精华内容
下载资源
问答
  • 防火墙双机热备

    2021-04-04 13:26:03
    防火墙双机热备 文章目录防火墙双机热备实验环境实验目的具体步骤结果测试总结 实验环境 实验目的 实现防火墙的双机热备 注意:这里的VGMP、HRP协议为华为独有协议 具体步骤 1.规划网络并配置IP PC1 IP:192.168.1.3...

    防火墙双机热备

    实验环境

    在这里插入图片描述

    实验目的

    实现防火墙的双机热备
    注意:这里的VGMP、HRP协议为华为独有协议

    具体步骤

    1.规划网络并配置IP

    PC1

    IP:192.168.1.3 掩码 24 网关:192.168.1.100
    

    R1

    <Huawei>sys
    [Huawei]sys R1
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip ad 200.1.1.3 24
    [R1-GigabitEthernet0/0/0]q
    [R1]ip route-static 192.168.1.0 24 200.1.1.100
    

    FW1

    <USG6000V1>sys
    [USG6000V1]sys FW1
    [FW1]int g1/0/0
    [FW1-GigabitEthernet1/0/0]ip ad 200.1.1.1 24
    [FW1-GigabitEthernet1/0/0]int g1/0/1
    [FW1-GigabitEthernet1/0/1]ip ad 192.168.1.1 24
    [FW1-GigabitEthernet1/0/1]int g1/0/3
    [FW1-GigabitEthernet1/0/3]ip ad 12.1.1.1 24
    

    FW2

    <USG6000V1>sy
    [USG6000V1]sys FW2
    [FW2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]ip ad 200.1.1.2 24
    [FW2-GigabitEthernet1/0/0]
    [FW2-GigabitEthernet1/0/0]int g1/0/1
    [FW2-GigabitEthernet1/0/1]ip ad 192.168.1.2 24
    [FW2-GigabitEthernet1/0/1]int g1/0/3
    [FW2-GigabitEthernet1/0/3]ip ad 12.1.1.2 24
    

    2.配置虚拟网关

    FW1

    [FW1]int g1/0/0	
    [FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.1.100 active   //主 
    [FW1-GigabitEthernet1/0/0]int g1/0/1	
    [FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 active    //主
    

    FW2

    [FW2]int g1/0/0
    [FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 200.1.1.100 standby    //备
    [FW2-GigabitEthernet1/0/0]int g1/0/1
    [FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.1.100 standby    //备
    

    3.配置安全域

    FW1

    [FW1]firewall zone untrust 
    [FW1-zone-untrust]add int g1/0/0
    [FW1-zone-untrust]q
    [FW1]firewall zone trust 
    [FW1-zone-trust]add int g1/0/1
    [FW1-zone-trust]q	
    [FW1]firewall zone dmz 
    [FW1-zone-dmz]add int g1/0/3
    [FW1-zone-dmz]q
    

    FW2

    [FW2]firewall zone untrust 
    [FW2-zone-untrust]add int g1/0/0
    [FW2-zone-untrust]q	
    [FW2]firewall zone trust 
    [FW2-zone-trust]add int g1/0/1
    [FW2-zone-trust]q	
    [FW2]firewall zone  dmz 
    [FW2-zone-dmz]add int g1/0/3
    [FW2-zone-dmz]q
    

    4.配置HRP并同步配置安全策略

    FW1

    [FW1]hrp int g1/0/3 remote 12.1.1.2   //对端地址
    [FW1]hrp enable
    //配置HRP后,只需在主端配置一次安全策略即可
    HRP_M[FW1]security-policy (+B)
    HRP_M[FW1-policy-security]rule name t_u (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-zone trust  (+B)
    HRP_M[FW1-policy-security-rule-t_u]destination-zone untrust  (+B)
    HRP_M[FW1-policy-security-rule-t_u]source-address 192.168.1.0 24 (+B)
    HRP_M[FW1-policy-security-rule-t_u]destination-address 200.1.1.0 24 (+B)
    HRP_M[FW1-policy-security-rule-t_u]action permit  (+B)
    HRP_M[FW1-policy-security-rule-t_u]q
    HRP_M[FW1-policy-security]
    

    FW2

    [FW2]hrp int g1/0/3 remote 12.1.1.1    //对端地址
    [FW2]hrp enable
    

    结果测试

    FW1的g1/0/0口up

    • 由PC1 ping R1测试
      在这里插入图片描述

    • 在FW1 g1/0/0 到 LSW1 e0/0/2之间抓包
      在这里插入图片描述

      在对应线路中可得到R1与PC1之间的报文交流,并且PC1可以Ping 通R1,所以得出PC1到R1连通。

    将FW1的g1/0/0口down后

    • 由PC1 ping R1测试
      在这里插入图片描述

    • 在FW2 g1/0/0 到 LSW1 e0/0/1之间抓包
      在这里插入图片描述
      可以看到PC1可以ping通R1,而且在对应的线路中抓取到了R1与PC1之间的交流报文,所以可知PC1到R1连通。

    • 查看主备情况

    HRP_S<FW1>dis vrrp
    2021-03-24 08:56:04.090 
      GigabitEthernet1/0/0 | Virtual Router 1
        State : Initialize
        Virtual IP : 200.1.1.100
        Master IP : 0.0.0.0
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 0
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:27:44
        Last change time : 2021-03-24 08:45:18
    
