华为防火墙 双机热备配置Word文件下载.docx

1、典型组网图分别如图1-1、图1-2所示。图1-1 来回路径一致组网图图1-2 来回路径不一致组网图上述网络均可以部署Eudemon防火墙的双机热备份功能，保证不会出现因单点故障导致的通话中断。Eudemon防火墙的双机热备份需要三个协议的支持：VRRP（Virtual Router Redundancy Protocol）是由RFC2338定义的一种容错协议，通过实现物理设备和逻辑设备的分离，实现在多个出口网关之间进行选路。VGMP（VRRP Group Management Protocol）是华为公司为防止VRRP状态不一致现象的发生，在VRRP的基础上自主开发出的扩展协议。该协议负责统一

2、管理加入其中的各备份组VRRP的状态。HRP（Huawei Redundancy Protocol）协议用来进行防火墙的动态状态数据的实时备份。通常，内部网络的主机都配置一条缺省路由，下一跳为出口路由器的接口IP地址。如图1-3所示，IP地址为10.100.10.1/24。图1-3 采用缺省路由的组网内外部用户的交互报文全部通过Router A。如果Router A出现故障，内部网络中所有以Router A为缺省路由下一跳的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。1.1.2 VRRP概述VRRP正是为了解决上述问题而提出来的。作为一种容错协议，VRRP适用于支持组播或广播的局域网（

3、如以太网等）。VRRP将局域网的一组路由器构成一个备份组，功能上相当于一台虚拟路由器。局域网内的主机仅仅知道这个虚拟路由器的IP地址，而不知道备份组内的具体设备的IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。于是，网络内的主机就通过这个虚拟路由器与其它网络进行通信。备份组中，仅有一台设备处于活动状态，称为主用设备（Master）；其余设备都处于备份状态，并随时按照优先级高低做好接替任务的准备，称为备份设备（Backup）。图1-4所示为三台路由器组成的备份组。图1-1 采用VRRP的虚拟路由器组网VRRP机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上，从而当该

4、物理路由器出现故障时能再次选择新路由器来接替业务传输工作，整个过程对用户来说是完全透明的，这就很好实现了内部网络和外部网络之间不间断通信。1.1.3 VGMP概述Eudemon备份的典型组网如图1-5所示。每个安全区域的接口均形成一个VRRP备份组，各VRRP备份组均相对独立，且单独工作。图1-1 Eudemon备份的典型组网此时，由于Eudemon是状态防火墙，只检查会话流的首报文，并动态生成会话表项。后续报文（包括返回报文）只有匹配该会话表项才能通过Eudemon。当某会话的进路径和出路径不一致时，后续报文或返回报文将无法匹配防火墙的会话表项，导致报文被丢弃。如图1-6所示，返回报文通过路

5、径（5）（9）到达Eudemon B后将会被丢弃。图1-2 Eudemon备份的状态传统VRRP机制中，由于各VRRP备份组相对独立，无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用，即传统VRRP方式将无法实现Eudemon防火墙VRRP状态的一致性。华为公司为解决上述问题，提出VGMP扩展协议，负责统一管理加入其中的各备份组VRRP状态。借助VGMP机制，可以实现对多个VRRP备份组（虚拟防火墙）的状态一致性管理、抢占管理和通道管理等，保证一台防火墙上的接口同时处于主用或备用状态，实现Eudemon防火墙VRRP状态的一致性。1.1.4 备份方式分类主备备份通过接口、备份组、管理

6、组之间的不同组合，可以实现两台Eudemon防火墙主备备份、负载分担等方式。在选择备份方式时，防火墙根据备份组的数量、各备份组中防火墙的优先级关系来确定采用哪种工作方式。借助VGMP机制，可以实现主备备份，即每个Eudemon防火墙上都配置相同编号的VRRP管理组，但是优先级不同。如图1-7所示。图1-1 主备备份组网A1、A2、A3Eudemon A的接口B1、B2、B3Eudemon B的接口在图1-7中：Eudemon A上的VRRP管理组1包含备份组1、2、3，优先级为Level1。Eudemon B上的VRRP管理组1也包含备份组1、2、3，优先级为Level2。由于Level1Le

7、vel2，所以Eudemon A作为Master防火墙，Eudemon B作为Backup防火墙。表1-1 主备备份方式下各设备的状态防火墙设备管理组1成员优先级状态会话量A备份组1，2，3Level1Master全部BLevel2BackupTrust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A防火墙（Master）的A1、A2和A3接口，由该防火墙承担全部会话业务。当Master防火墙出现故障或相关链路故障时，状态发生切换，Backup防火墙变成Master，并开始承担全部会话业务。负载分担负载分担方式包括如下两种：简化的负载分担（复用原有接口）所谓负载分担，

