防火墙双机热备配置及组网指导
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现
中断。
防火墙双机热备组网根据防火墙的模式,
分路由模式下的双机热备组网和透明模式下
的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
1
1
:防火墙双机热备命令行说明
防火墙的双机热备的配置主要涉及到
HRP
的配置,
VGMP
的配置,以及
VRRP
的配置,
防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,
下面就防火墙的
双机热备配置涉及到的命令行做一个解释说明。
1.1
1.1
HRP
命令行配置说明
HRP
是华为的冗余备份协议,
Eudemon
防火墙使用此协议进行备份组网,
达到链路状
态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP
协议是华为自己开发的协议,主要是在
VGMP
协议的基础上进行扩展得到的;
VGMP
是华为的私有协议,主要是用来管理
VRRP
的,
VGMP
也是华为的私有协议,是在
VRRP
的基础上进行扩展得到的。不管是
VGMP
的报文,还是
HRP
的报文,都是
VRRP
的
报文,
只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是
VGMP
的报文,
HRP
的报文,或者是普通的
VRRP
的报文。
在
Eudemon
防火墙上,
hrp
的作用主要是备份防火墙的会话表,
备份防火墙的
servermap
表,备份防火墙的黑名单,备份防火墙的配置,以及备份
ASPF
模块中的公私网地址映射表
和上层会话表等。
两台防火墙正确配置
VRRP
,
VGMP
,以及
HRP
之后,将会形成主备关系,这个时候
防火墙的命令行上会自动显示防火墙状态是主还是备,
如果命令行上有
HRP_M
的标识,
表
示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有
HRP_S
的标
识,
表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。
防火墙的主备状态只能
在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状
态,不可能出现两台都为主状态或者都是备状态的。
在防火墙的
HRP
形成主备之后,
我们称
HRP
的主备状态为
HRP
主或者是
HRP
备状态,
在形成
HRP
的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火
墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括
ACL
,接口加入域
等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP
的配置命令的功能和使用介绍如下:
★
hrp enable
:
HRP
使能命令,使能
HRP
之后防火墙将形成主备状态。
★
hrp configuration check acl
:检查主备防火墙两端的
ACL
的配置是否一致。执行此
命
令
之
后
,
主
备
防
火
墙
会
进
行
交
互
,
执
行
完
之
后
可
以
通
过
命
令
行
display
hrp
configuration check acl
来查看两边的配置是否一致。