防火墙通过VRRP实现双机热备简析

目录

1.防火墙支持哪些NAT技术，主要应用场景是什么？

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

4.防火墙支持那些接口模式，一般使用在那些场景？

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

---

1.防火墙支持哪些NAT技术，主要应用场景是什么？

华为支持的源地址转换方式有如下几类：

NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，使用情况较少。

NAPT（Network Address and Port Translation，网络地址和端口转换）：类似于Cisco的PAT转换，NAPT即转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约公网IP地址，使用场景较多。

出接口地址（Easy-IP）：因其转换方式非常简单，所以也被称为Easy-IP、和NAPT一样，即转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址

NAT Server：静态一对一发布，主要用于内部服务器需要对Internet提供服务时使用。

Smart NAT（智能转换）：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行NAT No-PAT转换，该方式不太常用。

三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普遍NAT中无法实现的问题。主要应用于外部用户访问局域网的一些P2P应用。

2.当内网PC通过公网域名解析访问内网服务器时，会存在什么问题，如何解决？请详细说明

当内网PC访问公网域名时，根据缺省路由，PC会去访问外网的同域名服务器，去外网的dns进行解析，最后访问到公网的同域名服务器。

需要在做NAT的路由器或防火墙上配置域内的NAT转换，让PC访问该公网域名时，防火墙或者路由器能正确的寻址。

3.防火墙使用VRRP实现双机热备时会遇到什么问题，如何解决？详细说明

 

当主用防火墙挂了，虽然通过VRRP流量能够转移到通向备用防火墙的链路，但是流量无法穿过防火墙。流量切下来后，备用防火墙不能建立对应会话表，因为会话表的建立是要依靠于流量的第一个包（会话表首包建立）。不能建立会话表，流量就不能通过备用防火墙。

那么可以断开会话重新发送流量，这显然对用户的体验不好。

也可以关闭防火墙的状态检测机制来实现。

--------------------------------------------------------------------------------------------

还有第二种使用VRRP实现双机热备时会遇到的情况，当流量从主防火墙穿越访问到对端终端，但对端回包时，路由没写好，回去的包走了备用防火墙。这时回去的包肯定不是首包，不能建立会话表，所以不能通过备用防火墙。

--------------------------------------------------------------------------------------------

当然还会面临到链路断开的情况

当主防火墙的左边的下连链路断掉了，VRRP理应将流量切到下面关于备用防火墙的链路上去，假设流量能通过防火墙到达对端终端，那么对端回包时，该流量应该也是走关于备用防火墙的链路。

但是两个防火墙的会话状态没有同步，两边的VRRP没有进行同步，所以该流量会走主防火墙。

所以当一个防火墙的一边的链路断掉了，那么另外一边也要进行切换，两边的VRRP必须同步状态，成为"一致行动人"。

--------------------------------------------------------------------------------------------

那么这里就会用到一个协议来解决这个VRRP同步的问题，VGMP   

VGMP  是为防止可能导致的VRRP状态不一致现象的发生，H3C公司在VRRP基础上进行扩展，推出的VRRP组管理协议VGMP（VRRP Group Management Protocol），负责统一管理加入其中的各备份组VRRP状态

--------------------------------------------------------------------------------------------

解决了VRRP同步问题，流量也过不去，因为无法建立会话表，需要一个会话同步的机制，所以用到  HRP

HRP   华为双机热备协议（Huawei Redundancy Protocol）

可同步防火墙之间的ARP信息、NAT/PAT信息，以及防火墙上配置的安全策略信息等，能够保证在主备中的任何一个防火墙的回包流量能够顺利接收。而且还能监测主备防火墙之间的运行状态。

4.防火墙支持那些接口模式，一般使用在那些场景？

物理接口
防火墙支持的接口可以是二层接口或者三层接口
2) 二层接口：portswitch       更便于后续网络环境升级
3) 三层接口：undo portswitch     

逻辑接口
1) VT（virtual template）接口、dialer接口
2) tunnel接口、null接口 
3) vlanif接口
4) 三层以太网子接口
5) Eth-Trunk接口（防火墙热备）、loobacp接口
 

5.客户反馈在部署防火墙后网络出现个别区域PC无法访问互联网，你觉得会是什么原因？

1、路由：该区域的路由出现了错误，或者网关出现了问题

2、DNS：该区域指向的DNS服务器可能出现了故障，或者没有指定DNS服务器

3、策略：防火墙并没有相关的安全策略，没有放行该区域的流量，或者是策略中所选服务没有在ASPF中启用

4、双机热备：网络环境中用到了多个防火墙，有VRRP，有双机热备，但他们的热备并没有得到正确的配置