华为防火墙双机热备配置关于.docx
- 文档编号:16437142
- 上传时间:2023-07-13
- 格式:DOCX
- 页数:75
- 大小:605.80KB
华为防火墙双机热备配置关于.docx
《华为防火墙双机热备配置关于.docx》由会员分享,可在线阅读,更多相关《华为防火墙双机热备配置关于.docx(75页珍藏版)》请在冰点文库上搜索。
华为防火墙双机热备配置关于
插图目录
表格目录
1双机热备份配置
关于本章
本章描述内容如下表所示。
标题
内容
1.1简介
介绍双机热备份的基本原理和组网
1.2配置VRRP备份组
介绍VRRP备份组的配置方法
1.3配置VRRP管理组
介绍VRRP管理组的配置方法
1.4配置双机热备份
介绍双机热备份的配置方法
1.5配置来回路径不一致时的链路可达性检查
介绍来回路径不一致时的链路可达性检查的配置方法
1.6使能来回路径不一致时的会话快速备份和报文搬迁
介绍来回路径不一致时的会话快速备份和报文搬迁的配置方法
1.7配置备防火墙上的NAT
介绍备防火墙上的NAT的配置方法
1.8维护
介绍双机热备份的维护方法
1.9配置举例
介绍配置举例
1.1简介
1.1.1总体概述
网络拓扑结构可以根据报文的来回路径是否一致分为如下两种:
●来回路径一致组网
●来回路径不一致组网
典型组网图分别如图1-1、图1-2所示。
图1-1来回路径一致组网图
图1-2来回路径不一致组网图
上述网络均可以部署Eudemon防火墙的双机热备份功能,保证不会出现因单点故障导致的通话中断。
Eudemon防火墙的双机热备份需要三个协议的支持:
●VRRP(VirtualRouterRedundancyProtocol)是由RFC2338定义的一种容错协议,通过实现物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。
●VGMP(VRRPGroupManagementProtocol)是华为公司为防止VRRP状态不一致现象的发生,在VRRP的基础上自主开发出的扩展协议。
该协议负责统一管理加入其中的各备份组VRRP的状态。
●HRP(HuaweiRedundancyProtocol)协议用来进行防火墙的动态状态数据的实时备份。
通常,内部网络的主机都配置一条缺省路由,下一跳为出口路由器的接口IP地址。
如图1-3所示,IP地址为10.100.10.1/24。
图1-3采用缺省路由的组网
内外部用户的交互报文全部通过RouterA。
如果RouterA出现故障,内部网络中所有以RouterA为缺省路由下一跳的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
1.1.2VRRP概述
VRRP正是为了解决上述问题而提出来的。
作为一种容错协议,VRRP适用于支持组播或广播的局域网(如以太网等)。
VRRP将局域网的一组路由器构成一个备份组,功能上相当于一台虚拟路由器。
局域网内的主机仅仅知道这个虚拟路由器的IP地址,而不知道备份组内的具体设备的IP地址。
它们将自己的缺省路由下一跳地址设置为该虚拟路由器的IP地址。
于是,网络内的主机就通过这个虚拟路由器与其它网络进行通信。
备份组中,仅有一台设备处于活动状态,称为主用设备(Master);其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。
图1-4所示为三台路由器组成的备份组。
图1-1采用VRRP的虚拟路由器组网
VRRP机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上,从而当该物理路由器出现故障时能再次选择新路由器来接替业务传输工作,整个过程对用户来说是完全透明的,这就很好实现了内部网络和外部网络之间不间断通信。
1.1.3VGMP概述
Eudemon备份的典型组网如图1-5所示。
每个安全区域的接口均形成一个VRRP备份组,各VRRP备份组均相对独立,且单独工作。
图1-1Eudemon备份的典型组网
此时,由于Eudemon是状态防火墙,只检查会话流的首报文,并动态生成会话表项。
后续报文(包括返回报文)只有匹配该会话表项才能通过Eudemon。
当某会话的进路径和出路径不一致时,后续报文或返回报文将无法匹配防火墙的会话表项,导致报文被丢弃。
如图1-6所示,返回报文通过路径(5)~(9)到达EudemonB后将会被丢弃。
图1-2Eudemon备份的状态
传统VRRP机制中,由于各VRRP备份组相对独立,无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用,即传统VRRP方式将无法实现Eudemon防火墙VRRP状态的一致性。
