一种概念,各种设备均可以采用此概念进行部署,比如三层交换机 、路由器、防火墙、服务器等。如果仅部署一台设备,难免会有单点故障的风险,所以部署两台,一主一备较为保险,一台坏了,另一台自动“顶上”,保证业务不中断,这就是双机热备。最常见的双机热备就是同时带着同一品牌的两台手机,A坏了,B登录A的账号,通讯录与邮箱会同步过来,与保证业务不中断。

    NOTE:

    等保三级以上要求必须要有冗余设备,关键设备必须是一主一备的,这样才能保证业务的稳定性。双机热备是网络工程师必须熟练掌握的技术之一。
    防火墙的双机热备其它设备不同,防火墙的双机热备需要一条专门的备份通道,用于两台防火墙之间的协商主备状态,以及会话等状态信息。双机热备主要包括主备备份和负载分担两个场景。主备备份指正常情况下仅由主用设备处理业务,备用设备空闲;当主用设备接口、链路或整机故障时,备用设备切换为主用设备,接替主用设备处理业务。负载分担也可以称为“互为主备”,即两台设备同时处理业务。当其中一台设备发生故障时,另外一台会立即承担其业务,保证业务不中断。
    2链路聚合
    讲双机热备之前,必须先讲链路聚合和VRRP,因为双机热备是在这两个技术的基础上进行实现的。

    2.1链路聚合的基本概念
    因为以太网的信息传输率主要有:10Mbit/s、100Mbit/s、1000Mbit/s(1Gibt/s)、10Gibt/s、100Gibt/s,它们之间的关系呈10倍递增。

    l 发送/接收速率为10Mbit/s的以太网端口称为标准以太网端口。

    l 发送/接收速率为100Mbit/s的以太网端口称为快速以太网端口,简称FE(fast ethernet)。

    l 发送/接收速率为1000Mbit/s的以太网端口称为千兆以太网端口,1000兆达到了吉,所以也称GE(gigabit ethernet)。

    l 发送/接收速率为10Gbit/s的以太网端口称为万兆以太网端口,一吉等于1000兆,十吉就等于十个1000兆,十个1000就是一万,所以这种接口就被称为万兆以太网端口。

    l 发送/接收速率为100Gbit/s的以太网端口称为百吉端口。

    如果一条链路的两头端口是GE端口,那么这条链路就是GE链路;如果一条链路的两头端口是FE口,则这条链路就是FE链路,如此类推。

    2.2链路聚合产生的背景
    现在有10台终端 ,汇聚层交换机与终端连接时使用提FE接口,速率可达100Mbit/s,汇聚层与核心交换机之间使用GE接口,速率可达1000Mbit/s。现在终端增加到20台,用户的带宽总需求是2G,但一条GE链路只能最多提供1G的带宽,怎么办呢?

    总不能把GE接口从交换机拿出来换一个万兆的吧?这是不可能实现的。换交换机成本又太高了,这时候就在汇聚层与核心层之间连接两根GE链路,将这两根链路逻辑上绑定到一起,这样带宽就可达到2Gbit/s,这样即满足了需求,也没有增加成本,一举两得!哦不!应该是一举三得,为什么这么说呢?当一条链路坏了之后,另一条链路还可以继续工作,只不过速度稍微慢一些。一得满足需求,二得不增加成本,三得冗余。如果空闲的口比较多的话,多个口做聚合也是可以的,这样速率更高。

    理论上两个GE接口聚合带宽可达2Gbit/s,但实际的情况是小于2Gbit/s的。

    2.3链路聚合适用的场景
    本文中所讲的链路聚合针对的仅是以太网。

    链路聚合可以应用在交换机与交换机之间、交换机与服务器之间、交换机与路由器之间,服务器与服务器之间等等。服务器与服务器做链路聚合的情况比较少见,为什么?从原理上来看,因为服务器不过就是性能高一点的计算机罢了,我们主要还是利用它的计算性能;但是从应用的角度来看,服务器的地位就高了,我们要保证服务器的可靠性,所以服务器与交换机之间做链路聚合的场景比较常见。

    2.4 链路聚合的原理
    从理论上讲,同一聚合链路中的各成员链路的带宽可以是不同的,但实际上,由于实际难度和实现成本等方面的原因,我们总是要求各成员的链路带宽保持一致。

    发送方交换机:

    第一步:来自交换机内部的数据帧进入到eth-trunk口的队列

    第二步:通过帧分发器分发给子接口,这个分发是基于某种算法,从这个角度来看,帧分发器颇有点负载均衡的意思。

    接收方交换机:

    第一步:接收方子接口收集来自来自发送方交换机的数据帧

    第二步:收集之后统一在帧收集器“集合”,某一个帧完全进入帧收集器之后就把这个帧送到接收队列。

    2.5链路聚合的配置思路

    1.     创建eth-trunk口,两端的编号要一致。
      
    2.     配置模式:手工或者自动
      
    3.     将物理接口加入到eth-trunk口当中
      
    4.     设备允许通过的vlan
      

    3VRRP
    3.1VRRP的工作过程
    VRRP是一种容错协议,它保证当主机的下一跳路由器(默认网关)出现故障时,由备份路由器自动代替出现故障的路由器完成报文转发任务,从而保持网络通信的连续性和可靠性。

    将两台路由器的的下行接口划分在一起,形成一个VRRP备份组。VRRP备份组就相当于一台虚拟路由器,这个虚拟路由器有自己的IP和MAC,VRID是VRRP备份组的ID。所以,局域网的主机可以将默认网关设置为VRRP备份组的虚拟IP地址。在局域网的主机看来,它们就是与虚拟路由器进行通信的,然后通过虚拟路由器与外部网络进行通信。

    VRRP备份组的多个路由器会根据管理员指定的备份组优先级确定各自的状态。优先级高的是master,其它的为backup。VRRP备份组的状态决定了路由器的主备状态。VRRP备份组状态为master的路由器为master路由器,VRRP备份组状态为backup的路由器为backup路由器。Master正常时,master工作,master故障之后,backup路由器立刻顶上。

    管理员在路由器配置完VRRP备份组和优先级之后,VRRP备份组会短暂的工作在initialize(初始化)状态,如果接口状态正常的话并收到接口up的消息之后,会立即切换成backup状态,在bakcup状态等待计时器超时,超时之后立马切换为master,所以谁的等待计时器最短,谁就成为master,这其实里面并没有优先级的事儿。只不过,优先级越大,计时器越短,所以通常是优先级大的成为master!

