防火墙主备备份双机热备

IT_小薇子

已于 2023-11-17 17:45:13 修改

阅读量170

点赞数 1

分类专栏：华为防火墙文章标签：服务器网络运维

于 2023-11-17 17:00:42 首次发布

本文链接：https://blog.csdn.net/xw19979790869/article/details/134466284

版权

华为防火墙专栏收录该内容

7 篇文章 0 订阅

订阅专栏

一、认识双机热备：

双机热备简介

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。

双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。

双机热备的系统要求

介绍双机热备功能对设备硬件、软件以及License的要求。

硬件要求

组成双机热备的两台FW的型号必须相同，安装的单板类型、数量以及单板安装的位置必须相同。

两台FW的硬盘配置可以不同。例如，一台FW安装硬盘，另一台FW不安装硬盘，不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW，而且部分日志和报表功能不可用。

软件要求

组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。

实际上，在系统软件版本升级或回退的过程中，两台FW可以暂时运行不同版本的系统软件。例如，一台设备的软件版本为V500R001C50，另一台设备的软件版本为V500R001C30SPC300。

License要求

双机热备功能自身不需要License。但对于其他需要License的功能，如IPS、反病毒等功能，组成双机热备的两台FW需要分别申请和加载License，两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

VGMP组

VGMP（VRRP Group Management Protocol）协议是华为公司的私有协议。VGMP协议中定义了VGMP组，FW基于VGMP组实现设备主备状态管理。

每台FW都有一个VGMP组，用户不能删除这个VGMP组，也不能再创建其他的VGMP组。VGMP组有优先级和状态两个属性。VGMP组优先级决定了VGMP组的状态。

VGMP组优先级是不可配置的。设备正常启动后，会根据设备的硬件配置自动生成一个VGMP组优先级，我们将这个优先级称之为初始优先级。不同型号设备的初始优先级如表1所示。当设备发生故障时，VGMP组优先级会降低。

二、实验：

2.1 实验拓扑：

2.2 实验配置：

FW_A的接口配置

<FW_A> system-view
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] ip address 10.2.0.1 24
[FW_A-GigabitEthernet1/0/1] quit 
[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/3] ip address 10.3.0.1 24
[FW_A-GigabitEthernet1/0/3] quit 
[FW_A] interface GigabitEthernet 1/0/6
[FW_A-GigabitEthernet1/0/7] ip address 10.10.0.1 24
[FW_A-GigabitEthernet1/0/7] quit

FW_A的接口加入到区域

[FW_A] firewall zone trust
[FW_A-zone-trust] add interface GigabitEthernet 1/0/2
[FW_A-zone-trust] quit 
[FW_A] firewall zone dmz
[FW_A-zone-dmz] add interface GigabitEthernet 1/0/6
[FW_A-zone-dmz] quit 
[FW_A] firewall zone untrust
[FW_A-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_A-zone-untrust] quit

FW_A的缺省路由配置

[FW_A] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW_A的VRRP备份组配置

[FW_A] interface GigabitEthernet 1/0/2
[FW_A-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.3.0.3 active
[FW_A-GigabitEthernet1/0/2] quit 
[FW_A] interface GigabitEthernet 1/0/1
[FW_A-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 active
[FW_A-GigabitEthernet1/0/1] quit

FW_A的热双机功能启动

[FW_A] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.2 
[FW_A] hrp enable

FW_B的接口配置

<FW_B> system-view
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] ip address 10.2.0.2 24
[FW_B-GigabitEthernet1/0/1] quit 
[FW_B] interface GigabitEthernet 1/0/2
[FW_B-GigabitEthernet1/0/3] ip address 10.3.0.2 24
[FW_B-GigabitEthernet1/0/3] quit 
[FW_B] interface GigabitEthernet 1/0/6
[FW_B-GigabitEthernet1/0/7] ip address 10.10.0.2 24
[FW_B-GigabitEthernet1/0/7] quit

FW_B的区域加入

[FW_B] firewall zone trust
[FW_B-zone-trust] add interface GigabitEthernet 1/0/2
[FW_B-zone-trust] quit 
[FW_B] firewall zone dmz
[FW_B-zone-dmz] add interface GigabitEthernet 1/0/6
[FW_B-zone-dmz] quit 
[FW_B] firewall zone untrust
[FW_B-zone-untrust] add interface GigabitEthernet 1/0/1
[FW_B-zone-untrust] quit

FW_B的缺省路由配置


 [FW_B] ip route-static 0.0.0.0 0.0.0.0 1.1.1.10

FW_B的VRRP备份组配置

[FW_B] interface GigabitEthernet 1/0/2
[FW_B-GigabitEthernet1/0/2] vrrp vrid 2 virtual-ip 10.3.0.3 standby
[FW_B-GigabitEthernet1/0/2] quit
[FW_B] interface GigabitEthernet 1/0/1
[FW_B-GigabitEthernet1/0/1] vrrp vrid 1 virtual-ip 1.1.1.1 24 standby
[FW_B-GigabitEthernet1/0/1] quit

FW_B 热双机功能启动配置

[FW_B] hrp interface GigabitEthernet 1/0/6 remote 10.10.0.1 
[FW_B] hrp enable

由于热双机功能已经启动，所以FW_B可以不用配置NAT策略等；

在FW_A上配置安全策略。双机热备状态成功建立后，FW_A的安全策略配置会自动备份到FW_B上。

# 配置安全策略，允许内网用户访问Internet。

HRP_M[FW_A] security-policy
HRP_M[FW_A-policy-security] rule name trust_to_untrust  
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-zone trust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] destination-zone untrust
HRP_M[FW_A-policy-security-rule-trust_to_untrust] source-address 10.3.0.0 24
HRP_M[FW_A-policy-security-rule-trust_to_untrust] action permit
HRP_M[FW_A-policy-security-rule-trust_to_untrust] quit
HRP_M[FW_A-policy-security] quit

在FW_A上配置NAT策略。双机热备状态成功建立后，FW_A的NAT策略配置会自动备份到FW_B上。

# 配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）。

HRP_M[FW_A] nat address-group group1
HRP_M[FW_A-address-group-group1] section 0 1.1.1.2 1.1.1.5
HRP_M[FW_A-address-group-group1] quit
HRP_M[FW_A] nat-policy
HRP_M[FW_A-policy-nat] rule name policy_nat1  
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-zone trust
HRP_M[FW_A-policy-nat-rule-policy_nat1] destination-zone untrust
HRP_M[FW_A-policy-nat-rule-policy_nat1] source-address 10.3.0.0 16 
HRP_M[FW_A-policy-nat-rule-policy_nat1] action source-nat address-group group1

2.3 实验结果：

IT_小薇子

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
防火墙主备备份双机热备

FW部署在网络出口位置时，如果发生故障会影响到整网业务。为提升网络的可靠性，需要部署两台FW并组成双机热备。双机热备需要两台硬件和软件配置均相同的FW。两台FW之间通过一条独立的链路连接，这条链路通常被称之为“心跳线”。两台FW通过心跳线了解对端的健康状况，向对端备份配置和表项（如会话表、IPSec SA等）。当一台FW出现故障时，业务流量能平滑地切换到另一台设备上处理，使业务不中断。
复制链接

扫一扫

专栏目录