HC防火墙产品培训(ComwareV).ppt

H3C防火墙产品培训（ComwareV5）,ISSUE1.0,日期：2011.08,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,H3CComwareV5平台防火墙采用H3C公司最新的硬件平台和体系架构，是H3C公司面向大中型企业和运营商用户开发的新一代防火墙设备。,引入,了解V5防火墙软硬件特性掌握V5防火墙常见组网方式熟悉V5防火墙基本功能了解V5防火墙的维护方法,课程目标,学习完本课程，您应该能够：,V5防火墙产品介绍V5防火墙基本配置管理V5防火墙转发方式介绍V5防火墙安全特性简介V5防火墙基本维护,目录,F1000E,电源接口,Console/AUX,系统指示灯,4GECombo口（背面）,CF卡,2*HIM,F1000S-AI/F1000A-EI/F1000E-SI,电源模块槽位,Console,系统指示灯,12GECombo口,1*HIM,F5000-A5,散热风扇框,主控板,电源模块,业务板,SecBladeII,CF卡,Console口,2GE电口,2GECombo口,FWModuleChassis,H3CS9500,H3CS7500E,H3CS9500E,H3CS12500,SecBladeFWModule,H3CS5800,SecBladeII与路由交换主机的配合,H3CSR6600,H3CSR8800,SecBladeForS5800,SecBladeForS7500E/S9500/S9500E/S12500,SecBladeForSR6600/SR8800,SecBladeIIFW型号标识,ComwareV5FW功能特点,V5防火墙产品介绍V5防火墙基本配置管理V5防火墙转发方式介绍V5防火墙安全特性简介V5防火墙基本维护,目录,CLI与Web管理方式的选择,ComwareV5防火墙集成强大的WEB管理功能，大部分配置都能通过WEB完成，推荐使用WEB方式进行配置ComwareV5防火墙同时也支持命令行管理，但很多安全特性不支持在命令行方式下配置。命令行界面主要提供简单的配置管理、信息查看、故障诊断等功能,Web管理方式,缺省情况下防火墙的第一个接口已经加入管理区域，默认IP地址是/24，默认用户名和密码是h3c/h3c,CLI管理方式,方式一：通过Console口登录，进行除安全特性外的配置。方式二：通过Telnet或者SSH登录，缺省情况下Telnet和SSH服务是关闭的。方式三：插卡类FW还可以通过OAP方式登录，需要先在插卡上配置aux口登录相关参数，然后通过oapconnectslotx（IRF下：oapconnectchassis1slotx）登录插卡，按CTRL+K退出插卡。,FW上配置：#user-interfaceaux0authentication-modenoneuserprivilegelevel3交换机上登录：#oapconnectslot5PressCTRL+Ktoquit.ConnectedtoOAP!,S5800交换机上的防火墙插卡没有Console口，只能通过OAP方式登录命令行，AUX口不需要配置。,防火墙时钟同步（1）,盒式防火墙集成有硬件时钟模块，可以配置和保存设备本地时钟。插卡式防火墙没有时钟模块，除手工配置外需从其它设备同步时间，同步方法可以采用NTP或OAAACSEI。NTP时间同步配置举例：,FW上配置：#FWntpunicast-serverFWntpsource-interfaceGigabitEthernet0/0交换机上配置：#S7506Entprefclock-master3,防火墙时间同步（2）,ACSEI方式时间同步:交换机需要使能ACSEIServer如果防火墙10GE接口是二层接口，须permit接口所在PVID，并在10GE接口下使能acsei-client如果防火墙10GE接口是三层接口，只需在10GE接口使能acsei-client即可ACSEI协议同步时间举例：,FW上配置：#interfaceTen-GigabitEthernet0/0portlink-moderouteacsei-clientenable交换机上配置：#acseiserverenable#acseiserveracseitimerclock-sync1acseitimermonitor1,安全区域,安全区域是防火墙区别于普通网络设备的基本特征之一以接口为边界，按安全级别将业务分成若干区域，防火墙策略（如域间策略、攻击防范等）在区域或域间下发接口只有加入了业务安全区域后才会转发数据,为什么需要安全区域？,传统防火墙通常都基于接口进行策略配置，网络管理员需要为每一个接口配置安全策略防火墙的端口朝高密度方向发展，基于接口的策略配置方式给网络管理员带来了极大的负担，安全策略的维护工作量成倍增加，从而也增加了因为配置引入安全风险的概率,教学楼#1,教学楼#2,教学楼#3,服务器群,办公楼#1,办公楼#2,实验楼#1,实验楼#2,宿舍楼,Internet,配置维护太复杂了！,安全区域与优先级,默认的安全区域访问控制策略高优先级安全区域可以访问低优先级区域低优先级安全区域不允许访问高优先级区域相同优先级安全区域可以相互访问相同安全区域内可以相互访问默认情况下，其它所有安全区域都可以访问Local域,流与会话,流（Flow），是一个单方向的概念，根据报文所携带的三元组或者五元组唯一标识。