华为Eudemon 系列防火墙用服培训胶片(HRP).ppt

Eudemon系列防火墙用服培训,主要内容,该胶片简要介绍防火墙的双机热备份功能，主要内容包括如下几个方面：1、双机热备份协议VRRP、VGMP和HRP原理的简单介绍；2、VRRP、VGMP和HRP配置命令简单介绍；3、典型组网应用及配置要点；4、双机热备份配置注意事项总结；5、Eudemon200防火墙与Eudemon500/1000防火墙配置上的差异。,防火墙双机热备份,Eudemon防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位于业务接口点上。在这种业务点上，如果仅仅使用一台Eudemon防火墙设备，无论其可靠性多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。Eudemon防火墙的双机热备份依靠三种协议来实现，分别是：VRRP（虚拟路由冗余协议）、VGMP（VRRP组管理协议）和HRP（华为冗余协议），其中VGMP和HRP是华为公司自行开发的协议。,VRRP基本原理介绍,VRRP（VirtualRouterRedundancyProtocol）是一种基本的容错协议，它将同一个广播域的一组路由器组织成一个虚拟路由器，称之为一个备份组。其中仅有一台设备处于活动状态（称为主设备（Master），其余设备都处于备份状态（称为备份设备（Backup）。每个备份组（即虚拟路由器）拥有一个虚拟IP地址。只有处于活动状态的路由器能转发以虚拟IP地址作为下一跳的报文。,VRRP基本原理介绍（续）,内部网络中的所有主机仅仅知道该虚拟IP地址，而并不知道具体的主用（Master）或备用（Backup）设备的IP地址，因此各主机都将缺省路由配置为去往该虚拟IP地址。于是，内部网络中的各主机就通过该备份组与外部网络进行通信。Master路由器VRRP协议模块监视通信接口状态，并通过组播方式向Backup路由器发送通告报文。如果Master路由器接口故障或链路出现问题，则会导致无法正常发送VRRP通告报文。当Backup路由器在指定时间内收不到VRRP通告报文时，VRRP协议就把Backup设备的VRRP状态变成主用，并且将转发以虚拟路由器IP地址作为下一跳的报文，从而将相关通信切换到该设备（原先的备份设备）上。因此，采用VRRP技术实现了内部网络中的主机不间断地与外部网络进行通信，可靠性得到保证。,VRRP用于防火墙多区域的备份,当防火墙上多个区域需要提供双机备份功能时，需要在一台防火墙上配置多个VRRP备份组。由于Eudemon防火墙是状态防火墙，它要求报文的来回路径通过同一台防火墙。为了满足这个限制条件，就要求在同一台防火墙上的所有VRRP备份组状态保持一致，即要保证在某一台防火墙上所有VRRP备份组都是主状态，这样所有报文都将从此防火墙上通过，而另外一台防火墙则充当备份设备。,VGMP的引入与基本原理,由于每个传统的VRRP备份组是相互独立的，无法保证这种一致性，因此华为公司在VRRP的基础上进行了扩展，推出了VGMP（VRRPGroupManagementProtocol）来弥补VRRP在状态防火墙上使用时存在的局限。VGMP提出一个VRRP管理组的概念，用来管理同一台防火墙上的多个VRRP备份组，因此可以将要保持状态一致的所有VRRP备份组都加入到VRRP管理组，由管理组统一管理所有VRRP备份组的状态。VRRP管理组本身也有主状态和备状态之分。当某台防火墙上的VRRP管理组为主状态时，它将保证组内所有VRRP备份组的状态统一为主状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙（Master）。此时另外一台防火墙上对应的VRRP管理组为备状态，该防火墙成为备用防火墙（Backup）。,VRRP管理组之间的通讯,主备防火墙上的VRRP管理组依靠VGMP报文进行通讯，以维持主备状态的稳定，并在必要时协调主备状态的切换。当VRRP备份组加入到VRRP管理组时，可以指定它是否作为VRRP管理组与对端防火墙对应管理组进行通讯的数据通道。如果管理组中指定了多个数据通道，则选择第一个可用的通道作为实际的通讯链路。transfer-only类型的组成员是一种特殊类型的数据通道，它被设计只用来与对端防火墙进行通讯而不承担报文转发的业务。该类型组成员的状态将不会影响管理组的状态，不会导致管理组的主备切换。