华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
防火墙双机热备命令行说明
防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。
HRP命令行配置说明
HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。
HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP 是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。
在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。
两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。
在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP的配置命令的功能和使用介绍如下:
★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。
★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★ hrp configuration check hrp :检查主备防火墙两端的HRP的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
★hrp interface Ethernet/ GigabitEthernet :添加防火墙配置会话备份通道。通常就是指防火墙心跳口,此接口用来备份防火墙的会话的。
★ hrp interface Ethernet 1/0/0 high-availability :配置防火墙的高可用性接口。主要是用来实现防火墙的会话快速备份,如果不配置high-availability,会话快速备份的命令将不能使能,配置此命令之后,此接口会被有限选择作为防火墙会话备份的接口。在防火墙上配置了hrp interface之后,防火墙选择备份通道的接口为:先选择配置的时候带了
high-availability的接口,如果配置了多个带high-availability的接口,先选择槽位号和端口号比较小的接口,然后在选择槽位号和端口号比较小的不带high-availability的接口。接口发生故障导致接口上的VRRP处于初始化状态或者是接口上的VRRP所属的VGMP没有使能的时候,防火墙会重新选择备份通道。
★ hrp mirror session enable :会话快速备份使能命令,此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上,在配置high-availability之后才能配置此命令。
★ hrp mirror packet enable :报文搬迁使能命令,此命令使能之后,如果ICMP的应答报文或者是TCP的ACK报文在其中一台防火墙上找不到会话,会把报文搬迁到另外一台防火墙上,如果在另外一台防火墙上找到会话,报文根据会话转发,如果找不到会话,直接丢弃。此功能现在保留,但是基本上不再使用,因为防火墙会话快速备份使能之后会话在建立或者是刷新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推荐不使用。
★ hrp ospf-cost adjust-enable :这个命令是在防火墙和路由器组网的时候使用的,在防火墙上配置这个命令后,防火墙发布OSPF的路由的时候,会判断是主防火墙或者是备防火墙,如果是主防火墙,防火墙把学习到的路由直接发布出去,如果是备防火墙,防火墙把学习到的路由加上一个COST值再发布出去,这个COST值默认是65535,可以根据需要进行调整,这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文转发到主防火墙上。在使用防火墙和路由器进行组网起OSPF协议的时候,尽量保证OSPF的域小一些,这样在防火墙发生主备倒换的时候,OSPF的路由能尽快收敛,保证业务很快恢复。★ hrp auto-sync connection-status :防火墙连接状态备份命令。防火墙会话备份不分防火墙是主防火墙或者是备防火墙,使能了次命令后,防火墙都能把自己建立的会话或者是刷新的会话备份到对端防火墙上。此命令行在防火墙hrp enable执行之后就默认使能了。
