防火墙双机热备
目录
防火墙双机热备概述
VRRP
VRRP术语
VRRP和Cisco的HSRP的区别
VRRP的状态机
VRRP的工作原理
双机热备的备份方式自动备份:该莫试下,和双机热备有关的配置命令只能在主用设备上配置,主用设备自动将状态信息同步到备用设备中。该模式是华为防火墙的默认开启模式,主要应用于热备模式。
防火墙双机热备概述
防火墙的双机热备功能通过提供一条备份链路(心跳线),协商防火墙之间的主备状态及备份会话,server-map表等操作。
在双机热备中必须注意:
两台防火墙用于心跳线的接口加入相同的安全区域。
两台防火墙用于心跳线分接口的设备编号必须一致,如都是G1/0/3。
建议用于双机热备的两台防火墙采用相同的型号、相同的VRP版本。
华为防火墙的双机热备包含以下两种模式:
热备模式:同一时间只有一台防火墙转数据,其他防火墙不转发数据包,但是会同步会话表及server-map表
负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间会同步会话表及Server-map表。
VRRP
VRRP由IETF进行维护,用来解决网关单点故障的路由协议。VRP可以应用在路由器中提供网关冗余,也可以用在防火墙中双机热备。
VRRP术语
1.VRRP路由器:运行VRRP协议的路由器
2.虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。
3.VRID:Virtual Router ID,虚拟路由器标识,用来唯一的标识一个备份组。
4.虚拟IP地址;提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。
5.虚拟MAC地址:基于VRID生成用的用于VRRP的MAC地址,主用路由器将提供该MAC地址
6.IP地址拥有者:若将虚拟路由器的IP地址配置为莫个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
7.优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。
8.抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器。
9.非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组的其他路由器(包括当前主用路由器),则不会立即成为主用路由器,直到下次公平选举(断电,设备重启等)
VRRP和Cisco的HSRP的区别
VRRP是公有协议,而HSRP是CISCO专用协议
VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以
VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址的前缀是00-00-0c-07-AC-组号
VRRP的状态机有三个,而HSRP的状态机包含了五个(初始、学习、监听、发言、备份、活动)
VRRP只有一种报文,VRRP通告报文主要由主路由器发出,用于检测虚拟路由器的参数,同时用于主备路由器的选举,而HSRP有三种报文(Hello、政变、辞退)
VRRP不支持接口跟踪,而HSRP支持
VRRP的状态机
initialize状态:刚配置了VRRP时的初始状态,该状态下,不对VRRP报文做任何处理,当接口Shutdown或接口故障时也将进入该状态。
MASTER状态:当前设备选举成为主用路由器时的一种状态,该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起ARP请求,并将虚拟MAC地址回送客户机。当接口关闭时,将立即切换至Initialize状态。
Backup状态:当前设备选举成为备用路由器时的一种状态,该状态不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文。并判断主用路由器路由器是否正常工作,在双机热备模式中还将同步主用设备上的状态信息。
VRRP的工作原理
首先选举优先级高的设备成为Master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大的设备将成为Master路由器,而备份组中其他路由器将成为backup路由器。
双机热备的备份方式
自动备份:该莫试下,和双机热备有关的配置命令只能在主用设备上配置,主用设备自动将状态信息同步到备用设备中。该模式是华为防火墙的默认开启模式,主要应用于热备模式。
手动批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主用应用于主备设备配置不同步,需要立即进行同步的场景中。
快速备份模式:该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备环境中,该模式必须启用,以快速更新状态。
VRRP实例:
通过配置VRRP实现链路负载冗余
[AR1]sysname AR1 重命名
[AR1]interface GigabitEthernet 0/0/0 进入接口
[AR1-GigabitEthernet0/0/0]ip add 192.168.255.1 24 配置IP地址
[AR1-GigabitEthernet0/0/0]undo shutdown 激活
[AR1-GigabitEthernet0/0/0]quit 返回上一级
[AR1]interface GigabitEthernet 0/0/1 进入接口
[AR1-GigabitEthernet0/0/1]ip add 30.0.0.1 24 配置IP地址
[AR1-GigabitEthernet0/0/1]undo shutdown 激活
[AR1-GigabitEthernet0/0/1]quit 返回上一级
[AR1]ip route-static 50.0.0.1 32 192.168.255.100 配置静态路由
[USG6000V1]sysname FW1 重命名
[FW1]firewall zone trust 配置trust区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/0 将接口加到trust区域
[FW1-zone-trust]add interface GigabitEthernet 1/0/1将接口加到trust区域
[FW1-zone-trust]quit 返回上级
[FW1]firewall zone name FW 创建自定义区域
[FW1-zone-FW]add interface GigabitEthernet 1/0/3 将接口加到 FW区域
[FW1-zone-FW]quit 返回上级
[FW1]firewall zone untrust 配置区域untrust
[FW1-zone-untrust]add interface GigabitEthernet 1/0/2 将接口加入untrust
[FW1-zone-untrust]quit 返回上一级
[FW1]security-policy 配置安全策略
[FW1-policy-security]rule name local-FW 策略名local-FW
[FW1-policy-security-rule-FW-local]source-zone local 源区域