VRRP管理组优先选用该类型的数据通道与对端进行通讯。另外，不允许VRRP管理组中只有transfer-only类型的组成员而没有其他类型的成员。transfer-only类型的数据通道一般都配置在防火墙之间的心跳接口上。,VRRP管理组状态切换,状态为主的管理组定时向对端发送通告报文。如果对端在指定时间内没有收到通告报文，则认为主防火墙已经出现故障，于是将自己切换成主状态，并控制组内所有VRRP备份组统一切换，从而代替原来的主防火墙承担业务。当VRRP管理组内的某个VRRP备份组感知到某种异常状态时，也会向它所属的VRRP管理组发出状态切换的请求，而由VRRP管理组根据防火墙当时的工作状态决定是否统一切换状态。VRRP管理组还有一个“抢占”的概念。当原来出现故障的防火墙在故障恢复后，其VRRP管理组优先级会升高，当优先级升到比当前主防火墙上管理组的优先级还高时，该管理组可抢占成主状态，使自己成为主防火墙，而原来的主防火墙将切换成备防火墙。可以通过配置指定是否允许这样的抢占行为发生（注意只有在故障恢复时的主备切换才称之为“抢占”，在故障发生时的主备切换不受该配置的影响）。,VRRP管理组优先级计算,配置优先级的目的是用来决定VRRP管理组的状态。优先级高的管理组将切换到主状态。有两种方式来配置VRRP管理组的优先级，一种是直接指定优先级的数值，另外一种是根据组成员的优先级来计算管理组的优先级。直接配置优先级数值时，管理组运行时优先级优先级配置值所有故障组成员优先级数值之和16。由于组成员的优先级我们一般都采用默认值100，所以当一个组成员出现故障时管理组优先级数值下降6(100/16=6)。为了在主设备的一个组成员出现故障时就能触发主备切换，这就要求主备防火墙上管理组优先级之差在15（假设组成员优先级都采用默认值100）之间。管理组的默认配置优先级为100。由于transfer-only类型的组成员只用于传输VGMP报文而不承担业务，因此该类型的组成员将不参与VRRP管理组任何类型的优先级计算。,VRRP管理组优先级计算（续）,当业务端口为透明模式的接口（无法配置IP地址）或者业务端口与三层模块（无法透传VRRP组播报文）相连时，业务端口上无法配置VRRP备份组。此时我们一般用心跳口上的VRRP备份组来监视业务端口，当业务端口出现故障时降低监视它们的VRRP备份组的优先级。由于VRRP备份组并没有出现故障，所以不能用直接指定管理组优先级数值的方法，此时我们可以根据组成员的优先级来计算管理组的优先级。具体的计算方法是：所有状态正常的组成员的优先级之和管理组中组成员总数。这样当用于监视的VRRP备份组成员优先级变化时，能直接影响管理组的运行优先级，从而触发主备切换。在配置管理组优先级时，使用using-vrrppriority关键字即采用这种优先级计算方法。transfer-only类型的组成员不参与优先级计算（也不包括在组成员总数中），所以不能用transfer-only类型的组成员来监视其他业务端口。,双机热备份HRP,VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时，所有流量都将切换到备防火墙。但Eudemon防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。要解决这个问题，只有使主备防火墙上的连接状态数据及时同步到备防火墙。为此华为公司在VGMP的基础上再进行扩展，推出了HRP（HuaweiRedundancyProtocol），它用来从主防火墙向备防火墙上同步关键配置数据和连接状态数据等。需要备份的状态信息包括动态生成的黑名单、会话表、NAT表项；需要备份的配置命令主要是和安全区域、ACL、攻击防范、地址绑定、黑名单、包过滤、统计和日志、NAT、清除会话表项等命令。,连接状态数据的热备份,要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NAT表项等。当备防火墙上没有这些数据时，切换到备防火墙上的流量可能会被防火墙阻拦，从而造成连接中断。连接状态备份分为批量备份和实时备份两种形式。批量备份发生在主备刚刚切换完成后，或者在备设备刚刚启动完成时。此时主设备将所有需要备份的数据批量备份到备设备。用户也可以手工输入命令进行数据的批量备份。实时备份发生在防火墙稳定运行过程种。新产生的连接状态表项或者需要刷新或删除的表项会实时从主防火墙发送到备防火墙。