防火墙————双机热备

最新推荐文章于 2024-05-18 16:40:18 发布

IT-灰灰

最新推荐文章于 2024-05-18 16:40:18 发布

阅读量538

点赞数 1

文章标签：服务器网络运维

本文链接：https://blog.csdn.net/xiazhui1/article/details/134464827

版权

一、双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

二、双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

1.硬件要求

组成双机热备的两台FW的型号必须相同，安装的单板类型、数量以及单板安装的位置必须相同。
两台FW的硬盘配置可以不同。例如，一台FW安装硬盘，另一台FW不安装硬盘，不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW，而且部分日志和报表功能不可用。

2.软件要求

组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。
实际上，在系统软件版本升级或回退的过程中，两台FW可以暂时运行不同版本的系统软件。例如，一台设备的软件版本为V500R001C50，另一台设备的软件版本为V500R001C30SPC300。

3.License要求

双机热备功能自身不需要License。但对于其他需要License的功能，如IPS、反病毒等功能，组成双机热备的两台FW需要分别申请和加载License，两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

三、双机热备工作模式

介绍FW支持的双机热备运行模式以及选择使用哪种工作模式。

1.FW支持主备备份和负载分担模式两种运行模式

主备备份模式：两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。

说明：镜像模式是实现主备备份双机热备的一种特殊技术手段，主要用于DCN场景中。

负载分担模式：两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。

2.选择双机热备的运行模式时，请考虑以下因素

项目	说明
主备备份模式	流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相对简单。
负载分担模式	相较于主备备份模式，组网方案和配置相对复杂。负载分担组网中使用入侵防御、反病毒等内容安全检测功能时，可能会因为流量来回路径不一致导致内容安全功能失效。负载分担组网中配置NAT时，需要额外的配置来防止两台设备NAT资源分配冲突。负载分担模式组网中流量由两台设备共同处理，可以比主备备份模式或镜像模式组网承担更大的峰值流量。负载分担模式组网中设备发生故障时，只有一半的业务需要切换，故障切换的速度更快。

项目

说明

主备备份模式

流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相对简单。

负载分担模式

相较于主备备份模式，组网方案和配置相对复杂。
负载分担组网中使用入侵防御、反病毒等内容安全检测功能时，可能会因为流量来回路径不一致导致内容安全功能失效。
负载分担组网中配置NAT时，需要额外的配置来防止两台设备NAT资源分配冲突。
负载分担模式组网中流量由两台设备共同处理，可以比主备备份模式或镜像模式组网承担更大的峰值流量。
负载分担模式组网中设备发生故障时，只有一半的业务需要切换，故障切换的速度更快。

四、VGMP组

VGMP（VRRP Group Management Protocol）协议是华为公司的私有协议。VGMP协议中定义了VGMP组，FW基于VGMP组实现设备主备状态管理。

每台FW都有一个VGMP组，用户不能删除这个VGMP组，也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。VGMP组优先级决定了VGMP组的状态。

VGMP组优先级是不可配置的。设备正常启动后，会根据设备的硬件配置自动生成一个VGMP组优先级，我们将这个优先级称之为初始优先级。不同型号设备的初始优先级。当设备发生故障时，VGMP组优先级会降低。

型号	初始优先级
USG6000V	45000
USG9000V	初始优先级与接口板（vLPU）上的子卡（FPIC）个数和业务板（vSPU）上的CPU个数有关，计算公式如下： Initial_Priority = 4500 + 1000 * FPIC_Num + 2 * SPU_CPU_Num Initial_Priority：初始优先级 FPIC_Num：接口板上的子卡个数 SPU_CPU_Num：业务板上的CPU个数

型号

初始优先级

USG6000V

45000

USG9000V

初始优先级与接口板（vLPU）上的子卡（FPIC）个数和业务板（vSPU）上的CPU个数有关，计算公式如下：

Initial_Priority = 4500 + 1000 * FPIC_Num + 2 * SPU_CPU_Num

Initial_Priority：初始优先级

FPIC_Num：接口板上的子卡个数

SPU_CPU_Num：业务板上的CPU个数

1.VGMP组有四种状态

initialize、load-balance、active和standby。其中，initialize是初始化状态，设备未启用双机热备功能时，VGMP组处于这个状态。其他三个状态则是设备通过比较自身和对端设备VGMP组优先级大小确定的。设备通过心跳线接收对端设备的VGMP报文，了解对端设备的VGMP组优先级。

设备自身的VGMP组优先级等于对端设备的VGMP组优先级时，设备的VGMP组状态为load-balance。
设备自身的VGMP组优先级大于对端设备的VGMP组优先级时，设备的VGMP组状态为active。
设备自身的VGMP组优先级小于对端设备的VGMP组优先级时，设备的VGMP组状态为standby。
设备没有接收到对端设备的VGMP报文，无法了解到对端VGMP组优先级时，设备的VGMP组状态为active。例如，心跳线故障。