根据IP层协议的不同，流分为四大类：TCP流：通过五元组唯一标识UDP流：通过五元组唯一标识ICMP流：通过三元组+ICMPtype+ICMPcode唯一标识RAWIP流：不属于上述协议的，通过三元组标识会话（Session），是一个双向的概念，一个会话通常关联两个方向的流，一个为会话发起方（Initiator），另外一个为会话响应方（Responder）。通过会话所属的任一方向的流特征都可以唯一确定该会话以及方向。,会话的创建,防火墙,Trust,Untrust,Request,SNYACK,ACK,TCPSession,Session,对于TCP流，发起方和响应方三次握手后建立稳定会话。对于UDP/ICMP/RawIP流，发起方和响应方完整交互一次报文后建立稳定会话。,Reply,UDP/ICMP/RawIPSession,Session,SYN,会话举例,displaysessiontableverboseInitiator:SourceIP/Port:/36628DestIP/Port:/21VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:/21DestIP/Port:/36628VPN-Instance/VLANID/VLLID:Pro:TCP(6)App:FTPState:TCP-ESTStarttime:2010-02-2815:59:09TTL:3598sRootZone(in):TrustZone(out):TrustReceivedpacket(s)(Init):11packet(s)502byte(s)Receivedpacket(s)(Reply):7packet(s)521byte(s),查看会话相关相关信息：,报文转发流程,V5防火墙产品介绍V5防火墙基本配置管理V5防火墙转发方式介绍V5防火墙安全特性简介V5防火墙基本维护,目录,ComwareV5防火墙转发模式,二层转发普通二层转发INLINE转发转发类型反射类型黑洞类型跨Vlan二层转发（仅SecBladeII支持）三层转发三层子接口转发三层虚接口转发,跨VLAN二层转发(SecBladeII),应用场景：对同一网段主机间的报文进行安全过滤，由数据链路层来完成不同Vlan间的通信。客户端网关在交换机上，在客户端和网关之间部署防火墙实现访问控制。,portaccessvlan102,portlink-modebridgeportaccessvlan1000,跨VLAN二层转发报文转发流程,Switch,SecBladeIIFW,XGE0/0.102,XGE0/0.103,Trunk,Trunk,TenGE2/0/1,PC1,PC2,Vlan102,Vlan103,portlink-modebridgeportaccessvlan1000,Vlan102,Vlan1000,Vlan102,portaccessvlan103,1.报文进入交换机后，打上Vlan102的tag;,2.FW收到报文后，发现与子接口号相同，于是去掉Vlan102的tag，重新打上Vlan1000的tag；,portaccessvlan102,portlink-modebridgeportaccessvlan1000,跨VLAN二层转发报文转发流程,Switch,SecBladeIIFW,XGE0/0.102,XGE0/0.103,Trunk,Trunk,TenGE2/0/1,PC1,PC2,Vlan102,Vlan103,portlink-modebridgeportaccessvlan1000,Vlan1000,Vlan103,Vlan1000,portaccessvlan103,2.FW收到报文后，发现与子接口号相同，于是去掉Vlan102的tag，重新打上Vlan1000的tag；,3.子接口接收到转发的报文后，去掉Vlan1000的tag，重新打上Vlan103的tag；,portaccessvlan102,portlink-modebridgeportaccessvlan1000,跨VLAN二层转发报文转发流程,Switch,SecBladeFW,XGE0/0.102,XGE0/0.103,Trunk,Trunk,TenGE2/0/1,PC1,PC2,Vlan102,Vlan103,portlink-modebridgeportaccessvlan1000,Vlan103,portaccessvlan103,4.FW按照Vlantag将报文转发回交换机，经交换机将报文转发给相应Vlan内的PC主机。,跨VLAN二层转发(SecBladeII),转发流程：PC1报文进入交换机，交换机对报文加上Vlan102Tag标签，因为报文目的属于另一个Vlan103，不能直接查MAC地址表转发，因此报文由Trunk口发送至防火墙插卡;防火墙子接口Ten-GE0/0.102收到VLAN102的报文，发现其VlanTag与子接口号Ten-GE0/0.102相同，去掉报文中的Tag标签，加上防火墙Vlan的Tag标签Vlan1000，之后对报文进行相关处理（防火墙的各种安全功能）;防火墙插卡去掉报文中防火墙Vlan的Tag标签Vlan1000，加上出方向子接口Ten-Ge0/0.103对应Vlan的Tag标签Vlan103（出方向子接口可以通过查MAC地址表确定）后把报文发送至交换机;交换机在对应的Vlan中转发报文。