连接状态数据备份的方向是：只要防火墙上有VRRP管理组的状态为主，则它就会向对端防火墙备份。当两台防火墙上都有状态为主的管理组是，则连接状态数据会相互备份（但会保证不会重复备份）。在某些复杂的双机热备份组网中，同一台防火墙上可能配置多个VRRP管理组，且这些管理组的状态有可能不一致，这样导致主设备和备设备的界限变得模糊。,关键配置命令的热备份,关键配置命令支持双向备份，所以需要选举出一台防火墙作为配置主设备，而另一台防火墙则成为配置从设备。需要备份的关键命令从配置主设备备份到配置从设备，在配置从设备上将不允许用户手工配置这些命令。只有当设备中有状态为主的VRRP管理组，该设备才有可能成为配置主设备。配置主设备会保持相对的稳定，只有当设备上已经不存在状态为主的VRRP管理组时，该设备才会切换成配置从设备。当某台防火墙被选举成配置主设备时，在该防火墙的命令行提示符前有“HRP_M”的标志，而配置从设备前则有“HRP_S”的标志。当没有以上提示符时，表示防火墙的双机热备份功能没有启动，或者该防火墙上没有状态为主（Master）的VRRP管理组。与连接状态数据类似，配置备份也有批量备份和实时备份两种形式。可以通过配置来允许或禁止这两种形式的备份。,数据备份的通道,在Eudemon200防火墙上，所有数据的备份都是借用VRRP管理组中的数据通道来进行的，不需要额外的配置。在Eudemon500/Eudemon1000/SecPath防火墙上，关键配置的备份是通过VRRP管理组中的数据通道进行的，但连接状态数据的备份则需要另外指定通道接口。可以通过hrpinterfaceinterface-name来指定备份通道。在Eudemon500/Eudemon1000/SecPath防火墙上，通过hrpinterfaceinterface-name指定的备份通道，必须要配置VRRP备份组并加入到某个VRRP管理组才能生效。,基本配置介绍VRRP,VRRP备份组的配置主要有以下几点：VRRP编号、虚拟IP地址、优先级与Track功能。VRRP备份组在接口视图下配置，并且接口必须配置了IP地址后才能配置新的VRRP备份组或者修改已有的配置。配置虚拟IP地址虚拟IP地址一般与接口地址在同一个网段，也支持不在同一个网段的虚拟IP地址，此时需要配置子网掩码。这里假设接口Ethernet1/0/0接口地址为192.168.1.1，24位掩码。Eudemon-ethernet1/0/0vrrpvrid1virtual-ip192.168.1.254配置优先级优先级默认值为100，通常不需要改变。这里修改为120。Eudemon-ethernet1/0/0vrrpvrid1priority120配置监视接口VRRP备份组有一个监视（Track）其它接口的功能，当被监视的接口出现故障时将降低该VRRP备份组的优先级（默认降低10）。在业务端口需要备份但又无法配置VRRP备份组时（如接口位透明模式或者与接口相连的是三层设备而无法透传VRRP组播报文）可使用该功能。以下示例监视Ethernet4/0/0接口。Eudemon-ethernet1/0/0vrrpvrid1trackEthernet4/0/0,基本配置介绍VGMP,VGMP的配置主要是配置VRRP管理组，包括创建管理组、添加组成员、配置优先级、抢占功能、群发功能、使能VRRP管理组。创建VRRP管理组#创建一个编号为16的管理组Eudemonvrrpgroup16添加组成员#添加普通的备份组成员Eudemon-vrrpgroup-16addinterfaceethernet1/0/0vrrpvrid1#添加备份组成员，并指定为传输VGMP报文的数据通道Eudemon-vrrpgroup-16addinterfaceethernet1/0/1vrrpvrid2data#添加备份组成员，指定为不影响主备切换的数据通道（一般在心跳接口上使用）Eudemon-vrrpgroup-16addinterfaceethernet1/0/2vrrpvrid3datatransfer-only,基本配置介绍VGMP（续）,配置优先级#使用直接指定优先级数值的方法Eudemon-vrrpgroup-16vrrp-grouppriority105#使用根据组成员优先级计算管理组优先级的方法Eudemon-vrrpgroup-16vrrp-grouppriorityusing-vrrppriority配置抢占功能#启动抢占功能，并配置在抢占之前延时3秒Eudemon-vrrpgroup-16vrrp-grouppreemptdelay3000配置群发功能#启用群发功能（用所有配置的数据通道发送VGMP报文，一般不必启用该功能）Eudemon-vrrpgroup-16vrrp-groupgroup-send使能VRRP管理组Eudemon-vrrpgroup-16vrrp-groupenable,基本配置介绍HRP,HRP的配置主要是启动HRP功能、配置备份连接状态数据的通道接口（Eudemon200下不需要）、允许和禁止批量备份、允许和禁止实时备份等。