      GigabitEthernet1/0/1 | Virtual Router 2
        State : Backup
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:29:04
        Last change time : 2021-03-24 08:45:18
    *************************************************************************
    HRP_M[FW2]dis vrrp
    2021-03-24 08:45:41.370 
      GigabitEthernet1/0/0 | Virtual Router 1
        State : Master
        Virtual IP : 200.1.1.100
        Master IP : 200.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:30:26
        Last change time : 2021-03-24 08:45:04
    
      GigabitEthernet1/0/1 | Virtual Router 2
        State : Master
        Virtual IP : 192.168.1.100
        Master IP : 192.168.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-24 07:31:38
        Last change time : 2021-03-24 08:45:04
    

    综上结果可知双机热备目的达成。

    总结

    VRRP、VGMP、HRP三者关系

    VRRP负责最底层,其作用为建立基本的域

    VGMP负责将VRRP的域分为Active和Standby两个域,便于防火墙建立主备

    HRP负责沟通主备机,负责同步会话表等数据

    展开全文
  • 防火墙双机热备实验
  • 本文主要介绍防火墙双机热备技术。 阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获! 一、防火墙双机热备技术概述 一般而言,防火墙...

    今天继续给大家介绍HCIE安全相关内容。本文主要介绍防火墙双机热备技术。
    阅读本文,您需要对防火墙相关理论知识有一定了解,如果您对此还存在困惑,欢迎您查阅我博客内的其他文章,相信您一定会有所收获!

    一、防火墙双机热备技术概述

    一般而言,防火墙部署于公司网络的出口位置,以便对进出公司的所有访问流量进行限制。然而,如果防火墙部署在公司网络出口位置,一旦防火墙发生故障,就会影响到整个网络业务。因此,为了提升防火墙的可靠性,可以类似路由交换设备中的VRRP技术一样,配置防火墙双机热备技术。
    在防火墙双击热备架构中,当一台防火墙出现故障时,业务流量能平稳地切换到另一台防火墙上,保证流量业务不中断,使得对内外网用户透明,感知不到防火墙的故障。
    防火墙双机热备技术有以下三种协议架构:
    HRP协议: 用于双击之间关键配置命令和链接状态信息的备份。
    VGMP协议: 用于主备设备状态管理、接口链路状态监控。
    VRRP协议: 负责监控单个链路的状态和流量引导。
    这三大协议协同工作,实现了防火墙的双机热备功能。

    二、防火墙双击热备故障检测技术

    故障检测技术是双机热备的基础。为了实现完美的双机热备效果,必须尽可能快地检测到各种故障,才能出发后续的业务切换。目前防火墙双机热备故障检测的方式有以下几种:

    1、检测VRRP备份组状态。

    这种检测方式用于防火墙业务接口为三层接口,业务接口连接二层交换机时的场景。在这种检测方式下,当物理接口故障时,接口下的VRRP备份组处于Initialise状态,而物理接口故障恢复时,接口下的VRRP备份组处于Active或者是Standby状态。

    2、检测单个物理接口状态。

    由于三层设备无法转发VRRP组播报文,所以当防火墙业务接口为三层接口并且链接三层设备时,使用此方式实现故障检测。VGMP管理组直接进行监控连路由状态。当接口状态变化时,将执行触发相关的VGMP管理组调整优先级并进行主备倒换。

    3、检测透明模式下VLAN接口状态

    当防火墙业务接口为二层接口,无法配置VRRP时,可以采取这种方式,由VGMP管理组直接监控整个VLAN。当VLAN中有任何一个接口状态变化时,都会触发VGMP管理组调整优先级,并进行主备切换。

    4、检测IP-LINK逻辑链路的状态

    该方式可以检测非直连链路的可达性。VGMP可以利用IP-LINK来检测和防火墙直连或非直连链路的三层可达性。IP-LINK可以用来检测以下几种故障:
    (1)板接口假死,接口状态为UP,但是接口无法收发报文
    (2)接口不支持自动协商的光纤链路,比如党恩光纤故障
    (3)非直连链路远端设备故障。

    5、检测BFD逻辑链路的状态

    同样的,也可以配置BFD,使得VGMP与BFD联动,从而通过检测BFD逻辑链路的状态决定防火墙VGMP的状态。

    三、防火墙双击热备流量引导技术

    当VGMP管理组检测到成员状态变化,从而进行主备切换后,需要能即使有效地对业务流量进行引导。VGMP管理组的流量引导功能负载在倒换时进行业务流量的引导。目前,VGMP管理组支持的业务流量引导手段有以下几种:

    1、虚拟IP地址方式。

    此方式主要用于防火墙三层业务接口直连二层交换机组网时使用。利用VRRP协议,当VGMP状态切换后,新的主设备发送免费ARP报文,刷新上下行交换机的MAC竹筏表,将下一跳为虚拟IP的业务报文调整到主用设备上来。

    2、路由COST调整方式。

    此方式主要用于防火墙三层业务接口连接路由器,主备备份组网时使用。主备设备防御对接的设备上运行OSPF动态路由协议,但是主设备业务链路上配置的路由COST值较小,业务流量送到主设备进行转发。当主设备业务板故障,OSPF无法感知,不能自动收敛时VGMP管理组能感知到这种故障,并进行主动切换。此时状态原本为Active的VGMP管理组,控制运行OSPF的业务链路自动升高路由COST,触发对设备路由收敛到备用设备。

