目录
前言
- 网络安全是所有企业不容忽视的关键问题,企业往往将防火墙部署在出口或核心区域,成为受信网络以及不受信网络间的一个节点。
- 但在传统网络中,若是只有一台防火墙部署在关键区域,当此节点发生单点故障后,将会影响到整网业务的正常运行。
- 双机热备的出现改变了单个防火墙节点可靠性难以保证可靠性的情况,通过部署两台防火墙设备进行冗余,提升可靠性,保证内外网之前的通信畅通。
注意事项
- 双机热备需要两台软硬件配置均相同的防火墙(单论华为而言),两台防火墙之间通过一条独立的链路进行连接,这条链路被称为”心跳线”。防火墙通过心跳线去了解对端的状态,如:备份、会话表等等。当某一台防火墙出现故障后,业务流量会平滑的切换到另外一个防火墙上,从而保证业务的不中断。
- 硬件:组成双机热备的两台防火墙必须相同,安装的单板类型、数量,安装的槽位必须相同。
- 软件:组成双机热备的两台防火墙的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本必须相同。
- License:双机热备本身是不需要License的,但是IPS 反病毒等功能需要用到,防火墙需要分别申请License,并且防火墙之间不能共享License。
概述
- VGMP(VRRP Group Management Protocol)组管理协议:当存在多个VRRP备份组,就有可能发生备份组状态不一致的问题。所以需要将防火墙上所有的VRRP备份组都加入到VGMP组中,通过VGMP来统一的监管所有VRRP备份组的状态。当有一个VRRP组发生变化,则全部的VRRP备份组都进行状态切换,保证所有VRRP备份组的一致性。
- 设备自身的VGMP组优先级等于对端设备的VGMP组优先级时,设备的VGMP组状态为load-balance。
- 设备自身的VGMP组优先级大于对端设备的VGMP组优先级时,设备的VGMP组状态为active。
- 设备自身的VGMP组优先级小于对端设备的VGMP组优先级时,设备的VGMP组状态为standby。
- 设备没有接收到对端设备的VGMP报文,无法了解到对端VGMP组优先级时,设备的VGMP组状态为active,例如,心跳线故障。
- 双机热备要求两台设备的硬件型号、单板的类型和数量都要相同,因此,正常情况下两台设备的VGMP组优先级是相等的,VGMP组状态为load-balance,如果某一台设备发生了故障,该设备的VGMP组优先级会降低,故障设备的VGMP组优先级小于无故障设备的VGMP组优先级,故障设备的VGMP组状态会变成standby,无故障设备的VGMP组状态会变成active。
- HRP(Huawei Redundancy Protocol)双机热备协议(华为冗余协议):此协议是承载在VGMP协议上的,用于出现故障时快速的进行主备切换,同时会保证主备之间的配置、会话表等信息同步。
双机热备工作模式
- 防火墙的双机热备支持主备和负载分担两种模式
- 主备模式:两台设备一主一备,正常情况下的业务流量通过主设备转发,当主设备发生故障时,备用设备会接替主设备进行转发。
- 业务流量由一台设备处理,相较于负载分担模式,路由规划和故障定位相对简单
- 负载分担模式:正常情况下,两台设备互为主备,并且共同承担全网的业务流量,当其中一台设备出现故障后,业务流量则会由另外一台设备进行转发。
- 负载分担模式相对于主备模式可以承担更多的流量,组网方案和配置比较复杂,且发生故障时,切换速度快。
- 负载分担模式组网部署在出口需要配置NAT时,需要额外的配置来避免两台设备的NAT资源分配冲突。
- 负载分担组网中使用入侵防御、反病毒等内容安全检测功能时,可能会因为流量来回路径不一致导致内容安全功能失效。
拓扑
配置
配置IP地址
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip address 10.1.14.1 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip address 10.1.15.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/6
[FW1-GigabitEthernet1/0/6]ip address 10.1.66.1 24
[FW2]int g1/0/0
[FW2-GigabitEthernet1/0/0]ip address 10.1.14.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/1
[FW2-GigabitEthernet1/0/1]ip address 10.1.15.2 24
[FW2-GigabitEthernet1/0/1]int g1/0/6
[FW2-GigabitEthernet1/0/6]ip address 10.1.66.2 24划分区域
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1]firewall zone name hrp
[FW1-zone-hrp]set priority 30
[FW1-zone-hrp]add interface GigabitEthernet 1/0/6
[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/0
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2]firewall zone name hrp
[FW2-zone-hrp]set priority 30
[FW2-zone-hrp]add interface GigabitEthernet 1/0/6配置VRRP
[FW1]interface GigabitEthernet 1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.14.254 active
[FW1-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.15.254 active
[FW2]interface GigabitEthernet 1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 10.1.14.254 standby
[FW2-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 10.1.15.254 standby 配置心跳线
[FW1]hrp interface GigabitEthernet 1/0/6 remote 10.1.66.2
[FW1]hrp enable
HRP_S[FW1]
[FW2]hrp interface GigabitEthernet 1/0/6 remote 10.1.66.1
[FW2]hrp enable
HRP_S[FW2]配置安全策略(在主防火墙上)
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name test (+B)
HRP_M[FW1-policy-security-rule-test]source-zone trust (+B)
HRP_M[FW1-policy-security-rule-test]destination-zone untrust (+B)
HRP_M[FW1-policy-security-rule-test]action permit (+B)验证功能
VRRP协议验证
心跳线验证
连通性验证
学习记录 感谢观看
扫一扫
2867
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
