防火墙高可靠性-CSDN博客

本文链接：https://blog.csdn.net/m0_63197559/article/details/148123363

防火墙高可靠性技术概述

防火墙高可靠性技术分为两类：设备高可靠性和链路高可靠性

防火墙双机热备

双机热备概述及相关协议

HRP协议：即Huawei Redundancy Protocol，主要用于实现防火墙双机之间关键配置命令和状态化信息的备份，状态化信息主要包括会话表、Servermap表、黑白名单、NAT映射表等。 VGMP协议：即VRRP Group Management Protocol，主要用于实现对VRRP备份组的统一管理，保证多个VRRP备份组状态的一致性，同时VGMP的状态也会影响路由协议的开销。 备份通道：也称为“心跳线”，用于HRP协议和VGMP协议的通信。

VGMP状态：当防火墙上的VGMP为Active状态时，它保证组内所有VRRP备份组的状态统一为Active状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。

双机热备工作模式

主备备份模式

1、两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。
2、流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相对简单。
3、主备备份模式中，备用设备不承载任何业务流量，资源利用率不高。

负载分担模式

1、两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。
2、相较于主备备份模式，组网方案和配置相对复杂。
3、负载分担模式组网中流量由两台设备共同处理，可以提高防火墙整体的业务吞吐量。
4、负载分担模式组网中设备发生故障时，只有一半的业务需要切换，故障切换的速度更快。

不同模式中备份的注意事项

1、在主备备份组网下，配置命令和状态信息都由主用设备备份到备用设备。
2、而在负载分担组网下，两台防火墙都是主用设备。因此如果允许两台主用设备之间能够相互备份命令，那么可能就会造成两台设备命令相互覆盖或冲突的问题。所以为了方便管理员对两台防火墙配置的统一管理，避免混乱，我们引入配置主和配置从设备的概念。
3、负载分担组网下，发送备份配置命令的防火墙称为配置主设备（命令行提示符前有HRP_M前缀），接收备份配置命令的防火墙称为配置从设备（命令行提示符前有HRP_S前缀）。配置命令只能由“配置主设备”备份到“配置从设备”。状态信息则是两台设备相互备份。

基于VRRP的双机热备

基于路由协议的双机热备

透明模式的双机热备

防火墙链路高可靠性技术

Eth-Trunk

Eth-Trunk技术简称链路聚合，可以将多条以太网物理链路捆绑在一起成为一条逻辑链路，可实现增加带宽、提高链路可靠性的作用。

Eth-Trunk主要功能如下：

增加带宽：链路聚合接口的最大带宽可以达到各成员接口带宽之和。
流量负载分担：在一个链路聚合组内，可以实现业务流量的负载分担。
提高可靠性：当某条链路出现故障时，流量可以切换到其他可用链路上，从而提高链路聚合接口的可靠性。

链路聚合组和链路聚合接口：
链路聚合组LAG（Link Aggregation Group）是指将若干条以太链路捆绑在一起所形成的逻辑链路。
每个聚合组唯一对应着一个逻辑接口，这个逻辑接口称之为链路聚合接口或Eth-Trunk接口。

活动接口和非活动接口：链路聚合组的成员接口存在活动接口和非活动接口两种。转发数据的接口称为活动接口，不转发数据的接口称为非活动接口。

活动链路和非活动链路：活动接口对应的链路称为活动链路，非活动接口对应的链路称为非活动链路。

Eth-Trunk的链路聚合模式：
手工模式：Eth-Trunk接口的创建、成员接口的加入由手工配置。手工模式下，所有链路都是活动链路，如果有链路断连，则其他活动链路自动分担流量。
LACP模式：Eth-Trunk接口的创建、成员接口的加入由手工配置。链路状态协商由LACP协议控制，可以动态监控链路的状态，推荐使用此方式。

Eth-Trunk配置及参数介绍

IP-Link

IP-Link探测技术是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。IP-Link可以检测到非直连链路的故障，与双机热备技术结合使用，提高网络可靠性。

防火墙发送探测报文后，在三个探测周期（默认为15s）内未收到响应报文，则认为当前链路发生故障，IP-Link的状态变为DOWN。
当链路从故障中恢复，若防火墙能连续地收到3个响应报文，则认为链路故障已经消除，IP-Link的状态变为UP。也就是说，链路故障恢复后，IP-Link的状态并不会立即变为UP，而是要等三个探测周期（默认为15s）才会变为UP。

IP-Link配置-CLI
配置IP-Link。
[FW] ip-link check enable
[FW] ip-link name test
[FW-iplink-test] destination 100.1.1.1 interface GigabitEthernet 0/0/3