    3、动态路由收敛方式。

    此方式主要用于防火墙三层业务接口连接路由器,路由器组网,防火墙负载分担组网时的场景。在此方式下,主备防火墙对接的设备上运行动态路由协议,一般情况下,主设备相关业务链路上配置的路由COST值较小,业务流量送到主设备进行转发。主设备业务接口故障时,动态路由自动收敛,业务流量送到备用设备继续进行转发。使用动态路由的引流方式,当故障发生时,不需要VGMP管理组控制流量切换,而是通过动态路由控制。

    4、VLAN启用和禁用方式。

    此方式主要用于防火墙业务接口工作在透明模式的组网中。当防火墙工作在二层转发时,无法通过路由的变化来引导上下行设备的流量。通过接口down/up的方式来刷新上下行设备的MAC转发表或促使路由收敛,然后通过使能/禁用VLAN转发功能的方式来保证流量不会发送到故障的防火墙。
    在二层转发模式下,VLAN和VGMP管理组绑定,管理组状态为Active时,VLAN能转发报文;管理组状态为Standby状态时,VLAN被禁用,不能转发报文。
    管理组切换到Standby时,VLAN内所有接口都会down——up一次,触发上下行设备刷新MAC转发表或者路由收敛,接口重新UP后,由于VLAN被禁用,接口仍然无法转发相关VLAN的报文。
    原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200/article/details/119256200

    展开全文
  • 防火墙双机热备技术

    2021-03-02 19:48:29
    防火墙双机热备技术 文章目录防火墙双机热备技术双机热备技术产生的原因VRRP在防火墙的缺陷VGMP(VRRP Group Management Protocol)VGMP基本原理VGMP组管理VGMP报文VGMP状态机HRP(Huawei Redundancy protocol)HRP...

    防火墙双机热备技术

    双机热备技术产生的原因

    在这里插入图片描述

    USG防火墙作为安全设备,一般 会部署在需要保护的网络和不受保护的网络之间,即位于业务接口点上。在这种业务点上,如果仅仅使用一台USG防火墙设备,无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份。

    VRRP在防火墙的缺陷

    在这里插入图片描述

    问题产生的原因:报文转发机制不同。

    • 路由器:每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。
    • 状态监测防火墙:如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能通过防火墙,如果链路切换后,后续报文找不到正确的表项,会导致业务中断。

    VGMP(VRRP Group Management Protocol)

    VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。

    VGMP基本原理

    在这里插入图片描述

    • 当防火墙上的VGMP为Active状态时,组内所有VRRP备份组的状态统一为 Active状态,所有报文都将从该防火墙.上通过,该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态,该防火墙成为备用防火墙。
    • VGMP的优先级会根据组内的VRRP备份组状态为Active的VGMP也会定期向对端发送HELLO报文,通知Standby端本身的运行状态(包括优先级、VRRP成员状态等)。成员的状态动态调整,以此完成两台防火墙的主备倒换。
    • 与VRRP类似,与VRRP不同的是,Standby端收到HELLO报文后,会回应一个ACK消息,该消息中也会携带本身的优先级、VRRP成员状态等。
    • VGMP HELLO报文发送周期缺省为1秒。当Standby端 三个HELLO报文周期没有收到对端发送的HELLO报文时,会认为对端出现故障,从而将自己切换到Active状态。

    VGMP组管理

    状态一致性管理

    各备份组的主/备状态变化都需要通知其所属的VGMP管理组,由VGMP管理组决定是否允许VRRP备份组进行主/备状态切换。如果需要切换,则VGMP管理组控制所有的VRRP备份组统一切换。 VRRP 备份组加入到管理组后,状态不能自行单独。
    切换。

    抢占管理

    • VRRP备份组本身具有抢占功能。即当原来出现故障的主设备故障恢复时,其优先级也会恢复,此时可以重新将自己的状态抢占为主。
    • VGMP管理组的抢占功能和VRRP备份组类似,当管理组中出现故障的备份组故障恢复时,管理组的优先级也将恢复。此时VGMP可以决定是否需要重新抢占称为主设备。
    • 当VRRP备份组加入到VGMP管理组后,备份组.上原来的抢占功能将失效,抢占行为发生与否必须由VGMP管理组统一决定。

    VGMP报文

    在这里插入图片描述

    • 标准VRRP报文的“Type”字段只有“1”一个取值,我们增加了“2”取值。也就是说如果Type=1,就是标
      准的VRRP报文;如果Type=2,就是我们修改后的VRRP报文。

    • 标准VRRP报文的“Virtual Rtr ID”字段代表VRRP备份组ID,而修改后的VRRP报文“Virtual Rtr ID”取值固定为“0”。

    • 修改后的VRRP报文中去掉了标准VRRP报文的“IP Address”字段。

    • 标准VRRP报文中的“Priority”字段在VRRP报文头中被修改成“Type2”字段。

    • 当Type2=1时,报文封装成心跳链路探测报文。心跳链路探测报文用于检测对端设备的心跳口能否正常接收本端设备的报文,以确定是否有心跳口可以使用。

    • 当Type2=5时,报文封装成 一致性检查报文。一致性检查报文用于检测双机热备状态下的两台防火墙是否配置了相同的策略。

    • 当Type2=2时,VRRP报文才会进一步封装VGMP报文头,并根据VGMP报文头中

    • “vType”字段继续分成以下三种报文 :