华为公司为解决上述问题,提出VGMP扩展协议,负责统一管理加入其中的各备份组VRRP状态。
借助VGMP机制,可以实现对多个VRRP备份组(虚拟防火墙)的状态一致性管理、抢占管理和通道管理等,保证一台防火墙上的接口同时处于主用或备用状态,实现Eudemon防火墙VRRP状态的一致性。
1.1.4备份方式分类
主备备份
通过接口、备份组、管理组之间的不同组合,可以实现两台Eudemon防火墙主备备份、负载分担等方式。
在选择备份方式时,防火墙根据备份组的数量、各备份组中防火墙的优先级关系来确定采用哪种工作方式。
借助VGMP机制,可以实现主备备份,即每个Eudemon防火墙上都配置相同编号的VRRP管理组,但是优先级不同。
如图1-7所示。
图1-1主备备份组网
A1、A2、A3
EudemonA的接口
B1、B2、B3
EudemonB的接口
在图1-7中:
●EudemonA上的VRRP管理组1包含备份组1、2、3,优先级为Level1。
●EudemonB上的VRRP管理组1也包含备份组1、2、3,优先级为Level2。
由于Level1>Level2,所以EudemonA作为Master防火墙,EudemonB作为Backup防火墙。
表1-1主备备份方式下各设备的状态
防火墙设备
管理组1
成员
优先级
状态
会话量
A
备份组1,2,3
Level1
Master
全部
B
备份组1,2,3
Level2
Backup
0
Trust、DMZ和Untrust区域内的主机将业务数据分别发送到EudemonA防火墙(Master)的A1、A2和A3接口,由该防火墙承担全部会话业务。
当Master防火墙出现故障或相关链路故障时,状态发生切换,Backup防火墙变成Master,并开始承担全部会话业务。
负载分担
负载分担方式包括如下两种:
●简化的负载分担(复用原有接口)
所谓负载分担,也可以称为互为主备。
每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组,具有不同的优先级,如图1-8所示。
图1-1负载分担组网
(1)
A1、A2、A3
EudemonA的接口
B1、B2、B3
EudemonB的接口
EudemonA的VRRP管理组:
−VRRP管理组1包含备份组1、2、3,优先级为Level1。
−VRRP管理组2包含备份组4、5、6,优先级为Level2。
−Level1>Level2。
EudemonB的VRRP管理组:
−VRRP管理组1包括备份组1、2、3,优先级为Level3。
−VRRP管理组2包含备份组4、5、6,优先级为Level4。
−Level3 其中,EudemonA和EudemonB的管理组优先级关系如下: −Level1=Level4。 −Level2=Level3。 EudemonA是VRRP管理组1协商出的Master,也是管理组2协商出的Backup;同样EudemonB是VRRP管理组1协商出的Backup,也是管理组2协商出的Master。 表1-1负载分担方式下各设备的状态 (1) 防火墙设备 管理组1 管理组2 成员 优先级 状态 会话量 成员 优先级 状态 会话量 A 备份组1,2,3 Level1 Master 部分 备份组4,5,6 Level2 Backup 0 B 备份组1,2,3 Level3 Backup 0 备份组4,5,6 Level4 Master 部分 由于EudemonA和EudemonB的两个VRRP管理组的优先级存在交叉关系,即上文所说的Level1=Level4、Level2=Level3,所以Trust、DMZ和Untrust区域内的主机将业务数据分别发送到EudemonA的A1、A2和A3接口,另一部分会话业务发送到EudemonB防火墙的B1、B2和B3接口,有两台防火墙共同分担话务量。 如果EudemonB防火墙出现故障,则VRRP管理组2将重新裁决各设备的状态,EudemonA状态切换为Master,EudemonB状态切换为Backup。 此时EudemonA防火墙承担全部会话业务。 上表的状态则变为: 表1-2负载分担方式下各设备的状态 (2) 防火墙 管理组1 管理组2 成员 优先级 状态 会话量 成员 优先级 状态 会话量 A 备份组1,2,3 Level1 Master 部分 备份组4,5,6 Level2 Master 部分 B 备份组1,2,3 Level3 Backup 0 备份组4,5,6 Backup 0 当EudemonB防火墙恢复正常后,EudemonB将继续成为管理组2的Master,流量将在两个防火墙之间负载分担。 ●复杂的负载分担(新增负载分担接口) 当Eudemon防火墙的接口速率难以顺畅传输高速业务流时,为了保证一条物理线路上传输顺畅,建议为Eudemon防火墙添加新接口,并基于新接口配置用于负载分担的备份组。 如图1-9所示。 图1-2负载分担组网 (2) A1、A2、A3、A4、A5、A6 EudemonA的接口 B1、B2、B3、B4、B5、B6 EudemonB的接口 原有备份组为备份组1、2和3。 其中: −备份组1包括EudemonA的A1接口、EudemonB的B4接口。 −备份组2包括EudemonA的A3接口、EudemonB的B2接口。 −备份组3包括EudemonA的A6接口、EudemonB的B5接口。 添加三个新的备份组4、5和6。 其中: −备份组4包括EudemonA的A2接口、EudemonB的B3接口。 −备份组5包括EudemonA的A4接口、EudemonB的B1接口。 −备份组6包括EudemonA的A5接口、EudemonB的B6接口。 EudemonA和EudemonB的管理组和备份组建的关系如下: −管理组1包含备份组1、2和3。 −管理组2包含备份组4、5和6。 EudemonA是VRRP管理组1协商出的Master,也是管理组2协商出的Backup;EudemonB是VRRP管理组1协商出的Backup,也是管理组2协商出的Master。 1.1.5HRP应用 Eudemon防火墙是状态防火墙,对于每一个动态生成的会话连接,Eudemon防火墙上都有一个会话表项与之对应。 如图1-10所示。 图1-1Eudemon主备备份的典型数据路径 假设采用主备备份方式,EudemonA防火墙作为Master设备并承担所有数据传输任务,其上创建了很多动态会话表项;而EudemonB防火墙由于处于备份状态,没有任何流量经过。 如果EudemonA出现故障或相关链路出现问题,EudemonB将会切换状态而变成新的Master,并开始承担传输任务。 如果状态切换前,会话表项和配置命令没有备份到EudemonB,则先前经过EudemonA的所有会话都会因为无法匹配EudemonB的会话表而断链,导致业务中断,从而影响业务正常进行。 为了实现Master设备出现故障时能由Backup设备平滑地接替工作,需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。 为此,华为公司推出了HRP。 启动HRP双机热备份功能后,如果Master防火墙发生故障,导致VRRP管理组状态改变,VRRP管理组上报该状态到HRP模块,由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。 如果完成则引起VRRP管理组发生抢占,并进而引起VRRP备份组抢占,从而实现Backup防火墙平滑地接替工作。 1.1.6配置设备的主从划分 当采用负载分担方式时,网络中存在两台Master设备,用户可能在两台Master设备上输入了很多命令。 当其中一台Master设备出现故障时,如何在这两台防火墙之间备份信息、需要备份哪些命令以及备份方向都是需要考虑的问题。 为了避免备份时混乱,Eudemon防火墙中引入了配置主设备、配置从设备概念。 发送配置备份内容的防火墙被称为配置主设备,接收配置备份内容的防火墙称为配置从设备。 一台防火墙要想成为配置主设备,必须具备如下条件: ●只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。 ●在负载分担方式下,参与双机热备份的两台Eudemon防火墙都是Master,此时则按照VRRP备份组优先级、接口真实IP地址从大到小的顺序选择配置主设备。 除非配置主设备出现故障或者退出VRRP备份组,否则配置主设备与配置从设备之间不进行转换,从而尽力保证了配置主设备的稳定性。 配置设备的主从划分仅仅是在负载分担方式下引入的概念,主备备份方式下不涉及配置设备主从划分。 1.1.7配置命令和状态信息的备份 防火墙备份的信息 目前,Eudemon防火墙上的双机热备份功能支持配置命令和连接状态信息的备份,可以通过自动备份和手工批量备份两种方式实现。 防火墙备份的信息包括如下两种: ●状态信息 −防火墙生成的会话表表项 −动态黑名单表项 −NAT表项 ●配置命令 −ACL包过滤命令 −攻击防范命令 −地址绑定命令 −黑名单命令 包括黑名单的启动命令、手工添加黑名单表项命令 −日志命令 −NAT命令 −统计命令 −区域命令 包括创建安全区域,设置区域优先级以及接口加入安全区域 −ASPF命令 −清除会话表项的命令 −清除配置的命令 信息备份方向 状态信息是从备份组中的Master防火墙备份到Backup防火墙。 