★ hrp auto-sync config:防火墙配置备份命令。防火墙上使能此命令后,在主防火墙上配置的命令行如ACL,域等都可以自动备份到备防火墙上,保证命令行能实时同步。此命令行在hrp enable之后就默认使能了,此时在备防火墙上是默认不能配置ACL等配置的,但是如果需要单独配置,执行undo hrp auto-sync config就可以在备防火墙上配置此命令行了,主防火墙上执行ACL等配置发送到备防火墙上不会备执行,如果在主防火墙上执行此命令,主防火墙上将不把配置发送到备防火墙上执行。
★ hrp auto-sync config batch-backup :防火墙配置批量备份使能命令。使能此命令,在防火墙发生主备倒换之后,新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是不使能的,现在也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync config:防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到备防火墙上执行,此命令行在用户视图下使用,在使能了hrp之后才能使用。此命令默认是也不推荐使用,因为批量备份将消耗大量的CPU资源,可能在执行批量备份的时候影响某些业务。
★ hrp sync connection-status:手工同步连接状态信息命令,会进行会话,黑名单,地址转换表,以及ARP表等的备份等,同时对于Eudemon 1000来说还会刷新备份的通道。
★ display hrp:显示当前HRP的状态信息,主要包括HRP的备份通道,HRP的状态,hrp是否使能快速备份,为MASTER状态的VGMP信息。
★ display hrp verbose:显示当前HRP的详细状态信息。
VGMP配置说明
VGMP(vrrp group management protocol)是VRRP的组管理协议,同样VGMP协议也是华为私有的协议。VGMP通过把VRRP加入到一个组中进行管理,通过VGMP报文和对端进行协商,确定自己和对端的VGMP的状态,根据VGMP的状态的主备,把VGMP组下面的VRRP 的状态改成和VGMP的状态一致。VGMP状态也分Master和Slave,同样VGMP报文是在VRRP 报文的基础上进行封装的,它通过VRRP报文通知对端自己的状态以及和对端进行协商。
防火墙的VGMP功能现在支持两台防火墙之间的VGMP协商,通过协商,在两台防火墙上形成一主一备的状态,当其中主防火墙发生故障或者其他原因导致VGMP的优先级降低的时候,备防火墙的VGMP会抢占为主,原来的主防火墙的VGMP会变成备,同时VGMP组里面的VRRP 也跟随这VGMP的状态的变化发生变化。通过VGMP来管理VRRP,使VGMP为主的防火墙对外发布VGMP组下面的所有的VRRP的虚地址,而VGMP为备的防火墙不对外发布VRRP
虚地址,形成VRRP的冗余备份。
VGMP的配置命令的功能和使用介绍如下:
★ vrrp group <1-16>:创建VGMP管理组。执行此命令行之后,创建一个VGMP管理组,并进入此管理组视图,所有的VGMP的配置都在VGMP视图下进行配置。
★ add interface Ethernet 1/0/7 vrrp vrid 1 :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道。配置了发送VGMP的数据通道之后,VGMP才能使能。防火墙的配置同步是通过VGMP的数据通道进行发送的。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only :把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,并且此接口下的VRRP的或者优先级发生变化的时候不参与到VGMP优先级的计算。通常在防火墙上下行都是交换机组网的情况,心跳口上的VRRP可以以此种方式加入到VGMP组中。
★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1:把接口Ethernet1/0/7下配置的VRRP 1加入到此管理组进行管理,并且把接口Ethernet1/0/7作为发送VGMP数据报文的通道,同时在VGMP上绑定ip-link功能。ip-link的使用介绍请参考其他文档。
★ vrrp-group enable:VGMP组使能命令。在配置了VGMP的数据通道之后,此命令才可以执行,执行此命令后,防火墙会从数据通道发送VGMP的报文和对端防火墙进行交互,确定VGMP的主备状态。
★ vrrp-group preempt:配置VGMP组的抢占模式。此命令配置之后本端VGMP和对端VGMP进行协商,并进行抢占,如果优先级高就抢占为主,如果优先级低就被抢占为备。配置此命令后默认抢占延时为0,即立即抢占。