    选举成功之后,master路由器会立即周期性的向VRRP备份组内的所有bakcup成员组播宣告自己的优先级和master状态,宣告自己已经这个组内的“王”。

    同时,master还会发送ARP报文,将VRRP备份组的虚拟IP和MAC通知给与它连接的交换机。

    当master路由器发生故障之后,它将无法发送VRRP报文通知backup路由器。如果backup路由器在定时器超时后仍然收不到master发送的VRRP报文,则认为master路由器故障,从而将自身的状态切换为master。还有一种情况:当master路由器主动放弃master地位(如master路由器退出vrrp备份组)时,会立即发送优先级为0的VRRP报文,使用backup路由器快速切换成master路由器。

    当VRRP备份组的状态切换完成后,新的master路由器会立即发送携带VRRP备份组虚拟MAC地址和虚拟IP地址信息的免费ARP报文,刷新与它连接设备(下行交换机)中的MAC地址表。

    当原master路由器故障恢复之后,优先级肯定会高于现在的master路由器。如果配置抢占功能,原master会在抢占定时器超时后将状态切换成为master,重新成为新的master路由器;如果没有配置抢占功能,原master路由器将仍然保持backup状态。

    3.2VRRP的不足
    当两组VRRP同时运行时,会导致来回的流量往返的路径不一致,而导致业务流量中断。

    VRRP备份组之间的相互独立的,当一台设备出现多个VRRP备份组时,它们之间的状态无法同步。网络设备和安全安全设备为了解决这个问题走向了两条不同的道路,我们主要还是介绍防火墙如何解决这个问题的。

    VGMP的产生解决了这个问题,VGMP被称做是组管理协议,用来实现对VRRP备份组的统一管理,保证多个VRRP备份组状态的一致性。我们将防火墙的所有VRRP组加入到多个VGMP组当中,由VGMP组来集中监控并管理所有的VRRP备份组状态。如果VGMP级检测到一个VRRP组的状态发生变化,则VGMP组会控制组当中所有的VRRP备份组统一进行状态切换,保证各个VRRP备份组状态的一致性。

    VGMP组有状态和优先级两个基本属性,并且有三条基本的运行原则:

    1.     两台防火墙的VGMP组状态是通过相互比较优先级的方式来决定的,优先级更高的VGMP组为active,优先级低的VGMP组为standby。
      
    2.     VGMP组的状态决定了组内VRRP备份组的状态,也决定了防火墙的主备状态。
      
    3.     VRRP备份组的状态变化会影响到VGMP的优先级,一旦VRRP备份组内的线路故障则会导致此VRRP组所在的VGMP组优先级降低,并且VGMP的状态也会发生改变,VGMP的优先级为降低2.
      

    总结:

    VGMP刚启动的时候,VGMP的状态决定了VRRP组的状态,在VGMP运行的过程当中,VRRP组的状态又决定了VGMP组的状态,只是一个先后问题,并不存在冲突。

    我们在FW1上将VRRP备份组1和VRRP备份组2都加入到状态为active的VGMP组里,在FW2将VRRP备份组1和VRRP备份组2加入到状态为standby的VGMP组里面。由于VGMP组的状态会决定组内VRRP备份组的状态,也决定了防火墙的主备状态,因此,状态为active的VGMP组里面的FW1在两个VRRP备份组的状态就都为active,这个active是即代表是备份组1的active,也代表了是备份组2的active,FW2则反之,所以上下行的业务流量都会被引导到主用设备FW1转发。

    展开全文
  • VRRP一、概述产生背景VRRP简介相关概念二、VRRP报文结构三、VRRP状态机四、VRRP中Master选举和工作过程Master路由器选举工作过程正常工作VRRP故障切换VRRP认证方式五、VRRP提供功能主备备份负载分担监视...

    一、概述

    产生背景

    随着Internet的发展,人们对网络可靠性的要求越来越高。特别是对于终端用户来说,能够实时与网络其他部分保持联系是非常重要的。一般来说,主机通过设置默认网关来与外部网络联系。

    主机将发送给外部网络的报文发送给网关,由网关传递给外部网络,从而实现主机与外部网络的通信。正常的情况下,主机可以完全信赖网关的工作,但是当网关坏掉时,主机与外部的通信就会中断。要解决网络中断的问题,可以依靠再添加网关的方式解决,不过由于大多数主机只允许配置一个默认网关,此时需要网络管理员进行手工干预网络配置,才能使得主机使用新的网关进行通信;有时,人们运用动态路由协议的方法来解决网络出现故障这一问题,如运行RIP、OSPF等,或者使用IRDP。然而,这些协议由于配置过于复杂,或者安全性能不好等原因都不能满足用户的需求。

    为了更好地解决网络中断的问题,网络开发者提出了VRRP,它既不需要改变组网情况,也不需要在主机上做任何配置,只需要在相关路由器上配置极少的几条命令,就能实现下一跳网关的备份,并且不会给主机带来任何负担。和其他方法比较起来,VRRP更加能够满足用户的需求。

    VRRP简介

    VRRP(Virtual Router Redundancy Protocol,虚拟路由冗余协议)是一种容错协议。通常,一个网络内的所有主机都设置一条缺省路由。它可以把一个虚拟路由器的责任动态分配到局域网上的 VRRP 路由器中的一台。控制虚拟路由器 IP 地址的 VRRP 路由器称为主路由器,它负责转发数据包到这些虚拟 IP 地址。一旦主路由器不可用,这种选择过程就提供了动态的故障转移机制,这就允许虚拟路由器的 IP 地址可以作为终端主机的默认第一跳路由器。使用 VRRP 的好处是有更高的默认路径的可用性而无需在每个终端主机上配置动态路由或路由发现协议。 VRRP 包封装在 IP 包中发送(底层基于IP协议),支持各种上层协议。