如果进行双机热备份的两台Eudemon防火墙分别是两个备份组的Master,则连接状态会互相备份,由系统决定需要备份的连接状态信息的内容。 配置命令只能进行单向备份。 即备份方向只能从配置主防火墙到配置从防火墙,不能反向备份。 自动备份 自动备份方式包括自动实时备份和自动批量备份。 分别从如下两方面进行说明: ●配置命令的备份 自动批量备份是指当配置从设备接替工作或重新启动时,由配置主设备将所有配置命令批量备份到配置从设备,配置从设备执行仅需要双机备份的配置命令,从而实现主/备防火墙之间的配置同步。 自动实时备份在自动批量备份后进行。 在Eudemon防火墙运行过程中,当配置主设备识别到启动双机热备份的命令时,配置主设备自动将配置命令备份到配置从设备,从而配置从设备运行这些配置命令。 在配置主设备、配置从设备都正常工作的情况下,如果启动自动实时备份功能,则在配置主设备上每输入一条需要双机备份的命令时,此配置命令将被传送给到配置从设备并执行;如果在配置主设备上输入不需要双机备份的命令,则该命令仅在配置主设备上执行,不会被传送到配置从设备。 对于在配置从设备上执行的命令,不会被传送到配置主设备。 当配置从设备未工作或工作异常时,自动备份无法进行。 ●连接状态的备份 自动批量备份是指当Backup防火墙接替工作或重新启动时,由Master防火墙将所有连接状态信息备份到Backup防火墙,并由Backup防火墙进行状态处理。 自动实时备份在自动批量备份后进行。 在Eudemon防火墙运行过程中,当Master防火墙上产生了需要备份的连接状态信息时,Master防火墙自动将连接状态信息备份到Backup防火墙,并由Backup防火墙进行状态处理。 手工批量备份 分别从如下两方面进行说明: ●配置命令的备份 手工批量备份是指当配置主设备、配置从设备都正常工作时,且配置主设备上启动手工批量同步备份功能,则配置主设备将需要双机备份的配置命令批量发送到配置从设备,从而让配置从设备执行这些配置命令。 当配置从设备未工作或工作异常时,手工批量备份无法进行。 ●连接状态的备份 手工批量备份是指当Master防火墙、Backup防火墙都正常工作时,且Master防火墙上启动手工批量同步备份功能,则Master防火墙将需要双机备份的连接状态信息批量发送到Backup防火墙,并由Backup防火墙进行状态更新。 当Backup防火墙未工作或工作异常时,手工批量备份无法进行。 1.1.8双机热备份的组网方式 Eudemon的双机热备份,除可以工作在路由模式下外,还可以工作在混合模式下。 混合模式下的双机热备份主要是指Eudemon工作于混合模式下,通过透明模式的接口接收和发送业务报文,用以完成网络应用;通过路由模式的接口传送VRRP、VGMP和HRP报文,用以维护防火墙的主备关系。 混合模式下的双机热备份除能够提供透明模式的无缝接入,对外提供二层交换机(透明模式下的防火墙)业务外,还能保证当主防火墙发生故障后,流量能够转换到备防火墙上,保证业务的连续性。 1.1.9报文来回路径不一致的组网 如图1-11所示,net1和net4间的用户通信,报文和返回报文的路径分别为RouterA-EudemonA-RouterC和RouterD-EudemonB-RouterB。 由于Eudemon是状态防火墙,要求网络报文来回路径一致。 此时,传统的双机热备份无法保证来回路径不一致组网下的可靠性。 图1-1来回路径不一致组网图 一般情况下,如果各路由器支持完整的路由协议,则每台路由器上都会有分别到达net1、net2、net3和net4的路由,EudemonA和EudemonB也可能同时具有到达各net的路由。 当网络设备接口故障等现象发生时,可能导致某台Eudemon无法获得完整的到达源和目的的路由。 以net1和net4间的数据流为例,以EudemonA和EudemonB上是否存在对应的路由表项为划分原则,网络结构可以分为如下几种: ●H型结构 双机拥有完整的到达源和目的的路由。 ●h型结构 只有一台防火墙拥有完整的到达源和目的的路由,另一台不完整。 ●N型结构 两台防火墙都没有完整的到达源和目的的路由。 ●|-型结构 只有一台拥有完整的到达源和目的的路由,另一台完全没有。 具体如图1-12、图1-13、图1-14、图1-15所示。 图1-2H型结构 图1-3h型结构 图1-4N型结构 图1-5|-型结构 当EudemonA故障后,net1与net4间的报文将通过EudemonB转发。 