網(wǎng)絡(luò)可靠性-雙機(jī)熱備技術(shù)白皮書(shū)-D

1、雙機(jī)熱備技術(shù)白皮書(shū)杭州華三通信技術(shù)有限公司第 PAGE 15頁(yè), 共15頁(yè)雙機(jī)熱備技術(shù)白皮書(shū)關(guān)鍵詞：雙機(jī)熱備、主備模式、負(fù)載分擔(dān)模式、數(shù)據(jù)同步、流量切換摘 要：防火墻設(shè)備是所有信息流都必須通過(guò)的單一點(diǎn)，一旦故障所有信息流都會(huì)中斷。保障信息流不中斷至關(guān)重要，這就需要解決防火墻設(shè)備單點(diǎn)故障問(wèn)題。雙機(jī)熱備技術(shù)可以保障即使在防火墻設(shè)備故障的情況下，信息流仍然不中斷。本文將介紹雙機(jī)熱備的概念、工作模式、實(shí)現(xiàn)機(jī)制及典型應(yīng)用等?？s略語(yǔ)：縮略語(yǔ)英文全名中文解釋ALGApplication Level Gateway應(yīng)用層網(wǎng)關(guān)ASPFApplication Specific Packet Filter基于應(yīng)用層

2、的包過(guò)濾NATNetwork Address Translator網(wǎng)絡(luò)地址轉(zhuǎn)換VRRPVirtual Router Redundancy Protocol虛擬路由冗余協(xié)議OSPFOpen Shortest Path First開(kāi)放最短路徑優(yōu)先目 錄 HYPERLINK l _bookmark0 概述 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark0 產(chǎn)生背景 HYPERLINK l _bookmark0 3 HYPERLINK l _bookmark2 技術(shù)優(yōu)點(diǎn) HYPERLINK l _bookmark2 5 HYPERLINK l _bookm

3、ark2 雙機(jī)熱備工作模式 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark2 主備模式 HYPERLINK l _bookmark2 5 HYPERLINK l _bookmark3 負(fù)載分擔(dān)模式 HYPERLINK l _bookmark3 6 HYPERLINK l _bookmark4 雙機(jī)熱備實(shí)現(xiàn)機(jī)制 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark4 數(shù)據(jù)同步 HYPERLINK l _bookmark4 7 HYPERLINK l _bookmark5 流量切換 HYPERLINK l _bo

4、okmark5 8 HYPERLINK l _bookmark5 通過(guò)VRRP實(shí)現(xiàn)流量切換 HYPERLINK l _bookmark5 8 HYPERLINK l _bookmark7 通過(guò)動(dòng)態(tài)路由實(shí)現(xiàn)流量切換 HYPERLINK l _bookmark7 10 HYPERLINK l _bookmark8 應(yīng)用限制 HYPERLINK l _bookmark8 11 HYPERLINK l _bookmark9 H3C實(shí)現(xiàn)的技術(shù)特色 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark9 雙機(jī)熱備典型組網(wǎng)應(yīng)用 HYPERLINK l _bookma

5、rk9 12 HYPERLINK l _bookmark9 雙機(jī)熱備典型組網(wǎng)應(yīng)用（路由模式主備模式） HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark10 雙機(jī)熱備典型組網(wǎng)應(yīng)用（路由模式負(fù)載分擔(dān)模式） HYPERLINK l _bookmark10 13 HYPERLINK l _bookmark11 雙機(jī)熱備典型組網(wǎng)應(yīng)用（透明模式負(fù)載分擔(dān)模式） HYPERLINK l _bookmark11 14 HYPERLINK l _bookmark12 參考文獻(xiàn) HYPERLINK l _bookmark12 15概述產(chǎn)生背景在當(dāng)前的組網(wǎng)應(yīng)用中，用戶對(duì)網(wǎng)

