双机热备技术产生的原因
传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过FW1。如果FW1出现故障,内部网络中所有以FW1作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
在网络架构设计时,通常会在关键位置部署两台(双机)或多台设备,以提升网络的可能性。
双机热备在路由器上的部署
路由器不会记录报文的交换状态和应用层信息,因此路由器的双机部署,只需要做好路由备份就可以保证业务的可靠性。
双机热备协议架构
VRRP(虚拟冗余协议)
负责单个接口的 故障检测和流量引导。每个VRRP备份组拥有一个虚拟IP地址,作为网络的网关地址;在VRRP主备倒换时通过发送免费ARP来刷新对接设备的MAC转发表来引导流量。
VGMP(VRRP组管理协议,华为私有)
将系统中所有的VRRP备份组集中管理,控制状态统一切换,保证出现故障时上行流量能同步切换到备用防火墙。
HRP(华为冗余协议,华为私有)
负责双机之间的数据同步。
主备备份和负载分担应用场景
在防火墙双机热备组网中必须首先解决两个问题:
1、防火墙必须能够检测到链路或设备故障。
2、防火墙检测到故障后能够实现流量平滑切换。
当放火墙上下行业务端口上配置了VRRP备份组时,这两个VRRP备份组是独立运行的,可能出现上下行VRRP备份组状态不一致的情况。
例如,主用网关防火墙上内侧接口故障,VRRP倒换到备用防火墙,因此出去的流量从备用防火墙转发。但是对于外网侧的VRRP,主用网关的防火墙上VRRP仍然是主,因此回程的流量仍然会送会到主用网关防火墙上,但业务流量无法送回内网,导致业务中断。
VGMP产生
为了解决前面提到的单独配置VRRP可能遇到的状态不一致问题,华为在VRRP的基础上开发了VGMP组管理协议(VRRP Group Management Protocol),即VGMP。
VGMP提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组,通过统一空着各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。
HRP介绍
HRP(Huawei Redundancy Protoco)协议,用来将主防火墙关键配置和连接状态等数据向备防火墙同步。
HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据,提供给HRP模块,HRP模块负责将数据发送到対端防火墙的对应模块,应用模块需要再将HRP模块提交上来数据进行解析,并加入到防火墙的动态运行数据池中。
备份内容:要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NO-PAT表项、ARP表项等。
HRP数据备份范围
能够备份配置命令:只能在主设备上配置,备设备不能配置
不能备份的配置命令:主设备和备设备都可以配置。
双机热备基本组网
1、配置主备备份的双机热备,FW1为主,FW2为备。
2、VRRP1的虚拟IP地址为10.1.1.253,VRRP2的虚拟IP地址为202.100.1.253.
3、心跳接口不配置remote参数(使用VRRP报文封装,为组播流量,无需放行安全策略)
CLI详细配置
SW1底层桥接配置
interface Ethernet 0/0/5
port link-type trunk
port trunk allow-pass vlan 10 16
interface Ethernet 0/0/6
port link-type access
port default vlan 21
interface Ethernet 0/0/8
port link Ethernet 0/0/8
port link-type access
port default vlan 19
undo ip route-static 0.0.0.0 0 10.1.1.10 (将SW1的默认网关地址改为VRRP的虚拟地址)
ip route-static 0.0.0.0 0 10.1.1.253
修改ISP上的路由为虚拟IP 202.100.1.253
ISP(config)# no ip route 10.1.0.0 255.255.0.0 202.100.1.10
ISP(config)# no ip route 172.16.0.0 255.255.0.0 202.100.1.10
ISP(config)# no ip route 192.168.0.0 255.255.0.0 202.100.1.10
ISP(config)# ip route 10.1.0.0 255.255.0.0 202.100.1.253
ISP(config)# ip route 172.16.0.0 255.255.0.0 202.100.1.253
ISP(config)# ip route 192.168.0.0 255.255.0.0 202.100.1.253
创建HA Zone
[FW1] firewall zone name HA
[FW1]
set priority 70
[FW2]firewall zone name HA
[FW2]set priotity 70
配置防火墙心跳口
FW1:
interface GigabitEthernet0/0/3
ip address 172.16.1.10 255.255.255.0
firewall zone HA
add interface GiagabitEternet 0/0/3
FW2:
interface GigabitEthernet0/0/3