8、也可以称为互为主备。每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组，具有不同的优先级，如图1-8所示。图1-1 负载分担组网（1）Eudemon A的VRRP管理组：VRRP管理组1包含备份组1、2、3，优先级为Level1。VRRP管理组2包含备份组4、5、6，优先级为Level2。Level1Level2。Eudemon B的VRRP管理组：VRRP管理组1包括备份组1、2、3，优先级为Level3。VRRP管理组2包含备份组4、5、6，优先级为Level4。Level3Level4。其中，Eudemon A和Eudemon B的管理组优先级关系如下：Level1=Leve

9、l4。Level2=Level3。Eudemon A是VRRP管理组1协商出的Master，也是管理组2协商出的Backup；同样Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。表1-1 负载分担方式下各设备的状态（1）管理组2部分备份组4，5，6Level3Level4由于Eudemon A和Eudemon B的两个VRRP管理组的优先级存在交叉关系，即上文所说的Level1=Level4、Level2=Level3，所以Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A的A1、A2和A3接口，另一部分会话业务发送

10、到Eudemon B防火墙的B1、B2和B3接口，有两台防火墙共同分担话务量。如果Eudemon B防火墙出现故障，则VRRP管理组2将重新裁决各设备的状态，Eudemon A状态切换为Master，Eudemon B状态切换为Backup。此时Eudemon A防火墙承担全部会话业务。上表的状态则变为：表1-2 负载分担方式下各设备的状态（2）防火墙当Eudemon B防火墙恢复正常后，Eudemon B将继续成为管理组2的Master，流量将在两个防火墙之间负载分担。复杂的负载分担（新增负载分担接口）当Eudemon防火墙的接口速率难以顺畅传输高速业务流时，为了保证一条物理线路上传输顺畅，

11、建议为Eudemon防火墙添加新接口，并基于新接口配置用于负载分担的备份组。如图1-9所示。图1-2 负载分担组网（2）A1、A2、A3、A4、A5、A6B1、B2、B3、B4、B5、B6原有备份组为备份组1、2和3。其中：备份组1包括Eudemon A的A1接口、Eudemon B的B4接口。备份组2包括Eudemon A的A3接口、Eudemon B的B2接口。备份组3包括Eudemon A的A6接口、Eudemon B的B5接口。添加三个新的备份组4、5和6。备份组4包括Eudemon A的A2接口、Eudemon B的B3接口。备份组5包括Eudemon A的A4接口、Eudemon

12、B的B1接口。备份组6包括Eudemon A的A5接口、Eudemon B的B6接口。Eudemon A和Eudemon B的管理组和备份组建的关系如下：管理组1包含备份组1、2和3。管理组2包含备份组4、5和6。Eudemon B是VRRP管理组1协商出的Backup，也是管理组2协商出的Master。1.1.5 HRP应用Eudemon防火墙是状态防火墙，对于每一个动态生成的会话连接，Eudemon防火墙上都有一个会话表项与之对应。如图1-10所示。图1-1 Eudemon主备备份的典型数据路径假设采用主备备份方式，Eudemon A防火墙作为Master设备并承担所有数据传输任务，其上创

13、建了很多动态会话表项；而Eudemon B防火墙由于处于备份状态，没有任何流量经过。如果Eudemon A出现故障或相关链路出现问题，Eudemon B将会切换状态而变成新的Master，并开始承担传输任务。如果状态切换前，会话表项和配置命令没有备份到Eudemon B，则先前经过Eudemon A的所有会话都会因为无法匹配Eudemon B的会话表而断链，导致业务中断，从而影响业务正常进行。为了实现Master设备出现故障时能由Backup设备平滑地接替工作，需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。为此，华为公司推出了HRP。启动HRP双机热备份功能后，如果

14、Master防火墙发生故障，导致VRRP管理组状态改变，VRRP管理组上报该状态到HRP模块，由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。如果完成则引起VRRP管理组发生抢占，并进而引起VRRP备份组抢占，从而实现Backup防火墙平滑地接替工作。1.1.6 配置设备的主从划分当采用负载分担方式时，网络中存在两台Master设备，用户可能在两台Master设备上输入了很多命令。当其中一台Master设备出现故障时，如何在这两台防火墙之间备份信息、需要备份哪些命令以及备份方向都是需要考虑的问题。为了避免备份时混乱，Eudemon防火墙中引入了配置主设备、配置从设备概念。发送配置