6、絡(luò)可靠性的要求越來(lái)越高，對(duì)于一些重要的業(yè)務(wù)入口或接入點(diǎn)（比如企業(yè)的Internet接入點(diǎn)、銀行的數(shù)據(jù)庫(kù)服務(wù)器等）如何保證網(wǎng)絡(luò)的不間斷傳輸，成為急需解決的一個(gè)問(wèn)題。如 HYPERLINK l _bookmark0 圖1 所示，防火墻作為內(nèi)外網(wǎng)的接入點(diǎn)，當(dāng)設(shè)備出現(xiàn)故障便會(huì)導(dǎo)致內(nèi)外網(wǎng)之間的網(wǎng)絡(luò)業(yè)務(wù)的全部中斷。在這種關(guān)鍵業(yè)務(wù)點(diǎn)上如果只使用一臺(tái)設(shè)備的話，無(wú)論其可靠性多高，系統(tǒng)都必然要承受因單點(diǎn)故障而導(dǎo)致網(wǎng)絡(luò)中斷的風(fēng)險(xiǎn)。InternetPrivate network子網(wǎng)1: 192.168.1.1/24子網(wǎng)2: 192.168.2.1/24圖1 單點(diǎn)設(shè)備組網(wǎng)圖于是，業(yè)界推出了傳統(tǒng)備份組網(wǎng)方案來(lái)避免此風(fēng)險(xiǎn)，

7、該方案在接入點(diǎn)部署多臺(tái)設(shè)備形成備份，通過(guò)VRRP或動(dòng)態(tài)路由等機(jī)制進(jìn)行鏈路切換，實(shí)現(xiàn)一臺(tái)設(shè)備故障后流量自動(dòng)切換到另一臺(tái)正常工作的設(shè)備。傳統(tǒng)備份組網(wǎng)方案適用于接入點(diǎn)是路由器等轉(zhuǎn)發(fā)設(shè)備的情況。因?yàn)榻?jīng)過(guò)設(shè)備的每個(gè)報(bào)文都是查找轉(zhuǎn)發(fā)表進(jìn)行轉(zhuǎn)發(fā)，鏈路切換后，后續(xù)報(bào)文的轉(zhuǎn)發(fā)不受影響。但是當(dāng)接入點(diǎn)是狀態(tài)防火墻等設(shè)備時(shí)，由于狀態(tài)防火墻是基于連接狀態(tài)的，當(dāng)用戶發(fā)起會(huì)話時(shí)，狀態(tài)防火墻只會(huì)對(duì)會(huì)話的首包進(jìn)行檢查，如果首包允許通過(guò)則會(huì)建立一個(gè)會(huì)話表項(xiàng)（表項(xiàng)里包括源IP、源端口、目的IP、目的端口等信息），只有匹配該會(huì)話表項(xiàng)的后續(xù)報(bào)文（包括返回報(bào)文）才能夠通過(guò)防火墻。如果鏈路切換后，后續(xù)報(bào)文找不到正確的表項(xiàng)，會(huì)導(dǎo)致當(dāng)前業(yè)務(wù)中

8、斷。雙機(jī)熱備解決方案能夠很好的解決這個(gè)問(wèn)題。在鏈路切換前，對(duì)會(huì)話信息進(jìn)行主備同步；在設(shè)備故障后能將流量切換到其他備份設(shè)備，由備份設(shè)備繼續(xù)處理業(yè)務(wù)，從而保證了當(dāng)前的會(huì)話不被中斷。如 HYPERLINK l _bookmark1 圖2 所示，在接入點(diǎn)的位置部署兩臺(tái)防火墻，當(dāng)其中一臺(tái)防火墻發(fā)生故障時(shí)，數(shù)據(jù)流被引導(dǎo)到另一臺(tái)防火墻上繼續(xù)傳輸，因?yàn)樵诹髁壳袚Q之前已經(jīng)進(jìn)行了數(shù)據(jù)同步，所以當(dāng)前業(yè)務(wù)不會(huì)中斷，從而提高了網(wǎng)絡(luò)的穩(wěn)定性及可靠性。圖2 雙機(jī)熱備組網(wǎng)圖雙機(jī)熱備可以從兩個(gè)層面去理解：一個(gè)是廣義的雙機(jī)熱備，它是一種解決方案，用來(lái)解決網(wǎng)絡(luò)中的單點(diǎn)故障問(wèn)題，它通過(guò)數(shù)據(jù)同步和流量切換兩個(gè)技術(shù)來(lái)實(shí)現(xiàn)；一個(gè)是狹義的雙

