防火墙的冗余基础知识+实验检测

9 篇文章 0 订阅
6 篇文章 0 订阅

将之前先理清需要注意的知识点:

1、注意防火墙冗余时的会话表必须保持一致,这里HRP技术已经做到

2、vrrp是自动开启抢占的,且是根据优先级进行抢占的

3、免费ARP的作用:告诉交换机的某个IP的mac地址变成了我的这个mac地址

4、HRP   --HRP进行双机热备是在网络已经完全欧克了,搭建好了才开始进行冗余热备的;

黑名单和白名单是有老化时间的

5、以前的路由器上必须是:虚拟网关和真实接口IP必须在同一个网段

但是现在在防火墙是可以这样干的,虚拟网关绑定的真实IP可以不在一个网段

6、用户有一个mac地址缓存表

7、安全策略只是抓取数据层面的数据包

不会抓取控制层面的数据包,所以安全策略不会拦截路由信息的传递,只会对数据包进行一个匹配拦截;

本章节具体知识点:

1、防火墙的可靠性

--1、如果防护墙需要做冗余,那么此时就不能单纯的像路由器那样切换网关归属,因为防护墙还有许多会话表之类的状态信息,所以我们的防火墙的冗余需要用到双机热备技术;

因为防火墙上不仅需要同步配置信息,还需要同步状态信息(会话表等),所以,防火墙不能像路由器那样单纯的靠动态协议来实现切换,需要用到双机热备技术

1,双机 --- 目前双机热备技术仅支持两台防火墙的互备

2,热备 --- 两台设备共同运行,在一台设备出现故障的情况下,另一台设备可以立即替代原设备

(也存在冷备的概念,仅工作一台设备,备份一台设备,备份设备仅同步配置,并不工作,只有在主设备出现故障时,再由管理员替换工作,冷备可能会造成较长时间的业务中断:所谓冷备就是主备模式)

---所谓双机热备就是做防火墙冗余的时候,除开切换网关的归属之外,他还会将主设备的状态信息进行传递给对方

VRRP --- 虚拟路由器冗余技术  (就是那个冗余网关用到的技术,当然,只要是IP都可以进行冗余)

2、VGMP --- vrrp Group Management Protocol --- HUAWI的私有协议

在同一个VGMP组内的vrrp他们的状态会强制性保持一样;如果组内的一个vrrp变成了备份,那么所有的vrrp都会变成备份;

为什么要用到VGMP

讲VGMP之前,我们先来看看这个图,通过这个图进行理解

配置:1、上半截是公网

2、下半截是私网

3、防火墙是边界

下面我们来做,为下面网关冗余;

解释:

上面都是一些基础的网关冗余配置

拓展:我们会发现下面和上面的网段不是同一个网段;所以我们的路由器必须要配置路由,来到达下面的网段;这里的话,我们都做网关冗余了,所以我们就直接写两条路由来到达下面的网段;

问题就会出现:当你写了两条路由到达下面的网段之后;那么数据包回来的时候就会任意随机找一条路由去往下面那个网段,正常我们的两个防火墙连接的链路如果没出问题的话;那么这两个路由确实都是可以到达我们的下面的网段的;

但是我们都做网关冗余了,说明我们的两个防火墙就很可能会出现问题;

那么如果左边这个防护墙出现问题了,那么我们的vrrp主就会转到右边去,那么我们就必须满足右边的防火墙也必须能够通信,这里说明我们的路由器必须要有两条路由;

好,问题来了;如果我们的路由有两条之后,我们的回来的包很可能就会走错,所以我们必须把

---最终我们就出现了上面也要做vrrp冗余;

---上面那个vrrp如果嘎调之后,下面的vrrp肯定也不能用了,因为端口地址转换不了了;

或者下面的vrrp嘎调之后,所有外面回来的数据流量肯定也不能通过这个防火墙回去了;所以两个vrrp必须保持同时都是主或者同时都不是主;

3、主备的形成场景

--1,FW1被设定为主设备 --- FW1中的VGMP的active组被激活,并且将上下两个VRRP组拉入到VGMP的active组中,并且状态都是ACTIVE

--2,FE2被设定为备设备 --- FW2中的VGMP的standby组被激活,并且将上下两个vrrp组拉入到VGMP的standby组中,并且状态都是standby

(VGMP组中存在优先级的概念,ACTIVE组的默认优先级是65001,standby组默认的优先级为65000,并且,在VGMP中,所有的主都被成为active,所有的备成为standby)

--3,主设备上下两个VRRP组的接口将发送免费ARP报文

VGMP组里面有防火墙上的两个vrrp

4、FW1接口故障的切换场景

1,假设FW1下的接口发生故障,接口的状态会从active状态切换到initialize状态(接口故障的一个过渡状态)  ---接口出故障,从active变成initialize;

2,VGMP组感知到接口状态变化,会降低自身的优先级(每一个接口发生故障,则优先级会降低2。)           

3,FW1会向FW2发送一个状态变更的请求报文,这个报文中会包含降低后的优先级;

4,FW2收到请求报文后,发现自身的优先级高于对方的优先级,则会将自己standby组的状态从standby切换为active状态

5,FW2的VGMP组状态发生变化,则组中的VRRP组的状态同步发生变化,都从standby切换到active

6,FW2回复FW1应答报文,表示允许切换

7,FW1收到应答报文后,将自身ACTIVE组的状态从ACTIVE切换到standby状态,并且,其中的VRRP组同步将状态切换到standby,不包含故障接口的状态,依旧是initialize状态 ,FW2上下两个VRRP组将发送免费ARP报文,让交换机切换MAC地址表,之后所有的流量将从FW2通过。