启动HRP功能#启动HRP功能Eudemonhrpenable配置备份连接状态数据的通道接口（Eudemon200下不需要）#配置备份连接状态数据的通道接口，一般配置两个Eudemonhrpinterfaceethernet4/0/0Eudemonhrpinterfaceethernet4/0/1配置备份开关默认情况下所有数据的批量备份和实时备份。#允许连接状态数据备份，允许关键配置的实时备份，禁止配置的批量备份Eudemonhrpauto-syncconnection-statusEudemonhrpauto-syncconfigEudemonundohrpauto-syncconfigbatch-backup,典型组网应用（1）使用二层交换模块与静态路由的主备备份组网,组网需求需要被保护的网络部署在Trust区域，网段地址为10.100.10.0/24；服务器部署在DMZ区域，网段地址为10.100.20.0/24；外部网络划分到Untrust区域。两台Eudemon防火墙分别通过LANSwitch连接各个安全区域。Trust区域对应的备份组虚拟IP地址为10.100.10.1；DMZ区域对应的备份组虚拟IP地址为10.100.20.1；Untrust区域对应的备份组虚拟IP地址为202.38.10.1。EudemonA和EudemonB分别通过接口Ethernet1/0/0连接Trust区域，通过Ethernet2/0/0连接DMZ区域，通过Ethernet3/0/0连接Untrust区域。,典型组网应用（1）使用二层交换模块与静态路由的主备备份组网（续）,配置EudemonA防火墙（防火墙基本配置略）#配置VRRP备份组Eudemoninterfaceethernet1/0/0Eudemon-Ethernet1/0/0vrrpvrid1virtual-ip10.100.10.1Eudemon-Ethernet1/0/0interfaceethernet2/0/0Eudemon-Ethernet2/0/0vrrpvrid2virtual-ip10.100.20.1Eudemon-Ethernet2/0/0interfaceethernet3/0/0Eudemon-Ethernet3/0/0vrrpvrid3virtual-ip202.38.10.1#创建VRRP管理组1。配置VRRP管理组优先级为105，并启动VRRP管理组抢占功能。Eudemonvrrpgroup1Eudemon-vrrpgroup-1vrrp-grouppriority105Eudemon-vrrpgroup-1vrrp-grouppreempt#配置将备份组1、2、3添加到VRRP管理组1中，并指定两条数据通道，分别以接口Ethernet1/0/0和Ethernet2/0/0为两条通道的端点，然后使能该VRRP管理组Eudemon-vrrpgroup-1addinterfaceEthernet1/0/0vrrpvrid1dataEudemon-vrrpgroup-1addinterfaceEthernet2/0/0vrrpvrid2dataEudemon-vrrpgroup-1addinterfaceEthernet3/0/0vrrpvrid3,典型组网应用（1）使用二层交换模块与静态路由的主备备份组网（续）,Eudemon-vrrpgroup-1vrrp-groupenable#启动HRP功能，并配置备份连接状态数据的通道接口（Eudemon200防火墙不需要额外配置此通道）EudemonhrpenableEudemonhrpinterfaceethernet2/0/0Eudemonhrpinterfaceethernet1/0/0配置EudemonB防火墙EudemonB和EudemonA的配置绝大多数相同，差别仅在于EudemonB上的VRRP管理组采用缺省优先级（100），即无需配置vrrp-grouppriority命令。