信息安全产品配置与应用-课件 项目4-防火墙高可靠性配置

目录ContentsPart01任务目标Part02任务描述Part04任务实施任务4.1-主备备份模式双机热备配置Part03知识储备项目4-防火墙高可靠性配置任务目标知识目标技能目标素养目标1．理解双机热备的工作模式。2.理解双机热备的技术原理。3.理解主备备份模式双机热备的组网模型。1.培养网络安全领域的故障预判意识与风险防控意识。2.网络服务连续性保障的职业责任感。1.掌握VRRP主备备份模式双机热备配置。2.

掌握IP-Link配置。任务描述本任务要完成的工作：

XUN公司之前购买的防火墙部署在公司网络出口处，为了防止一台防火墙出现故障而导致网络业务中断，公司又采购了一台相同型号的防火墙，用于部署主备备份双机热备，以提高防火墙的可靠性。项目经理安排小锐部署相关配置，完成两台防火墙进行主备切换的任务。向一代代“上下求索、挺身而出”的先驱学习，把“小我”融入“大我”之中，具有“先天下之忧而忧，后天下之乐而乐”的情怀。只有这样，才能在奋发奋进中实现人生价值，画出一条昂扬的人生曲线。知识储备4.1.2双机热备的技术原理4.1.1双机热备概述4.1.3双机热备的组网模型4.1.1双机热备概述防火墙作为安全设备，一般会部署在需要保护的网络和不受保护的网络之间，即位于网络边界上。在网络边界上，如果仅仅使用一台防火墙设备，无论其可靠性多高，系统都可能会承受因为单点故障而导致网络中断的风险。为了防止一台设备出现意外故障而导致网络业务中断，可以采用两台防火墙形成双机备份。4.1.1双机热备概述双机热备的工作模式。防火墙支持的双机热备的工作模式有主备备份模式和负载分担模式两种。（1）主备备份模式。当防火墙工作在主备备份模式时，两台防火墙一主一备。正常情况下一台防火墙（主用防火墙）是处于活动状态，处理整个网络的业务流量。另一台防火墙（备用防火墙）则处于待命状态，但是会同步会话表、Server-map表、IPSecSA等。当主用防火墙出现故障时，备用防火墙接管主用防火墙处理业务流量，保证业务不中断。

4.1.1双机热备概述双机热备的工作模式。防火墙支持的双机热备的工作模式有主备备份模式和负载分担模式两种。（2）负载分担模式。当防火墙工作在主备备份模式时，每台防火墙即是主用防火墙也是备用防火墙。正常情况下两台防火墙共同分担整网的业务流量。当其中一台防火墙出现故障时，另一台防火墙会承担其业务，保证原本通过该防火墙转发的业务不中断。

4.1.1双机热备概述双机热备的系统要求（1）硬件要求组成双机热备的两台防火墙的型号必须相同，安装的单板类型、数量以及单板安装的位置必须相同。两台防火墙的硬盘配置可以不同。（2）软件要求组成双机热备的两台防火墙的系统软件版本、系统补丁版本、动态加载的组件包、特征库版本、HASH选择CPU模式以及HASH因子都必须相同。（3）许可证要求双机热备功能自身不需要许可证。但对于其他需要许可证的功能（如入侵防御、反病毒等），组成双机热备的两台防火墙需要分别申请和加载许可证，两台防火墙之间不能共享许可证。两台防火墙的许可证控制项种类、资源数量、升级服务到期时间都要相同。4.1.2双机热备的技术原理VRRP主要负责监控主用防火墙出现故障时，由备用防火墙自动代替出现故障的主用防火墙完成报文转发任务。

防火墙双机热备功能的实现主要涉及3种协议架构，分别是虚拟路由冗余协议VRRP（VirtualRouterRedundancyProtocol）、VRRP组管理协议VGMP（VRRPGroupManagementProtocol）协议、华为冗余协议HRP（HuaweiRedundancyProtocol）协议。VGMP主要用于实现防火墙主备状态管理和接口链路的状态监控。

VRRP主要用于在主备防火墙之间建立心跳连接，实现了关键配置命令的自动同步，确保了主备设备业务逻辑的一致性；同时，它实时备份动态会话状态信息，保证了在主备切换时已建立的业务连接不会中断，从而为用户提供了高可用、业务透明的防火墙防护服务。