    相关概念

    • VRID:虚拟路由器的标识。有相同VRID的一组路由器构成一个虚拟路由器。

    • 虚拟路由器:由一个Master路由器和多个Backup路由器组成。主机将虚拟路由器当作默认网关。

    • Master(主)路由器:虚拟路由器中承担报文转发任务的路由器。

    • Backup(备份)路由器:Master路由器出现故障时,能够代替Master路由器工作的路由器。

    • 虚拟IP地址:虚拟路由器的IP地址。一个虚拟路由器可以拥有一个或多个IP地址。

    • IP地址拥有者:接口IP地址与虚拟IP地址相同的路由器被称为IP地址拥有者。

    • 虚拟MAC地址:一个虚拟路由器拥有一个虚拟MAC地址。虚拟MAC地址的格式为00-00-5E-00-01-{VRID}。通常情况下,虚拟路由器回应ARP请求使用的是虚拟MAC地址,只有虚拟路由器做特殊配置的时候,才回应接口的真实MAC地址。

    • 优先级:VRRP根据优先级来确定虚拟路由器中每台路由器的地位。

    • 非抢占方式:如果Backup路由器工作在非抢占方式下,则只要Master路由器没有出现故障,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。

    • 抢占方式:如果Backup路由器工作在抢占方式下,当它收到VRRP报文后,会将自己的优先级与通告报文中的优先级进行比较。如果自己的优先级比当前的Master路由器的优先级高,就会主动抢占成为Master路由器;否则,将保持Backup状态。

    二、VRRP的报文结构

    VRRP协议只有一种报文,即VRRP报文(Advertisement通告报文)。VRRP报文用来将Master设备的优先级和状态通告给同一虚拟路由器的所有VRRP路由器。

    VRRP报文封装在IP报文中,发送到分配给VRRP的IPv4组播地址。在IP报文头中,源地址为发送报文的主接口地址(不是虚拟地址或辅助地址),目的地址是224.0.0.18,TTL是255,协议号是112。VRRP报文的结构如图1所示。

    VRRP报文被封装在IP包中。使用专门的VRRP IPv4组播地址(协议号112,组播地址 224.0.0.18

    IANA分配给VRRP的IP协议号为112(十进制)。

    IANA给VRRP分配的IP组播地址为224.0.0.18。这是一个本地范围的多播地址。不论TTL的值是多少,路由器都被禁止转发以此地址为目标地址的报文。

    VRRP报文的IP头中,TTL必须为255。当VRRP路由器收到TTL不等于255的VRRP协议报文后,必须丢弃

    在这里插入图片描述

    • Version:4比特,协议版本号,现在的VRRP为版本2。

    • Type:4比特,定义了VRRP报文的类型。本版本的协议仅定义了一个报文类型,字段值为1:ADVERTISEMENT。带有未知类型的报文必须被丢弃。

    • Virtual Rtr ID:8比特,虚拟路由器标识(VRID)字段标识了此报文所报告状态的虚拟路由器。可配置的范围是1~255。没有缺省值。

    • Priority:8比特,Priority字段申明了发送此报文的VRRP路由器的优先级。值越高优先级越高。该字段为8位无符号整型。

      如果VRRP路由器是虚拟路由器地址的IP地址所有者,那么其优先级自动变为最大值255。起备用作用的VRRP路由器的优先级必须在1–254之间,0表示设备停止参与VRRP,用来使备份路由器尽快成为主路由器,而不必等到计时器超时。缺省的VRRP路由器优先级为100。

    • Count IP Addrs:8比特,在此VRRP广播通告中包含的IP地址的数量。

    • Auth Type:8比特,认证类型字段用于标识要用到的认证方法。在一个虚拟路由器组内认证类型是唯一的。认证类型字段是一个8位无符号整型。如果报文携带未知的认证类型或者该认证类型和本地配置的认证方法不匹配,那么该报文必须被丢弃。

      目前定义的认证方法有:

      • 0 ——No Authentication 不认证

        该认证类型表明VRRP协议报文的交换不需要认证。在发送VRRP协议报文时,Authentication Data 字段将被置为0;而在接收协议报文时,Authentication Data 字段被忽略。

      • 1 - Reserved 保留

      • 2 - Reserved 保留

      解释:
      VRRP的早期版本 定义了一些认证类型[RFC2338]。这些认证类型的定义已经在本文档中被删除,因为根据实际经验表明,这些认证方法并不能提供任何真正的安全保障,并且仅会导致在一个VRRP组内出现多个Master的情况。

    • Adver Int:8比特,VRRP通告间隔时间,单位为秒。缺省为1秒。这个字段主要用于错误配置路由器时的故障定位和解决。

    • Checksum:16比特,校验和字段用于检测VRRP消息的数据是否出错。

      校验和是从version字段开始的整个VRRP消息的1的16位补码和。(RFC1071 描述了校验和的计算细节)。

    • IP Address:32比特,IP地址字段为虚拟路由器的一个或者多个IP地址。IP地址的数量在"Count IP Addrs"字段中说明。IP地址字段用于错误配置路由器时的故障定位和解决。

    • Authentication Data:32比特,认证字符串仅仅用于对RFC2338的向后兼容。在发送VRRP报文时该字段应该被置为0,而在接收VRRP报文时该字段应该被忽略。

    三、VRRP的状态机

    VRRP协议中定义了三种状态机:初始状态(Initialize)、活动状态(Master)、备份状态(Backup)。其中,只有处于活动状态的设备才可以转发那些发送到虚拟IP地址的报文。

    在这里插入图片描述

    • Initialize

    Initialize状态是VRRP的初始状态,在接口配置VRRP后,如果该接口是Down的(例如接口被关闭,或者没有连接任何的线缆),那么该接口的VRRP状态将会停滞在Initialize。

    当接口Up之后,到Startup的消息,如果其VRRP优先级为255(这种情况发生在该接口的实际IP地址是VRRP虚拟IP地址的情况),那么接口的VRRP状态将由Initialize切换到Master,而如果接口的VRRP优先级不是255,则进入Backup状态。

    • Master,当路由器处于Master状态时,它将会做下列工作:

      • 周期性的发送VRRP报文,时间间隔缺省值为1s。

      • 以虚拟MAC地址响应对虚拟IP地址的ARP请求。

      • 转发目的MAC地址为虚拟MAC地址的IP报文。

      • 如果它是这个虚拟IP地址的拥有者,则接收目的IP地址为这个虚拟IP地址的IP报文。否则,丢弃这个IP报文。

      • 如果收到比自己优先级大的报文则转为Backup状态(VRRP默认开启抢占模式)。

      • 如果收到优先级和自己相同的报文,并且发送端的主IP地址比自己的主IP地址大,则转为Backup状态。

      • 当接收到接口的Shutdown事件时,转为Initialize。

    • Backup,当路由器处于Backup状态时,它将会做下列工作:

      • 接收Master发送的VRRP报文,判断Master的状态是否正常。

      • 对虚拟IP地址的ARP请求,不做响应。

      • 丢弃目的MAC地址为虚拟MAC地址的IP报文。

      • 丢弃目的IP地址为虚拟IP地址的IP报文。

      • Backup状态下如果收到比自己优先级小的报文时,丢弃报文,不重置定时器;如果收到优先级和自己相同的报文,则重置定时器,不进一步比较IP地址。

      • 当Backup接收到MASTER_DOWN_TIMER定时器超时的事件时,才会转为Master。

      • 当接收到接口的Shutdown事件时,转为Initialize。

    四、VRRP中Master的选举和工作过程

    Master路由器的选举

    在一个VRRP组中,正常情况下只能存在一台Master路由器。VRRP根据优先级和IP地址来决定哪台路由器充当Master。优先级的范围时0-255,优先级越大越优,则路由器就越有可能成为Master。其中0和255是两个特殊的优先级,不能被直接配置。

    • 优先级为255:当路由器的接口IP地址与VRRP虚拟IP地址相同时,它的优先级将自动会变成最大值255,此时该路由器被称为IP地址的拥有者(IP Address Owner)。

    • 优先级为0:它出现在Master路由器主动放弃Master角色时,例如当接口的VRRP配置被手工删除时,该Master路由器会立即发送一个优先级为0的VRRP报文,用来通知网络中的Backup路由器。

    当一个激活了VRRP的接口Up之后,如果接口的VRRP优先级为255,那么其VRRP状态将直接从Initialize(初始状态)切换到Master(主状态),而如果接口的VRRP优先级不为255,那么首先切换到Backup(备份状态),然后再看竞争结果决定是否切换到Master。

    如果在同一个广播域的同一个VRRP组内出现两台Master路由器,那么它们将比较自己与对方的优先级,优先级的值更大的设备胜出,继续保持Master状态,而竞争失败的路由器则切换到Backup状态。如果这两台Master路由器的优先级相等,那么接口IP地址更大的路由器接口将会保持Master状态,而另一台设备则切换到Backup状态。当然,一个网络在稳定运行时,同一个VRRP组内不应该同时出现两台Master路由器。

    处于Master状态的路由器会周期性的发送VRRP报文,并在报文中描述自己的优先级,IP地址等等信息。同一个广播域中,同一个VRRP组的Backup路由器会侦听这些报文。如果此时网络中新出现一台Backup路由器(其优先级高于当前的Master路由器),激活了抢占功能,那么它会忽略收到VRRP报文,并且切换到Master侦听,同时发送自己的VRRP报文并在报文中描述其优先级等信息,而此前的Master路由器在收到了该VRRP报文后,则切换到Backup状态。

    工作过程

    正常工作

    路由器使能VRRP功能后,会根据优先级确定自己在备份组中的角色。优先级高的路由器成为Master路由器,优先级低的成为Backup路由器。Master路由器定期发送VRRP通告报文,通知备份组内的其他路由器自己工作正常;Backup路由器则启动定时器等待通告报文的到来。

    • 在抢占方式下,当Backup路由器收到VRRP通告报文后,会将自己的优先级与通告报文中的优先级进行比较。如果大于通告报文中的优先级,则成为Master路由器;否则将保持Backup状态。

    • 在非抢占方式下,只要Master路由器没有出现故障,备份组中的路由器始终保持Master或Backup状态,Backup路由器即使随后被配置了更高的优先级也不会成为Master路由器。

    如果Backup路由器的定时器超时后仍未收到Master路由器发送来的VRRP通告报文,则认为Master路由器已经无法正常工作,此时Backup路由器会认为自己是Master路由器,并对外发送VRRP通告报文。备份组内的路由器根据优先级选举出Master路由器,承担报文的转发功能。

    VRRP的故障切换

    Master路由器周期性地发送VRRP报文,在虚拟路由器中公布其配置信息(优先级等)和工作状况。Backup路由器通过接收到VRRP报文的情况来判断Master路由器是否工作正常。

    • Master路由器主动放弃Master地位(如Master路由器退出虚拟路由器)时,会发送优先级为0的VRRP报文,致使Backup路由器快速切换变成Master路由器。这个切换的时间称为Skew time(倾斜时间),计算方式为:(256-Backup路由器的优先级)/256,单位为秒(备份路由器优先级越高,时间越短)。

    • 当Master路由器发生网络故障而不能发送VRRP报文的时候,Backup路由器并不能立即知道其工作状况。Backup路由器等待一段时间之后,如果还没有接收到VRRP报文,那么会认为Master路由器无法正常工作,而把自己升级为Master路由器,周期性发送VRRP报文。Backup路由器默认等待的时间称为Master_Down_Interval,取值为:(3×VRRP报文的发送时间间隔)+Skew time,单位为秒。如果此时多个Backup路由器竞争Master路由器的位置,将通过优先级来选举Master路由器。

    在性能不够稳定的网络中,Backup路由器可能因为网络堵塞而在Master_Down_Interval期间没有收到Master路由器的报文,而主动抢占为Master位置,如果此时原Master路由器的报文又到达了,就会出现虚拟路由器的成员频繁的进行Master抢占现象。为了缓解这种现象的发生,特制定了延迟等待定时器。它可以使得Backup路由器在等待了Master_Down_Interval后,再等待延迟等待时间。如在此期间仍然没有收到VRRP报文,则此Backup路由器才会切换为Master路由器,对外发送VRRP报文。

    VRRP认证方式

    VRRP提供了三种认证方式:

    • 无认证:不进行任何VRRP报文的合法性认证,不提供安全性保障。

    • 简单字符认证:在一个有可能受到安全威胁的网络中,可以将认证方式设置为简单字符认证。发送VRRP报文的路由器将认证字填入到VRRP报文中,而收到VRRP报文的路由器会将收到的VRRP报文中的认证字和本地配置的认证字进行比较。如果认证字相同,则认为接收到的报文是合法的VRRP报文;否则认为接收到的报文是一个非法报文。

    • MD5认证:在一个非常不安全的网络中,可以将认证方式设置为MD5认证。发送VRRP报文的路由器利用认证字和MD5算法对VRRP报文进行加密,加密后的报文保存在AuthenticationHeader(认证头)中。收到VRRP报文的路由器会利用认证字解密报文,检查该报文的合法性。