配置三个区域的LANSwitch在LANSwitch上，需要将通往主防火墙EudemonA和备防火墙EudemonB的对应端口配置在同一个VLAN中，使之能透传VRRP组播报文。另外在LANSwitch上需要配置静态路由，将与之相连的VRRP备份组的虚拟IP地址作为该区域通过防火墙通往其他网段的路由的下一跳地址。,典型组网应用（1）使用二层交换模块与静态路由的主备备份组网（续）,组网点评该组网是最典型的双机热备份组网，其优点是配置简单，对故障的响应迅速，支持多区域的备份，同时能完全避免报文来回路径不一致的问题。另外用这种方式还可以扩展成负载分担的组网（见后续典型组网应用实例）。但是采用该种方式也存在一些局限和缺陷，例如它要求防火墙上下行设备必须有二层交换模块，且这些交换模块必须能处理免费ARP报文。另外由于配置了静态路由，因此对非直连的链路状态不敏感，也无法检测到二层交换模块的故障。由于VRRP只能检测物理层的故障，因此对于协议层的故障（比如物理层up但协议层故障而无法转发报文）无法感应。在这种组网中，防火墙的双机热备份模块承担引导流量切换和备份数据的双重功能。,典型组网应用（2）使用三层交换模块与动态路由协议的组网,组网需求防火墙上下行设备是三层交换设备（如路由器、三层交换机），运行动态路由协议ospf；上下行路由设备是一种主备备份方式的组网，其中Router-1和Router-3是主用路由器；为了提高网络的可靠性，要求采用两台防火墙形成双机热备份；防火墙Eudemon-A的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，分配的IP地址为172.16.10.1/30、172.16.10.5/30、192.168.1.2/24；防火墙Eudemon-B的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，分配的IP地址为172.16.10.2/30、172.16.10.6/30、192.168.1.3/24；,E1/0/0,E1/0/0,E1/0/1,E1/0/1,E1/0/2,E1/0/2,Eudemon-A,Eudemon-B,Router-1,Router-2,Router-3,Router-4,untrust,trust,典型组网应用（2）使用三层交换模块与动态路由协议的组网（续）,组网分析由于防火墙上下行设备是三层交换设备，无法透传VRRP组播报文，所以无法在业务端口上配置VRRP备份组，因此我们采用在心跳接口上配置VRRP备份组来监视业务端口的办法，并让VRRP管理组优先级根据组成员优先级来计算。由于所有设备都运行动态路由协议，当链路出现故障时动态路由协议会引导流量的切换，因此在这种组网中防火墙的双机热备份模块只起到备份数据的作用。配置防火墙Eudemon-A（省略防火墙基本配置，如接口ip地址、安全区域等）#在心跳接口上配置VRRP备份组，调整优先级，并监视上下行业务端口Eudemon-ethernet1/0/2vrrpvrid1virtual-ip192.168.1.1Eudemon-ethernet1/0/2vrrpvrid1priority105Eudemon-ethernet1/0/2vrrpvrid1trackethernet1/0/0Eudemon-ethernet1/0/2vrrpvrid1trackethernet1/0/1#配置VRRP管理组，加入心跳接口上的VRRP备份组，并配置优先级根据组成员优先级来计算Eudemonvrrpgroup1Eudemon-vrrpgroup-1addinterfaceethernet1/0/2vrrpvrid1dataEudemon-vrrpgroup-1vrrp-grouppriorityusing-vrrppriority,典型组网应用（2）使用三层交换模块与动态路由协议的组网（续）,Eudemon-vrrpgroup-1vrrp-grouppreemptEudemon-vrrpgroup-1vrrp-groupenable#启动数据备份功能，并配置备份连接状态数据的通道（Eudemon200上不需要额外配置此通道）EudemonhrpenableEudemonhrpinterfaceethernet1/0/2配置防火墙Eudemon-BEudemonB和EudemonA的配置绝大多数相同，差别仅在于EudemonB心跳接口上的VRRP备份组采用缺省优先级（100），即无需配置priority命令。