[FW1-policy-security-rule-FW-local]destination-zone FW 目标区域
[FW1-policy-security-rule-FW-local]action permit 允许
[FW1-policy-security-rule-FW-local]quit 返回上级
[FW1-policy-security]rule name trust 策略名trust
[FW1-policy-security-rule-trust]source-zone trust 源 区域
[FW1-policy-security-rule-trust]destination-zone untrust local 目标区域
[FW1-policy-security-rule-trust]action permit 动作允许
[FW1-policy-security-rule-trust]quit 返回上一级
[FW1-policy-security]rule name untrust 策略名untrust
[FW1-policy-security-rule-untrust]source-zone untrust 源区域
[FW1-policy-security-rule-untrust]destination-zone trust 目标区域
[FW1-policy-security-rule-untrust]action permit 动作允许
[FW1-policy-security-rule-untrust]quit 返回上一级
[FW1-policy-security]quit 返回上一级
[FW1]hrp enable 开启 hrp
HRP_S[FW1]vrrp virtual-ip ping enable
HRP_S[FW1]interface GigabitEthernet 1/0/0 进入接口
HRP_S[FW1-GigabitEthernet1/0/0]ip add 192.168.10.10 24 配置IP
HRP_S[FW1-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 active 配置虚拟IP为主
HRP_S[FW1-GigabitEthernet1/0/0]vrrp virtual-mac enable 配置虚拟MAC
HRP_S[FW1-GigabitEthernet1/0/0]service-manage ping permit 允许ping 服务
HRP_S[FW1-GigabitEthernet1/0/0]undo shutdown 激活
HRP_S[FW1-GigabitEthernet1/0/0]quit 返回上一级
HRP_S[FW1]interface GigabitEthernet 1/0/1 进入接口
HRP_S[FW1-GigabitEthernet1/0/1]ip add 192.168.20.10 24 配置IP
HRP_S[FW1-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.20.1 standby 配置虚拟IP为备
HRP_S[FW1-GigabitEthernet1/0/1]vrrp virtual-mac enable 开启虚拟MAC
HRP_S[FW1-GigabitEthernet1/0/1]service-manage ping permit 开启ping服务
HRP_S[FW1-GigabitEthernet1/0/1]undo shutdown 激活
HRP_S[FW1-GigabitEthernet1/0/1]quit 返回上一级
HRP_S[FW1]interface GigabitEthernet 1/0/3 进入接口
HRP_S[FW1-GigabitEthernet1/0/3]ip add 10.0.0.1 30 配置IP
HRP_S[FW1-GigabitEthernet1/0/3]undo shutdown 激活
HRP_S[FW1-GigabitEthernet1/0/3]quit 返回上一级
HRP_S[FW1]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.2 配置心跳线
HRP_S[FW1]interface GigabitEthernet 1/0/2 进入接口
HRP_S[FW1-GigabitEthernet1/0/2]ip add 192.168.255.10 24 配置IP
HRP_S[FW1-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 192.168.255.100 active 配置虚拟IP为主
HRP_S[FW1-GigabitEthernet1/0/2]undo shutdown 激活
HRP_S[FW1-GigabitEthernet1/0/2]quit 返回上一级
HRP_S[FW1]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1 配置默认路由
HRP_S[FW1]nat address-group NAPT 配置NAT地址池
HRP_S[FW1-address-group-NAPT]section 50.0.0.1 公网IP
HRP_S[FW1-address-group-NAPT]mode pat 模式为PAT
HRP_S[FW1-address-group-NAPT]quit 返回上一级
HRP_S[FW1]nat-policy 配至NAT策略
HRP_S[FW1-policy-nat]rule name NAPT 创建并配置NAPT策略
HRP_S[FW1-policy-nat-rule-NAPT]source-address 192.168.10.0 24 源IP
HRP_S[FW1-policy-nat-rule-NAPT]source-address 192.168.20.0 24 源IP
HRP_S[FW1-policy-nat-rule-NAPT]source-zone trust 源区域
HRP_S[FW1-policy-nat-rule-NAPT]destination-zone untrust 目标区域
HRP_S[FW1-policy-nat-rule-NAPT]action source-nat address-group NAPT 配置为匹配上就转化为NAPT的地址
HRP_S[FW1-policy-nat-rule-NAPT]quit 返回上一级
HRP_S[FW1-policy-nat]quit 返回上一级
HRP_S[FW1]hrp nat resource primary-group
HRP_S[FW1]hrp mirror session enable 开启快速备份模式
[USG6000V1]sysname FW2 重命名
[FW2]firewall zone trust 配置防火墙区域trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/0 将接口加入trust
[FW2-zone-trust]add interface GigabitEthernet 1/0/1 将接口加入trust
[FW2-zone-trust]quit 返回上一级
[FW2]firewall zone name FW 配置FW区域
[FW2-zone-FW]add interface GigabitEthernet 1/0/3 将接口加入FW区域
