HC120119004USG防火墙双机热备业务特性与配置

1、Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. USG防火墙双机热备业务特性与配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 前 言在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重要的业务入口或接入点上需要保证网络不间断运行。对于这些重要的业务点如何保证网络的不间断传输，成为必须解决的一个问题。本胶片主要介绍防火墙的双机热备份技术原理和具体配置，以及在USG防火墙上实施双机热备份技术所使用的三种协议：VRR

2、P、VGMP和HRP。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 培训目标学完本课程后，您应该能：l掌握双机热备份技术原理l掌握VRRP，VGMP和HRP之间的关系l掌握典型双机组网的配置Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 录双机热备份技术原理双机热备份技术原理USG防火墙双机热备份技术双机热备份技术在防火墙上的实施Copyright 2012 Huawei Technologies Co., Ltd. Al

3、l rights reserved. 双机热备份技术产生的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。Firewall A10.100.10.1/24InternetPC服务器内部网络10.100.10.0/24Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 传统双机热备份技术在路由器上的部署RouterA10.100.10.2Mast

4、erRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组Virtual IP Address10.100.10.1InternetPC服务器内部网络10.100.10.0/24路由器组网中通过路由器组网中通过VRRP协议实现双机热备份协议实现双机热备份Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. VRRP在多区域防火墙组网中的应用

5、DMZTrustUntrustUSG A10.100.20.0/24MasterUSG BBackup10.100.10.0/24备份组1Virtual IP Address10.100.10.1备份组2Virtual IP Address10.100.20.1备份组3Virtual IP Address202.38.10.1为防火墙上多个区域提供双机备份功能时，需要在为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个每一台防火墙上配置多个VRRP备份组。备份组。Copyright 2012 Huawei Technologies Co., Ltd. All rights re

6、served. VRRP在防火墙应用中存在的缺陷USG AMasterUSG BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)传统传统VRRP方式无法实现方式无法实现主、备主、备用用USG防防火墙火墙状态的一状态的一致性。致性。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 目 录双机

7、热备份技术原理USG防防火墙双机热备份技术火墙双机热备份技术双机热备份技术在防火墙上的实施Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 防火墙双机热备份技术分析防火墙双击热备份技术的特征l控制主、备用防火墙的切换l状态信息的备份USG防火墙的双机热备份技术依靠三种协议实现：lVRRP（虚拟路由冗余协议）lVGMP（VRRP组管理协议）lHRP（华为冗余协议）Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 防火墙主备状态切换的实

8、现VGMP（VRRP Group Management Protocol) 提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。VGMP的作用：防火墙主备状态控制切换VRRP管理组的功能：l状态一致性管理（管理组内VRRP备份组同步状态切换）l抢占管理（屏蔽VRRP备份组抢占）l通道管理（trans-only）Copyright 2012 Huawei Technologies Co., Ltd. All rights reserv

9、ed. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. VGMP实现原理USG AMasterUSG BBackupTrustDMZUntrust备份组1备份组2备份组3A1A2A3B2B1B3管理组管理组备份组4Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. VGMP数据通道USG AMasterUSG BBackupTrustDMZUntrustA1A2A3B2B1B3A4B4A4-B4A3-B3A1-B1A2-B2Copy

10、right 2012 Huawei Technologies Co., Ltd. All rights reserved. 防火墙状态信息的备份 VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时，所有流量都将切换到备防火墙。但USG防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过，造成现有的连接中断，此时用户必须重新发起连接。为了实现主用设备出现故障时能由备用设备平滑地接替工作，需要在主、备用设备之间备份关键配置命令和会话表状态等关键信息。Copyright 2012 Huawei Technologies Co., L

11、td. All rights reserved. HRPHRP（Huawei Redundancy Protocol ）华为冗余协议华为公司冗余协议HRP（Huawei Redundancy Protocol）是承载在VGMP报文上进行传输的。HRP用于在主用设备和备用设备之间备份关键配置命令和会话表状态等关键信息。 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. HRP/VGMP/VRRP之间的关系VRRP备份组VGMP管理组VGMP报文HRP模块HRP报文接口VRRP报文Copyright 2012 Hua