9、機(jī)熱備，它是設(shè)備支持的一個(gè)功能模塊（只實(shí)現(xiàn)了數(shù)據(jù)同步），可以使用對(duì)應(yīng)的 Web 頁(yè)簽來(lái)配置。本文描述的是廣義的雙機(jī)熱備。技術(shù)優(yōu)點(diǎn)與傳統(tǒng)備份組網(wǎng)方案相比較，雙機(jī)熱備解決方案可以保證當(dāng)前業(yè)務(wù)不會(huì)因?yàn)榉阑饓吸c(diǎn)故障而中斷。雙機(jī)熱備解決方案支持主備和負(fù)載分擔(dān)兩種工作模式，并支持防火墻工作在路由模式或透明模式，可廣泛適用于各種復(fù)雜的組網(wǎng)需求。防火墻工作在路由模式是指防火墻作為三層設(shè)備在網(wǎng)絡(luò)中運(yùn)行；工作在透明模式是指防火墻作為二層設(shè)備在網(wǎng)絡(luò)中運(yùn)行。雙機(jī)熱備工作模式雙機(jī)熱備解決方案根據(jù)組網(wǎng)情況有兩種工作模式：主備模式和負(fù)載分擔(dān)模式。在這兩種模式中，設(shè)備的角色根據(jù)是否承擔(dān)流量來(lái)決定：有流量經(jīng)過(guò)的設(shè)備即為主設(shè)備

10、，無(wú)流量經(jīng)過(guò)的設(shè)備即為備份設(shè)備。主備模式主備模式下的兩臺(tái)防火墻，其中一臺(tái)作為主設(shè)備，另一臺(tái)作為備份設(shè)備。主設(shè)備處理所有業(yè)務(wù)，并將產(chǎn)生的會(huì)話信息傳送到備份設(shè)備進(jìn)行備份；備份設(shè)備不處理業(yè)務(wù)，只用做備份（如 HYPERLINK l _bookmark3 圖3 所示，F(xiàn)irewall 1處理全部業(yè)務(wù)，F(xiàn)irewall 2用做備份）。當(dāng)主設(shè)備故障，備份設(shè)備接替主設(shè)備處理業(yè)務(wù)，從而保證新發(fā)起的會(huì)話能正常建立，當(dāng)前正在進(jìn)行的會(huì)話也不會(huì)中斷（如 HYPERLINK l _bookmark3 圖4 所示，當(dāng)Firewall 1故障，F(xiàn)irewall 2 接續(xù)處理全部業(yè)務(wù)）。Trust區(qū)域會(huì)話表項(xiàng)Firewall

11、 1Untrust區(qū)域Firewall 2會(huì)話表項(xiàng)實(shí)際連接DMZ區(qū)域 報(bào)文路徑圖3 主備模式下，F(xiàn)irewall 1故障前會(huì)話示意圖Trust區(qū)域Firewall 1Untrust區(qū)域Firewall 2會(huì)話表項(xiàng)實(shí)際連接DMZ區(qū)域 報(bào)文路徑圖4 主備模式下，F(xiàn)irewall 1故障后會(huì)話示意圖負(fù)載分擔(dān)模式負(fù)載分擔(dān)模式下，兩臺(tái)設(shè)備均為主設(shè)備，都處理業(yè)務(wù)流量，同時(shí)又作為另一臺(tái)設(shè)備的備份設(shè)備，備份對(duì)端的會(huì)話信息（如 HYPERLINK l _bookmark4 圖5 所示，F(xiàn)irewall 1和Firewall 2均處理業(yè)務(wù)，互為備份）。當(dāng)其中一臺(tái)故障后，另一臺(tái)設(shè)備負(fù)責(zé)處理全部業(yè)務(wù)，從而保證新發(fā)起的