    1. VGMP 报文(VGMP Hello 报文)。VGMP Hello 报文用于两台防火墙间的VGMP组协商主备状态。这也正是我们问题的答案所在。
    2. HRP 心跳报文(HRP Hello 报文)。HRP心跳报文用于探测对端设备是否处于工作状态。主用设备会每隔一段时间(缺省为1s)向备用设备发HRP心跳报文,用来通知主用设备处于工作状态。如果备用设备在三个周期内没有收到HRP心跳报文,则认为主用设备故障,而自身切换成主用备。
    3. HRP 数据报文。我们还需要在VGMP报文头后继续增加HRP报文头,才能封装成HRP数据报文。HRP数据报文用于主备设备之间的数据备份,包括命令行配置的备份和各种状态信息的备份。

    VGMP状态机

    在这里插入图片描述

    启用双机热备内功能后,各VGMP组进入Initialize(初始化)状态。

    1.启用Active组后,Active组的状态由Initialize切换成Active。

    2.启用Standby组后,Standby组的状态由Initialize切换成Standby。

    3.本端VGMP组监控的接口故障时,状态由Active切换成A to S,并发送VGMP请求报文给对端设备的VGMP组。

    4.本端VGMP组收到对端的VGMP请求报文,发现自身优先级高,则将状态由Standby切换成Acitve,并发送VGMP确认报文给对端设备的VGMP组。

    5.本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由A to S切换成Standby。

    6.对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由A to S切换成Active。

    7.本端VGMP组监控的接口故障恢复后,如果本端VGMP组优先级高于对端且配置了抢占功能,则本端VGMP组状态由Standby切换成S to A,并向对端发送VGMP请求报文。

    8.本端VGMP组收到对端的VGMP请求报文,发现对端优先级高,则将状态由Active切换成Standby,并发送VGMP确认报文给对端设备的VGMP组。

    9.本端VGMP组收到对端的VGMP确认报文,确认本端需要进行状态切换,则本端的VGMP组状态由S to A切换成Active,完成抢占过程。

    10.对端VGMP组确认本端的VGMP组不需要进行状态切换或连续三次没有回应本端的VGMP请报文,则本端的VGMP组状态由S to A切换成Standby。

    HRP(Huawei Redundancy protocol)

    用来实现防火墙双机之间动态状态数据和关键配置命令的备份

    • 在双机热备组网中,当主防火墙出现故障时,所有流量都将切换到备防火墙。因为USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙.上的会话表等连接状态数据,则切换到备防火墙的流量将无法通过防火墙,造成现有的连接中断,此时用户必须重新发起连接。
    • HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提交给HRP模块,HRP模块负责将数据发送到对端防火墙的对应模块,应用模块需要再将HRP模块提交上来的数据进行解析,并加入到防火墙的动态运行数据池中。
      • 备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
      • 备份方向:防火墙上有状态为主的VGMP管理组,向对端备份。
      • 备份通道: 一般情况下,在两台设备上直连的端口作为备份通道,有时也称为“心跳线”(VGMP也通过该通道进行通信).

    HRP报文

    在这里插入图片描述

    HRP心跳接口

    在这里插入图片描述

    心跳接口状态

    在这里插入图片描述

    • invalid:当本端FW上的心跳口配置错误时显示此状态(物理状态up,协议状态down),

    例如指定的心跳口为二层接口或未配置心跳接口的IP地址。

    • down:当本端FW上的心跳口的物理与协议状态均为down时,则会显示此状态。
    • peerdown:当本端FW.上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果收不到对端响应的报文,那么FW会设置心跳接口状态为peerdown。但是心跳口还会不断发送心跳链路探测报文,以便当对端的对应心跳口up后,该心跳链路能处于连通状态。
    • ready:当本端FW上的心跳口的物理与协议状态均为up时,则心跳口会向对端对应的心跳口发送心跳链路探测报文。如果对端心跳口能够响应此报文(也发送心跳链路探测
      报文),那么FW会设置本端心跳接口状态为ready,随时准备发送和接受心跳报文。这时心跳口依旧会不断发送心跳链路探测报文,以保证心跳链路的状态正常。
    • running:当本端FW有多个处于ready状态的心跳口时,FW 会选择最先配置的心跳口形成心跳链路,并设置此心跳口的状态为running。如果只有一个处于ready状态的心跳口,那么它自然会成为状态为running的心跳口。状态为running的接口负责发送HRP心跳报文、HRP数据报文、HRP链路探测报文、VGMP报文和一致性检查报文。
    • 这时其余处于ready状态的心跳口处于备份状态,当处于running状态的心跳口或心跳链路故障时,其余处于ready状态的心跳口依次(按配置先后顺序)接替当前心跳口处理业务。

    心跳链路探测报文的作用时检测对端设备的心跳口能否正常接收本端设备的奥文,以确定心跳链路是否可用。

    HRP心跳报文只有主用设备的VGMP组通过状态为running的心跳口发出

    双机热备的备份方式

    自动备份

    自动备份功能缺省为开启状态,能够自动实时备份配置命令和周期性地备份状态信息,适用于各种双机热备组网。

    启用自动备份功能后,在一台FW上每执行一条可以备份的命令时,此配置命令就会被立即同步备份到另一台FW上。

    启用自动备份功能后,主用设备会周期性地将可以备份的状态信息备份到备用设备上。即主用设备的状态信息建立后不会立即备份,而是在建立一段时间(10秒左右)之后才会备份到备用设备。

    自动备份不会备份以下类型的会话:

    • 到防火墙自身的会话,例如管理员登录防火墙时产生的会话。
    • 未完成3次握手的TCP半连接会话(快速备份支持备份此会话)。
    • 只为UDP首包创建,而不被后续包匹配的会话(快速备份支持备份此会话)。

    手动批量备份

    • 手工批量备份需要管理员手工触发,每执行一次手工批量备份命令,主用设备就会立即同步一次配置命令和状态信息到备用设备。因此手工批量备份主要适用于主备设备之间配置不同步,需要手工同步的场景。
    • 执行手工批量备份命令后,主用(配置主)设备会立即同步一次可以备份的配置命令到备用(配置备)设备。
    • 执行手工批量备份命令后,主用设备会立即同步一次可以备份的状态信息到备用设备,而不必等到自动备份周期的到来。

    会话快速备份

    • 会话快速备份功能,适用于负载分担的工作方式,以应对报文来回路径不一致的场景。负载分担组网下,由于两台防火墙都是主用设备,都能转发报文,所以可能存在报文的来回路径不一致的情况, 即来回两个方向的报文分别从不同的防火墙经过。这时如果两台防火墙的会话没有及时相互备份,则回程报文会因为没有匹配到会话表项而被丢弃,从而导致业务中断。所以为防止.上述现象发生,需要在负载分担组网下配置会话快速备份功能,使两台防火墙能够实时的相互备份会话,使回程报文能够查找到相应的会话表项,从而保证内外部用户的业务不中断。
    • 启用会话快速备份功能后,主用设备会实时地将可以备份的会话(包括上面提到的自动备份不支持的会话)都同步到备用设备上。即在主用设备会话建立的时候立即将其实时备份到备用设备。

    设备重启后主备FW的配置自动同步

    • 双机热备组网中,如果一台FW重启,重启期间业务都是由另一台FW承载。在此期间,承载业务的FW上可能会新增、删除或修改配置。为了保证主备FW配置一致,在FW重启完成后,会自动从当前承载业务的FW上进行一次配置同步。
    • 配置同步仅会同步支持备份的配置,如安全策略、NAT策略等。不支持备份的配置,如OSPF、BGP等, 还继续沿用原有的配置。
    • 配置同步需要一定的时间。同步的时间与配置量有关,配置量越大同步配置所需时间也越长,最长可能需要1个小时左右。在配置同步期间,FW上无法执行支持备份的配置命令。

    双机热备基本组网与配置

    防火墙热备技术实验

    实验拓扑图
    在这里插入图片描述
    端口地址和区域划分

    设备名称 接口 IP地址 区域
    USG6000-1 g1/0/0 10.1.1.2/24 trust
    g1/0/1 40.1.1.2/24 untrust
    g1/0/2 10.1.2.1/24 DMZ
    g1/0/3 20.1.1.1/24 DMZ
    USG6000-1 g1/0/0 10.1.1.3/24 trust
    g1/0/1 40.1.1.3/24 untrust
    g1/0/2 10.1.2.2/24 DMZ
    g1/0/3 20.1.1.2/24 DMZ
    PC1 e0/0/0 10.1.1.100/24 trust
    PC2 e0/0/0 2.2.2.2/24 trust

    在这里插入图片描述
    配置思路:
    1.配置接口IP以及安全区域
    在这里插入图片描述
    完成USG6000-1的VRRP备份组1,2的配置
    在这里插入图片描述
    在这里插入图片描述

    查看双机热备状态
    在这里插入图片描述
    配置安全策略

    在这里插入图片描述
    查看VRRP状态

    HRP_M[USG6000V1]display vrrp
    2021-03-03 11:12:13.540 
      GigabitEthernet1/0/0 | Virtual Router 1
        State : Master
        Virtual IP : 10.1.1.1
        Master IP : 10.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0101
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-03 10:32:17
        Last change time : 2021-03-03 11:03:58
    
      GigabitEthernet1/0/1 | Virtual Router 2
        State : Master
        Virtual IP : 2.2.2.1
        Master IP : 40.1.1.2
        PriorityRun : 120
        PriorityConfig : 100
        MasterPriority : 120
        Preempt : YES   Delay Time : 0 s
        TimerRun : 60 s
        TimerConfig : 60 s
        Auth type : NONE
        Virtual MAC : 0000-5e00-0102
        Check TTL : YES
        Config type : vgmp-vrrp
        Backup-forward : disabled
        Create time : 2021-03-03 10:32:33
        Last change time : 2021-03-03 11:03:58
    

    查看HRP状态

    HRP_M[USG6000V1]display hrp state 
    2021-03-03 11:14:18.550 
     Role: active, peer: standby
     Running priority: 45000, peer: 45000
     Backup channel usage: 0.00%
     Stable time: 0 days, 0 hours, 0 minutes
     Last state change information: 2021-03-03 11:14:06 HRP core state changed, old_
    state = abnormal(standby), new_state = normal, local_priority = 45000, peer_prio
    rity = 45000.
    

    思考题:
    1.两台FW之间备份的数据是通过心跳口发送和接收的,是通过心跳链路(备份通道)传输的。对于心跳接口有什么要求。
    有备份,心跳口必须是状态独立且具有IP地址的接口,可以是- -一个物理接口(GE接口)也可以是为了增加带宽,由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。

    在这里插入图片描述

    2.防火墙双机热备有多种配置场景,本实验为防火墙直路部署,上下行连接二层设备的主备备份组网配置,思考还有哪些双机热备的组网场景,并且分别对应哪些配置注意点。

    在这里插入图片描述

    展开全文
  • 防火墙双机热备业务特性与配置
  • 华为防火墙双机热备

    2021-07-20 09:49:22
    为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。 在双机热备组网中,当一台防火墙出现故障时,业务流量能平滑地切换到备份防火墙上,保证流量不中断使...