4.1.2双机热备的技术原理基于VRRP的路由器冗余部署方案。RouterAMasterVRRP备份组RouterBBackup内部网络交换机主设备RouterA正常时：RouterA作为VRRP备份组的Master设备，负责转发数据流量。主设备RouterA故障时：RouterB感知到VRRP心跳超时，从而被选举为新的主设备；RouterB发送免费ARP，交换机收到后刷新MAC地址表；RouterB响应用户的ARP请求，并负责流量转发。4.1.2双机热备的技术原理VRRP在多区域防火墙组网中的应用。为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。防火墙AMaster防火墙BBackup备份组3VirtualIPAddressUntrust备份组2VirtualIPAddressTrustDMZ/24/244.1.2双机热备的技术原理VRRP在多区域防火墙组网中的应用。传统VRRP方式无法实现主、备用防火墙状态信息和多组VRRP状态的一致性。防火墙AMaster防火墙BBackupUntrustTrustDMZPC1ServerPC212345备份组1备份组3备份组2当防火墙A和防火墙B的VRRP状态一致：Trust区域的PC1访问Untrust区域的PC2，报文来回路径一致，防火墙A状态检测机制检测通过，通信正常。当防火墙A和防火墙B的VRRP状态不一致：防火墙A上游链路发生故障，防火墙B成为备份组3新的Master；Trust区域的PC1访问Untrust区域的PC2，报文来回路径不一致，防火墙B状态检测机制检测不通过，报文丢失。如要保障防火墙双机热备的顺利运行，VRRP在防火墙中应用还需满足以下条件：VRRP状态的一致性和防火墙状态信息的一致性。4.1.2双机热备的技术原理VGMP基本原理VGMP（VRRPGroupManagementProtocol）是VRRP组管理协议，该协议定义了VGMP组，防火墙基于VGMP组实现设备主备状态管理。VGMP状态：Initialize是初始化状态，设备未启用双机热备功能时，VGMP组处于这个状态；设备自身的VGMP组优先级等于对端设备的VGMP组优先级时，设备的VGMP组状态为Load-balance；设备自身的VGMP组优先级大于对端设备的VGMP组优先级时，设备的VGMP组状态为Active；设备自身的VGMP组优先级小于对端设备的VGMP组优先级时，设备的VGMP组状态为Standby；设备没有接收到对端设备的VGMP报文，无法了解到对端VGMP组优先级时，设备的VGMP组状态为Active。当防火墙上的VGMP为Active状态时，它保证组内所有VRRP备份组的状态统一为Active状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙。此时另外一台防火墙上对应的VGMP为备状态，该防火墙成为备用防火墙。VGMP报文：VGMP报文包含VGMPHello报文、HRPHello报文以及HRP数据报文。VGMP报文发送周期缺省为1秒，通过心跳口发送；4.1.2双机热备的技术原理VGMP基本原理VGMP组选举主从设备工作流程如图所示。防火墙AVRRPMaster防火墙BVRRPBackup备份组1备份组2UntrustVGMPActiveVGMPStandbyTrustHelloHello配置VRRP启用VGMP选举VGMP主从设备切换VRRP组状态4.1.2双机热备的技术原理VGMP基本原理当故障发生时，VGMP统一切换VRRP备份组1与VRRP备份组2的状态。当VGMP组状态为Active时，VRRP备份组的状态都是Master；当VGMP组状态为Standby时，VRRP备份组的状态都是Backup；防火墙AVRRPMaster防火墙BVRRPBackup备份组1备份组2UntrustVGMPActiveVGMPStandby防火墙AVRRPBackup防火墙BVRRPMaster备份组1备份组2UntrustVGMPStandbyVGMPActiveTrustTrust4.1.2双机热备的技术原理HRP概述HRP（HuaweiRedundancyProtocol）协议，用来实现防火墙双机之间状态信息和关键配置命令的动态备份。备份方向：支持备份的配置命令默认只能在配置主设备上执行，这些命令会自动备份到备设备上。例如，安全策略配置命令、NAT策略配置命令等。主备备份组网中，只有主设备会处理业务，主设备上生成业务表项，并向备设备备份。负载分担组网中，两台防火墙都会处理业务，都会生成业务表项并向对端设备备份。备份通道：配置和状态数据需要网络管理员指定备份通道接口进行备份。一般情况下，在两台设备上直连的端口作为备份通道，有时也称为“心跳线”（VGMP也通过该通道进行通信）。4.1.2双机热备的技术原理为了让两台设备故障切换时业务能平滑切换，两台设备间需要备份配置和状态信息。备份方式自动备份：缺省为开启状态，能够自动实时备份配置命令和周期性地备份状态信息，适用于各种双机热备组网。手工批量备份：需要管理员手工触发，每执行一次手工批量备份命令，主用设备就会立即同步一次配置命令和状态信息到备用设备。设备重启主备防火墙的配置自动同步：重启成功的设备会自动从当前承载业务的防火墙上进行一次配置同步。会话快速备份：会话快速备份功能，适用于负载分担的工作方式，以应对报文来回路径不一致的场景。备份内容设备配置：策略：安全策略、NAT策略、认证策略、攻击防范和ASPF等；对象：地址、地区、服务、应用、用户、认证服务器、时间段、地址池、URL分类、关键字组、邮件地址组、签名和安全配置文件等；网络：新建逻辑接口、安全区域、DNS、静态路由（配置hrpauto-syncconfigstatic-route后才可以备份）、IPSec和SSLVPN等；系统：管理员、虚拟系统、日志配置等。状态信息：会话表、Sever-map表、黑白名单、地址映射表、MAC表、用户表、IPSec安全联盟和隧道等。4.1.2双机热备的技术原理双机热备组网中，心跳线是两台防火墙交互消息了解对端状态、备份配置命令和各种表项的通道。心跳线两端的接口通常被称之为“心跳接口”。心跳接口可以是一个物理接口（GE接口），或者多个物理接口捆绑成的一个逻辑接口（Eth-Trunk）。防火墙GE1/0/1防火墙GE1/0/1Eth-Trunk1Eth-Trunk1心跳口HRP数据报文等物理接口作为心跳接口Eth-Trunk接口作为心跳口防火墙GE1/0/1GE1/0/1GE1/0/2GE1/0/2GE1/0/3GE1/0/3防火墙4.1.2双机热备的技术原理HRP心跳接口共有五种状态：Invalid、Down、Peerdown、Ready、Running。PeerdownDown防火墙GE1/0/1防火墙GE1/0/1InvalidPeerdownGE1/0/2GE1/0/3GE1/0/4GE1/0/2GE1/0/4GE1/0/3心跳口HRP数据报文等心跳线HRP心跳链路探测报文RunningRunningReadyReady物理接口作为心跳接口4.1.3双机热备的组网模型根据防火墙组网方式不同，可将双机热备分为以下场景，每种场景均支持主备备份和负载分担模式。基于VRRP的双机热备透明模式的双机热备基于路由协议的双机热备防火墙A防火墙B交换机A交换机B交换机C交换机DVRRP协议VRRP协议心跳线防火墙的业务接口工作在三层模式，上下行与交换机互联，运行VRRP协议。防火墙A防火墙B路由器A路由器B路由器C路由器DOSPF协议心跳线防火墙的业务接口工作在三层模式，上下行与路由器互联，运行OSPF协议。OSPF协议VLAN2VLAN2防火墙A防火墙B路由器A路由器B路由器C路由器D心跳线防火墙的业务接口工作在二层模式，上下行与路由器/交换机互联。VLAN2VLAN24.1.3双机热备的组网模型防火墙支持主备备份和负载分担两种工作模式。两台设备一主一备。正常情况下业务流量由主用设备处理。当主用设备故障时，备用设备接替主用设备处理业务流量，保证业务不中断。流量由单台设备处理，相较于负载分担模式，路由规划和故障定位相对简单。主备备份模式中，备用设备不承载任何业务流量，资源利用率不高。主备备份模式两台设备互为主备。正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时，另外一台设备会承担其业务，保证原本通过该设备转发的业务不中断。相较于主备备份模式，组网方案和配置相对复杂。负载分担模式组网中流量由两台设备共同处理，可以提高防火墙整体的业务吞吐量。负载分担模式组网中设备发生故障时，只有一半的业务需要切换，故障切换的速度更快。负载分担模式4.1.3双机热备的组网模型主备备份模式的应用场景组网描述：如图所示，对于可靠性要求较高的场景，可在企业网络出口部署两台防火墙组成双机热备。