双机热备要求两台设备的硬件型号、单板的类型和数量都要相同。因此，正常情况下两台设备的VGMP组优先级是相等的，VGMP组状态为load-balance。如果某一台设备发生了故障，该设备的VGMP组优先级会降低。故障设备的VGMP组优先级小于无故障设备的VGMP组优先级，故障设备的VGMP组状态会变成standby，无故障设备的VGMP组状态会变成active。

FW能根据VGMP组的状态调整VRRP备份组状态、动态路由（OSPF、OSPFv3和BGP）的开销值、VLAN的状态以及接口的状态（镜像模式），从而实现主备备份或负载分担模式的双机热备。

五、VGMP组控制VRRP备份组状态

1.VRRP的基本概念

VRRP（Virtual Router Redundancy Protocol）是一种容错协议，它保证当主机的下一跳路由器（默认网关）出现故障时，由备份路由器自动代替出现故障的路由器完成报文转发任务，从而保持网络通信的连续性和可靠性。

在FW上配置VRRP时，是将两台FW上编号相同的接口加入一个VRRP备份组。一个VRRP备份组相当于一台虚拟路由设备，拥有虚拟IP地址和虚拟MAC地址。网络内主机将其网关设置为VRRP备份组的虚拟IP地址。这些主机都是通过虚拟路由器与外部网络通信。

VRRP备份组有三种状态：Initialize、Master和Backup。

Initialize：初始化状态。当设备的VRRP备份组状态为Initialize时，该VRRP备份组处于不可用状态。
Master：活动状态。VRRP备份组状态为Master的设备被称为Master设备。Master设备拥有VRRP备份组的虚拟IP地址和虚拟MAC地址。Master设备收到目的IP地址是虚拟IP地址的ARP请求时，会响应这个ARP请求。
Backup：备份状态。VRRP备份组状态为Backup的设备被称为Backup设备。Backup设备不会响应目的IP地址为虚拟IP地址的ARP请求。

2.VGMP组控制VRRP备份组状态

华为交换机或路由器设备上，VRRP备份组的状态是由VRRP优先级大小决定。同一个VRRP备份组中，VRRP优先级最大的设备的VRRP备份组状态为Master，其他设备的VRRP备份组状态为Backup。FW的VRRP备份组状态则不是由VRRP优先级大小决定。实际上，FW的VRRP优先级是不可配置的。FW启用双机热备功能后，VRRP优先级固定为120。

在FW上，接口故障时，接口下VRRP备份组状态为Initialize。接口无故障时，接口下VRRP备份组状态由VGMP组的状态决定：

当VGMP组状态为active时，VRRP备份组的状态都是Master。
当VGMP组状态为standby时，VRRP备份组的状态都是Backup。
当VGMP组状态为load-balance时，VRRP备份组状态由VRRP备份组的配置决定。

六、实例

实验一：配置主备备份双机热备

实验概述：

企业的两台FW的业务接口都工作在三层，上下行分别连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的IP地址为1.1.1.100。现在希望两台FW以主备备份方式工作。正常情况下，流量通过FW_A转发。当FW_A出现故障时，流量通过FW_B转发，保证业务不中断。

实验拓扑：

1.1网络的基本配置：

配置FW各接口的IP地址:
[FW1]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet1/0/1              1.0.0.1/24           up         up
GigabitEthernet1/0/2              10.1.1.1/24          up         up
GigabitEthernet1/0/6              1.1.10.1/24          up         up

[FW2]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet1/0/1              1.0.0.2/24           up         up
GigabitEthernet1/0/2              10.1.1.2/24          up         up
GigabitEthernet1/0/6              1.1.10.2/24          up         up

配置接口安全区域:
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit	
[FW1]firewall zone untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/2
[FW2-zone-trust]quit	
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]quit
[FW2]firewall zone untrust	
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]quit

在FW上配置缺省路由，使内网用户的流量可以正常转发至Router
[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

1.2配置VRRP备份组：

[FW1]interface GigabitEthernet 1/0/1
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.100 24 active 
[FW1-GigabitEthernet1/0/1]quit
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.1.1.100 active 
[FW1-GigabitEthernet1/0/2]quit

[FW2]interface GigabitEthernet 1/0/1	
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.100 24 standby 
[FW2-GigabitEthernet1/0/1]quit
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 2 virtual-ip 10.1.1.100 standby 
[FW2-GigabitEthernet1/0/2]quit

1.3指定心跳口并启用双机热备功能：

[FW1]hrp interface GigabitEthernet 1/0/6 remote 1.1.10.2
[FW1]hrp enable
Info: NAT IP detect function is disabled.
HRP_M[FW1]

[FW2]hrp interface GigabitEthernet 1/0/6 remote 1.1.10.1
[FW2]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW2]

1.4配置安全策略，允许内网用户访问Internet：

双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name trust_to_untrust (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-zone trust  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-address 10.1.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]action permit  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]quit