    在网络关键节点上,如果只部署一台设备,无论其可靠性多高,系统都必然要承受因单点故障而导致的网络中断的风险。
    防火墙一般用作内网到外网的出口,是业务关键路径上的设备。为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更高的可靠性,此时需要使用防火墙双机热备组网。
    在双机热备组网中,当一台防火墙出现故障时,业务流量能平滑地切换到备份防火墙上,保证流量不中断使内外网用户交互时完全感知不到曾经出现过网络故障。
    在这里插入图片描述
    在这里插入图片描述
    双机热备需要解决的问题:
    在这里插入图片描述

    双机热备特性涉及到的三大协议:VRRP,VGMP,HRP
    VRRP:
    VRRP是一种容错协议,他将同一个广播域的一组路由器组织成一个虚拟路由器,称之为一个备份组,共享一个虚拟IP地址,备份组的两个接口之间通过比较VRRP报文的优先级来确定主备状态。
    VRRP协议报文:用来将master设备的优先级和状态通告给同一备份组的所有backup设备,VRRP报文协议封装在IP报文中,发送到VRRP的组播地址224.0.0.18,TTL是255,协议号是112
    VRRP状态机:VRRP协议中定义了3种状态机,初始状态(initialize),活动状态(master),备份状态(backup),只有master设备才能转发数据。
    在这里插入图片描述
    VRRP分为两种工作方式:主备备份和负载分担
    VRRP优先级取值范围(0-255),值越大,越优先
    VRRP所面临的问题:当防火墙上下行端口都配置了VRRP备份组时,由于两个备份组是独立运行的,可能出现上下行两个备份组状态不一致的情况。
    例如,主用网关防火墙上内网侧的接口故障,VRRP倒换到备用网关防火墙,因此出去的流量从备用网关防火墙上转发。但是对于外网侧的VRRP,主用网关防火墙上VRRP仍然是主,因此回程的流量仍然会送到主用网关防火墙上,但业务流量无法送回内网,导致业务中断。
    在这里插入图片描述
    可以监测上行链路状态,如在VRRP备份组2中,在AR1上监测上行链路G1/0/1口,发现G1/0/1口故障,就将自己(备份组2)的G1/0/3口的优先级调小,使得master设备切换到AR2上,使得上下行设备主备状态一致。

    VGMP:华为私有协议
    管理所有VRRP备份组,实现对VRRP备份组的统一管理,解决VRRP备份组状态不一致的问题。
    如果VGMP组检测到其中一个VRRP备份组的状态变化,则VGMP组会控制组中的所有VRRP备份组统一进行状态切换,保证各VRRP备份组状态的一致性。
    HRP:华为私有协议
    为了实现主用备用设备之间平滑切换,必须在主用和备用设备之间备份关键配置命令和会话表状态信息,为此防火墙引入了HRP协议实现防火墙在双机之间动态状态数据和关键配置命令的实时备份。
    在双机热备组网中,指定心跳线作为专门的备份通道,用于备份配置命令和状态信息

    HRP备份内容:
    1.策略:安全策略、NAT策略(包括NAT地址池)、NAT Server、服务器负载均衡、带宽管理、认证策略、审计策略、攻击防范、黑名单、ASPF
    2 .对象∶地址、地区、服务、应用、用户、认证服务器、时间段、地址池、URL分类、关键字组、邮件地址组、签名、安全配置文件(反病毒、入侵防御、URL过滤、文件过滤、内容过滤、应用行为控制、邮件过滤、APT防御)、健康检查
    3.网络︰新建逻辑接口、安全区域、DNS、静态路由(配置hrp auto-syncconfig static-route后才可以备份)、IPSec、SSL VPN、TSM联动
    4.系统︰管理员、虚拟系统(包括虚拟系统创建和虚拟系统内的业务配置命令)、日志配置

    心跳线:双机热备组网中,心跳线是两台防火墙交互消息了解对端状态以及备份配置命令和各种表项的通道,心跳线两端的接口通常被称为心跳接口,心跳线主要传输以下信息:
    心跳报文(Hello报文):两台FW通过定期(默认周期为1秒)互相发送心跳报文检测对端设备是否存活。
    VGMP报文:了解对端设备的VGMP组的状态,确定本端和对端设备当前状态是否稳定,是否要进行故障切换。
    配置和表项备份报文:用于两台FW同步配置命令和状态信息。
    心跳链路探测报文:用于检测对端设备的心跳口能否正常接收本端设备的报文,确定是否有心跳接口可以使用。
    配置一致性检查报文:用于检测两台FW的关键配置是否一致,如安全策略、NAT等。
    上述报文均不受FW的安全策略控制。因此,不需要针对这些报文配置安全策略。