,跨VLAN二层转发配置,命令行配置：,交换机上配置：#vlan102to103#interfaceTen-GigabitEthernet2/0/1portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan102to103#interfaceGigabitEthernet0/0/25portlink-modebridgeportaccessvlan102#interfaceGigabitEthernet0/0/26portlink-modebridgeportaccessvlan103#,FW上配置：#vlan102to103#vlan1000#interfaceTen-GigabitEthernet0/0portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan102to103#interfaceTen-GigabitEthernet0/0.102portlink-modebridgeportaccessvlan1000#interfaceTen-GigabitEthernet0/0.103portlink-modebridgeportaccessvlan1000#,FWWeb页面配置：,跨VLAN二层转发信息,防火墙会话信息和MAC地址表：,displaysessiontableverboseInitiator:SourceIP/Port:02/2048DestIP/Port:03/768VPN-Instance/VLANID/VLLID:1000Responder:SourceIP/Port:03/0DestIP/Port:02/768VPN-Instance/VLANID/VLLID:1000Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2612:24:46TTL:30sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):14packet(s)840byte(s)Receivedpacket(s)(Reply):14packet(s)840byte(s)dismac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0024-e8ae-161f1000learnedTen-GigabitEthernet0/0.102NOAGED0013-728e-54e61000learnedTen-GigabitEthernet0/0.103NOAGED,交换机MAC地址表：,H3Cdisplaymac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0024-e8ae-161f102LearnedGigabitEthernet0/0/25AGING0013-728e-54e6103LearnedGigabitEthernet0/0/26AGING0013-728e-54e6102LearnedTen-GigabitEthernet2/0/1AGING0024-e8ae-161f103LearnedTen-GigabitEthernet2/0/1AGING,三层子接口转发,应用场景：客户端网关直接部署在防火墙上或者防火墙和交换机之间三层互联,portaccessvlan102,vlan-typedot1qvid102ipadd24,三层子接口报文转发流程,Switch,SecBladeIIFW,XGE0/0.102,XGE0/0.103,Trunk,Trunk,Ten-GE2/0/1,PC1,PC2,Vlan102,Vlan103,vlan-typedot1qvid103ipadd24,portaccessvlan103,Vlan102,Vlan102,1.进入到交换机后，报文被打上Vl102的tag，并被转发给网关；,2.FW收到报文后，去掉报文的VlanTag，在防火墙内部按照路由完成报文转发；,portaccessvlan102,vlan-typedot1qvid102ipadd24,三层子接口报文转发流程,Switch,SecBladeIIFW,XGE0/0.102,XGE0/0.103,Trunk,Trunk,Ten-GE2/0/1,PC1,PC2,Vlan102,Vlan103,vlan-typedot1qvid103ipadd24,portaccessvlan103,Vlan103,2.FW收到报文后，去掉报文的VlanTag，在防火墙内部按照路由完成报文转发；,3.报文经FW处理后按照路由转发，打上出接口的VlanTag，送回到交换机进行处理；,4.交换机收到报文后，去掉相应的vlantag，将报文送到相应的主机；,三层子接口报文转发,转发流程：PC1报文进入交换机，交换机对报文加上Vlan102Tag标签，由Trunk口发送至防火墙插卡。防火墙收到Vlan102的报文，发现其VlanTag与子接口Ten-GE0/0.102配置的VlanTag相同，于是送给102子接口处理，并且去掉报文中的Tag，查找路由转发，确定从103子接口将报文转发出去。