    五、VRRP提供的功能

    主备备份

    这是VRRP提供IP地址备份功能的基本方式。主备备份方式需要建立一个虚拟路由器,该虚拟路由器包括一个Master和若干Backup设备。

    • 正常情况下,业务全部由Master承担。
    • Master出现故障时,Backup设备接替工作。

    负载分担

    现在允许一台路由器为多个作备份。通过多虚拟路由器设置可以实现负载分担。

    负载分担方式是指多台路由器同时承担业务,因此需要建立两个或更多的备份组。

    负载分担方式具有以下特点。

    - 每个备份组都包括一个Master设备和若干Backup设备。
    
    • 各备份组的Master可以不同。

    • 同一台路由器可以加入多个备份组,在不同备份组中有不同的优先级。
      在这里插入图片描述

    如图所示,配置两个备份组:组1和组2:

    • RouterA在备份组1中作为Master,在备份组2中作为Backup;

    • RouterB在备份组1和2中都作为Backup;

    • RouterC在备份组2中作为Master,在备份组1中作为Backup。

    • 一部分主机使用备份组1作网关,另一部分主机使用备份组2作为网关。

    这样,以达到分担数据流,而又相互备份的目的。

    监视功能

    在这里插入图片描述

    监视上行链路

    VRRP网络传输功能有时需要额外的技术来完善其工作。例如,Master路由器到达某网络的上行链路突然断掉时,主机无法通过此Master路由器远程访问该网络。此时,可以通过监视指定接口上行链路功能,解决这个问题。当Master路由器发现上行链路出现故障后,主动降低自己的优先级(使Master路由器的优先级低于Backup路由器),并立即发送VRRP报文。Backup路由器接收到优先级比自己低的VRRP报文后,等待Skew_Time切换为新的Master路由器。从而,使得能够到达此网络的Backup路由器充当VRRP新的Master路由器,协助主机完成网络通讯。

    • VRRP可以直接监视连接上行链路的接口状态。当连接上行链路的接口down时,将Master路由器降低指定的优先级。VRRP优先级最低可以降低到1。

    • VRRP可以利用NQA技术(Network Quality Analyzer网络质量分析,是一种实时的网络性能探测和统计技术,可以对响应时间、网络抖动、丢包率等网络信息进行统计。)监视上行链路连接的远端主机或者网络状况。例如,Master设备上启动NQA的ICMP-echo探测功能,探测远端主机的可达性。当ICMP-echo探测失败时,它可以通知本设备探测结果,达到降低VRRP优先级的目的。

    • VRRP也可以利用BFD技术(Bidirectional Forwarding Detection双向转发检测,它是一个用于检测两个转发点之间故障的网络协议,可以提供毫秒级的检测,可以实现链路的快速检测,BFD通过与上层路由协议联动,可以实现路由的快速收敛,确保业务的永续性。)监视上行链路连接的远端主机或者网络状况。由于BFD的精度可以到达10ms,通过BFD能够快速检测到链路状态的变化,达到快速抢占的目的。例如,可以在Master路由器上使用BFD技术监视上行设备的物理状态,在上行设备坏掉之后,快速检测到该变化,并降低Master路由器的优先级,致使Backup路由器等待Skew time后,抢占成为新的Master路由器。

    Backup监视Master工作状态

    Backup路由器在Master路由器坏掉之后,正常情况下需要等待Master_Down_Interval才能切换为新的Master的位置,这段时间内主机将无法正常通信,因为此时没有Master设备替它转发报文。为了解决这个网络故障,Backup设备提供了一个监听Master工作状态的功能,使得Master路由器坏掉之后Backup能够立即切换成为新的Master路由器,维持网络通讯。

    Backup路由器监视Master路由器采用的是具有快速检测功能的BFD技术。在Backup设备上使用该技术监视Master路由器的状态,一旦Master路由器发生故障,Backup就可以自动切换成为新的Master路由器,将切换时间缩短到毫秒级。

    对于以下情况,BFD都能够将检测到的故障通知接口板,从而加快VRRP主备倒换的速度。

    • 备份组包含的接口出现故障。

    • Master和Backup不直接相连。

    • Master和Backup直接相连,但在中间链路上存在传输设备。

    BFD对Backup和Master之间的实际地址通信情况进行检测,如果通信不正常,Backup就认为Master已经不可用,升级成Master。在以下两种情况下Backup转换为Master:

    • 当两台路由器之间的直连全部断开时,Backup主动升级成Master,承载上行流量。

    • 当Master重新启动、或Master与交换机之间的链路断开、或与Master相连的交换机重新启动时,Backup主动升级成Master,承载上行流量。

    VRRP快速切换的环境要求:

    • 在Backup上,BFD Session检测的接口必须和Master设备相连。

    • 在Master不可用时,Backup的优先级增加并大于原来Master的优先级,促使自己快速切换为Master。

    虚拟IP地址Ping开关

    RFC3768并没有规定虚拟IP地址应不应该Ping通。不能Ping通虚拟IP地址,会给监控虚拟路由器的工作情况带来一定的麻烦,能够Ping通虚拟IP地址可以比较方便的监控虚拟路由器的工作情况,但是带来可能遭到ICMP攻击的隐患。控制Ping通虚拟IP地址的开关命令,用户可以选择是否打开。

    PS:
    ICMP Flood(即ICMP 洪水攻击):当 ICMP ping 产生的大量回应请求超出了系统的最大限度,以至于系统耗费所有资源来进行响应直至再也无法处理有效的网络信息流,这就是 ICMP 洪水攻击。简单说攻击者向一个子网的广播地址发送多个ICMP Echo请求数据包。并将源地址伪装成想要攻击的目标主机的地址。然后该子网上的所有主机均会对此ICMP Echo请求包作出答复,向被攻击的目标主机发送数据包,使此主机受到攻击,导致网络阻塞。ICMP Flood攻击主要的目的使网络瘫痪,这也是最常见和最常用的网络攻击行为之一。

    VGMP和mVRRP将在其他博文中详解

    HSRP和VRRP的区别:

    • 名字不同。HSRP里是Active,Standby。VRRP是Master,Backup。且HSRP只能有一个Active,一个Standby,其余都是监听状态。VRRP只能有一个Master,其余都是Backup。

    • HSRP的虚拟路由器的IP地址不能和真实路由器的IP地址冲突,但VRRP可以。VRRP中可以将虚拟路由器的IP地址设成真实路由器的IP地址。因为对虚拟路由器来说IP并不重要,最终转发数据是基于虚拟路由器的Mac地址来转发的

    • HSRP的Hello时间默认是3s,Hold时间是10s。VRRP中Hello包收敛更快是1s,Hold时间是3s

    • HSRP组播地址是224.0.0.2。VRRP组播地址是224.0.0.18

    • HSRP默认是关闭抢占的。VRRP默认是开启抢占的。

    • HSRP可以直接track端口。VRRP不可以直接track端口,但可以track对象。

    • HSRP的Active和Standby都发Hello包。VRRP只有Master发Hello包。

    展开全文
  • 一、何为双机热备? 所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为...二、VRRP的概念 VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解...