    心跳线和心跳接口的配置建议:
    1.心跳接口的连线方式可以是直连,也可以通过交换机或路由器连接。建议将组成双机热备的两台FW安装在同一个机架或者相邻的机架上,心跳接口使用网线或者光纤直连。
    2.建议规划专门的接口作为心跳接口,该接口只用来发送心跳报文、备份报文等双机热备功能相关的报文,不要将业务报文引导到该接口上转发。同时,建议将多个以太网接口绑定成Eth-Trunk接口,使用Eth-Trunk作为心跳接口。这样既提高了链路的可靠性,又可以增加备份通道的带宽。
    3.对于USG9000V系列设备,vLPU上的接口均可作为心跳接口。请安装多个vLPU,并将不同接口板上的以太网接口绑定成Eth-Trunk接口,使用该Eth-Trunk接口作为心跳接口。
    4.心跳接口需要发送业务相关的表项备份报文,心跳接口的流量大小与业务流量大小有关。心跳接口的带宽建议不低于峰值业务流量的30%。
    5.建议至少配置2个心跳接口。一个心跳接口作为主用,另一个心跳接口作为备份。

    心跳线和心跳接口的配置注意事项:
    1.MGMT接口(GigabitEthernet0/0/0)不能作为心跳接口。
    2.配置了vrrp virtual-mac enable命令的接口不能用作心跳接口。
    3.两台FW心跳接口的类型、接口编号、链路协议类型必须相同。如果使用Eth-Trunk接口作为心跳接口,Eth-Trunk接口的成员接口也要相同。如果使用VLAN接口(VLANIF)作为心跳接口,实际收发报文的二层物理接口也必须相同。
    4.两台FW心跳接口必须加入相同的安全区域。
    5.接口MTU值小于1500的接口不能作为心跳接口。配置和表项备份报文的最大长度为1500字节,且报文不支持分片。如果心跳接口MTU值小于1500,会导致报文发送失败。
    6.心跳接口通过交换机或路由器连接时,交换机或路由器上转发心跳报文和备份报文的接口的MTU值不能小于1500。
    7.如果FW上配置了虚拟系统,心跳接口不能是虚拟系统的接口,必须是根系统的接口。虚拟系统的配置命令和表项也能通过规划在根系统的心跳接口备份到对端设备。

    双机热备的系统要求:
    介绍双机热备功能对设备硬件、软件以及License的要求。
    硬件要求:
    组成双机热备的两台FW的型号必须相同,安装的单板类型、数量以及单板安装的位置必须相同。
    两台FW的硬盘配置可以不同。例如,一台FW安装硬盘,另一台FW不安装硬盘,不会影响双机热备的运行。但未安装硬盘的FW日志存储量将远低于安装了硬盘的FW,而且部分日志和报表功能不可用。
    软件要求:
    组成双机热备的两台FW的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。
    实际上,在系统软件版本升级或回退的过程中,两台FW可以暂时运行不同版本的系统软件。例如,一台设备的软件版本为V500R001C50,另一台设备的软件版本为V500R001C30SPC300。
    License要求:
    双机热备功能自身不需要License。但对于其他需要License的功能,如IPS、反病毒等功能,组成双机热备的两台FW需要分别申请和加载License,两台FW之间不能共享License。两台FW的License控制项种类、资源数量、升级服务到期时间都要相同。

    双机热备地工作模式:主备备份、负载分担
    HRP备份方式:自动备份(默认)、手工批量备份、会话快速备份、设备重启后主备防火墙的配置自动同步

    实验:
    拓扑图:
    在这里插入图片描述

    FW1配置地址并划分区域:
    在这里插入图片描述

    FW2配置地址并划分区域:
    在这里插入图片描述

    FW1配置VRRP备份组:
    在这里插入图片描述

    FW2配置VRRP备份组:
    在这里插入图片描述

    FW1配置心跳线:
    在这里插入图片描述

    FW2配置心跳线:
    在这里插入图片描述

    FW1配置安全策略:(FW2不用配置,自动备份)
    在这里插入图片描述
    在这里插入图片描述

    FW1配置NAT转换:(FW2不用配置,自动备份)
    在这里插入图片描述
    在这里插入图片描述
    AR1配置地址:
    在这里插入图片描述
    FW1配置静态路由使得trust可以访问到pc2(默认),需要加上hrp auto-sync config static-route命令才能同步路由
    在这里插入图片描述

    FW2上有静态路由,成功同步
    在这里插入图片描述

    成功访问
    在这里插入图片描述

    测试:这时将FW1的g1/0/1口shutdown,防火墙主备状态将会切换,FW1切换为backup,FW2切换为master

    在这里插入图片描述
    在这里插入图片描述

    图形化配置双机热备:
    拓扑图:

    在这里插入图片描述
    FW1配置双机热备:
    在这里插入图片描述

    在这里插入图片描述
    配置VRRP:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    FW2配置双机热备:backup设备
    在这里插入图片描述
    配置VRRP备份组1
    在这里插入图片描述
    配置VRRP备份组2
    在这里插入图片描述
    在这里插入图片描述
    FW2状态正常
    在这里插入图片描述
    FW1状态正常
    在这里插入图片描述
    配置FW1的安全策略
    在这里插入图片描述
    在这里插入图片描述
    FW1配置NAT策略
    在这里插入图片描述黑洞路由表示在内网中,没有用户使用10.1.2.20这个地址做转换的情况下,从外面来了一条路由说自己要访问10.1.2.20这条路由,这时FW1查看自己的路由表,发现没有人使用10.1.2.20这个地址,于是FW1会将这条路由当作缺省路由来转发,会导致这条路由不停的再转发,这时可以开启配置黑洞路由这个选项,这时FW1会将这条路由丢弃
    在这里插入图片描述
    FW2自动同步NAT策略
    在这里插入图片描述
    FW1上配置静态路由
    在这里插入图片描述
    FW2上自动同步静态路由
    在这里插入图片描述
    测试:pc1和pc2可以通信
    在这里插入图片描述

