1、防火墙双机热备技术第1页目标l学完本课程后,您将能够:p掌握双机热备技术原理p掌握双机热备基础配置第2页目录1.双机热备双机热备技术原理技术原理2.双机热备基本组网与配置第3页双机热备技术产生的原因l传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。Firewall A10.100.10.1/24PC服务器内部网络10.100.10.0/24第4页路由器冗余部署方案l路由器组网中通过VRRP协议实现设备冗余:RouterA10.
2、100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组Virtual IP Address10.100.10.1PC服务器内部网络10.100.10.0/24第5页VRRP在多区域防火墙组网中的应用l为防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSG A10.100.20.0/24MasterUSG BBackup10.100.10.0/24备份组1Virtual IP Address10.100.10.1备份组2Virtual IP Address1
3、0.100.20.1备份组3Virtual IP Address202.38.10.1第6页VRRP在防火墙应用中存在的缺陷l传统VRRP方式无法实现主、备用防火墙状态的一致性。USG AMasterUSG BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)第7页VRRP用于防火墙多区域备份l为了保证所有VRRP备份组切换的一致性,在VRRP的基础上进行了扩展,推出了VGMP(VRRP Group Management Protocol)来弥补此局限。DMZTrustUntrustUSG A10.1
4、00.20.0/24vUSG B10.100.10.0/24备份组 2备份组 3备份组 1VGMP 管理组管理组VGMP 管理组管理组helloack第8页VGMP基本原理l当防火墙上的VGMP为Active/Standby状态时,组内所有VRRP备份组的状态统一为Active/Standby状态。l状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。DMZTrustUntrustUSG A10.100.20.0/24USG B10.100.10.0/24备份组 2备份组 3备份组 1VGMP ActiveVGMP
5、 Standbyhelloack第9页VGMP组管理l状态一致性管理pVGMP管理组控制所有的VRRP备份组统一切换。l抢占管理p当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。第10页HRP基本概念lHRP(Huawei Redundancy Protocol)协议,用来实现防火墙双机之间动态状态数据和关键配置命令的备份。VRRP组组1VRRP组组2VRRP组组3UntrustTrustDMZ会话表会话表FWAFWB第11页HRP心跳接口l两台FW之间备份的数据是通过心跳口发送和接收的,是通过心跳链路(备份通道)传输的。p心跳口必须是状态独立且具有IP地
6、址的接口,可以是一个物理接口(GE接口),也可以是为了增加带宽,由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。第12页心跳接口的状态lHRP心跳接口共有五种状态:pInvalidpDownpPeerdownpReadyprunning第14页双机热备的备份方式设备重启后主备FW的配置自动同步会话快速备份自动备份手工批量备份第16页目录1.双机热备技术原理2.双机热备基本组网与配置双机热备基本组网与配置第17页双机热备基本组网l上下行业务接口工作在三层模式,连接二层设备时,需要在上下行的业务接口上配置VRRP备份组,使VGMP管理组能够通过VRRP备份组监测三层业务接口。USG_AMa
7、sterUSG_BBackup备份组1Virtual IP Address1.1.1.1/24G1/0/110.2.0.1/24PC1:1.1.1.10/24UntrustTrustG1/0/310.3.0.1/24G1/0/610.10.0.1/24G1/0/610.10.0.2/24G1/0/110.2.0.2/24G1/0/310.3.0.2/24备份组2Virtual IP Address10.3.0.3/24PC2:10.3.0.10/24第18页VRRP备份组配置命令-CLIl接口视图下配置VRRP:l执行此命令时,指定active或standby参数后,即将该VRRP组加入了VG
8、MP管理组的Active或Standby管理组。l每个普通物理接口(GigabitEthernet接口)下最多配置255个VRRP组。vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask|ip-mask-length active|standby 第19页HRP配置命令-CLIl指定心跳口l启用HRP备份功能l启用允许配置备用设备的功能l启用命令与状态信息的自动备份l启用会话快速备份hrp interface interface-type interface-number remote ip-address|ipv6-ad
9、dress hrp enablehrp standby config enablehrp auto-sync config|connection-statushrp mirror session enable第20页VRRP配置举例-CLIlUSG_A关于VRRP组1配置:lUSG_B关于VRRP组1的配置:USG_Ainterface GigabitEthernet 1/0/1 USG_A-GigabitEthernet 1/0/1 ip address 10.2.0.1 24USG_A-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1
10、 255.255.255.0 activeUSG_Binterface GigabitEthernet 1/0/1 USG_B-GigabitEthernet1/0/1 ip address 10.2.0.2 24USG_B-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby第21页HRP配置举例-CLIlUSG_A关于HRP配置:USG_Ahrp enableUSG_Ahrp mirror session enableUSG_Ahrp interface GigabitEthernet 1/0/
11、6第22页查看VRRP状态-CLIl查看处于VRRP备份组中的接口状态信息:HRP_Adisplay vrrp interface G1/0/3GigabitEthernet1/0/3|Virtual Router 2 VRRP Group:Active state:Active Virtual IP:10.3.0.3 Virtual MAC:0000-5e00-0102 Primary IP:10.3.0.1 PriorityRun:120 PriorityConfig:100 MasterPriority:120 Preempt:YES Delay Time:0 Advertisement
12、 Timer:1 Auth Type:NONE Check TTL:YES第23页查看HRP状态-CLIl查看处于Master状态防火墙的状态信息如下:HRP_Adis hrp stateThe firewalls config state is:ACTIVE Current state of virtual routers configured as active:GigabitEthernet1/0/1 vrid 1:active GigabitEthernet1/0/3 vrid 2:active 第24页防火墙配置界面-Webl点击“系统 高可靠性 双机热备 配置”进行双机热备相关配置
13、。第25页双机热备主用设备配置-Webl在双机热备配置界面点击“配置”按钮对主用设备USG_A的配置,在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。第26页双机热备备用设备配置-Webl在双机热备配置界面点击“配置”按钮对备用设备USG_B的配置,在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。第27页查看双机热备历史切换信息-Webl在双机热备界面,点击“详细”可以查看双机热备主备切换信息。第28页查看双机热备状态信息-Webl在双机热备界面确认运行模式、角色及VRRP备份组的状态信息。第29页思考题1.HRP技术可以实现备防火墙不需要配置任何信息,所有配置信息均由主防火墙通过HRP同步至备防火墙,且重启后配置信息不丢失。A.正确B.错误2.在防火墙做双机热备组网时,为实现备份组整体状态切换,需要使用以下哪个协议技术?A.VGMP B.VRRPC.HRPD.OSPF 第30页本章总结l双机热备技术原理l双机热备基本组网及配置第31页谢谢