ip address 172.16.1.11 255.255.255.0
firewall zone HA
add interface GigabitEthernet 0/0/3
FW2 HA配置
hrp enable
hrp standby-device
hrp interface GigabitEthernet0/0/3
interface GigabitEthernet0/0/1.10
vlan-type dot1q 10
ip address 10.1.1.11 24
vrrp vird 1 virtual-ip 10.1.253 standby
vrrp virtual-mac enable
interface GigabitEthernet0/0/2
ip address 202.100.1.11 255.255.255.0
vrrp vird 2 vitual-ip 202.100.1.253 standby
vrrp virtual-amc enable
双机热备Web配置
一、FW1配置主备双机热备
二、启用【双机热备】,模式为【主备备份】,运行角色为【主用】,心跳接口为【g0/0/3】,新建虚拟IP地址为【10.1.1.253】,启用【虚拟MAC】。
三、新建vrid 2 ,虚拟IP地址为【202.100.1.253】,启用【虚拟MAC】。
检查状态
安全策略:
不能同步路由
双机热备配置思路:
防火墙工作在三层,上下连接交换机(主备方式)
第一步:基本配置(IP ZONE路由)
第二步:配置VRRP及VGMP
主设备:
interface GigabitEthernet0/0/1.10
vlan-type dot1q 10
ip address 10.1.1.10 255.255.255.0
vrrp vird 1 virtual-ip 10.1.1.253 active
vrrp virtual-mac enable
备设备:
interface GigabitEthernet0/0/1.10
vlan-type dot1q 10
ip add 10.1.1.11 255.255.255.0
vrrp vrid virtual-ip 10.1.1.253 standby
vrrp virtual-mac enable
第三步:配置心跳口
hrp interface GigabitEtherne0/0/3
第四步:启动双机热备:
主备配置
hrp enable
第五步:定义双机热备模式
主模式:
hrp active-device(默认设备都是主,可以选敲)
备设备:
hrp standby-device(必须一定要敲)
弟六步:检查配置
HRP_ALFw1jdisplay vrrp
21:37:04 2019/09/19
GigabitEthernet0/0/2 l virtual Router 2
VRRP Group : Active
state : Active
Virtuai Ip :202.100.1.253
Virtual MAc : 0000-5e00-0102
Primary IP :202.100.1.10
Priority Run : 120
Priority config : 100
Active Priority : 120
Preempt : YEs Delay Time : 0
Advertisement Timer : 1
Auth Type : NONE
Check TTL : YES
GigabitEthernet0/0/1.10 l virtual Router 1
VRRP Group : Active
State : Active
Virtual IP : 10.1.1.253
Virtual MAc : 0000-5e00-0101
Primary IP :10.1.1.10
Priority Run : 120
Priority config : 100
Active Priority : 120
Preempt : YES Delay Time : 0
Advertisement Timer : 1
Auth Type : NONE
Check TL : YES
HRP_A[FW1]display hrp group
21:37:17 2022/07/24
Active group status:
Group enabled : Yes
State :active
Priority running 65001 #主备份的优先级
Total VRRP members:2
Hello interval(ms):1000
Preempt enabled : yes # 默认开启抢占功能
Preempt delay(s): 60 # 默认抢占延迟60s,可以修改
Tcp check delay(s):0
Peer group available:1
Peer’s member same:yes
Standby group status:
第七步:放行安全策略
只需要在主设备配置,备设备会同步安全策略
security-policy
rule name trust_untrust
source-zone trust
destination-zone untrust
action permit文章来源:https://www.toymoban.com/news/detail-446195.html
第八步:业务流量切换测试文章来源地址https://www.toymoban.com/news/detail-446195.html
到了这里,关于【HCIE安全】双机热备-主备备份的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