组网分析：防火墙VGMP状态：防火墙A为Master，VGMP状态为Active；防火墙B为Backup，VGMP状态为Standby；VRRP备份组：防火墙下游配置VRRP备份组1，防火墙上游配置VRRP备份组2；防火墙A的VRRP备份组1和2设置为Master，防火墙B的VRRP备份组1和2设置为Backup；备份接口：两台防火墙的GE0/0/1接口为心跳口，对应的心跳线作为备份链路。内网主机A主机B防火墙AMaster防火墙BBackup交换机A交换机B交换机C交换机D心跳线VRRP备份组2VRRP备份组1GE0/0/1GE0/0/1GE0/0/3GE0/0/3GE0/0/2GE0/0/24.1.3双机热备的组网模型主备备份模式的应用场景流量转发过程：防火墙A向交换机A和交换机C发送免费ARP报文，刷新交换机的MAC地址表；当主机A访问Internet时，首先通过ARP查询网关MAC地址（即查询VRRPVirtualIP的MAC地址），防火墙A回应VRRPVirtualMAC，主机A向交换机A发送业务报文，交换机A根据MAC表转发流量到防火墙A，防火墙A再转发到Internet。返回流量的转发过程类似，不再赘述。内网主机A主机B防火墙AMaster防火墙BBackup交换机A交换机B交换机C交换机DVRRP备份组2GE0/0/2GE0/0/2VRRP备份组1GE0/0/3GE0/0/3主机A流量主机B流量4.1.3双机热备的组网模型主备备份模式的应用场景防火墙业务接口/业务线路故障，触发主备切换：如图所示，当防火墙A的GE0/0/2接口出现故障时，防火墙A的VGMP组优先级降低，发送VGMP请求报文；防火墙B收到对端发送的VGMP请求报文后，与自己的VGMP组优先级进行比较，发送VGMP应答报文；防火墙A收到回应报文，将VGMP组状态切换为Standby，防火墙A上的VRRP备份组1和备份组2则切换状态为Backup；防火墙B将VGMP组状态切换为Active，防火墙B上的VRRP备份组1和备份组2则切换状态为Master；防火墙B向交换机B和D发送免费ARP报文，刷新交换机的MAC地址表，业务流量切换至防火墙B。内网主机A主机B防火墙ABackup防火墙BMaster交换机A交换机B交换机C交换机DVRRP备份组2VRRP备份组1GE0/0/3GE0/0/3GE0/0/2GE0/0/2主机A流量主机B流量4.1.3双机热备的组网模型主备备份模式的应用场景防火墙整机故障，触发主备切换：防火墙A出现整机故障，不再发送HRPHello报文，防火墙B五个报文周期没有收到对端发送的HRPHello报文，则防火墙B切换为主设备，VGMP状态为Active，防火墙B上的VRRP备份组1和备份组2则切换状态为Master。防火墙B向交换机B和D发送免费ARP报文，刷新交换机的MAC地址表，业务流量切换至防火墙B。内网主机A主机B防火墙BMaster交换机A交换机B交换机C交换机D!VRRP备份组2VRRP备份组1主机A流量主机B流量GE0/0/3GE0/0/3GE0/0/2GE0/0/2防火墙ABackup4.1.3双机热备的组网模型主备备份模式的应用场景故障恢复，触发主备回切流程：防火墙A故障恢复后，此时VGMP组优先级恢复，缺省情况下，等待60秒后，发送VGMP请求报文；防火墙B收到VGMP请求报文后，与自己的VGMP组优先级进行比较，发现对端的优先级较高或相等（相等时查看VGMP的配置），则回应VGMP应答报文，同时将自己的VGMP组状态切换为Standby，VRRP备份组1和2状态切换为Backup；防火墙A收到回应报文后，将自己的VGMP状态切换为Active，VRRP备份组1和2状态切换为Master；防火墙A向交换机A和C发送免费ARP报文，刷新交换机的MAC地址表，业务流量回切至防火墙A。内网主机A主机B防火墙AMaster防火墙BBackup交换机A交换机B交换机C交换机DVRRP备份组2VRRP备份组1GE0/0/3GE0/0/3GE0/0/2GE0/0/2主机A流量主机B流量4.1.3双机热备的组网模型主备备份模式的应用场景开始防火墙基础网络配置配置VRRP备份组指定心跳口并启用双机热备功能结束关键配置：在防火墙A的上下行业务接口上配置VRRP备份组，并设置VRRP组状态为Active。[FW_A]interfaceGE0/0/2[FW_A-GE0/0/2]vrrpvrid1virtual-ipactive[FW_A-GE0/0/2]quit[FW_A]interfaceGE0/0/3[FW_A-GE0/0/3]vrrpvrid2virtual-ipactive[FW_A-GE0/0/3]quit[FW_B]interfaceGE0/0/2[FW_B-GE0/0/2]vrrpvrid1virtual-ipstandby[FW_B-GE0/0/2]quit[FW_B]interfaceGE0/0/3[FW_B-GE0/0/3]vrrpvrid2virtual-ipstandby[FW_B-GE0/0/3]quit在防火墙B的上下行业务接口上配置VRRP备份组，并设置VRRP组状态为Standby。配置思路：4.1.3双机热备的组网模型主备备份模式的应用场景组网描述：如图所示，防火墙的上下行业务接口工作在三层，与路由器直连。防火墙与路由器之间运行OSPF协议。组网分析：防火墙A为Master，VMGP状态为Active。防火墙B为Backup，VGMP状态为Standby。启用双机热备功能后，防火墙能根据VGMP组状态动态调整OSPF协议的路径开销。Master防火墙的VGMP组状态为Active，防火墙按照OSPF路由的配置正常发布路由，不修改开销；Backup防火墙的VGMP组状态为Standby，防火墙会增加OSPF路由的开销，使得Backup防火墙发布出去的OSPF路由成为备用路由。防火墙AMasterGE0/0/1GE0/0/1GE0/0/3GE0/0/3路由器A路由器C路由器B路由器D防火墙BBackup增加OSPF开销增加OSPF开销主机A主机B企业内网OSPF心跳线4.1.3双机热备的组网模型主备备份模式的应用场景流量转发过程：正常工作时，防火墙A按照OSPF配置正常发布路由，而防火墙B发布的OSPF路由的Cost值则被调整为65500。防火墙A所在链路的开销值将远小于防火墙B所在链路的开销值。路由器在转发流量时会选择开销更小的路径，因此内外部网络之间的流量都被引导到防火墙A上转发。图中防火墙A的接口带宽为1000Mbps，所以OSPF的Cost开销为1。GE0/0/1GE0/0/1GE0/0/3GE0/0/3OSPF路由器A路由器C路由器B路由器DCost=1Cost=1Cost=65500Cost=65500心跳线防火墙AMaster防火墙BBackup主机A流量主机B流量主机A主机B企业内网4.1.3双机热备的组网模型主备备份模式的应用场景主备切换过程：当防火墙A的上行业务接口故障。防火墙A的VGMP组状态变为Standby，防火墙B的VGMP组状态变为Active。防火墙A、B根据VGMP组状态对OSPF开销进行调整：防火墙A发布的OSPF路由开销值被调整为65500；防火墙B发布的OSPF路由开销值被调整为1。OSPF路由完成收敛后，内外部网络之间的流量都被引导至防火墙B进行转发。防火墙AGE0/0/1GE0/0/1GE0/0/3GE0/0/3OSPF路由器A路由器C路由器B路由器D防火墙BCost=1Cost=1Cost=65500Cost=65500心跳线主机A流量主机B流量主机A主机B企业内网4.1.3双机热备的组网模型主备备份模式的应用场景开始防火墙基础网络配置配置OSPFCost值调整指定心跳口并启用双机热备功能结束配置接口监控关键配置：在防火墙A、B上分别配置HRPTrackInterface，监控上下行业务口。[FW_A]hrpadjustospf-costenable[FW_B]hrpadjustospf-costenable[FW_A]hrptrackinterfaceGE0/0/1[FW_A]hrptrackinterfaceGE0/0/3[FW_B]hrptrackinterfaceGE0/0/1[FW_B]hrptrackinterfaceGE0/0/3在防火墙A和防火墙B上配置Cost值调整命令。说明：防火墙发布OSPF路由时，如果是主用设备，防火墙把学习到的OSPF路由直接发布出去；如果是备用设备，防火墙发布slave-cost值为65500的OSPF路由。配置思路：4.1.3双机热备的组网模型Link-Group原理简介Link-Group功能可以将防火墙的多个接口组成一个逻辑组，组内接口始终保持相同的状态（UP/DOWN）。若组内任一接口出现故障，系统将组内所有接口的状态置为DOWN；组内所有接口均恢复正常后，系统才会将组内接口的状态置为UP。配置Link-Group功能，使防火墙直联的网络设备可以感知到主备发生切换，从而切换路由，恢复业务。防火墙A防火墙B交换机A交换机B路由器心跳线企业内网链路故障GE0/0/1GE0/0/3GE0/0/2GE0/0/1GE0/0/3GE0/0/2Master

