FW部署在网络出口位置时,如果发生故障会影响到整网业务。为提升网络的可靠性,需要部署两台FW并组成双机热备。
双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接,这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况,向对端备份配置和表项(如会话表、IPSec SA等)。当一台FW出现故障时,业务流量能平滑地切换到另一台设备上处理,使业务不中断。
双机热备的系统要求
介绍双机热备功能对设备硬件、软件以及License的要求。
硬件要求
组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。
两台FW的硬盘配置可以不同。例如,一台FW安装硬盘,另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。
软件要求
组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。
实际上,在系统软件版本升级或回退的过程中,两台FW可以暂时运行不同版本的系统软件。例如,一台设备的软件版本为V500R001C50,另一台设备的软件版本为V500R001C30SPC300。
License要求
双机热备功能自身不需要License。但对于其他需要License的功能,如IPS、反病毒等功能,组成双机热备的两台FW需要分别申请和加载License,两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。
心跳线
双机热备组网中,心跳线是两台FW交互消息了解对端状态以及备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。
心跳线主要传递如下消息:
- 心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活。
- VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换。
- 配置和表项备份报文:用于两台FW同步配置命令和状态信息。
- 心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。
- 配置一致性检查报文:用于检测两台FW的关键配置是否一致,如安全策略、NAT等。
上述报文均不受FW的安全策略控制。因此,不需要针对这些报文配置安全策略。
心跳线和心跳接口的配置建议
- 心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上,心跳接口使用网线或者光纤直连。
-
建议规划专门的接口作为心跳接口,该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文,不要将业务报文引导到该接口上转发。同时,建议将多个以太网接口绑定成Eth-Trunk接口,使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性,又可以增加备份通道的带宽。
- 对于USG9000V系列设备,vLPU上的接口均可作为心跳接口。请安装多个vLPU,并将不同接口板上的以太网接口绑定成Eth-Trunk接口,使用该Eth-Trunk接口作为心跳接口。
- 心跳接口需要发送业务相关的表项备份报文,心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
- 建议至少配置2个心跳接口。一个心跳接口作为主用,另一个心跳接口作为备份。
心跳线和心跳接口的配置注意事项
- MGMT接口(GigabitEthernet0/0/0)不能作为心跳接口。
- 配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
- 两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口,Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口(VLANIF)作为心跳接口,实际收发报文的二层物理接口也必须相同。
- 两台FW心跳接口必须加入相同的安全区域。
- 接口MTU值小于1500的接口不能作为心跳接口。
双机热备工作模式
介绍FW支持的双机热备运行模式以及选择使用哪种工作模式。
FW支持主备备份和负载分担模式两种运行模式。
- 主备备份模式:两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时,备用设备接替主用设备处理业务流量,保证业务不中断。
镜像模式是实现主备备份双机热备的一种特殊技术手段,主要用于DCN场景中。
- 负载分担模式:两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。
实验拓扑图
负载平衡
防火墙配置命令:
1.-配置FW1各接口的IP地址
<FW_1>system-view
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]ip address 1.1.1.1 24
[FW_1-GigabitEthernet1/0/1]quit
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW_1-GigabitEthernet1/0/3]quit
[FW_1]interface GigabitEthernet 1/0/6
[FW_1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW_1-GigabitEthernet1/0/6]quit
2.-将FW1各接口加入相应的安全区域。
[FW_1]firewall zone trust
[FW_1-zone-trust]add interface GigabitEthernet 1/0/3
[FW_1-zone-trust]quit
[FW_1]firewall zone dmz
[FW_1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW_1-zone-dmz]quit
[FW_1]firewall zone untrust
[FW_1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW_1-zone-untrust]quit
以上FW2的IP简单配置不再赘述
3.-在FW1上配置一条缺省路由,下一跳为1.1.1.10
[FW_1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
FW2也同上配置 。
4.-配置VRRP备份组
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.3 24 active
[FW_1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 1.1.1.4 24 standby
[FW_1-GigabitEthernet1/0/1]quit
[FW_1] interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]vrrp vrid 3 virtual-ip 10.3.0.3 active
[FW_1-GigabitEthernet1/0/3]vrrp vrid 4 virtual-ip 10.3.0.4 standby
[FW_1-GigabitEthernet1/0/3]quit
FW2配置相反对应的vrrp。
5.-负载分担组网下,两台FW都转发流量,为了防止来回路径不一致,需要在两台FW上都配置会话快速备份功能。
[FW_1] hrp mirror session enable
-在FW上指定心跳口并启用双机热备功能。
[FW_1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW_1]hrp enable
6.在FW_1上配置安全策略。双机热备状态成功建立后,FW_1的安全策略配置会自动备份到FW_2上。
-配置安全策略,允许内网用户访问Internet。
HRP_M[FW_1]security-policy
HRP_M[FW_1-policy-security]rule name trust_to_untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-zone trust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]destination-zone untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]action permit