报文从103子接口转发出去的时候，加上子接口Ten-GE0/0.103对应的VlanTag103，然后被发送至交换机。交换机在对应的Vlan中转发报文。三层子接口所能处理的Vlan不是由子接口的编号决定的，而是由子接口下面配置的vlan-typedot1qvid命令决定的报文出入安全域由出入报文的三层子接口所在安全域决定,三层子接口转发配置,命令行配置：,交换机上配置：#vlan102to103#interfaceTen-GigabitEthernet2/0/1portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan102to103#interfaceGigabitEthernet0/0/25portlink-modebridgeportaccessvlan102#interfaceGigabitEthernet0/0/26portlink-modebridgeportaccessvlan103#,FW上配置：#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.102vlan-typedot1qvid102ipaddress#interfaceTen-GigabitEthernet0/0.103vlan-typedot1qvid103ipaddress#,FWWeb页面配置：,三层子接口转发信息,防火墙会话信息和MAC地址表：,FWdissesstableverboseInitiator:SourceIP/Port:/2048DestIP/Port:/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:/0DestIP/Port:/768VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2612:15:49TTL:27sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)disarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDInterfaceAgingType0024-e8ae-1975N/AXGE0/0.10219D0013-728e-54e6N/AXGE0/0.10319D,交换机MAC地址表：,dismac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0024-e8ae-1975102LearnedGigabitEthernet0/0/25AGING0013-728e-54e6103LearnedGigabitEthernet0/0/26AGING000f-e280-de93102LearnedTen-GigabitEthernet2/0/1AGING000f-e280-de93103LearnedTen-GigabitEthernet2/0/1AGING,三层虚接口转发,组网说明：三层虚接口转发流程与三层子接口一致防火墙物理接口工作在桥模式，能同时进行三层转发和二层转发,三层虚接口转发,转发流程：报文进入交换机，交换机对报文加上Tag标签后，由Trunk口发送至防火墙插卡防火墙插卡收到报文后检查目的MAC地址，若该MAC地址为Vlan虚接口的MAC地址，则将该报文去掉二层头，上送到三层转发引擎处理三层转发引擎将对上送上来的IP报文，查找正确的路由转发，确定从哪个Vlan虚接口将报文转发出去，加上对应的二层报文头信息后被转发到交换机交换机在对应的Vlan中转发报文报文的出入安全域由出入报文对应的Vlan虚接口所在的安全域决定,三层虚接口转发配置,命令行配置：,交换机上配置：#vlan102to103#interfaceTen-GigabitEthernet2/0/1portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan102to103#interfaceGigabitEthernet0/0/25portlink-modebridgeportaccessvlan102#interfaceGigabitEthernet0/0/26portlink-modebridgeportaccessvlan103#,FW上配置：#vlan102to103#interfaceVlan-interface102ipaddress#interfaceVlan-interface103ipaddress#interfaceTen-GigabitEthernet0/0portlink-modebridgeportlink-typetrunkundoporttrunkpermitvlan1porttrunkpermitvlan102to103#,三层虚接口转发配置,Web页面配置：虚接口和物理口对应的Vlan需要加入安全区域,三层虚接口转发信息,防火墙会话信息和ARP表：,displaysessiontableverboseInitiator:SourceIP/Port:/2048DestIP/Port:/768VPN-Instance/VLANID/VLLID:Responder:SourceIP/Port:/0DestIP/Port:/768VPN-Instance/VLANID/VLLID:Pro:ICMP(1)App:unknownState:ICMP-CLOSEDStarttime:2000-04-2612:45:43TTL:27sRootZone(in):TrustZone(out):UntrustReceivedpacket(s)(Init):4packet(s)240byte(s)Receivedpacket(s)(Reply):4packet(s)240byte(s)disarpType:S-StaticD-DynamicIPAddressMACAddressVLANIDInterfaceAgingType0024-e8ae-1975102XGE0/020D0013-728e-54e6103XGE0/020D,交换机MAC地址表：,displaymac-addressMACADDRVLANIDSTATEPORTINDEXAGINGTIME(s)0024-e8ae-1975102LearnedGigabitEthernet0/0/25AGING0013-728e-54e6103LearnedGigabitEthernet0/0/26AGING000f-e280-de92102LearnedTen-GigabitEthernet2/0/1AGING000f-e280-de92103LearnedTen-GigabitEthernet2/0/1AGING,路由器上防火墙插卡,SR6600和SR8800系列路由器和防火墙插卡通常都是三层互联，采用三层子接口的方式，为了区分不同的安全区域需要创建多个子接口。SR6600和SR8800系列路由器上的防火墙插卡可以通过MQC、策略路由或者动态路由等方式将流量引到防火墙，使用较多而且比较方便的是策略路由。,/24,路由器上防火墙插卡配置举例,命令行下配置:,路由器上配置：#aclnumber3000rule0permitipsource55aclnumber3001rule0permitipdestination55#interfaceGigabitEthernet5/0/0ipaddressippolicy-based-routeTO_FW_UP#interfaceGigabitEthernet5/0/1ipaddressippolicy-based-routeTO_FW_DOWN#interfaceTen-GigabitEthernet4/0/0portlink-moderoute#interfaceTen-GigabitEthernet4/0/0.100vlan-typedot1qvid100ipaddress#interfaceTen-GigabitEthernet4/0/0.200vlan-typedot1qvid200ipaddress#policy-based-routeTO_FW_UPpermitnode10if-matchacl3000applyip-addressnext-hop#policy-based-routeTO_FW_DOWNpermitnode10if-matchacl3001applyip-addressnext-hop,FW上配置：#interfaceTen-GigabitEthernet0/0portlink-moderoute#interfaceTen-GigabitEthernet0/0.100vlan-typedot1qvid100ipaddress#interfaceTen-GigabitEthernet0/0.200vlan-typedot1qvid200ipaddress#,V5防火墙产品介绍V5防火墙基本配置管理V5防火墙转发方式介绍V5防火墙安全特性简介V5防火墙基本维护,目录,安全特性,系统管理,域间策略NATVPNARP攻击防范报文异常检测DoS攻击防范应用控制双机热备,Web(HTTP/HTTPS)CLI(Console/Telnet/SSH)SNMPAAASyslog/Userlog,防火墙的重要功能,域间策略,防火墙将IP地址和域名简化为地址资源和地址组资源，将源端口、目的端口以及协议号简化为服务资源和服务组资源，通过引用地址组资源和服务组资源创建域间策略防火墙域间策略基于安全区域而并非基于接口,Trust,域间策略,市场部门/16,防火墙,研发部门/16,Untrust,Internet,DMZ,WebS,MailS,Trust区域的市场部门员工在上班时间可以访问InternetUntrust区域在任何时候都允许访问DMZ区域的WEB服务器Trust区域的研发部门员工不可以访问DMZ区域的Web服务器,域间策略,域间策略匹配顺序：Web管理页面从上往下的显示顺序可以通过后面的三角符号上下移动域间策略调整报文匹配顺序,攻击防范：黑名单过滤,黑名单是指根据报文的源IP地址进行过滤的一种方式，能够有效地将特定IP地址发送来的报文屏蔽，它有一个最大的特点是可以动态添加黑名单,攻击防范：报文异常检测,防火墙对经过的报文进行分析，查看报文的特征，若报文具有攻击性，则输出告警日志并且阻断报文通过报文异常检测安全区域指的是攻击发起的区域,攻击防范：流量异常检测,防火墙通过检测网络流量，分析异常流量的特征，能成功检测出各种泛洪攻击和网络扫描攻击具体功能包括：ICMPFlood攻击检测、UDPFlood攻击检测、DNSFlood攻击检测、SYNFlood攻击检测、扫描攻击检测和连接数限制等防火墙通过限制连接数和代理的方式进行泛洪攻击的防范,攻击防范：流量异常检测,流量异常检测的安全区域是被保护的区域,NAT功能,防火墙插卡具有丰富的NAT功能，可作为大型企业网络的安全网关，提供一对一、一对多、内部服务器等地址转换功能和ALG、DNSMAP等高级功能。