信息安全技术(HCIA-Security)-第八次课-防火墙双机热备技术课件

1、防火墙双机热备技术学完本课程后，您将能够:掌握双机热备技术原理掌握双机热备基础配置双机热备技术原理双机热备基本组网与配置双机热备技术产生的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。Firewall A10.100.10.1/24PC服务器内部网络10.100.10.0/24路由器冗余部署方案路由器组网中通过VRRP协议实现设备冗余：RouterA10.100.10.2MasterRouterBBackup10.100

2、.10.3RouterC10.100.10.4Backup备份组Virtual IP Address10.100.10.1PC服务器内部网络10.100.10.0/24VRRP在多区域防火墙组网中的应用为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSG A10.100.20.0/24MasterUSG BBackup10.100.10.0/24备份组1Virtual IP Address10.100.10.1备份组2Virtual IP Address10.100.20.1备份组3Virtual IP Address202.3

3、8.10.1VRRP在防火墙应用中存在的缺陷传统VRRP方式无法实现主、备用防火墙状态的一致性。USG AMasterUSG BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)VRRP用于防火墙多区域备份为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补此局限。DMZTrustUntrustUSG A10.100.20.0/24vUSG B10.100.10.0/24备份组 2备份组 3备份组 1

4、VGMP 管理组VGMP 管理组helloackVGMP基本原理当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态。状态为Active的VGMP也会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。DMZTrustUntrustUSG A10.100.20.0/24USG B10.100.10.0/24备份组 2备份组 3备份组 1VGMP ActiveVGMP StandbyhelloackVGMP组管理状态一致性管理VGMP管理组控制所有的VRRP备份组统一切换。抢占

5、管理当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。HRP基本概念HRP（Huawei Redundancy Protocol）协议，用来实现防火墙双机之间动态状态数据和关键配置命令的备份。VRRP组1VRRP组2VRRP组3UntrustTrustDMZ会话表FWAFWBHRP心跳接口两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输的。心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口（GE接口），也可以是为了增加带宽，由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。心跳接口的状态HRP心跳接口共有五种状态

6、：InvalidDownPeerdownReadyrunning双机热备的备份方式设备重启后主备FW的配置自动同步会话快速备份自动备份手工批量备份双机热备技术原理双机热备基本组网与配置双机热备基本组网上下行业务接口工作在三层模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。USG_AMasterUSG_BBackup备份组1Virtual IP Address1.1.1.1/24G1/0/110.2.0.1/24PC1:1.1.1.10/24UntrustTrustG1/0/310.3.0.1/24G1/0/610.10.

7、0.1/24G1/0/610.10.0.2/24G1/0/110.2.0.2/24G1/0/310.3.0.2/24备份组2Virtual IP Address10.3.0.3/24PC2:10.3.0.10/24VRRP备份组配置命令 - CLI接口视图下配置VRRP：执行此命令时，指定active或standby参数后，即将该VRRP组加入了VGMP管理组的Active或Standby管理组。每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。vrrp vrid virtual-router-ID virtual-ip virtual-address ip-

8、mask | ip-mask-length active | standby HRP配置命令 - CLI指定心跳口启用HRP备份功能启用允许配置备用设备的功能启用命令与状态信息的自动备份启用会话快速备份hrp interface interface-type interface-number remote ip-address | ipv6-address hrp enablehrp standby config enablehrp auto-sync config | connection-statushrp mirror session enableVRRP配置举例 - CLIUSG_A关

9、于VRRP组1配置：USG_B关于VRRP组1的配置：USG_Ainterface GigabitEthernet 1/0/1 USG_A-GigabitEthernet 1/0/1 ip address 10.2.0.1 24USG_A-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 activeUSG_Binterface GigabitEthernet 1/0/1 USG_B-GigabitEthernet1/0/1 ip address 10.2.0.2 24USG_B-GigabitEthernet

10、 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standbyHRP配置举例 - CLIUSG_A关于HRP配置：USG_Ahrp enableUSG_Ahrp mirror session enableUSG_Ahrp interface GigabitEthernet 1/0/6查看VRRP状态 - CLI查看处于VRRP备份组中的接口状态信息：HRP_Adisplay vrrp interface G1/0/3GigabitEthernet1/0/3 | Virtual Router 2 VRRP Group : Active st

11、ate : Active Virtual IP : 10.3.0.3 Virtual MAC : 0000-5e00-0102 Primary IP : 10.3.0.1 PriorityRun : 120 PriorityConfig:100 MasterPriority : 120 Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES查看HRP状态 - CLI查看处于Master状态防火墙的状态信息如下：HRP_Adis hrp stateThe firewalls con

12、fig state is: ACTIVE Current state of virtual routers configured as active: GigabitEthernet1/0/1 vrid 1 : active GigabitEthernet1/0/3 vrid 2 : active 防火墙配置界面 - Web点击“系统 高可靠性 双机热备 配置”进行双机热备相关配置。双机热备主用设备配置 - Web在双机热备配置界面点击“配置”按钮对主用设备USG_A的配置，在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。双机热备备用设备配置 - Web在双机热备配置界面点击“配置”按钮对备用设备USG_B的配置，在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。查看双机热备历史切换信息 - Web在双机热备界面，点击“详细”可以查看双机热备