但如果EudemonA上的信息没有备份到EudemonB,EudemonB会将到达的报文丢弃,导致net1和net4的用户通信中断。 为防止这样的现象出现,可以通过快速备份会话,将EudemonA上的相应的会话表项快速备份到EudemonB,使返回报文在对端设备上能够查找到会话表,使报文能够通过该设备。 除此之外,还可以配置报文搬迁,将后续无法命中EudemonB会话表的TCP后续报文、包过滤丢弃的UDP报文和ICMP报文迅速搬迁到EudemonA,触发生成会话表后,备份到EudemonB,从而使返回报文能够顺利通过EudemonB。 实际应用中,ACL的配置可能相对复杂。 手工检查主备防火墙上的ACL配置的一致性容易遗漏。 可以配置检查两端配置的一致性,由Eudemon自行比较,并根据比较结果修改防火墙上的配置。 1.2配置VRRP备份组 1.2.1建立配置任务 应用环境 当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时,需要配置双机热备份功能。 首先则应该配置VRRP备份组。 前置任务 在配置VRRP备份组前,需要完成以下任务: ●配置防火墙的工作模式 ●创建VPN实例(可选) ●配置接口绑定VPN实例(可选) ●配置接口IP地址(可选) ●配置接口加入安全区域 ●当接口属于VPN实例时,需要首先配置接口绑定该VPN实例,再配置接口IP地址。 ●不能配置工作于透明模式下的接口的IP地址。 数据准备 在配置VRRP备份组前,需要准备以下数据: ●接口类型和接口号 ●VRRP备份组号 ●备份组的虚拟IP地址 ●子网掩码或子网掩码长度 ●VRRP备份组的优先级 ●抢占方式和延迟时间 ●认证方式和认证字 ●备份组中的Master发送VRRP报文的间隔时间 ●被监视的接口类型和接口号 ●优先级降低的数额 ●是否检测VRRP报文的TTL值 1.2.2配置未加入VRRP管理组的VRRP备份组 当各Eudemon防火墙之间仅需要实现路由通路的备份,而对状态一致性要求不高时,可以只配置未加入VRRP管理组的VRRP备份组。 此时无法确保各备份组状态一致性,不建议使用。 配置未加入VRRP管理组的VRRP备份组,需要进行如下操作。 步骤1执行命令system-view,进入系统视图。 步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。 步骤3执行命令ipaddressip-address{mask|mask-length}[sub],配置接口IP地址。 步骤4执行命令vrrpvridvirtual-router-IDvirtual-ipvirtual-address[network-mask|network-mask-length][preference],配置备份组的虚拟IP地址。 虚拟地址可以是备份组所在网段中未被分配的IP地址,也可以是其他网段的IP地址。 如果配置为后者,则必须配置子网掩码或子网掩码长度。 需要同时配置接口IP地址,备份组的虚拟IP地址的配置才能生效。 Eudemon防火墙支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一网段两种情况,但虚拟IP地址必须和对应接口的下一跳设备的IP地址在同一个网段。 步骤5执行命令vrrpvridvirtual-router-IDprioritypriority-value,配置备份组的优先级。 步骤6执行命令vrrpvridvirtual-router-IDpreempt-mode[timerdelayinterval],配置备份组的抢占方式和延迟时间。 步骤7执行命令vrrpauthentication-mode{md5|simple}key-string,配置备份组的认证方式和认证字。 一个接口上的备份组要配置相同的认证方式和认证字。 步骤8执行命令vrrpvridvirtual-router-IDtimeradvertiseinterval,配置备份组的定时器。 网络流量过大或不同的防火墙上的定时器差异等因素,会导致VRRP定时器超时并引起状态切换。 对于这种情况,可以通过延长两台防火墙发送通告报文的时间间隔来解决问题。 请注意,两台防火墙的时间间隔要配置为相同的数值。 VRRP定时器不能实时更新,如果想让新配置的时间值立即生效,可以通过shutdown接口等方式重新进行一次协商即可。 步骤9执行命令vrrpvrid
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 华为 防火墙 双机 配置 关于