EasyIP方式NATPAT方式NATNo-PAT方式NATNATStaticNATServerNATALGNATDNSMap多实例NAT,VPN相关功能,丰富的VPN功能：L2TPVPNGRTVPNIPSecVPNSSLVPN高效的加密、认证算法：DES/3DESAESMD5/SHA-1多样的认证方式：本地认证RADIUS/AD认证PKI/CA认证,应用控制功能,防火墙支持多种应用控制，包括URL地址过滤、URL参数过滤、Java阻断、ActiveX阻断等。,虚拟防火墙,虚拟设备是一个逻辑概念，一台设备可以从逻辑上划分为多个部分，每个部分可以作为一台单独的设备，多个虚拟设备可以分别配置不同的安全策略，为不同用户提供私有的路由转发平面和安全服务等业务，这就是虚拟防火墙。,虚拟防火墙,用户C,用户A,用户B,用户D,虚拟防火墙,创建虚拟防火墙后，需要为其分配资源，虚拟防火墙及其成员的关系如下：缺省情况下，所有三层接口和VLAN都属于根虚拟设备（Root）一个三层接口或VLAN同时只能属于一个虚拟设备所有二层接口为所有虚拟设备所共有虚拟防火墙的特点：各虚拟设备维护一组自己的安全区域和安全策略各虚拟设备维护一组自己的资源对象各虚拟设备维护一套自己的路由表默认情况下，各虚拟设备是互不相通的,虚拟防火墙配置,虚拟防火墙的配置包括：创建虚拟设备为虚拟设备分配成员选择所要配置的虚拟设备创建安全区域及配置其它安全策略,虚拟防火墙配置,给虚拟设备分配接口成员和VLAN成员：,虚拟防火墙配置,选择需要配置的虚拟防火墙：,选择虚拟防火墙后就可以对虚拟防火墙进行配置了，比如创建资源，创建域间策略等,双机热备,双机热备可解决网络单点故障导致的业务中断问题，提高网络稳定性及可靠性防火墙不同于其它网络设备，路径备份的同时还需要同步会话防火墙流量的切换通过VRRP或者路由实现防火墙的双机热备不区分设备的主备状态，两台设备可以同时处理各自的业务报文,Internet,Firewall1,Firewall2,PrivateNetwork,会话状态同步,双机热备：会话同步,为什么需要会话同步？由于防火墙是基于会话连接状态的，所以，为了保证主设备故障时，流量能切换到备份设备，要求主设备在创建和更新会话表项时，能同步到备份设备，以保证主设备和备份设备会话表项的完全一致。两种会话同步方式：批量备份：防火墙设备工作了一段时间后，可能已经存在大量的会话表项，此时加入另一台防火墙设备，在两台设备上使能双机热备功能后，先运行的防火墙会将已有的会话表项一次性同步到新加入的设备。实时备份：防火墙在产生新表项或表项变化后会及时备份到另一台设备，这个过程称为实时备份。,双机热备主备模式,故障发生之前，备份设备仅做备份，由主设备处理全部业务,Internet,主设备,备份设备,PrivateNetwork,主设备故障后，备份设备接替处理业务,Internet,主设备,备份设备,PrivateNetwork,会话表项,会话表项,会话表项,双机热备负载分担模式,两台设备都为主设备，都处理业务，互为备份,Internet,主/备份设备,主/备份设备,PrivateNetwork,其中一台故障，另一台持续处理全部业务,Internet,主/备份设备,主/备份设备,PrivateNetwork,会话表项,会话表项,会话表项,负载分担模式,主备模式,双机热备通过VRRP实现流量切换,Internet,备份组1MasterVirtualIPaddress:Backup00/24,双机热备专线,Firewall1,Firewall2,HostAIP:0/24Gateway:00,HostBIP:29/24Gateway:00,PrivateNetwork,Internet,备份组1MasterVirtualIPaddress:Backup00/24,双机热备专线,Firewall1,Firewall2,HostAIP:0/24Gateway:00,HostBIP:29/24Gateway:01,备份组2BackupVirtualIPaddress:Master01/24,PrivateNetwork,双机热备通过动态路由实现流量切换,主备模式在RouterA和RouterB上都配置Eth1/1的cost值小于Eth1/2的正常工作情况下，路径RouterAFirewall1RouterB的优先级高于路径RouterAFirewall2RouterB，内网发往外网的报文都通过Firewall1转发当Firewall1发生故障时，OSPF启用次优路由，内网发往外网的报文通过Firewall2转发负载分担模式在RouterA和RouterB上都配置多条等价路由正常工作情况下，Firewall1和Firewall2分担处理内网发往外网的报文当Firewall1发生故障时，则Firewall2会处理内网发