->BackupBackup->Master12主用静态路由：下一跳指向防火墙A备用静态路由：下一跳指向防火墙B主用静态路由：失效备用静态路由：启用（指向防火墙B）4路由切换3防火墙主备切换5流量切换至防火墙B转发GE0/0/2与GE0/0/3加入同一个Link-Group中，GE0/0/3接口状态被置为DOWN4.1.3双机热备的组网模型Link-Group配置-CLI配置防火墙接口加入Link-Group。查看Link-Group成员接口状态。<FW>system-view[FW]interfaceGigabitEthernet0/0/2[FW-GigabitEthernet0/0/2]link-group1[FW]interfaceGigabitEthernet0/0/3[FW-GigabitEthernet0/0/3]link-group1[FW]displaylink-group1linkgroup1,total2,fault0GigabitEthernet0/0/2:upGigabitEthernet0/0/3:up4.1.3双机热备的组网模型IP-Link探测技术IP-Link探测技术是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。IP-Link可以检测到非直连链路的故障，与双机热备技术结合使用，提高网络可靠性。防火墙A防火墙B交换机A交换机B交换机C交换机D心跳线企业内网Master

--->BackupBackup--->Master链路故障防火墙感知非直连链路故障，触发主备切换IP-Link探测、响应IP-Link探测、响应4.1.3双机热备的组网模型IP-Link探测技术IP-Link探测技术是指防火墙通过向指定的目的IP周期性地发送探测报文并等待应答，来判断链路是否发生故障。IP-Link可以检测到非直连链路的故障，与双机热备技术结合使用，提高网络可靠性。防火墙A防火墙B交换机A交换机B交换机C交换机D心跳线企业内网Master

