1、双机热备技术的产生原因:
防止单点故障,防止因出口防火墙故障而导致整个网络故障。因此多配置几个出口防火墙以确认冗余。
在路由器组网中使用VRRP协议实现设备冗余。
2、VRRP冗余方案:虚拟路由冗余协议:
VRRP可以构成一个备份组,并将多个路由虚拟成一台设备,并给这个虚拟设备配置ip地址。无论哪个设备down了,最后都有一台设备能连接网络。(内部网关指向这个虚拟路由器)
按照优先级选一台设备为Master,不能成为Master的会成为Backup。当Master下线后,Backup可重新选举成Master。原Master上线后,可以重新抢回Master位置(也可配置为不抢占)
注意:只有防火墙一边连接二层设备(交换机)的时候才能开启VRRP,是三层设备(路由器)时就不能开启。
2、VRRP的具体运用环境
同一台设备可以虚拟出多个VRRP备份组,同一台设备的备份组和ip都会不一样。需要注意。
比如:
在TRUST区域,开启了一个备份组1,并且该备份组中,防火墙A是一个MASTER。
(防火墙在配置VRRP的时候,会在参数后面加上ACTIVE或者STANDBY的参数,如果是ACTIVE,就直接会是MASTER,反之则是BACKUP)
在DMZ区域、UNTRUST区域都是同理的。
3、VGMP的基本原理
VRRP可能会有配置不一致的问题。如果备份组3的A路由端口出现,3组会主备切换到B口。但备份组1、2不会自动切换,这会导致来回路径不一致,TRUST和DMZ还是会走A防火墙,最终访问不通。
这就需要有VGMP来管理(VRRP的组管理协议)
开启VGMP,并将所有的备份组都加入VGMP后,只要有一个备份组进行主备切换,就会将剩下的备份组联动一起切换。
当防火墙上的VGMP为ACTIVE/STANDBY的时候,组内的所有VRRP备份组的状态统一为ACTIVE/STANDBY状态。
两个路由器之间会建立一个心跳线,告知端口的ACTIVE/STANDBY的状态。因此连接时型号和端口环境等都需要一致。
(VGRP默认Master故障恢复时优先级也恢复,会进行抢占)
4、HRP基本概念
HRP协议用来实现防火墙双机之间动态状态和关键配置命令的备份。
(关键配置:地址池、服务等,会有+b提示)
配置好后会发送vgrp的报文。它可以是物理接口,也可以是eth-trunk(捆绑口)。
心跳协议的5种状态:
1、Invalid:物理是up、协议是down(比如没配ip的情况)。
2、down:本端物理和协议都down。
3、Peerdown:邻居down,本端是up。
4、ready:本、对端都是up。
5、running:工作中。首先进入ready的端口会先进入running。
5、双机热备的备份方式:
自动备份:默认开启,可以备份会话表信息、配置命令的信息,会话10秒备份一次,配置实时备份。
会话快速备份:负载均衡的场景。(fw1、fw2都有业务流量的转发)
手工批量备份:手工开启,执行一次手工立马把会话表和配置备份。(一般是自动备份不行的情况)
设备重启后主备fw的配置自动同步。
实验目标:
完成防火墙双机热备的组网实验。
上下行的业务接口工作在三层模式、连接二层设备。
配置区域如下:
Fw1配置:
sys
int g1/0/0
ip add 10.2.0.1 24
vrrp vrid 1 virtual-ip 10.2.0.254 24 active
service-manage enable
service-manage all permit
qu
int g1/0/1
ip add 10.3.0.1 24
vrrp vrid 2 virtual-ip 10.3.0.254 24 active
service-manage enable
service-manage all permit
qu
int g1/0/2
ip add 1.1.1.1 24
service-manage enable
service-manage all permit
//端口配置
firewall zone trust
add int gi1/0/0
qu
firewall zone dmz
add int gi 1/0/2
qu
firewall zone untrust
add int gi 1/0/1
qu
//区域配置
security-policy
rule name TtoU
source-zone trust
destination-zone untrust
action permit
qu
qu
//安全策略配置
FW2配置同理,将端口ip更正即可。
(注:在fw1配置完成后,可检查ip是否配置,并在pc上进行测试:
以证明链路通畅。)
查看vrrp配置情况:
(创建vrrp后,自动加入vgmp中)
下面进行心跳线的配置:
hrp interface g1/0/2 remote 1.1.1.2(remote对端ip)
两边配置都完成后,开启心跳线:
Hrp enable
可以看见在对端也开启心跳线协议后,fw1从hrp-s选举成为hrp-m。
完成后做测试,对rule进行修改:
security-policy
undo rule name TtoU
rule name TtoU
source-zone trust
destination-zone untrust
source-address 10.2.0.0 mask 255.255.255.0
destination-address 10.3.0.0 mask 255.255.255.0
action permit
可以发现安全策略配置后面都有+B:
证明正进行同步。实验完成。