其它要注意的配置由于上下行设备上启用了动态路由协议ospf，且是主备备份的组网方式，因此防火墙的上下行业务端口ethernet1/0/0和ethernet1/0/1上也必须启用ospf，并且防火墙Eudemon-B的这两个业务端口上的ospfcost值要配置得足够大，以保证所有流量的往返报文都从防火墙Eudemon-A上通过。,典型组网应用（3）使用二层交换模块的透明模式的组网,组网需求防火墙上下行设备是二层交换模块，并且是一种主备备份方式的组网，其中Switch-1、Swithc-3为主用设备；防火墙上下行业务端口工作在透明模式，心跳接口工作在路由模式；为了提高网络的可靠性，要求采用两台防火墙形成双机热备份；防火墙Eudemon-A的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，心跳接口E1/0/2分配的IP地址为192.168.1.2/24；防火墙Eudemon-B的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，心跳接口E1/0/2分配的IP地址为192.168.1.3/24；,E1/0/0,E1/0/0,E1/0/1,E1/0/1,E1/0/2,E1/0/2,Eudemon-A,Eudemon-B,Switch-1,Switch-2,Switch-3,Switch-4,untrust,trust,典型组网应用（3）使用二层交换模块的透明模式的组网（续）,组网分析由于防火墙上下行业务端口工作在透明模式，无法配置IP地址，所以无法在业务端口上配置VRRP备份组，因此我们采用在心跳接口上配置VRRP备份组来监视业务端口的办法，并让VRRP管理组优先级根据组成员优先级来计算。由于两台防火墙都工作在透明模式，如果它们都能同时转发报文则会形成二层转发环路，因此要禁止备防火墙转发报文。在这种组网下，防火墙双机热备份模块承担引导流量切换和备份数据的双重功能。防火墙配置注：由于在混合模式的双机热备份环境下，Eudemon200与Eudemon500/1000的配置差别比较大，这里以Eudemon200配置为例进行说明，具体配置差别详见后续总结。配置防火墙Eudemon-A（省略防火墙基本配置，如接口ip地址、安全区域等）#配置防火墙工作在混合模式。（由于默认情况下即禁止备防火墙转发报文，因此无须额外配置）Eudemonfirewallmodecomposite#在心跳接口上配置VRRP备份组，调整优先级，并监视上下行业务端口Eudemon-ethernet1/0/2vrrpvrid1virtual-ip192.168.1.1,典型组网应用（3）使用二层交换模块的透明模式的组网（续）,Eudemon-ethernet1/0/2vrrpvrid1priority105Eudemon-ethernet1/0/2vrrpvrid1trackethernet1/0/0Eudemon-ethernet1/0/2vrrpvrid1trackethernet1/0/1#配置VRRP管理组，加入心跳接口上的VRRP备份组，并配置优先级根据组成员优先级来计算Eudemonvrrpgroup1Eudemon-vrrpgroup-1addinterfaceethernet1/0/2vrrpvrid1dataEudemon-vrrpgroup-1vrrp-grouppriorityusing-vrrppriority#配置当管理组状态由主切换到备时，业务端口执行down-up操作（原因详见最后“注意事项”）Eudemon-vrrpgroup-1triggerdowninterfaceethernet1/0/0Eudemon-vrrpgroup-1triggerdowninterfaceethernet1/0/1Eudemon-vrrpgroup-1vrrp-grouppreemptEudemon-vrrpgroup-1vrrp-groupenable#启动数据备份功能。（由于以Eudemon200为例，所以不用配置备份连接状态数据的通道）Eudemonhrpenable配置防火墙Eudemon-BEudemonB和EudemonA的配置绝大多数相同，差别仅EudemonB心跳接口上的VRRP备份组采用缺省优先级（100）。