--->BackupBackup--->Master链路故障防火墙感知非直连链路故障，触发主备切换IP-Link探测、响应IP-Link探测、响应任务实施实施场景XUN公司在网络出口处部署了两台防火墙，两台防火墙的业务接口都工作在三层，上下行连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的网段为/29。采用VRRP方式实现主备备份双机热备配置，正常情况下，流量通过FW1转发，当FW1出现故障时，流量通过FW2转发，保证业务不中断。具体配置任务如下：1）根据拓扑图完成防火墙、路由器、交换机和主机网络参数的基本配置。2）配置防火墙各接口安全区域、Local区域与心跳接口所在区域的安全策略为允许。3）配置VRRP备份组、指定心跳接口并启用VRRP实现主备备份双机热备功能。4）配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。5）将防火墙的上下行业务端口加入同一个Link-group管理组，在链路发生故障时能够加快路由收敛速度。6）防火墙通过双机热备与IP-Link联动功能监控网络的出接口。任务实施实施设备1）USG6000V防火墙2台；2）Client机1台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器1台。任务实施实施过程1）配置Client1、PC1网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置Server1服务器网络参数，开启HTTP服务。Server1服务器网络参数配置Server1服务器配置任务实施实施过程

3）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress29[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

4）配置交换机SW1，在SW1上创建VLAN10、VLAN20和VLAN100，并将GE0/0/3口加入VLAN10，GE0/0/4口加入VLAN20，GE0/0/1口和GE0/0/2口加入VLAN100。配置VLAN10的VLANIF接口IP地址为/24，配置VLAN20的VLANIF接口IP地址为/24，配置VLAN100的VLANIF接口IP地址为52/24。配置命令如下：[SW1]vlanbatch1020100[SW1]interfaceGigabitEthernet0/0/3[SW1-GigabitEthernet0/0/3]portlink-typeaccess[SW1-GigabitEthernet0/0/3]portdefaultvlan10[SW1-GigabitEthernet0/0/3]quit[SW1]interfaceGigabitEthernet0/0/4[SW1-GigabitEthernet0/0/4]portlink-typeaccess[SW1-GigabitEthernet0/0/4]portdefaultvlan20[SW1-GigabitEthernet0/0/4]quit[SW1]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan100[SW1-port-group]quit[SW1]interfaceVlanif10[SW1-Vlanif10]ipaddress24[SW1-Vlanif10]quit[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress24[SW1-Vlanif20]quit[SW1]interfaceVlanif100[SW1-Vlanif100]ipaddress5224[SW1-Vlanif100]quit任务实施实施过程

5）交换机SW1与防火墙FW1和FW2使用静态路由协议互联，配置命令如下：[SW1]iproute-static0[FW1]iproute-static2452[FW1]iproute-static2452[FW2]iproute-static2452[FW2]iproute-static24526）配置防火墙FW1和FW2的网络基本参数，以FW1为例，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress5424[FW1]iproute-static0任务实施实施过程

7）配置防火墙FW1和FW2的安全区域，将GE1/0/0口加入Untrust区域；将GE1/0/1口加入DMZ区域；将GE1/0/2口加入Trust区域，以FW1为例，配置命令如下：[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/0[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/1[FW1-zone-dmz]quit[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/2[FW1-zone-trust]quit

8）在防火墙FW1和FW2的Local区域与DMZ所在安全区域间配置安全策略，动作为允许，以FW1为例，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameha//安全策略的名称为ha[FW1-policy-security-rule-ha]source-zonelocaldmz[FW1-policy-security-rule-ha]destination-zonelocaldmz[FW1-policy-security-rule-ha]actionpermit[FW1-policy-security-rule-ha]quit任务实施实施过程