15、备份内容的防火墙被称为配置主设备，接收配置备份内容的防火墙称为配置从设备。一台防火墙要想成为配置主设备，必须具备如下条件：只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。在负载分担方式下，参与双机热备份的两台Eudemon防火墙都是Master，此时则按照VRRP备份组优先级、接口真实IP地址从大到小的顺序选择配置主设备。除非配置主设备出现故障或者退出VRRP备份组，否则配置主设备与配置从设备之间不进行转换，从而尽力保证了配置主设备的稳定性。配置设备的主从划分仅仅是在负载分担方式下引入的概念，主备备份方式下不涉及配置设备主从划分。1.1.7 配置命令和状态信息的备份防火墙

16、备份的信息目前，Eudemon防火墙上的双机热备份功能支持配置命令和连接状态信息的备份，可以通过自动备份和手工批量备份两种方式实现。防火墙备份的信息包括如下两种：状态信息防火墙生成的会话表表项动态黑名单表项NAT表项配置命令ACL包过滤命令攻击防范命令地址绑定命令黑名单命令包括黑名单的启动命令、手工添加黑名单表项命令日志命令NAT命令统计命令区域命令包括创建安全区域，设置区域优先级以及接口加入安全区域ASPF命令清除会话表项的命令清除配置的命令信息备份方向状态信息是从备份组中的Master防火墙备份到Backup防火墙。如果进行双机热备份的两台Eudemon防火墙分别是两个备份组的Master

17、，则连接状态会互相备份，由系统决定需要备份的连接状态信息的内容。配置命令只能进行单向备份。即备份方向只能从配置主防火墙到配置从防火墙，不能反向备份。自动备份自动备份方式包括自动实时备份和自动批量备份。分别从如下两方面进行说明：配置命令的备份自动批量备份是指当配置从设备接替工作或重新启动时，由配置主设备将所有配置命令批量备份到配置从设备，配置从设备执行仅需要双机备份的配置命令，从而实现主/备防火墙之间的配置同步。自动实时备份在自动批量备份后进行。在Eudemon防火墙运行过程中，当配置主设备识别到启动双机热备份的命令时，配置主设备自动将配置命令备份到配置从设备，从而配置从设备运行这些配置命令。在

18、配置主设备、配置从设备都正常工作的情况下，如果启动自动实时备份功能，则在配置主设备上每输入一条需要双机备份的命令时，此配置命令将被传送给到配置从设备并执行；如果在配置主设备上输入不需要双机备份的命令，则该命令仅在配置主设备上执行，不会被传送到配置从设备。对于在配置从设备上执行的命令，不会被传送到配置主设备。当配置从设备未工作或工作异常时，自动备份无法进行。连接状态的备份自动批量备份是指当Backup防火墙接替工作或重新启动时，由Master防火墙将所有连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。在Eudemon防火墙运行过程中，当Master防火墙上产生了需要备份

19、的连接状态信息时，Master防火墙自动将连接状态信息备份到Backup防火墙，并由Backup防火墙进行状态处理。手工批量备份手工批量备份是指当配置主设备、配置从设备都正常工作时，且配置主设备上启动手工批量同步备份功能，则配置主设备将需要双机备份的配置命令批量发送到配置从设备，从而让配置从设备执行这些配置命令。当配置从设备未工作或工作异常时，手工批量备份无法进行。手工批量备份是指当Master防火墙、Backup防火墙都正常工作时，且Master防火墙上启动手工批量同步备份功能，则Master防火墙将需要双机备份的连接状态信息批量发送到Backup防火墙，并由Backup防火墙进行状态更新。

20、当Backup防火墙未工作或工作异常时，手工批量备份无法进行。1.1.8 双机热备份的组网方式Eudemon的双机热备份，除可以工作在路由模式下外，还可以工作在混合模式下。混合模式下的双机热备份主要是指Eudemon工作于混合模式下，通过透明模式的接口接收和发送业务报文，用以完成网络应用；通过路由模式的接口传送VRRP、VGMP和HRP报文，用以维护防火墙的主备关系。混合模式下的双机热备份除能够提供透明模式的无缝接入，对外提供二层交换机（透明模式下的防火墙）业务外，还能保证当主防火墙发生故障后，流量能够转换到备防火墙上，保证业务的连续性。1.1.9 报文来回路径不一致的组网如图1-11所示，n

21、et1和net4间的用户通信，报文和返回报文的路径分别为Router A-Eudemon A-Router C和Router D-Eudemon B-Router B。由于Eudemon是状态防火墙，要求网络报文来回路径一致。此时，传统的双机热备份无法保证来回路径不一致组网下的可靠性。图1-1 来回路径不一致组网图一般情况下，如果各路由器支持完整的路由协议，则每台路由器上都会有分别到达net1、net2、net3和net4的路由，Eudemon A和Eudemon B也可能同时具有到达各net的路由。当网络设备接口故障等现象发生时，可能导致某台Eudemon无法获得完整的到达源和目的的路由。以