12、wei Technologies Co., Ltd. All rights reserved. 目 录双机热备份技术原理USG防火墙双机热备份技术双机热备份技术在防火墙上的实施双机热备份技术在防火墙上的实施Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 防火墙双机热备份组网方式USG的双机热备份，可以工作在路由模式和混合模式两种模式下：l路由模式是指USG的业务端口和HRP备份通道接口均工作在路由模式下。 l混合模式是指USG的业务端口工作在透明模式下，而HRP备份通道接口工作在路由模式下。路由模式和混合模式都

13、包含两种组网方式：l主备组网方式l负载分担组网方式Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-主备组网方式防火墙设备管理组成员优先级状态会话量AMaster备份组1，2，3高主用100%BSlave备份组1，2，3低备用0USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0PC1PC2Copyright 2012 Huawei Technologies Co., L

14、td. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-主备组网方式配置参考1USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0USG2100 interface GigabitEthernet 1/0/0 USG2100-GigabitEthernet1/0/0 ip address 10.100.10.2 24 USG21

15、00-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master USG2100 interface GigabitEthernet 3/0/0 USG2100-GigabitEthernet3/0/0 ip address 202.38.10.2 24 USG2100-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master # #将将GE1/0/0和和GE3/0/0加入到对应的加入到对应的VRRP备份组中。备份组中。Copyright 2012 Huawei

16、 Technologies Co., Ltd. All rights reserved. 路由模式-主备组网方式配置参考2USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0USG2100 interface GigabitEthernet 2/0/0USG2100-GigabitEthernet2/0/0 ip address 10.100.20.2 24 USG2100-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip

17、10.100.20.1 master# #将将GE2/0/0加入到对应的加入到对应的VRRPVRRP备份组中。备份组中。 USG2100 hrp interface GigabitEthernet 2/0/0 USG2100 hrp enable # #指定指定HRP的备份通道并使能的备份通道并使能HRP功能。功能。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-主备组网方式配置参考3USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Maste

18、r管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0HRP_MUSG2100 hrp auto-sync config HRP_MUSG2100 policy interzone trust untrust outboundHRP_MUSG2100-policy-interzone-trust-untrust-outbound policy 1HRP_MUSG2100-policy-interzone-trust-untrust-outbound-1 action permitHRP_MUSG2100-policy-interzone-trust-untrust-outboun

19、d-1 policy source 10.100.10.0 mask 24# #使能配置命令自动备份功能并添加区域间包过滤规则。使能配置命令自动备份功能并添加区域间包过滤规则。 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-主备组网方式配置验证USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0HRP_MUSG2100 display hrp state The fi

20、rewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet1/0/0 vrid 1 : master GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master # #在在USG A上执行上执行display hrp state命令，检查当前命令，检查当前HRP的状态，显示以上信息表示的状态，显示以上信息表示HRP建立成功。建立成功。 Copyright 2012

21、 Huawei Technologies Co., Ltd. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-负载分担组网方式防火墙设备管理组备份组优先级状态会话量AMaster备份组1，2，3高主用部分BSlave备份组1，2，3低备用0ASlave备份组4，5，6低备用0BMaster备份组4，5，6高主用部分Master/Slave管理组USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管

22、理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5PC1PC2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5

23、路由模式-负载分担组网方式配置参考1USG2100 interface GigabitEthernet 1/0/0 USG2100-GigabitEthernet1/0/0 ip address 10.100.10.3 24 USG2100-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master USG2100-GigabitEthernet1/0/0 vrrp vrid 4 virtual-ip 10.100.10.2 slave USG2100 interface GigabitEthernet 3/0/0 USG210

24、0-GigabitEthernet3/0/0 ip address 202.38.10.3 24 USG2100-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master USG2100-GigabitEthernet3/0/0 vrrp vrid 5 virtual-ip 202.38.10.2 slave 将接口GE1/0/0和GE3/0/0加入到对应的VRRP备份组中Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-负载分担组网方