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-address 10.3.0.0 24
HRP_M[FW_1-policy-security-rule-trust_to_untrust]quit
HRP_M[FW_1-policy-security]quit
7.在FW_1上配置NAT策略。双机热备状态成功建立后,FW_1的NAT策略配置会自动备份到FW_2上
-配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.2.5-1.1.2.8)
HRP_M[FW_1]nat address-group group1
HRP_M[FW_1-address-group-group1]section 0 1.1.2.5 1.1.2.8
HRP_M[FW_1-address-group-group1]quit
HRP_M[FW_1]nat-policy
HRP_M[FW_1-policy-nat]rule name policy_nat1
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-zone trust
HRP_M[FW_1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-address 10.3.0.0 16
HRP_M[FW_1-policy-nat-rule-policy_nat1]action source-nat address-group group1
HRP_M[FW_1-policy-nat-rule-policy_nat1]quit
HRP_M[FW_1-policy-nat]quit
8.-对于双机热备的负载分担组网,为了防止两台设备进行NAT转换时端口冲突,需要在FW_1和FW_2上分别配置可用的端口范围。在FW_1上进行如下配置:
HRP_M[FW_1]hrp nat resource primary-group
FW_1配置此命令后,FW_2上会自动备份此命令,并转换成hrp nat resource secondary-group命令
实验拓扑图
直连
防火墙配置
1.-配置FW1各接口的IP地址
<FW_1>system-view
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]ip address 10.2.0.1 24
[FW_1-GigabitEthernet1/0/1]quit
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]ip address 10.3.0.1 24
[FW_1-GigabitEthernet1/0/3]quit
[FW_1]interface GigabitEthernet 1/0/6
[FW_1-GigabitEthernet1/0/6]ip address 10.10.0.1 24
[FW_1-GigabitEthernet1/0/6]quit
2.-将FW1各接口加入相应的安全区域。
[FW_1]firewall zone trust
[FW_1-zone-trust]add interface GigabitEthernet 1/0/3
[FW_1-zone-trust]quit
[FW_1]firewall zone dmz
[FW_1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW_1-zone-dmz]quit
[FW_1]firewall zone untrust
[FW_1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW_1-zone-untrust]quit
在FW1和FW2上配置缺省路由,下一跳为1.1.1.10,使内网用户的流量可以正常转发至Router
[FW_1] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
以上FW2的IP简单配置不再赘述
3配置VRRP备份组
-在FW_A上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在FW_B上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。
[FW_1]interface GigabitEthernet 1/0/1
[FW_1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_1-GigabitEthernet1/0/1]quit
[FW_2] interface GigabitEthernet 1/0/1
[FW_2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_2-GigabitEthernet1/0/1]quit
-在FW_A下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。在FW_B下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Standby。
[FW_1]interface GigabitEthernet 1/0/3
[FW_1-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_1-GigabitEthernet1/0/3]quit
[FW_2]interface GigabitEthernet 1/0/3
[FW_2-GigabitEthernet1/0/3]vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_2-GigabitEthernet1/0/3]quit
4.指定心跳口并启用双机热备功能
[FW_1]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2
[FW_1]hrp enable
[FW_2]hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1
[FW_2]hrp enable
5.在FW_1上配置安全策略。双机热备状态成功建立后,FW_1的安全策略配置会自动备份到FW_2上
-配置安全策略,允许内网用户访问Internet。
HRP_M[FW_1]security-policy
HRP_M[FW_1-policy-security]rule name trust_to_untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-zone trust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]destination-zone untrust
HRP_M[FW_1-policy-security-rule-trust_to_untrust]source-address 10.3.0.0 24
HRP_M[FW_1-policy-security-rule-trust_to_untrust]action permit
HRP_M[FW_1-policy-security-rule-trust_to_untrust]quit
HRP_M[FW_1-policy-security]quit
6.在FW_1上配置NAT策略。双机热备状态成功建立后,FW_1的NAT策略配置会自动备份到FW_2上。
-配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)
HRP_M[FW_1]nat address-group group1
HRP_M[FW_1-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_1-address-group-group1] quit
HRP_M[FW_1]nat-policy
HRP_M[FW_1-policy-nat] rule name policy_nat1
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-zone trust
HRP_M[FW_1-policy-nat-rule-policy_nat1]destination-zone untrust
HRP_M[FW_1-policy-nat-rule-policy_nat1]source-address 10.3.0.0 16
HRP_M[FW_1-policy-nat-rule-policy_nat1]action source-nat address-group group1
路由器简单配置IP即可
实验结果:
PC端经过NAT转换后地址通信
扫一扫
1481
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