12、會(huì)話能正常建立，當(dāng)前正在進(jìn)行的會(huì)話也不會(huì)中斷（如 HYPERLINK l _bookmark3 圖4 所示，當(dāng)Firewall 1故障，F(xiàn)irewall 2接續(xù)處理全部業(yè)務(wù)）。Trust區(qū)域會(huì)話表項(xiàng)Firewall 1Untrust區(qū)域Firewall 2會(huì)話表項(xiàng)實(shí)際連接DMZ區(qū)域 報(bào)文路徑圖5 負(fù)載分擔(dān)模式下，F(xiàn)irewall 1故障前會(huì)話示意圖雙機(jī)熱備實(shí)現(xiàn)機(jī)制數(shù)據(jù)同步防火墻設(shè)備需要維護(hù)每條會(huì)話的狀態(tài)等相關(guān)信息，當(dāng)主設(shè)備故障、流量切換到備份設(shè)備時(shí)，仍然要求備份設(shè)備上有正確的會(huì)話信息才能繼續(xù)處理會(huì)話報(bào)文，否則會(huì)話報(bào)文會(huì)被丟棄從而導(dǎo)致會(huì)話中斷。因此，主設(shè)備上會(huì)話建立或表項(xiàng)變化時(shí)需要將相關(guān)信息同步

13、保存到備份設(shè)備，以保證主設(shè)備和備份設(shè)備會(huì)話表項(xiàng)的完全一致。防火墻能夠同步的信息包括會(huì)話、NAT、ALG、ASPF、黑名單、H.323、SIP、ILS、RTSP、NBT、SQLNET等。數(shù)據(jù)同步的方式有批量備份和實(shí)時(shí)備份：批量備份：防火墻設(shè)備工作了一段時(shí)間后，可能已經(jīng)存在大量的會(huì)話表項(xiàng)， 此時(shí)加入另一臺(tái)防火墻設(shè)備，在兩臺(tái)設(shè)備上使能雙機(jī)熱備功能后，先運(yùn)行的防火墻會(huì)將已有的會(huì)話表項(xiàng)一次性同步到新加入的設(shè)備，這個(gè)過(guò)程稱為批量備份。實(shí)時(shí)備份：防火墻在運(yùn)行過(guò)程中，可能會(huì)產(chǎn)生新的會(huì)話表項(xiàng)。為了保證表項(xiàng)的完全一致，防火墻在產(chǎn)生新表項(xiàng)或表項(xiàng)變化后會(huì)及時(shí)備份到另一臺(tái)設(shè)備， 這個(gè)過(guò)程稱為實(shí)時(shí)備份。流量切換雙機(jī)熱備解

14、決方案利用VRRP或動(dòng)態(tài)路由實(shí)現(xiàn)流量的切換，下面將分別進(jìn)行介紹。通過(guò)VRRP實(shí)現(xiàn)流量切換通過(guò)VRRP將局域網(wǎng)中的一組設(shè)備配置成一個(gè)備份組，這組設(shè)備在功能上就相當(dāng)于一臺(tái)虛擬設(shè)備。局域網(wǎng)內(nèi)的主機(jī)只需要知道這個(gè)虛擬設(shè)備的IP地址，通過(guò)這個(gè)虛擬設(shè)備與其它網(wǎng)絡(luò)進(jìn)行通信。備份組中，僅有一臺(tái)設(shè)備處于活動(dòng)狀態(tài)，能夠轉(zhuǎn)發(fā)報(bào)文，稱為主用設(shè)備（Master），其余設(shè)備都處于備份狀態(tài)，并隨時(shí)按照優(yōu)先級(jí)高低做好接替任務(wù)的準(zhǔn)備，稱為備份設(shè)備（Backup）。當(dāng)發(fā)現(xiàn)主用設(shè)備故障時(shí)，優(yōu)先級(jí)次高的備用設(shè)備會(huì)當(dāng)選為新的Master接替原Master工作，整個(gè)過(guò)程對(duì)用戶來(lái)說(shuō)是完全透明的，這就很好的實(shí)現(xiàn)了流量切換。雙機(jī)熱備的工作模式

