今天继续给大家介绍HCIE安全系列相关内容。本文给大家介绍HRP协议的相关理论知识,包括概述、数据备份范围、数据备份方式、备份通道状态和备份通道选择五个方面。
阅读本文,您需要有一定的防火墙基础知识,如果您对此存在困惑,欢迎查阅我博客的其他文章,相信您一定会有所收获。
推荐阅读:
VGMP协议详解
一、HRP协议概述
HRP(Huawei Redundancy Protocol),华为冗余协议,主要用于实现防火墙双机之间动态状态数据和关键配置命令实时备份。
HRP协议功能的实现借助了HRP报文,而HRP报文实际上上是一种VGMP报文,承载在VGMP报文的Data区域。通常而言,HRP协议以VGMP心跳线作为备份通道传输备份数据和命令。
HRP存在两种报文——管理面报文和转发面报文。
管理面HRP报文主要指定HRP备份的一些上层信息,包括备份的方式、备份的数据类型等等。而转发面HRP同步报文则是实时备份报文。
HRP存在两种封装模式——VRRP封装和UDP封装。
管理面HRP报文封装格式为:
VRRP封装:
UDP封装:
转发面HRP报文封装格式为:
VRRP封装:
UDP封装:
二、HRP数据备份范围
(一)HRP可以备份的数据
HRP可以备份的数据有以下几种:
策略: 包括安全策略、NAT策略、带宽管理、认证策略、攻击防范、黑名单、ASPF等
对象: 包括邮件地址组、签名、安全配置文件(反病毒、入侵防御系统、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤等)
网络: 包括新建逻辑接口、安全区域、DNS、IPSEC、SSL VPN、TSM联动等
系统: 包括管理员配置和日志配置等
(二)HRP不能备份的数据
HRP不能备份的数据有以下几种:
维护命令: reset、debugging
系统命令: data-flow等命令
还有管理员、VSYS、物理接口上IP地址等配置命令。
(三)HRP可以备份的设备状态
HRP可以备份的设备状态有:
NGFW生成的会话表;Server-Map表;IP监控表;分片缓存表;GTP表;黑名单;PAT方式端口映射表;No-PAT方式地址映射表等。
三、HRP数据备份方式
HRP数据别分方式有以下三种,备份命令he 备份状态信息如下表所示:
| 备份方式 | 备份命令 | 备份状态信息 |
|---|---|---|
| 自动备份 | 在主设备上每执行一条可以备份的命令时,此配置命令就会被同步执行到备用设备 | 当主设备上产生了需要备份的状态信息时,主用设备自动将状态信息同步到备用设备进行备份,备用设备更新状态 |
| 批量备份 | 主设备将备份范围内的配置命令批量发送到备用设备,备用设备同步执行这些配置命令 | 主设备将备份范围内的状态信息批量发送到备用设备,备用设备更新状态 |
| 快速备份 | 不备份命令 | 将主设备相应的额状态信息表项快速备份到备用设备,使返回报文在备用设备上能够查找到相应的状态信息表项,从而保证内外部用户的业务不中断 |
在这三种备份方式中,自动备份时热备的缺省备份方式,批量备份需要手动执行命令触发,快速备份主要用于负载分担导致的来回路径不一致的场景。
四、HRP备份通道状态
当设备两边均对应配置心跳口后,防火墙会判断心跳接口的物理与协议状态。防火墙的心跳链路一共存在五种状态:
1、running 此状态表示接口正常运行。
2、ready此状态表示接口正常鱼腥,但为备用备份通道,当前为使用。
3、peerdown 此状态表示接口本端正常,但是收不到对端的心跳报文。
4、invalid 此状态表示未指定心跳口的IP地址,心跳口工作在二层。
5、down 此状态表示心跳接口的物理状态与协议状态均为down。
五、HRP备份通道选择
防火墙通过VGMP链路探测报文,检测备份通道的质量,只要本端发送的探测报文对端可以收到并回应,那么认为本端心跳接口可通,与对端配置顺序无关。
当本端心跳接口发生故障时,那么本端立刻切换到第一个处于ready状态的心跳接口。此动作与对端无关。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119256386