9）在防火墙FW1和FW2上配置GE1/0/0和GE1/0/2，加入同一个Link-group管理组，以FW1为例，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]link-group1[FW1-GigabitEthernet1/0/0]quit[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]link-group1[FW1-GigabitEthernet1/0/2]quit

10）在防火墙FW1和FW2上配置IP-Link，监控网络出接口，以FW1为例，配置命令如下：[FW1]ip-linkcheckenable[FW1]ip-linknamecheck[FW1-iplink-check]destinationinterfaceGigabitEthernet1/0/0[FW1-iplink-check]quit任务实施实施过程

11）在防火墙FW1和FW2上配置VRRP备份组，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip29active[FW1-GigabitEthernet1/0/0]quit[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]vrrpvrid2virtual-ipactive[FW1-GigabitEthernet1/0/2]quit[FW2]interfaceGigabitEthernet1/0/0[FW2-GigabitEthernet1/0/0]vrrpvrid1virtual-ip29standby[FW2-GigabitEthernet1/0/0]quit[FW2]interfaceGigabitEthernet1/0/2[FW2-GigabitEthernet1/0/2]vrrpvrid2virtual-ipstandby[FW2-GigabitEthernet1/0/2]quit任务实施实施过程

12）在防火墙FW1和FW2上指定心跳接口并启用双机热备功能，配置命令如下：[FW1]hrpinterfaceGigabitEthernet1/0/1remote[FW1]hrpenable[FW2]hrpinterfaceGigabitEthernet1/0/1remote[FW2]hrpenable

13）在FW1上配置安全策略，允许内网用户访问Internet。双机热备状态成功建立后，FW1的安全策略配置会自动备份到FW2上，配置命令如下：HRP_M[FW1]security-policyHRP_M[FW1-policy-security]rulenametrust_untrustHRP_M[FW1-policy-security-rule-trust_untrust]source-zonetrustHRP_M[FW1-policy-security-rule-trust_untrust]destination-zoneuntrustHRP_M[FW1-policy-security-rule-trust_untrust]actionpermitHRP_M[FW1-policy-security-rule-trust_untrust]quitHRP_M[FW1-policy-security]quit任务实施实施过程

14）在FW1上配置NAPT方式访问外网，对内网主机访问Internet的报文源地址进行转换。双机热备状态成功建立后，FW1的NAT策略配置会自动备份到FW2上，配置命令如下：HRP_M[FW1]nataddress-groupwan_ip//创建NAT转换地址池，名称为wan_ipHRP_M[FW1-address-group-wan_ip]section

HRP_M[FW1-address-group-wan_ip]quitHRP_M[FW1]nat-policyHRP_M[FW1-policy-nat]rulenamenat_ispHRP_M[FW1-policy-nat-rule-nat_isp]source-zonetrustHRP_M[FW1-policy-nat-rule-nat_isp]destination-zoneuntrustHRP_M[FW1-policy-nat-rule-nat_isp]actionsource-nataddress-groupwan_ipHRP_M[FW1-policy-nat-rule-nat_isp]quitHRP_M[FW1-policy-nat]quit任务实施实施过程

15）Client1使用HttpClient可以正常访问公网Server1服务器的网址，如图所示。任务实施实施过程

16）分别在FW1和FW2上检查会话。执行displayfirewallsessiontable命令。HRP_M[FW1]displayfirewallsessiontablehttpVPN:public-->public00:2053[:2051]-->00:80HRP_S[FW2]displayfirewallsessiontablehttpVPN:public-->publicRemote00:2053[:2051]-->00:80以上信息显示，FW2上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功。任务实施实施过程

17）PC1执行ping00-t，将SW2的GE0/0/2接口shutdown，观察FW1和FW2状态切换及丢包情况。PC>ping00-tPing00:32databytes,PressCtrl_CtobreakFrom00:bytes=32seq=1ttl=253time=62msFrom00:bytes=32seq=2ttl=253time=62msFrom00:bytes=32seq=3ttl=253time=141msRequesttimeout!Requesttimeout!From00:bytes=32seq=15ttl=253time=62msFrom00:bytes=32seq=16ttl=253time=62ms以上信息显示，将SW2的GE0/0/2接口undoshutdown后，PC1正常通信，表示配置双机热备功能后，FW1和FW2能正常切换。任务小结本任务介绍了防火墙双机热备技术相关的VRRP、HRP、VGMP等技术原理，以及主备备份双机热备的组网模型等内容。通过实施基于VRRP的主备备份双机热备配置任务，学生掌握了基于VRRP实现主备备份双机热备的工作原理与配置方法，深化了对主备备份双机热备应用场景、双机热备与IP-Link联动的理解。在配置主备备份双机热备时需关注VRRP备份组、IP-Link、NAT地址池等技术要点，确保网络的可靠性和安全性。思考题1.简述VRRP与VGMP的协同工作机制。谢谢观看！目录ContentsPart01任务目标Part02任务描述Part04任务实施任务4.1-负载分担模式双机热备配置Part03知识储备项目4-防火墙高可靠性配置任务目标知识目标技能目标素养目标1．理解负载分担模式双机热备组网模型。1.培养团结合作、携手共进的团队意识。2.