8、HRP  ---华为冗余协议,私有;可以同步防火墙上的状态和配置信息;这个协议的防火墙配置成冗余的时候自带的协议

--1、配置信息 --可以同步虚拟的IP,安全策略,nat策略等等;

--2、状态信息   ---会话表,server map表,黑白名单等;

--3、HRP实现的前提条件:

1、两个防火墙必须中间有一条连接链路,专门用来传递配置和状态信息;但是 不会用来传递路由信息;

2、这条链路必须是三层链路,必须要配置IP

3、这条链路正常如果是直连的,则不受安全策略的影响,但是如果是没直连的则需要配置安全策略;

--4、HRP会周期的发送心跳报文用来保活,1s发送一次,最长等待时间3s;如果从设备3s内还没有收到对方的HRP心跳报文的话,则会认为对方出现故障,自己会升为主;

--5、HRP的三种备份方式

1、自动备份:瞬间自动备份配置信息,状态信息等10s后才会进行备份

2、手工备份,由管理管理员触发,可以立刻同步

3、快速备份--该备份方式只能通过负载分担的场景,且不能同步配置信息,只能同步状态信息,但是这里同步状态信息是快速同步

总结:从这里可以发现我们的防火墙冗余之后的信息同步其实都是通过HRP冗余协议来完成的;但是我们其中还用到了VGMP协议来完成两个vrrp的状态同时切换

9、防火墙vrrp各场景过程分析

--1,主备形成场景

--2,主备故障切换场景 --- 接口故障

--3,主备故障切换场景 --- 整机故障

整机故障可以通过保活机制来进行切换,主设备发生故障,则不会发送HRP心跳报文,备设备在超时时间内没有接收到主设备的保活包,则将会进行状态切换;

备设备如果出现问题不会进行任何操作,因为本来就是主在工作,且主如果坏了还会和备进行商量,如果备坏了,商量肯定不会成功

--4,原主设备故障恢复的场景

根据有没有开启抢占分为两种不同的情况

1,如果没有开启抢占 --- 原主设备继续以备设备的身份工作

2,如果开启了抢占  --则一旦接口恢复就会延迟60s抢回来,因为担心接口恢复是短时的;需要进行60s的等待验证

--5,负载分担场景

负载分担其实就是让两个设备都运行,那么就会在两个设备上面都配置4个vrrp;两个上两个下;

其中一个上一个下为一个VGMP组;

且左边的让一个VGMP组运行,让一个VGMP组备份右边;

右边也让一个VGMP组运行,让一个VGMP组备份左边;

这样两边的设备都会运行了;

注意中间的心跳线也要两根;

且上面的公网虚拟IP也要两个了

下面的虚拟私网IP也要两个

--6,负载分担接口故障场景

双机热备配置

如果勾选了主动抢占,则代表开启抢占模式,默认开启60S抢占延迟

(抢占延时主要是为了应对一些接口可能出现反复震荡的情况)

hello报文周期就是保活报文的发送周期,默认是1S,可以修改,但是,需要两边同时修改,否则可能导致对接不上

注意:1,虚拟mac地址勾选可以让切换对用户全程无感知

2,如果虚拟IP地址和接口IP地址不再同一个网段,则配置时必须配置子网掩码

实验:

前面1-11已经讲过,今天着重讲解12题

问题12:

首先我们是想做中间两个防火墙的冗余:

        思路:既然是防火墙的冗余:必然离不开网关的冗余;

        那么我们需要搞清楚一点的是如果我们两个防火墙的下面做了一个网关的冗余,那么我们的流量上来的时候是进行分流了的;这里完全OK;

但是我们上面来的流量也应该做一个网关冗余:因为如果我们的其中一个防火墙出问题了,这种上面的交换机是不知道的,所以上面来的流量还是可能会来到我们的出问题的那个防护墙;

所以我们这里需要做的冗余应该是下面也有上面也有;

通过我们防火墙冗余的VGMP技术,防护墙其中一个接口出问题,那么该防火墙所有vrrp组都直接被强制从主状态-->变为从状态;

所以我们的下面有vrrp的同时,我们上面也需要有vrrp;

----解析问题:这里是需要对下面的4个区域进行一个vrrp主备;

                        且上面也有两个,一个电信,一个移动;

                        ---所以很多人就会觉得很复杂,其实不然,我们其实可以将多个vrrp分开来看,将每个vrrp都单独看成一个三角形;一个一个分别来配置;这样就会简单很多!

---上配置---------------->

其中心跳接口就是检测对方保活的线路,不会用来传输数据-----上面有讲

监控接口,一旦出现接口故障就会降低自己VGMP的优先级,然后尝试让对方来当主,自己当备用

这里的虚拟IP可以和真实绑定的IP不在同一个网段,这是防火墙冗余的一个特点,路由器的虚拟IP则必须和真实绑定的接口在同一个网段;

其中防火墙还可以生成一个虚拟MAC,这样用户的mac地址表也不用更新了,其实是美哉!

注意一个东西:开启vrrp后,是不允许再对防火墙进行其他操作的;

-----今天的问题相对较少,只有一个;但是任务量其实也不低;防火墙的vrrp就有5个

---------------------------------我们只讲思路,不讲详细过程;

                                          过程是背,思路是理解;

                                           想要走多远,10%背+90%理解

祝你年薪百万,成绩辉煌!!!

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值