15、是主備模式還是負(fù)載分擔(dān)模式可以通過(guò)組網(wǎng)和VRRP的配置來(lái)實(shí)現(xiàn)：主備模式下僅需要配置一個(gè)備份組，不同防火墻在該備份組中擁有不同優(yōu)先級(jí)，優(yōu)先級(jí)高的防火墻成為Master。如 HYPERLINK l _bookmark6 圖 6 中所示，F(xiàn)irewall 1 和Firewall 2 上創(chuàng)建VRRP備份組 1，并配置Firewall 1 的優(yōu)先級(jí)高于Firewall 2。Host A和Host B的缺省網(wǎng)關(guān)設(shè)為備份組 1 的虛擬IP地址 172.17.1.200/24。以此實(shí)現(xiàn)Firewall 1 能正常工作的情況下，F(xiàn)irewall 1 承擔(dān)Host A和Host B的轉(zhuǎn)發(fā)任務(wù)，F(xiàn)irewall 2

16、 是Backup且處于就緒監(jiān)聽(tīng)狀態(tài)。如果Firewall 1 發(fā)生故障，則Firewall 2 成為新的Master，繼續(xù)為Host A和Host B提供轉(zhuǎn)發(fā)服務(wù)。Public networkFirewall 1雙機(jī)熱備專線Firewall 2GE0/1GE0/1Master備份組1Virtual IP address: 172.17.1.200/24BackupPrivate networkHost AIP: 172.17.1.10/24 Gateway: 172.17.1.200Host BIP: 172.17.1.129/24 Gateway: 172.17.1.200圖6 通過(guò)VRRP

17、功能實(shí)現(xiàn)流量切換示意圖（主備模式）負(fù)載分擔(dān)模式需要配置兩個(gè)備份組，通過(guò)配置保證一臺(tái)防火墻是備份組 1 的Master，另一臺(tái)防火墻是備份組 2 的Master。如 HYPERLINK l _bookmark7 圖 7 所示，F(xiàn)irewall 1 和Firewall 2 上均創(chuàng)建VRRP備份組 1 和備份組 2，并配置在備份組 1 上Firewall1 的優(yōu)先級(jí)高于Firewall 2，在備份組 2 上Firewall 2 的優(yōu)先級(jí)高于Firewall 1。Host A的缺省網(wǎng)關(guān)設(shè)為備份組 1 的虛擬IP地址 172.17.1.200/24，Host B 的缺省網(wǎng)關(guān)設(shè)為備份組 2 的虛擬IP地址

18、 172.17.1.201/24。以此實(shí)現(xiàn)Firewall 1 能正常工作的情況下，Host A的報(bào)文通過(guò)Firewall 1 轉(zhuǎn)發(fā)，Host B的報(bào)文通過(guò)Firewall 2 轉(zhuǎn)發(fā)，F(xiàn)irewall 1 和Firewall 2 分擔(dān)處理內(nèi)網(wǎng)的報(bào)文流量，同時(shí)又互為備份，監(jiān)聽(tīng)對(duì)方的狀態(tài)。如果Firewall 1 發(fā)生故障，則Firewall 2 成為備份組 1 的Master，Host A和Host B的報(bào)文均通過(guò)Firewall 2 轉(zhuǎn)發(fā)。Public networkFirewall 1雙機(jī)熱備專線Firewall 2GE0/1GE0/1Master備份組1Virtual IP address

19、: 172.17.1.200/24BackupBackup備份組2Virtual IP address: 172.17.1.201/24MasterPrivate networkHost AIP: 172.17.1.10/24 Gateway: 172.17.1.200Host BIP: 172.17.1.129/24 Gateway: 172.17.1.200圖7 通過(guò)VRRP功能實(shí)現(xiàn)流量切換（負(fù)載分擔(dān)）通過(guò)動(dòng)態(tài)路由實(shí)現(xiàn)流量切換如果網(wǎng)絡(luò)中不同網(wǎng)段的兩臺(tái)設(shè)備A到B之間有多條通路，動(dòng)態(tài)路由協(xié)議會(huì)使用算法選取最優(yōu)的一條路徑作為A到B的路由。當(dāng)這條通路故障，路由協(xié)議會(huì)從剩余的可用通路中選擇最優(yōu)的一條