22、net1和net4间的数据流为例，以Eudemon A和Eudemon B上是否存在对应的路由表项为划分原则，网络结构可以分为如下几种：H型结构双机拥有完整的到达源和目的的路由。h型结构只有一台防火墙拥有完整的到达源和目的的路由，另一台不完整。N型结构两台防火墙都没有完整的到达源和目的的路由。|-型结构只有一台拥有完整的到达源和目的的路由，另一台完全没有。具体如图1-12、图1-13、图1-14、图1-15所示。图1-2 H型结构图1-3 h型结构图1-4 N型结构图1-5 |-型结构当Eudemon A故障后，net1与net4间的报文将通过Eudemon B转发。但如果Eudemon A上

23、的信息没有备份到Eudemon B，Eudemon B会将到达的报文丢弃，导致net1和net4的用户通信中断。为防止这样的现象出现，可以通过快速备份会话，将Eudemon A上的相应的会话表项快速备份到Eudemon B，使返回报文在对端设备上能够查找到会话表，使报文能够通过该设备。除此之外，还可以配置报文搬迁，将后续无法命中Eudemon B会话表的TCP后续报文、包过滤丢弃的UDP报文和ICMP报文迅速搬迁到Eudemon A，触发生成会话表后，备份到Eudemon B，从而使返回报文能够顺利通过Eudemon B。实际应用中，ACL的配置可能相对复杂。手工检查主备防火墙上的ACL配置的

24、一致性容易遗漏。可以配置检查两端配置的一致性，由Eudemon自行比较，并根据比较结果修改防火墙上的配置。1.2.1 建立配置任务应用环境当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时，需要配置双机热备份功能。首先则应该配置VRRP备份组。前置任务在配置VRRP备份组前，需要完成以下任务：配置防火墙的工作模式创建VPN实例（可选）配置接口绑定VPN实例（可选）配置接口IP地址（可选）配置接口加入安全区域当接口属于VPN实例时，需要首先配置接口绑定该VPN实例，再配置接口IP地址。不能配置工作于透明模式下的接口的IP地址。数据准备在配置VRRP备份组前，需要准备以下数据：接口类型

25、和接口号VRRP备份组号备份组的虚拟IP地址子网掩码或子网掩码长度VRRP备份组的优先级抢占方式和延迟时间认证方式和认证字备份组中的Master发送VRRP报文的间隔时间被监视的接口类型和接口号优先级降低的数额是否检测VRRP报文的TTL值1.2.2 配置未加入VRRP管理组的VRRP备份组当各Eudemon防火墙之间仅需要实现路由通路的备份，而对状态一致性要求不高时，可以只配置未加入VRRP管理组的VRRP备份组。此时无法确保各备份组状态一致性，不建议使用。配置未加入VRRP管理组的VRRP备份组，需要进行如下操作。步骤 1执行命令system-view，进入系统视图。步骤 2执行命令int

26、erface interface-type interface-number，进入接口视图。步骤 3执行命令ip address ip-address mask | mask-length sub ，配置接口IP地址。步骤 4执行命令vrrp vrid virtual-router-ID virtual-ip virtual-address network-mask | network-mask-length preference ，配置备份组的虚拟IP地址。虚拟地址可以是备份组所在网段中未被分配的IP地址，也可以是其他网段的IP地址。如果配置为后者，则必须配置子网掩码或子网掩码长度。需要同时

27、配置接口IP地址，备份组的虚拟IP地址的配置才能生效。Eudemon防火墙支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一网段两种情况，但虚拟IP地址必须和对应接口的下一跳设备的IP地址在同一个网段。步骤 5执行命令vrrp vrid virtual-router-ID priority priority-value，配置备份组的优先级。步骤 6执行命令vrrp vrid virtual-router-ID preempt-mode timer delay interval ，配置备份组的抢占方式和延迟时间。步骤 7执行命令vrrp authentication-mod

28、e md5 | simple key-string，配置备份组的认证方式和认证字。一个接口上的备份组要配置相同的认证方式和认证字。步骤 8执行命令vrrp vrid virtual-router-ID timer advertise interval，配置备份组的定时器。网络流量过大或不同的防火墙上的定时器差异等因素，会导致VRRP定时器超时并引起状态切换。对于这种情况，可以通过延长两台防火墙发送通告报文的时间间隔来解决问题。请注意，两台防火墙的时间间隔要配置为相同的数值。VRRP定时器不能实时更新，如果想让新配置的时间值立即生效，可以通过shut down接口等方式重新进行一次协商即可。步骤 9执行命令vrrp vrid