培养求实创新、细致严谨的科学素养。1.掌握VRRP负载分担模式双机热备配置。任务描述本任务要完成的工作：

XUN公司之前购买的防火墙部署在公司网络出口处，为了防止一台防火墙出现故障而导致网络业务中断，公司又采购了一台相同型号的防火墙，用于部署负载分担双机热备，以提高防火墙的可靠性。项目经理安排小锐部署相关配置，完成两台防火墙进行主备切换的任务。“看似寻常最奇崛，成如容易却艰辛。”习总书记指出：“青年的人生之路很长，前进途中，有平川也有高山，有缓流也有险滩，有丽日也有风雨，有喜悦也有哀伤。心中有阳光，脚下有力量，为了理想能坚持、不懈怠，才能创造无愧于时代的人生”。知识储备4.2.2基于动态路由的负载分担模式双机热备4.2.1基于VRRP的负载分担模式双机热备4.2.1基于VRRP的负载分担模式双机热备组网描述：如图所示，防火墙的上下行业务接口工作在三层，两台防火墙同时工作为用户转发流量，同时互为备份，增加网络的可靠性。组网分析：如果两台防火墙工作在VRRP的负载分担模式，两台防火墙上均要存在状态为Active的VRRP备份组；防火墙A的VRRP1和VRRP3状态为Master，VRRP2和VRRP4状态为Backup；防火墙B的VRRP1和VRRP3状态为Backup，VRRP2和VRRP4状态为Master；两台设备的VGMP组状态都是Load-balance。防火墙A防火墙B路由器A路由器B交换机A交换机B交换机C交换机DVRRP备份组1：VRRP备份组2：VRRP备份组3：VRRP备份组4：主机A主机B心跳线Load-balanceLoad-balance企业内网GE0/0/3GE0/0/3GE0/0/2GE0/0/2GE0/0/1GE0/0/14.2.1基于VRRP的负载分担模式双机热备防火墙A防火墙B路由器A路由器B交换机A交换机B交换机C交换机DVRRP备份组1：VRRP备份组2：VRRP备份组3：VRRP备份组4：主机A主机B心跳线Load-balanceLoad-balance企业内网GE0/0/3GE0/0/3GE0/0/2GE0/0/2GE0/0/1GE0/0/1流量转发过程：企业内网中部分主机的网关被设置成VRRP3的虚拟IP地址。这些主机在访问外部网络时，会发送ARP请求报文，请求的MAC地址。防火墙A的VRRP3状态为Master，会响应内网主机的ARP请求。防火墙B的VRRP3状态为Backup，不会响应内网主机的ARP请求。防火墙A响应的ARP报文会刷新交换机的MAC地址表和主机的ARP缓存表，使这部分主机发往外部网络的流量都被引导到防火墙A上处理。另一部分主机的网关被设置成VRRP4的虚拟IP地址。这些主机在访问外部网络时，会发送ARP请求报文，请求的MAC地址。此时，只有防火墙B会响应这个ARP请求。因此，这部分主机的流量都被引导到防火墙B上转发。4.2.1基于VRRP的负载分担模式双机热备关键配置：在防火墙上分别配置两个VRRP备份组。[FW_A]interfaceGigabitEthernet0/0/2[FW_A-GE0/0/2]vrrpvrid1virtual-ipactive[FW_A-GE0/0/2]vrrpvrid2virtual-ipstandby[FW_A]interfaceGigabitEthernet0/0/3[FW_A-GE0/0/3]vrrpvrid3virtual-ipactive[FW_A-GE0/0/3]vrrpvrid4virtual-ipstandby[FW_B]interfaceGigabitEthernet0/0/2[FW_B-GE0/0/2]vrrpvrid1virtual-ipstandby[FW_B-GE0/0/2]vrrpvrid2virtual-ipactive[FW_B]interfaceGigabitEthernet0/0/3[FW_B-GE0/0/3]vrrpvrid3virtual-ipstandby[FW_B-GE0/0/3]vrrpvrid4virtual-ipactive

开始防火墙基础网络配置指定心跳口并启用双机热备功能结束配置VRRP备份组配置思路：4.2.2基于动态路由的负载分担模式双机热备如果要让两台防火墙形成基于动态路由的负载分担组网，需要在防火墙和上下行路由器上合理配置OSPF路由开销值，将流量均匀地引导到两台防火墙上处理，如图所示。防火墙和路由器的OSPF路由开销值都保持为缺省值1。这样，两台防火墙都正常工作时，FW1和FW2所在链路的开销值相等。内外部网络之间的流量将会由FW1和FW2共同处理。4.2.2基于动态路由的负载分担模式双机热备如果防火墙FW1的上行业务接口故障。FW1的VGMP组状态变为standby，FW2的VGMP组状态变为active。FW1和FW2根据VGMP组状态对OSPF开销值进行调整。FW1发布的OSPF路由开销值被调整为65500，FW2发布的OSPF路由开销值被调整为1。路由完成收敛后，内外部网络之间的流量都被引导到FW2上转发，如图所示。4.2.2基于动态路由的负载分担模式双机热备关键配置：在防火墙上分别配置OSPF。[FW_A]ospf10[FW_A-ospf-10]area0[FW_A-ospf-10-area-]network55[FW_A-ospf-10-area-]network55[FW_A-ospf-10-area-]quit[FW_A-ospf-10]quit[FW_A]hrptrackinterfaceGigabitEthernet1/0/1[FW_A]hrptrackinterfaceGigabitEthernet1/0/3[FW_A]hrpmirrorsessionenable[FW_A]hrpinterfaceGigabitEthernet1/0/7remote[FW_A]hrpenable[FW_B]ospf10[FW_B-ospf-10]area0[FW_B-ospf-10-area-]network55[FW_B-ospf-10-area-]network55[FW_B-ospf-10-area-]quit[FW_B-ospf-10]quit[FW_B]hrptrackinterfaceGigabitEthernet1/0/1[FW_B]hrptrackinterfaceGigabitEthernet1/0/3[FW_B]hrpmirrorsessionenable[FW_B]hrpinterfaceGigabitEthernet1/0/7remote