,典型组网应用（4）使用三层交换模块的透明模式的组网（续）,组网需求防火墙上下行设备是三层交换设备（如路由器、三层交换机），运行动态路由协议ospf；上下行路由设备是一种主备备份方式的组网，其中Router-1和Router-3是主用路由器；为了提高网络的可靠性，要求采用两台防火墙形成双机热备份；防火墙Eudemon-A的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，心跳接口E1/0/2分配的IP地址为192.168.1.2/24；防火墙Eudemon-B的E1/0/0、E1/0/1、E1/0/2接口分别位于untrust、trust和dmz区域，心跳接口E1/0/2分配的IP地址为192.168.1.3/24；,E1/0/0,E1/0/0,E1/0/1,E1/0/1,E1/0/2,E1/0/2,Eudemon-A,Eudemon-B,Router-1,Router-2,Router-3,Router-4,untrust,trust,典型组网应用（4）使用三层交换模块的透明模式的组网（续）,组网分析由于防火墙上下行业务端口工作在透明模式，无法配置IP地址，所以无法在业务端口上配置VRRP备份组，因此我们采用在心跳接口上配置VRRP备份组来监视业务端口的办法，并让VRRP管理组优先级根据组成员优先级来计算。由于防火墙上下行设备运行动态路由协议，需要建立邻居关系，因此要求备防火墙也能转发报文，否则动态路由协议报文不能通过而无法正常建立邻居关系。由于两台防火墙都工作在透明模式，且都能转发报文，为了防止产生二层转发环路，因此在上下行设备上与主备防火墙相连的端口需要配置在不同的vlan中进行隔离。在这种组网下，在端口出现故障时由动态路由协议来引导流量切换，因此防火墙双机热备份模块只承担备份数据的功能。防火墙配置注：这里以Eudemon200配置为例进行说明，具体配置差别详见后续总结。防火墙的绝大部分配置都与“典型组网应用（3）使用二层交换模块的透明模式的组网”相同，唯一不同的地方是在配置防火墙工作的混合模式时，允许备防火墙转发报文。主备防火墙都要如此配置。Eudemonfirewallmodecompositepermit-backupforward,典型组网应用（5）支持负载分担的双机热备份组网,组网需求具体组网需求与“典型组网应用（1）使用二层交换模块与静态路由的主备备份组网”类似，区别在于要求两防火墙既作双机热备份，又支持负载分担。,典型组网应用（5）支持负载分担的双机热备份组网（续）,组网分析要实现负载分担，则要求两台防火墙上都有VRRP管理组为主状态，这样可以考虑在每台设备上都配置两个VRRP管理组，其中一个管理组状态为主，另一个为备；而在另外一台设备上两个管理组的主备状态则恰好相反。在每个业务端口上配置两个VRRP备份组对应两个个虚拟IP地址，然后将这两个VRRP备份组分别添加到两个VRRP管理组中，这样使得在一台防火墙上其中一个VRRP备份组为主状态，而在另一台防火墙上另一个VRRP备份组为主状态。在防火墙上下行设备上需要配置静态路由和策略路由，让流量分担到两个虚拟IP上，但需要保证同一个流的往返报文从同一台防火墙上通过。配置防火墙EudemonA#在每个业务端口上配置两个VRRP备份组Eudemoninterfaceethernet1/0/0Eudemon-Ethernet1/0/0vrrpvrid1virtual-ip10.100.10.1Eudemon-Ethernet1/0/0vrrpvrid4virtual-ip10.100.10.101Eudemon-Ethernet1/0/0interfaceethernet2/0/0,典型组网应用（5）支持负载分担的双机热备份组网（续）,Eudemon-Ethernet2/0/0vrrpvrid2virtual-ip10.100.20.1Eudemon-Ethernet2/0/0vrrpvrid5virtual-ip10.100.20.101Eudemon-Ethernet2/0/0interfaceethernet3/0/0Eudemon-Ethernet3/0/0vrrpvrid3virtual-ip202.38.10.1Eudemon-Ethernet3/0/0vrrpvrid6virtual-ip202.38.10.101#配置VRRP管理组1，并将每个业务端口下的第一个VRRP备份组加入其中，指定Ethernet1/0/0和Ethernet2/0/0为数据通道。