20、作為新的路由，如果故障路由恢復(fù)，則又會(huì)重新啟用原路由，從而動(dòng)態(tài)的保證A與B之間的連通。雙機(jī)熱備的工作模式是主備模式還是負(fù)載分擔(dān)模式可以通過(guò)組網(wǎng)和動(dòng)態(tài)路由的配置來(lái)實(shí)現(xiàn)（以下以O(shè)SPF為例）：主備模式只有一臺(tái)防火墻處于工作狀態(tài)，另一臺(tái)防火墻處于備份狀態(tài)。如 HYPERLINK l _bookmark8 圖 HYPERLINK l _bookmark8 8 所示，Router A、Router B、Firewall 1 和Firewall 2 上均配置OSPF功能， 處于同一個(gè)OSPF域，在Router A和Router B上都配置Ethernet1/1 的cost值小于Ethernet1/2 的。

21、這樣，路徑Router AFirewall 1Router B的優(yōu)先級(jí)會(huì)高于路徑Router AFirewall 2Router B，當(dāng)Firewall 1 能正常工作的情況下，內(nèi)網(wǎng)發(fā)往外網(wǎng)的報(bào)文都會(huì)通過(guò)Firewall 1 轉(zhuǎn)發(fā)；當(dāng)Firewall 1發(fā)生故障，OSPF會(huì)啟用次優(yōu)路由，內(nèi)網(wǎng)發(fā)往外網(wǎng)的報(bào)文會(huì)通過(guò)Firewall 2 轉(zhuǎn)發(fā)。負(fù)載分擔(dān)模式下兩臺(tái)防火墻處于工作狀態(tài)并互為備份。如 HYPERLINK l _bookmark8 圖 8 所示，Router A、Router B、Firewall 1 和Firewall 2 上均配置OSPF功能，處于同一個(gè)OSPF域，在Router A和R

22、outer B上都配置至少允許兩條等價(jià)路由。因?yàn)镽outer AFirewall 1Router B這條路由與Router AFirewall 2Router B優(yōu)先級(jí)一樣，所以，當(dāng)Firewall 1、Firewall 2 能正常工作的情況下，F(xiàn)irewall 1 和Firewall 2 分擔(dān)處理內(nèi)網(wǎng)發(fā)往外網(wǎng)的報(bào)文；當(dāng)Firewall 1 發(fā)生故障，則Firewall 2 會(huì)處理內(nèi)網(wǎng)發(fā)往外網(wǎng)的全部報(bào)文。InternetOSPFEth1/1Router AEth1/2Firewall 1Firewall 2Eth1/1Eth1/2Router BPrivate network圖8 通過(guò)OSPF

23、功能實(shí)現(xiàn)流量切換應(yīng)用限制雙機(jī)熱備只支持兩臺(tái)設(shè)備進(jìn)行備份。雙機(jī)熱備的兩臺(tái)設(shè)備要求硬件配置和軟件版本一致，并且要求接口卡的型號(hào)與所在的槽位一致，否則會(huì)出現(xiàn)一臺(tái)設(shè)備備份過(guò)去的信息，在另一臺(tái)設(shè)備上無(wú)法識(shí)別，或者找不到相關(guān)物理資源，從而導(dǎo)致流量切換后報(bào)文轉(zhuǎn)發(fā)出錯(cuò)或者失敗。雙機(jī)熱備只支持?jǐn)?shù)據(jù)同步，不支持配置同步。所以在一端進(jìn)行某些配置時(shí)， 比如配置接口類型、接口允許通過(guò)的 VLAN 等，需要手工在對(duì)端也進(jìn)行相應(yīng)的配置。H3C實(shí)現(xiàn)的技術(shù)特色互為備份的兩臺(tái)防火墻只負(fù)責(zé)會(huì)話信息備份，保證流量切換后會(huì)話連接不中斷。而流量的切換則依靠傳統(tǒng)備份技術(shù)（如 VRRP、動(dòng)態(tài)路由）來(lái)實(shí)現(xiàn)，應(yīng)用靈活，能適應(yīng)各種組網(wǎng)環(huán)境。使用專