[FW2-zone-FW]quit 返回上一级
[FW2]firewall zone untrust 配置untrust
[FW2-zone-untrust]add interface GigabitEthernet 1/0/2 将接口加入untrust区域
[FW2-zone-untrust]quit
[FW2]security-policy 配置安全策略
[FW2-policy-security]rule name local-FW 配置策略local-FW
[FW2-policy-security-rule-FW-local]source-zone loacl 源区域
[FW2-policy-security-rule-FW-local]destination-zone FW 目标区域
[FW2-policy-security-rule-FW-local]action permit 允许访问
[FW2-policy-security-rule-FW-local]quit 返回上一级
[FW2-policy-security]rule name trust 配置策略trust
[FW2-policy-security-rule-trust]source-zone trust 源区域
[FW2-policy-security-rule-trust]destination-zone untrust local 目标区域
[FW2-policy-security-rule-trust]action permit 允许访问
[FW2-policy-security-rule-trust]quit 返回上一级
[FW2-policy-security]rule name untrust 配置策略untrust
[FW2-policy-security-rule-untrust]source-zone untrust 源区域
[FW2-policy-security-rule-untrust]destination-zone trust 目标区域
[FW2-policy-security-rule-untrust]quit 返回上一级
[FW2-policy-security]quit 返回上一级
[FW2]hrp enable 开启hrp
HRP_S[FW2]vrrp virtual-ip ping enable
HRP_S[FW2]interface GigabitEthernet 1/0/0 进入接口
HRP_S[FW2-GigabitEthernet1/0/0]ip add 192.168.10.20 24 配置IP
HRP_S[FW2-GigabitEthernet1/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 standby 配置虚拟IP为备
HRP_S[FW2-GigabitEthernet1/0/0]vrrp virtual-mac enable 开启虚拟MAC
HRP_S[FW2-GigabitEthernet1/0/0]service-manage ping permit 允许ping
HRP_S[FW2-GigabitEthernet1/0/0]undo shutdown 激活
HRP_S[FW2-GigabitEthernet1/0/0]quit 返回上一级
HRP_S[FW2]interface GigabitEthernet 1/0/1 进入接口
HRP_S[FW2-GigabitEthernet1/0/1]ip add 192.168.20.20 24 配置IP
HRP_S[FW2-GigabitEthernet1/0/1]vrrp vrid 2 virtual-ip 192.168.20.1 active 配置虚拟IP为主
HRP_S[FW2-GigabitEthernet1/0/1]vrrp virtual-mac enable 配置虚拟MAC
HRP_S[FW2-GigabitEthernet1/0/1]service-manage ping permit 允许ping服务
HRP_S[FW2-GigabitEthernet1/0/1]undo shutdown 激活
HRP_S[FW2-GigabitEthernet1/0/1]quit 返回上一级
HRP_S[FW2]interface GIgabitEthernet 1/0/3 进入接口
HRP_S[FW2-GigabitEthernet1/0/3]ip add 10.0.0.2 30 配置IP
HRP_S[FW2-GigabitEthernet1/0/3]undo shutdown 激活
HRP_S[FW2-GigabitEthernet1/0/3]quit 返回上一级
HRP_S[FW2]hrp interface GigabitEthernet 1/0/3 remote 10.0.0.1 配置心跳线
HRP_S[FW2]interface GigabitEthernet 1/0/2 进入接口
HRP_S[FW2-GigabitEthernet1/0/2]ip add 192.168.255.20 24 配置IP
HRP_S[FW2-GigabitEthernet1/0/2]vrrp vrid 3 virtual-ip 192.168.255.100 standby 配置虚拟IP为主
HRP_S[FW2-GigabitEthernet1/0/2]undo shutdown 激活
HRP_S[FW2-GigabitEthernet1/0/2]quit 返回上一级
HRP_S[FW2]ip route-static 0.0.0.0 0.0.0.0 192.168.255.1 配置默认路由
HRP_S[FW2]nat address-group NAPT 配置NAT地址池
HRP_S[FW2-address-group-NAPT]section 50.0.0.1
HRP_S[FW2-address-group-NAPT]mode pat 模式为PAT
HRP_S[FW2-address-group-NAPT]quit
HRP_S[FW2]nat-policy 配置NAT策略
HRP_S[FW2-policy-nat]rule name NAPT 配置策略NAPT
HRP_S[FW2-policy-nat-rule-NAPT]source-address 192.168.10.0 24 源IP
HRP_S[FW2-policy-nat-rule-NAPT]source-address 192.168.20.0 24 源IP
HRP_S[FW2-policy-nat-rule-NAPT]source-zone trust 源区域
HRP_S[FW2-policy-nat-rule-NAPT]destination-zone untrust 目标区域
HRP_S[FW2-policy-nat-rule-NAPT]action source-nat address-group NAPT 匹配上后转换为NAPT的地址
HRP_S[FW2-policy-nat-rule-NAPT]quit 返回上级
HRP_S[FW2-policy-nat]quit 返回上级
HRP_S[FW2]hrp nat resource secondary-group
HRP_S[FW2]hrp mirror session enable 开启快速备份模式
测试:
当G1/0/0 shutdown是时会切换到备的