    在这里插入图片描述
    一、何为双机热备?
    所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。

    华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
    在这里插入图片描述
    二、VRRP的概念
    VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。
    在这里插入图片描述
    三、VRRP的两种角色
    在这里插入图片描述
    四、VRRP的选举流程
    VRRP选举master路由器和backup路由器的流程如下:
    首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。

    除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。

    VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。

    五、VRRP的三个状态
    在这里插入图片描述
    六、通过VGMP统一管理VRRP的状态
    在网络设备上使用VRRP和在其他情景下(Linux中的KeepAlived也使用了VRRP协议)使用并不一样,存在的原因如下图:
    在这里插入图片描述
    从上图中可以看出,正常情况下PC去往外部网络的数据包通过备份组1的master设备(FW1)转发,外部网络返回的数据包由备份组2的master设备(FW1)转发,但是当FW1的G1/0/0接口出现故障时,备份组1可以检测到这一故障,并将FW2作为备份组1的master设备。PC发起的数据包由备份组1的master设备(FW2)进行转发,而备份组2的状态没有发生任何改变(FW1的G1/0/1接口正常工作),所以由外部网络返回的流量仍然由备份组2的master设备(FW1转发),显然,因为FW1的接口G1/0/0故障,数据包无法继续转发。

    造成这种现象的原因就是两个VRRP备份组独立工作,所以需要使用VGMP(VRRP组管理协议)来实现对VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的接口发生变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为master设备)。

    可以简单理解为,VGMP就是用来统一设备在不同备份组中的状态的即可。
    在这里插入图片描述
    在加入VGMP组之后,VRRP中的状态标识从master和backup变成了active和standby。

    1、VGMP的报文封装
    VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式:
    在这里插入图片描述
    如上图中左边的网络图中,心跳线(G1/0/0)和对端的心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息,而当心跳线通过三层设备(当然这种情况并不多见)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部消息,此时发送的报文属于单播。

    通过以下命令指定通过接口发送的报文属于哪种类型的封装。
    在这里插入图片描述
    在这里插入图片描述
    2、双机热备的备份方式
    在这里插入图片描述
    各个模式的配置命令如下:

    (1)开启双机热备功能:
    在这里插入图片描述
    (2)配置自动备份模式:
    在这里插入图片描述
    (3)配置手工批量备份模式:
    在这里插入图片描述
    (4)配置快速备份模式:
    在这里插入图片描述
    3、关于上游或下游设备的选路问题
    当双机热备的设备上游或下游是交换机时,是通过VRRP检测接口或设备的状态,但当上游或下游设备是路由器时,VRRP无法正常运行(VRRP依靠组播实现故障切换)。华为防火墙的做法是监控其接口状态,并配置OSPF实现流量切换,通过直接将接口加入VGMP组中,当接口故障时(即使是对端设备故障,本端接口的物理特性也将关闭)VGMP会感知接口状态变化,从而降低VGMP组的优先级,从Active状态切换至standby状态。而之前的standby组将提升为active状态,而处于standby的VGMP组在发布OSPF路由时,会自动将cost值增加65500,通过OSPF的自动收敛,最终将流量引导至active组设备中。

    七、配置实例
    环境如下(别看上面啰嗦了那么一堆概念,但真正配置起来,简单的很,但是若要排错,还是要理解透彻它的工作原理):
    在这里插入图片描述
    声明:该环境不以实际环境为目的,目的是为了介绍防火墙的双机热备,所以这是一个简化环境。
    需求如下:

    LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。

    开始配置:

    FW1配置如下:
    在这里插入图片描述
    至此,FW1的配置暂时就完成了。开始配置FW2,FW2的配置与FW1的配置类似,就不写注释了

    FW2配置如下:
    在这里插入图片描述
    配置至此,双机热备状态已经同步了,现在FW2为备份状态,多数配置已经无法在FW2上进行,只能在FW1上配置后,自动同步到FW2,那么现在在FW1配置一条策略,以便允许trust区域访问untrust区域,并且在FW2防火墙设备上查看是否同步到这条策略。

    FW1配置如下:
    在这里插入图片描述
    FW2设备上查看是否有FW1创建的策略:
    在这里插入图片描述
    配置R1路由器及PC及的IP地址,并ping通。

    R1路由器配置如下(R1路由器相当于运营商的公网上的路由器了,这里只是为了模拟一个这样的环境):
    在这里插入图片描述
    PC1的IP地址配置如下:
    在这里插入图片描述
    PC1和R1路由器进行ping测试(最好在命令最后加“-t”选项,进行持续ping,以便查看会话表,否则会话表会老化,查不到相应数据):

    在FW1查看会话表:
    在这里插入图片描述
    在FW2查看会话表:
    在这里插入图片描述
    可以看出两个防火墙上的会话表内容都是不一样的(但不会影响故障切换)。

    那么现在就可以进行故障切换的验证咯!