设置该备份组优先级为105，配置抢占并使能该管理组Eudemonvrrpgroup1Eudemon-vrrpgroup-1addinterfaceethernet1/0/0vrrpvrid1dataEudemon-vrrpgroup-1addinterfaceethernet2/0/0vrrpvrid2dataEudemon-vrrpgroup-1addinterfaceethernet3/0/0vrrpvrid3Eudemon-vrrpgroup-1vrrp-grouppriority105Eudemon-vrrpgroup-1vrrp-grouppreemptEudemon-vrrpgroup-1vrrp-groupenable#配置VRRP管理组2，并将每个业务端口下的第二个VRRP备份组加入其中，指定Ethernet1/0/0和Ethernet2/0/0为数据通道。该备份组优先级采用默认值，配置抢占并使能该管理组Eudemonvrrpgroup2Eudemon-vrrpgroup-2addinterfaceethernet1/0/0vrrpvrid4data,典型组网应用（5）支持负载分担的双机热备份组网（续）,Eudemon-vrrpgroup-2addinterfaceethernet2/0/0vrrpvrid5dataEudemon-vrrpgroup-2addinterfaceethernet3/0/0vrrpvrid6Eudemon-vrrpgroup-2vrrp-grouppreemptEudemon-vrrpgroup-2vrrp-groupenable#启动数据备份功能，并配置备份联机状态数据的通道（Eudemon200上无需额外配置此通道）EudemonhrpenableEudemonhrpinterfaceethernet1/0/0Eudemonhrpinterfaceethernet2/0/0配置防火墙EudemonBEudemonB上的配置与EudemonA上的配置绝大部分都相同，差别仅在于以下两点：1）防火墙上各接口的IP地址不相同；2）防火墙EudemonB上的VRRP管理组1的优先级为默认值100，VRRP管理组2的优先级为105。负载分担的组网是一种很复杂的组网，需要和上下行设备紧密配合才能正常工作。目前不能支持与路由器的负载分担组网。,双机热备份配置注意事项,双机热备份组网对防火墙的基本要求：1、两台防火墙型号要一致，Eudemon200防火墙与Eudemon500/1000不能形成双机热备份关系。Eudemon500和Eudemon1000可以形成双机热备份组网，但不推荐这种组网。2、两个防火墙上的接口和安全区域的连接必须严格一一对应，包括接口插槽、类型、编号、相关配置等（IP地址除外）。3、两个防火墙上的管理组编号、构成必须完全一样。这就是说EudemonA上的管理组包括备份组1、2和3，则EudemonB上的同样编号的管理组也必须包含备份组1、2和3。当直接给VRRP管理组优先级赋值时，要注意主备防火墙上对应管理组优先级的差别不要太大。合理的差值是要保证当主防火墙管理组内任一组成员出现故障后优先级会降低到备防火墙管理组的优先级以下，从而确保能发生主备切换。,双机热备份配置注意事项（续）,在VRRP管理组中添加组成员时，注意不要在承载业务的组成员上配置transfer-only参数。该参数只用于防火墙之间的心跳接口上。当VRRP备份组加入到VRRP管理组后，在VRRP备份组上配置的抢占标志将不起作用，其切换过程完全由所属的VRRP管理组控制。另外当VRRP管理组的优先级是直接指定数值时，则加入该管理组的所有VRRP备份组成员的优先级也将不再起作用，组成员的主备状态完全由其所属的管理组决定。如果要使用VRRP备份组的track功能来监视其它接口，则相应管理组的优先级必须用using-vrrppriority方式来计算，否则track功能就不起作用。在混合模式的组网中，如果上下行设备运行动态路由协议，则要允许备防火墙转发报文（默认不允许），否则动态路由协议报文也无法通过备防火墙。另外对于上行或者下行设备，需要将与主备防火墙相连的接口配置的不同的vlan中以防止产生二层环路。,双机热备份配置注意事项（续）,当防火墙工作在混合模式下，且与二层上下行设备组网时，要禁止备防火墙转发报文（