[FW_B]hrpenable开始防火墙基础网络配置指定心跳口并启用双机热备功能结束配置OSPF配置思路：任务实施实施场景XUN公司在网络出口处部署了两台防火墙，两台防火墙的业务接口都工作在三层，上下行连接二层交换机。上行交换机连接运营商的接入点，运营商为企业分配的网段为/29。采用VRRP方式实现负载分担双机热备配置，正常情况下，Clinet1的流量通过FW1转发，PC1的流量通过FW2转发，当其中一台防火墙出现故障时，另外一台防火墙转发全部业务，保证业务不中断。具体配置任务如下:1）根据拓扑图完成防火墙、路由器、交换机和主机网络参数的基本配置。2）配置防火墙各接口安全区域、Local区域与心跳接口所在区域的安全策略为允许。3）配置会话快速备份功能、配置可用的端口范围。4）配置VRRP备份组、指定心跳接口并启用VRRP实现负载分担双机热备功能。5）配置EasyIP方式访问外网，对内网主机访问Internet的报文源地址进行转换。6）将防火墙的上下行业务端口加入同一个Link-group管理组，在链路发生故障时能够加快路由收敛速度。7）防火墙通过双机热备与IP-Link联动功能监控网络的出接口。任务实施实施设备1）USG6000V防火墙2台；2）Client机1台；3）S5700交换机2台；4）AR2220路由器1台；5）Server服务器1台。任务实施实施过程1）配置Client1、PC1网络基本参数，以Client1为例。Client1参数配置任务实施实施过程2）配置Server1服务器网络参数，开启HTTP服务。Server1服务器网络参数配置Server1服务器配置任务实施实施过程

3）配置路由器AR1，模拟Internet环境，配置命令如下：[AR1]interfaceGigabitEthernet0/0/0[AR1-GigabitEthernet0/0/0]ipaddress29[AR1-GigabitEthernet0/0/0]quit[AR1]interfaceGigabitEthernet0/0/1[AR1-GigabitEthernet0/0/1]ipaddress24[AR1-GigabitEthernet0/0/1]quit任务实施实施过程

4）配置交换机SW1，在SW1上创建VLAN10，并将GE0/0/1口、GE0/0/2口、GE0/0/3口和GE0/0/4口加入VLAN10。配置命令如下：[SW1]vlan10[SW1]port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/4[SW1-port-group]portlink-typeaccess[SW1-port-group]portdefaultvlan10[SW1-port-group]quit

5）配置防火墙FW1和FW2的网络基本参数，以FW1为例，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]ipaddress24[FW1]interfaceGigabitEthernet1/0/1[FW1-GigabitEthernet1/0/1]ipaddress24[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]ipaddress5424[FW1]iproute-static0任务实施实施过程

6）配置防火墙FW1和FW2的安全区域，将GE1/0/0口加入Untrust区域，将GE1/0/1口加入DMZ区域，将GE1/0/2口加入Trust区域，以FW1为例，配置命令如下：[FW1]firewallzoneuntrust[FW1-zone-untrust]addinterfaceGigabitEthernet1/0/0[FW1-zone-untrust]quit[FW1]firewallzonedmz[FW1-zone-dmz]addinterfaceGigabitEthernet1/0/1[FW1-zone-dmz]quit[FW1]firewallzonetrust[FW1-zone-trust]addinterfaceGigabitEthernet1/0/2[FW1-zone-trust]quit7）在防火墙FW1和FW2的Local区域与DMZ区域所在安全区域间配置安全策略，动作为允许，以FW1为例，配置命令如下：[FW1]security-policy[FW1-policy-security]rulenameha//安全策略的名称为ha[FW1-policy-security-rule-ha]source-zonelocaldmz[FW1-policy-security-rule-ha]destination-zonelocaldmz[FW1-policy-security-rule-ha]actionpermit[FW1-policy-security-rule-ha]quit任务实施实施过程

8）在防火墙FW1和FW2上配置GE1/0/0和GE1/0/2，加入同一个Link-group管理组，以FW1为例，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]link-group1[FW1-GigabitEthernet1/0/0]quit[FW1]interfaceGigabitEthernet1/0/2[FW1-GigabitEthernet1/0/2]link-group1[FW1-GigabitEthernet1/0/2]quit

9）在防火墙FW1和FW2上配置IP-Link，监控网络出接口，以FW1为例，配置命令如下：[FW1]ip-linkcheckenable[FW1]ip-linknamecheck[FW1-iplink-check]destinationinterfaceGigabitEthernet1/0/0[FW1-iplink-check]quit任务实施实施过程

10）在防火墙FW1和FW2上配置VRRP备份组，配置命令如下：[FW1]interfaceGigabitEthernet1/0/0[FW1-GigabitEthernet1/0/0]vrrpvrid1virtual-ip29active[FW1-GigabitEthernet1/0/0]vrrpvrid3virtual-ip29standby