    测试:将FW1的g1/0/1口禁用,此时流量会从FW2走,实现平滑过渡
    在这里插入图片描述

    在这里插入图片描述

    展开全文
  • 部署防火墙双机热备,避免防火墙出现单点故障而导致的网络瘫痪 进行故障模拟,在双机热备的部署完成之后,关闭主设备,查看业务连通性是否收到影响 连通性要求: 内网用户可以访问外网、服务器 外网用户可以访问...
  • 华为防火墙双机热备配置手册,适用于Quidway Eudemon 300/500/1000等型号
  • 防火墙双机热备实验

    2021-02-05 13:16:53
    防火墙双机热备实验 拓扑图以及其中的配置命令如下: 当将命令配置好后,在浏览器中登陆防火墙: FW4:https://192.168.0.1:8443 FW2:https://192.168.0.2:8443 现在是将FW4作为主状态,FW4作为备状态: 进行...
  • 本文使用华为eNSP模拟器,实现了镜像模式下华为防火墙双机热备配置实例。 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所...
  • 阅读本文,您需要有一定的防火墙配置基础和防火墙双机热备理论基础,如果您对此还存在困惑,欢迎查阅我博客内的其他文章,相信您一定会有所收获! 推荐先导文章阅读: VGMP协议详解 HRP协议详解 防火墙双机热备技术...
  • 今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器为例,实现了配置...在本实验中,防火墙双机热备检测的是接口上的VRRP状态,其命令配置与普通VRRP配置大致相同,但是vrrp后面必须配置active或者standby表明此VRRP
  • 防火墙双机热备三大协议(VRRP-VGMP-HRP)原理

    万次阅读 多人点赞 2019-03-30 22:17:17
    防火墙双机热备技术 双机热备概述: 为什么需要要双机热备? 解决单点故障,实现业务的平滑过渡(会话表需要同步的) 双机热备的两种部署方式: 主备方式 负载分担分时。 防火墙双机热备产生的原因,详细内容...
  • 防火墙双机热备笔记

    2020-02-22 16:55:48
    五、防火墙双机热备 一台防火墙容易单点故障,所以要备份 【】VGMP(VRRP组管理协议) VGMP状态(Active/Standby) VGMP HELLP(1秒1发,3秒挂) 状态一致性管理: VGMP管理组控制所有的VRRP备份组统一切换 抢占管理: ...
  • 华为防火墙双机热备实验 拓扑 说明 防火墙的G1/0/0口接外网,开启easy-ip NAT转发 虚拟ip为192.168.1.200/24 防火墙的G1/0/1口接内网 虚拟IP为172.16.1.200/24 防火墙G1/0/6用作hrp心跳线,区域为DMZ区域...
  • 华为_防火墙双机热备

    2019-07-09 14:15:46
    防火墙双机热备 双机热备的工作原理: 故障隔离,简单的讲,高可用(热备)就是一种利用故障点转移的方式来保障业务连续性。其业务的恢复不是在原服务器,而是在备用服务器。 华为的双机热备是通过部署两台或多台...
  • 防火墙双机热备配置及组网指导: 防火墙双机热备典型组网 防火墙双机热备命令行说明 ……
  • 华为网络 防火墙 双机热备
  • 双机热备技术双机热备技术产生的原因:传统的组网中,内部用户和外部用户的交互全部通过唯一的一台防火墙,当该防火墙出现故障时,内部网络中所有的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。双机热备...
  • CheckPoint 防火墙 双机 热备 HA 实施方案
  • 华为防火墙双机热备(VRRP+VGMP+HRP)

    千次阅读 2020-02-21 15:55:27
    防火墙一般用作内网到外网的出口,是业务关键路径上的设备,为了防止因一台设备故障而导致的业务中断,要求防火墙必须提供更新更高的可靠性,此时需要使用防火墙双机热备组网 双机热备组网的建立和运行需要解决以下...
  • 防火墙双机热备典型故障现象及定位-20080311-B.zip 防火墙双机热备典型故障现象及定位-20080311-B.zip 防火墙双机热备典型故障现象及定位-20080311-B.zip
  • 华为防火墙双机热备基础教程 【华为官方视频】 https://ilearningx.huawei.com/courses/course-v1:HuaweiX+EBGTC00000189+2018.9/about 【CSDN博客】 https://blog.csdn.net/qq_38265137/article/details/80349439 ...
  • HCIA-SEC课程之防火墙双机热备技术
  • 理论+实操:防火墙双机热备

    千次阅读 2020-02-15 00:29:24
    文章目录一:双机热备的工作原理1.1 双机热备概述1.2 VRRP(虚拟路由冗余协议Virtual Router Redundancy Protocol)1.3 VGMP二:双机热备配置2.1 双击热备的备份方式2.2 开启双机热备功能2.3 配置自动备份模式2.4 ...
  • 本文主要讲解防火墙双机热备配置中的主备备份模式和负载分担模式原理。 一、主备备份模式原理 主备备份指正常情况下仅由主要设备处理业务,备用设备空闲。当主用设备接口、链路或整机故障时,备用设备立即切换为主用...
  • H3C SetchPath F1000e 防火墙双机热备。里面有二层和三层配置方法都有。

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 2,779
精华内容 1,111
关键字:

防火墙双机热备