在双机热备中应用IP-Link，当网络故障时，IP-Link状态变为DOWN，VGMP组优先级降低2。
[FW] hrp track ip-link test

查看IP-Link的信息。
[FW] display ip-link

BFD

BFD（Bidirectional Forwarding Detection，双向转发检测）用于快速检测设备之间的通信故障，并在出现故障时通知上层协议。
BFD技术基于UDP报文进行探测，目的端口号为3784，可以有效避免安全设备的拦截。
需要在防火墙和被探测设备（如路由器）之间建立BFD会话，需要会话两端设备支持BFD协议。

基于单跳会话的BFD Echo功能

如果对端设备不支持BFD功能，则无法正常建立会话。此时可以使用基于单跳会话的BFD Echo功能来检测链路。
BFD Echo功能也称为BFD回声功能，是由本地发送BFD Echo报文，远端系统将报文环回的一种检测机制。

为了能够快速的检测这两台设备之间的故障，可以在支持BFD功能的设备上创建单臂回声功能的BFD会话。
支持BFD功能的设备主动发起回声请求功能，不支持BFD功能的设备接收到该报文后直接将其环回，从而实
现转发链路的连通性检测功能。

BFD会话建立过程

BGP会话建立过程

防火墙和路由器的BFD模块收到上层应用的通知后，发送状态为DoWn的BFD控制报文。

防火墙收到状态为Down的BFD控制报文后，本地状态切换至Init，并发送状态为Init的BFD控制报文。路由器的BFD状态变化同防火墙。

防火墙收到状态为Init的BFD控制报文后，本地状态切换至Up，并发送状态为Up的BFD控制报文。路由器的BFD状态变化同防火墙。

防火墙和路由器双方状态都为Up，会话成功建立并开始检测链路状态。

BGP配置

Link-Group

Link-Group协议介绍

Link-Group功能可以将防火墙的多个接口组成一个逻辑组，组内接口始终保持相同的状态（UP/DOWN）。
若组内任一接口出现故障，系统将组内所有接口的状态置为DOWN；
组内所有接口均恢复正常后，系统才会将组内接口的状态置为UP。
配置Link-Group功能，使防火墙直联的网络设备可以感知到主备发生切换，从而切换路由，恢复业务。

Link-Group配置

双机热备版本升级及故障排查

版本升级

升级前准备

(1)
查看当前版本软件的信息：display version
确认当前License的使用情况：display license
查看设备当前邮件运行状态：display device

(2)
查询设备当前设置文件：display startup
查看设备接口信息：display interface brief
查看设备双机状态：display hrp state / display vrrp

查询业务运行情况
查看设备路由表display  ip routing-table
查看设备MAC表：display mac-address

(3)
查看设备会话表：display firewall session table

查看和备份重要数据：
备份系统软件；保持配置并备份配置文件
<FW>save
<FTP>get remote-filename [local-filename]

检查剩余空间：<FW>dir hda1:


(4)
上传待升级版本软件，并设置为下次启动使用的软件版本：
ftp> put local-filename [remore-filename]
<FW> startup system-software filename

版本升级注意事项

为保障升级过程中业务的连续性，系统升级通常选择在业务运行较少的时段，如非工作时间段；此外，升级需要遵循的主要原则是Active设备和Standby设备分别升级，先升级Standby设备，然后再升级Active设备，在升级过程中HRP备份通道（心跳线）必须断开。

备机升级

必须是先shutdown业务接口，再shutdown心跳接口，否则可能会形成双主现象。
当系统升级后业务异常时，需要进行版本回退。

主机升级

当系统升级后业务异常时，需要进行版本回退。
需要注意的是：当HRP协议格式发生变更时，两种不同的系统版本不能兼容，无法形成双机热备，可能会形成双主现象。此时，应该先shutdown主机的心跳接口，再undo shutdown备机的心跳接口，依靠VRRP优先级完成业务流量转变。

升级后验证
·使用display hrp state命令可以查看防火墙的业务主备状态。
·使用Ping命令测试业务是否正常。

测试双机倒换：
在内网的pC上长Ping公网的Ip地址，然后将主用防火墙的上行或下行接口shutdown，观察防火墙状态切换及Ping包丢包情况。如果切换正常，备用防火墙会立即切换为主机承载业务。备用防火墙命令行提示符前的前缀由HRP_S变为HRP_M，主用防火墙命令行提示符前的前缀由HRP_M变为HRP_S。Ping测试观察是否存在丢包情况;
再将主用防火墙的上行或下行接口恢复，观察防火墙状态切换及Ping包丢包情况。如果切换正常，在抢占延迟时间到达（缺省是60s）后，主用防火墙会重新切换为主机承载业务。主用防火墙命令行提示符前的前缀由HRP_S变为HRP_M，备用防火墙命令行提示符前的前缀由HRP_M变为HRP_S。Ping测试观察存在丢包情况。