25、式配置参考2USG ATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5USG2100 interface GigabitEthernet 2/0/0 USG2100-GigabitEthernet2/0/0 ip address 10.100.20.3 24 USG2100-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip 10.100.20.1 master USG2100-Gi

26、gabitEthernet2/0/0 vrrp vrid 6 virtual-ip 10.100.20.2 slave USG2100 hrp interface GigabitEthernet 2/0/0 USG2100 hrp enable # #将将GE1/0/0和和GE3/0/0加入对应的备份组；指定加入对应的备份组；指定HRPHRP备份通道并使能备份通道并使能HRPHRP功能。功能。 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-负载分担组网方式配置参考3USG ATrustUntrust

27、备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USG BGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5lHRP_MUSG2100 hrp auto-sync configlHRP_MUSG2100 policy interzone trust untrust outboundlHRP_MUSG2100-policy-interzone-trust-untrust-outbound policy 1lHRP_MUSG2100-policy-interzone-trust-untrust-outbo

28、und-1 action permitlHRP_MUSG2100-policy-interzone-trust-untrust-outbound-1 policy source 10.100.10.0 mask 24 # #使能配置命令自动备份功能并添加区域间包过滤规则。使能配置命令自动备份功能并添加区域间包过滤规则。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 路由模式-负载分担组网方式配置验证HRP_MUSG2100 dis hrp state The firewalls config state is:

29、 MASTER Current state of virtual routers configured as master: GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master GigabitEthernet1/0/0 vrid 1 : master Current state of virtual routers configured as slave: GigabitEthernet3/0/0 vrid 5 : slave GigabitEthernet2/0/0 vrid 6 : slave

30、GigabitEthernet1/0/0 vrid 4 : slave #在在USG A上执行上执行display hrp state命令，检查当前命令，检查当前HRP的状态。从以的状态。从以上显示信息可以看出，上显示信息可以看出，在在USG A上，上，VRRP备份组备份组1、2、3属于属于Master管理组；管理组；VRRP备份组备份组4、5、6属于属于Slave管理组。管理组。Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. Copyright 2012 Huawei Technologies Co., Lt

31、d. All rights reserved. Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 混合模式-主备组网方式上图组网方式可以实现负载分担吗？上图组网方式可以实现负载分担吗？G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USG AUSG BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1PC1PC2Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 混

32、合模式-主备组网方式配置参考1G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USG AUSG BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1USG2100 interface GigabitEthernet 0/0/1 USG2100-GigabitEthernet0/0/1 ip address 10.100.20.2 24 USG2100-GigabitEthernet0/0/1 vrrp vrid 1 virtual-ip 10.100.20.1 master USG2100 firewall zone dmz

33、 USG2100-zone-dmz add interface gigabitethernet 0/0/1 # #配置配置GE0/0/1所属的所属的VRRP备份组和虚拟备份组和虚拟IP地址，并将其加入地址，并将其加入DMZ区域区域 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 混合模式-主备组网方式配置参考2G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USG AUSG BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1USG2100

34、interface gigabitethernet 0/0/0 USG2100-GigabitEthernet 0/0/0 portswitch USG2100 interface gigabitethernet 0/0/2 USG2100-GigabitEthernet 0/0/2 portswitch # #配置配置GE0/0/0和和GE0/0/2工作在透明模式。工作在透明模式。 Copyright 2012 Huawei Technologies Co., Ltd. All rights reserved. 混合模式-主备组网方式配置参考3G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USG AUSG BSwitch 1Switch 2Switch 3Switch 4trustuntrust备份组1USG2100 vlan 2 USG2100-vlan-2 port GigabitEthernet 0/0/0 USG2100-vlan-2 port GigabitEthernet 0/0/2 USG2100-vlan-2 hrp track master # #建立建立VLAN 2，将接口，将接口GE0/0/0和和GE0/0/2加入加入VLAN 2并指定由并指定由Master管理组