24、有的備份鏈路口進(jìn)行會(huì)話信息的備份，該備份鏈路口不作數(shù)據(jù)轉(zhuǎn)發(fā)， 從而保障了備份的高可靠性及高性能。雙機(jī)熱備典型組網(wǎng)應(yīng)用雙機(jī)熱備典型組網(wǎng)應(yīng)用（路由模式主備模式）Firewall 1和Firewall 2是用戶網(wǎng)絡(luò)連接公有網(wǎng)絡(luò)的入口點(diǎn)，F(xiàn)irewall 1和Firewall 2工作在路由模式。現(xiàn)要求實(shí)現(xiàn)Firewall 1能正常工作的情況下，Host A和Host B通過(guò)Firewall 1訪問(wèn)Server 1。當(dāng)Firewall 1故障，Host A和Host B通過(guò)Firewall 2訪問(wèn)Server 1，并且Host A、Host B和Server 1的當(dāng)前會(huì)話不會(huì)被中斷。這個(gè)需求可以通過(guò)在F

25、irewall 1和Firewall 2上配置VRRP備份組1和備份組2（備份組1用來(lái)監(jiān)控下行鏈路，備份組2用來(lái)監(jiān)控上行鏈路），并使能數(shù)據(jù)同步功能來(lái)實(shí)現(xiàn)。Server 1IP: 100.0.0.100/24Gateway: 100.0.0.200/24L2 switch AMasterGE1/3 100.0.0.1/24備 份 組 2 Virtual IP address:100.0.0.200/24雙機(jī)熱備專線BackupGE1/3 100.0.0.2/24Firewall 1Firewall 2GE0/1GE0/1GE1/2 172.17.1.101/24Master備 份 組 1 Vir

26、tual IP address: 172.17.1.200/24GE1/2 172.17.1.102/24BackupL2 switch BL2 switch CHost AIP: 172.17.1.10/24 Gateway: 172.17.1.200Host BIP: 172.17.1.129/24 Gateway: 172.17.1.200圖9 雙機(jī)熱備典型組網(wǎng)圖（通過(guò)VRRP功能實(shí)現(xiàn)流量切換）雙機(jī)熱備典型組網(wǎng)應(yīng)用（路由模式負(fù)載分擔(dān)模式）Firewall 1和Firewall 2是用戶網(wǎng)絡(luò)連接公有網(wǎng)絡(luò)的入口點(diǎn)，F(xiàn)irewall 1和Firewall 2工作在路由模式。現(xiàn)要求實(shí)現(xiàn)Firew

27、all 1能正常工作的情況下，Host A通過(guò)Firewall 1 訪問(wèn)Server 1，Host B通過(guò)Firewall 2訪問(wèn)Server 1，F(xiàn)irewall 1和Firewall 2分擔(dān)處理內(nèi)網(wǎng)的報(bào)文流。當(dāng)Firewall 1故障時(shí)，Host A和Host B通過(guò)Firewall 2訪問(wèn)Server 1，并且Host A、Host B和Server 1的當(dāng)前會(huì)話不會(huì)被中斷。這個(gè)需求可以通過(guò)在Router A、Router B、Router C、Router D、Firewall 1和Firewall 2上配置OSPF，并在Firewall 1和Firewall 2上使能數(shù)據(jù)同步功能來(lái)實(shí)

28、現(xiàn)。202.100.1.101/24202.100.1.100/24OSPFGE1/3 202.100.1.1/24GE1/3 202.100.1.2/24Router CGE1/2 20.10.10.1/24GE1/1 172.17.1.1/16GE1/2 20.10.10.2/24Router DGE1/1 172.17.2.2/16GE1/1 172.17.1.101/16Firewall 1雙機(jī)熱備專線GE1/1 172.17.2.102/16Firewall 2GE1/3 172.16.1.101/24GE1/3 172.16.2.102/24GE1/3 172.16.1.1/24GE1/3 172.16.2.2/24Router ARouter BGE1/1 192.168.1.1/24GE1/1 192.168.2.2/241