    模拟FW1设备故障(关闭FW1的任意一个接口即可,注:此时PC1还在持续pingR1,才可以看到故障切换的效果):
    在这里插入图片描述
    在关闭接口的后的一两秒钟,可以看到PC1丢了一个包,便又恢复正常了,说明故障切换成功。如下:
    在这里插入图片描述
    配置到此结束,下面是关于双机热备的一些查询命令:
    在这里插入图片描述
    八、总结
    在这里插入图片描述

    展开全文
  • 通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。...在VRRP中有两组重要的概念
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。
    当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。
    下面来以keepalived结合tomcat来实现一个web服务器的双机热备。
    keepalived的工作原理是VRRP(Virtual Router Redundancy Protocol)虚拟路由冗余协议。
    在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。
    VRRP路由器是指运行VRRP的路由器,是物理实体,虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。 Vrrp中存在着一种选举机制,用以选出提供服务的路由即主控路由,其他的则成了备份路由。当主控路由失效后,备份路由中会重新选举出一个主控路由,来继续工作,来保障不间断服务。
    我们在本文中的测试环境如下
    两台物理服务器和一个虚拟服务器(vip):
    master:redhat 2.6.18-53.el5  192.168.8.4
    backup: redhat 2.6.18-53.el5  192.168.8.6
    vip: 192.168.8.100
    测试环境的网络topology图如下:

    节点A 192.168.8.4 (主节点), 节点B 192.168.8.6(备用节点),虚拟IP(对外提供服务的IP 192.168.8.100)
    在这种模式下,虚拟IP在某时刻只能属于某一个节点,另一个节点作为备用节点存在。
    当主节点不可用时,备用节点接管虚拟IP(即虚拟IP漂移至节点B),提供正常服务。
    keepalived的原理可以这样简单理解:
    keepalived安装在两台物理服务器上,并相互监控对方是否在正常运行。
    当节点A正常的时候:节点A上的keepalived会将下面的信息广播出去:
    192.168.8.100 这个IP对应的MAC地址为节点A网卡的MAC地址
    图中的其它电脑如客户端和NodeB会更新自己的ARP表,对应192.168.8.100的MAC地址=节点A网卡的MAC地址。
    当节点A发生故障的时候,节点B上的keepalived会检测到,并且将下面的信息广播出去:
    192.168.8.100 这个IP对应的MAC地址为节点B网卡的MAC地址
    图中的其它电脑如客户端会更新自己的ARP表,对应192.168.8.100的MAC地址=节点B网卡的MAC地址。

    1,在主备机器上安装keepalived,
    步骤如下:下载keepalived-1.1.15.tar.gz,然后解压安装
    #tar zxvf keepalived-1.1.15.tar.gz
    #cd keepalived-1.1.15
    #./configure
    #make
    #make install
    2,配置keepalived
    配置中的state MASTER决定了节点为主节点
    priority决定了优先级,比如在有多个备用节点的时候,主节点故障后优先级值大的接管。
    主节点的配置如下:
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. global_defs {  
    2.     router_id NodeA  
    3. }  
    4. vrrp_instance VI_1 {  
    5.     state MASTER    #设置为主服务器  
    6.     interface eth0  #监测网络接口  
    7.     virtual_router_id 51  #主、备必须一样  
    8.     priority 100   #(主、备机取不同的优先级,主机值较大,备份机值较小,值越大优先级越高)  
    9.     advert_int 1   #VRRP Multicast广播周期秒数  
    10.     authentication {  
    11.     auth_type PASS  #VRRP认证方式,主备必须一致  
    12.     auth_pass 1111   #(密码)  
    13. }  
    14. virtual_ipaddress {  
    15.     192.168.8.100/24  #VRRP HA虚拟地址  
    16. }  
    备用节点的配置如下:
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. global_defs {  
    2.     router_id NodeB  
    3. }  
    4. vrrp_instance VI_1 {  
    5.     state BACKUP    #设置为主服务器  
    6.     interface eth0  #监测网络接口  
    7.     virtual_router_id 51  #主、备必须一样  
    8.     priority 90   #(主、备机取不同的优先级,主机值较大,备份机值较小,值越大优先级越高)  
    9.     advert_int 1   #VRRP Multicast广播周期秒数  
    10.     authentication {  
    11.     auth_type PASS  #VRRP认证方式,主备必须一致  
    12.     auth_pass 1111   #(密码)  
    13. }  
    14. virtual_ipaddress {  
    15.     192.168.8.100/24  #VRRP HA虚拟地址  
    16. }  
    3,启动keepalived:
    keepalived -D -f /usr/local/etc/keepalived/keepalived.conf
    查看log消息:
    tail -f /var/log/messages
    启动主节点A后的日志为:会广播ARP消息
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. [root@srv4 ~]# tail -f /var/log/messages  
    2. Sep 20 01:45:29 srv4 Keepalived_vrrp: Configuration is using : 34546 Bytes  
    3. Sep 20 01:45:29 srv4 Keepalived_vrrp: VRRP sockpool: [ifindex(2), proto(112), fd(8,9)]  
    4. Sep 20 01:45:30 srv4 Keepalived_vrrp: VRRP_Instance(VI_1) Transition to MASTER STATE  
    5. Sep 20 01:45:31 srv4 Keepalived_vrrp: VRRP_Instance(VI_1) Entering MASTER STATE  
    6. Sep 20 01:45:31 srv4 Keepalived_vrrp: VRRP_Instance(VI_1) setting protocol VIPs.  
    7. Sep 20 01:45:31 srv4 Keepalived_vrrp: VRRP_Instance(VI_1) Sending gratuitous ARPs on eth0 for 192.168.8.100  
    8. Sep 20 01:45:31 srv4 Keepalived_vrrp: Netlink reflector reports IP 192.168.8.100 added  
    9. Sep 20 01:45:31 srv4 Keepalived_healthcheckers: Netlink reflector reports IP 192.168.8.100 added  
    10. Sep 20 01:45:31 srv4 avahi-daemon[4029]: Registering new address record for 192.168.8.100 on eth0.  
    11. Sep 20 01:45:36 srv4 Keepalived_vrrp: VRRP_Instance(VI_1) Sending gratuitous ARPs on eth0 for 192.168.8.100  
    通过ip a 命令可以看到192.168.8.100/24绑定到了eth0上
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. [root@srv4 bin]# ip a  
    2. 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue   
    3.     link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00  
    4.     inet 127.0.0.1/8 scope host lo  
    5.     inet6 ::1/128 scope host   
    6.        valid_lft forever preferred_lft forever  
    7. 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast qlen 1000  
    8.     link/ether 00:0c:29:50:2d:9d brd ff:ff:ff:ff:ff:ff  
    9.     inet 192.168.8.4/24 brd 192.168.8.255 scope global eth0  
    10.     inet 192.168.8.100/24 scope global secondary eth0  
    11.     inet6 fe80::20c:29ff:fe50:2d9d/64 scope link   
    12.        valid_lft forever preferred_lft forever  
    启动备用节点B后的日志为:
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. Sep 20 01:47:31 hadoopsrv Keepalived_vrrp: Configuration is using : 34262 Bytes  
    2. Sep 20 01:47:31 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) Entering BACKUP STATE  
    3. Sep 20 01:47:31 hadoopsrv Keepalived_vrrp: VRRP sockpool: [ifindex(2), proto(112), fd(7,8)]  
    4. Sep 20 01:47:31 hadoopsrv Keepalived: Starting VRRP child process, pid=20567  