1.5配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）

双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上
HRP_M[FW1]nat address-group nat1
HRP_M[FW1-address-group-nat1]se	
HRP_M[FW1-address-group-nat1]section 0 1.1.1.2 1.1.1.5
HRP_M[FW1-address-group-nat1]quit	
HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name policy_nat1 (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust  (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 10.1.1.0 24 (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group nat1 (+B)

1.6测试

可以看出FW_B上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功

实验二：配置负载分担双机热备

实验概述：

两台FW的业务接口都工作在三层，上下行分别连接二层交换机。现在希望两台FW以负载分担方式工作。正常情况下，FW_A和FW_B共同转发流量。当其中一台FW出现故障时，另外一台FW转发全部业务，保证业务不中断。

实验拓扑：

2.1网络的基本配置：

配置FW各接口的IP地址:
[FW1]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet1/0/1              1.1.1.1/24           up         up
GigabitEthernet1/0/2              10.1.1.1/24          up         up
GigabitEthernet1/0/6              1.1.10.1/24          up         up

[FW2]display ip interface brief
Interface                         IP Address/Mask      Physical   Protocol
GigabitEthernet1/0/1              1.1.1.2/24           up         up
GigabitEthernet1/0/2              10.1.1.2/24          up         up
GigabitEthernet1/0/6              1.1.10.2/24          up         up

配置接口安全区域:
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/2
[FW1-zone-trust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add interface GigabitEthernet 1/0/6
[FW1-zone-dmz]quit
[FW1]firewall zone untrust	
[FW1-zone-untrust]add interface GigabitEthernet 1/0/1
[FW1-zone-untrust]quit

[FW2]firewall zone trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/2
[FW2-zone-trust]quit
[FW2]firewall zone dmz
[FW2-zone-dmz]add interface GigabitEthernet 1/0/6
[FW2-zone-dmz]quit
[FW2]firewall zone untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/1
[FW2-zone-untrust]quit


在FW上配置缺省路由，使内网用户的流量可以正常转发至Router
[FW1]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10
[FW2]ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

2.2配置VRRP备份组：

[FW1]interface GigabitEthernet 1/0/1	
[FW1-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.100 24 active
[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 1.1.1.200 24 standby
[FW1-GigabitEthernet1/0/1]quit
[FW1]interface GigabitEthernet 1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 10.1.1.100 active
[FW1-GigabitEthernet1/0/2]vrrp vrid 4 virtual-ip 10.1.1.200 standby

[FW2]interface GigabitEthernet 1/0/1
[FW2-GigabitEthernet1/0/1]vrrp vrid 1 virtual-ip 1.1.1.100 24 standby
[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 1.1.1.200 24 active
[FW2-GigabitEthernet1/0/1]quit
[FW2]interface GigabitEthernet 1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 10.1.1.100 standby
[FW2-GigabitEthernet1/0/2]vrrp vrid 4 virtual-ip 10.1.1.200 active

2.3配置会话快速备份功能，指定心跳口并启用双机热备功能：

[FW1]hrp mirror session enable
[FW1]hrp interface GigabitEthernet 1/0/6 remote 1.1.10.2
[FW1]hrp enable
Info: NAT IP detect function is disabled.
HRP_M[FW1]

[FW2]hrp mirror session enable
[FW2]hrp interface GigabitEthernet 1/0/6 remote 1.1.10.1
[FW2]hrp enable
Info: NAT IP detect function is disabled.
HRP_S[FW2]

2.4安全策略，允许内网用户访问Internet：

在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上
HRP_M[FW1]security-policy (+B)
HRP_M[FW1-policy-security]rule name trust_to_untrust (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-zone trust  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]action permit  (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]source-address 10.1.1.0 24 (+B)
HRP_M[FW1-policy-security-rule-trust_to_untrust]quit
HRP_M[FW1-policy-security]quit

2.5配置NAT策略：

当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.2.5-1.1.2.8）
在FW_A上配置NAT策略。双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上
HRP_M[FW1]nat address-group nat1
HRP_M[FW1-address-group-nat1]section 0 1.1.2.5 1.1.2.8
HRP_M[FW1-address-group-nat1]quit
HRP_M[FW1]nat-policy (+B)
HRP_M[FW1-policy-nat]rule name policy_nat1 (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]source-zone trust  (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]destination-zone untrust  (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]source-address 10.1.1.0 24 (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]action source-nat address-group nat1 (+B)
HRP_M[FW1-policy-nat-rule-policy_nat1]quit
HRP_M[FW1-policy-nat]quit

# 对于双机热备的负载分担组网，为了防止两台设备进行NAT转换时端口冲突，需要在FW_A和FW_B上分别配置可用的端口范围。在FW_A上进行如下配置：
HRP_M[FW1]hrp nat resource primary-group  (+B)

FW_A配置此命令后，FW_B上会自动备份此命令，并转换成hrp nat resource secondary-group命令

2.6测试

Router位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的Router。分别在FW_A和FW_B上检查会话。

可以看出FW_B上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功。

IT-灰灰

关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
防火墙————双机热备

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。
复制链接

扫一扫