    4,在两台机器上安装tomcat,安装步骤省略
    安装完成后在节点A的机器上创建一个html文件内容如下
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. this is the test page  
    2. <br>  
    3. from server 192.168.8.4  
    通过下面的url验证能够正常访问
    http://192.168.8.4:8080/test/test.html

    安装完成后在节点B的机器上创建一个html文件内容如下
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. this is the test page  
    2. <br>  
    3. from server 192.168.8.6  
    通过下面的url验证能够正常访问
    http://192.168.8.6:8080/test/test.html
    在主节点,节点A正常的时候通过下面的url访问
    192.168.8.100:8080/test/test.html
    返回的内容应该为主节点上的html
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. this is the test page  
    2. <br>  
    3. from server 192.168.8.4  
    将节点A的keepalived停止: killall keepalived
    通过下面的url访问
    192.168.8.100:8080/test/test.html
    返回的内容应该为备用节点上的内容
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. this is the test page  
    2. <br>  
    3. from server 192.168.8.6  
    同时查看节点B的日志:发现节点B转为主节点并且会广播ARP消息
    [html] view plain copy
     在CODE上查看代码片派生到我的代码片
    1. Sep 20 01:55:44 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) Transition to MASTER STATE  
    2. Sep 20 01:55:45 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) Entering MASTER STATE  
    3. Sep 20 01:55:45 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) setting protocol VIPs.  
    4. Sep 20 01:55:45 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) Sending gratuitous ARPs on eth0 for 192.168.8.100  
    5. Sep 20 01:55:45 hadoopsrv avahi-daemon[3769]: Registering new address record for 192.168.8.100 on eth0.  
    6. Sep 20 01:55:50 hadoopsrv Keepalived_vrrp: VRRP_Instance(VI_1) Sending gratuitous ARPs on eth0 for 192.168.8.100  

    本文的目的主要是演示keepalived实现双机热备的功能和过程。
    对于应用本身(tomcat)发生错误,以及"脑裂"等问题是不能解决的。
    展开全文
  • keepalived 双机热备

    2017-03-04 09:23:57
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。 当提供服务的一台出现故障的时候,另外一台会...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。 VRRP 路
  • 集群概念1. 两大关键特性集群是一组协同工作服务实体,用以提供比单一服务实体更具扩展性与可用性服务平台。在客户端看来,一个集群就象是一个服务实体,但事实上集群由一组服务实体组成。与单一服务实体相比较...
  • keepalived实现双机热备

    2016-09-29 21:18:50
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。 当提供服务的一台出现故障的时候,另外一台会...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。 VRRP 路
  • 一、定义通常说的「双机热备」是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候,另外...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRR...
  • 通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。...在VRRP中有两组重要的概念:...
  • 双机热备:两台或多台设备实现业务不间断(高...VRRP:虚拟路由冗余协议,公有协议 协议号 112 组播地址:224.0.0.18 基本概念: vrrp路由器:vrrp组成员设备 虚拟路由器:虚拟出虚拟网关 vrid:vrrp组号 虚拟ip...
  • 热备份路由选择协议(HSRP)一、HSRP相关概念1、HSRP原理1.1、HSRP概述HSRP(Host Standby Routing Protocol,热备份路由选择协议)是Cisco私有一种协议,它确保了当网络边缘设备或接入链路出现故障时,用户...
  • 冗余性:双机热备 ​ B.UPS:不间断电源 ​ C.发电机 2)CPU ​ 路数:服务器中有多少个CPU,就有多少路。 ​ 核数:决定了服务器并行处理任务能力。 3)内存 ​ 优点:存储/读取效率高 ​ 缺点:临时存放,容易丢失 ...
  • LUN是什么

    千次阅读 2009-09-27 08:25:00
    问:我刚刚接触到solories的双机,对于solaries一些概念不太清除,我是否可以简单认为lun在盘阵上就是对磁盘一种逻辑称呼?因为一帮对应一块盘会有一个LUN,另外LUN作用是干吗?不是可以用vm做封装么?另外一个问题...
  • 通常说的「双机热备」是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行...
  • linux下keepalived配置(心跳检测机制)

    千次阅读 2016-09-09 10:53:57
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。 当提供服务的一台出现故障的时候,另外一台会马上...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。 VRRP
  • keepalived配置(心跳检测机制)

    千次阅读 2018-03-08 16:57:57
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP 路由器是指运行V...
  • vmware vSAN入门小结

    2021-01-09 03:02:15
    vSphere下还有个集群的概念,一个集群视为一个资源池,搭配很多vSphere的高级特性,业务可以在集群中任意主机上,不必担心单主机故障 如下图所示,vSphere的故障恢复机制 HA,可以将故障主机上的虚拟机迁移到其他主机...
  • 通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。当提供服务的一台出现故障的时候,另外一台会马上自动接管并且提供服务,而且切换的时间非常短。...在VRRP中有两组重要的概念
  •  尽管SAN和NAS有很多共同特征,但二者还是有很大的差异的,其最大的差异是存储局域网是一个网络的概念,而附网存储实际上是指一种可以与网络直接相连的存储设备,它更多的是强调“设备”的概念。存储局域网考虑的是...
  • 备份

    2007-01-11 10:17:00
    a、设备备份 设备... 如果我们采取单独一台服务器来做后备,这就成了主机备份,主机备份有很多种方式,比较著名就是所谓cluster,所谓的双机热备和双机容错,我很不喜欢鼓捣这些概念,我一概称他们为
  • keepalived

    2017-03-04 09:27:34
    通常说的双机热备是指两台机器都在运行,但并不是两台机器都同时在提供服务。 当提供服务的一台出现故障的时候,另外一台会马上...在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。 VRRP

空空如也

空空如也

1 2 3
收藏数 47
精华内容 18
热门标签
关键字:

双机冗余的概念