★ vrrp-group preempt delay <0-1800000>:配置VGMP组抢占延时,单位为毫秒(ms),如果本地的VGMP组的优先级比对端的VGMP的优先级高,在延时配置的时间后VGMP就抢占为Master状态。对于防火墙组网,我们建议的抢占方式是备防火墙抢占延时为0,主防火墙配置抢占延时为20000ms或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的抢占方式。
★ vrrp-group priority <1-254>:配置VGMP组的优先级。配置VGMP组的优先级后, VGMP和对端的防火墙的VGMP进行协商,并确定VGMP的主备状态。默认使用这种方式作为VGMP组的
优先级,默认优先级是100。VGMP组的优先级调整算法为:当前优先级-(当前优先级/16)。
如果VGMP组下的一个VRRP变成初始化状态,则VGMP组的优先级调整一次,同样如果配置的一个ip-link检测远端IP为不可达,VGMP组的优先级也会调整一次,每次都使用上面的算法进行调整。对于采用此种方式,建议主防火墙配置为105,备防火墙使用默认配置100。★ vrrp-group priority using-vrrppriority:使用VRRP的优先级作为VGMP组的优先级。配置VGMP组的优先级后,VGMP和对端的防火墙的VGMP进行协商,并确定VGMP的主备状态。
如果采用此种方式决定VGMP组的优先级,首先把VGMP组下所有的VRRP的优先级加起来,再除以VGMP组下的VRRP的个数。如果还在VGMP下面配置了ip-link,并且ip-link检测到远端的IP地址不可达,计算出ip-link调整的优先级,计算方法为ip-link绑定的VRRP的优先级除以16,然后用根据VGMP组下的所有的VRRP计算出来的优先级减去ip-link调整的优先级,得到最终的VGMP组的优先级。采用此种方式,建议VRRP的优先级主防火墙配置为105,备防火墙配置为默认的100。
★ vrrp-group priority plus <0-254>:此命令也是用来调整VGMP的优先级的,但是现在不再使用,也不推荐配置此命令。
★ vrrp-group manual-preempt:VGMP组手动抢占命令。在VGMP配置了抢占延时的时候,如果延时时间没有到,即使本地防火墙的VGMP组的优先级比对端高,也不进行抢占。如果在VGMP 组下面配置了不抢占,即使本地优先级比对端高,也不进行抢占。但是通过vrrp-group manual-preempt可以进行手动抢占,如果本地VGMP组优先级高,配置的抢占延时没有到或者配置不抢占,通过此命令本地VGMP能马上抢占为Master状态。
★ vrrp-group timer hello <200-60000>:VGMP组发送VGMP的hello报文的时间间隔,单位为毫秒(ms),默认值为1000ms。通过配置VGMP组下的VGMP的hello报文的发送时间间隔,VGMP组能更快的进行抢占切换。建议采用默认值,如果参数设置的太小,导致防火墙发送和接受的VGMP的报文的数量会很多,会占用较多的CPU资源,并且配置1s的hello报文的时间间隔也能满足现网故障反应时间间隔。
★ vrrp-group group-send:VGMP组下的所有数据通道都发送VGMP报文。配置此命令后,VGMP 发送数据报文和hello报文的时候,加入此VGMP组的每个数据通道都发送一次。此命令默认不使能,VGMP会自动选择一个数据通道作为发送VGMP报文的通道,并且在检测到数据通道发生故障的时候重新进行选择。
VRRP配置说明
防火墙的VRRP和标准的VRRP协议一样,下面大概说说VRRP的配置,详细信息可以找相关的RFC查看。在防火墙上,如果VRRP加入到VGMP中,VRRP的状态由VGMP决定,不再自己协商。
VRRP的配置命令的功能和使用介绍如下:
★ vrrp vrid 1 virtual-ip 1.1.1.100:在接口视图下配置VRRP。此命令是在接口上配置VRRP 的ID以及VRRP的虚地址。
★ vrrp vrid 1 track Ethernet1/0/6:配置VRRP监视的端口。配置监视的端口之后,如果此端口的协议状态down,VRRP的优先级会自动调整。默认是调整10,可以在此命令后面继续配置下降多少。
★ vrrp vrid 1 priority <1-254>:配置VRRP的优先级。默认值是100,如果是主防火墙,建议配置为105,备防火墙建议配置为默认值100。
★ vrrp vrid 1 timer advertise <1-255>:VRRP的hello报文发送的时间间隔。默认VRRP的hello报文的发送时间间隔为1s,建议使用默认配置。
★ vrrp vrid 1 preempt-mode:VRRP的抢占参数。如果VRRP加入VGMP组中,VRRP的抢占参数不再生效。
IP-Link配置说明
ip-link功能说明:
防火墙ip-link功能是一种检测三层链路是否可达的功能,基本原理就是在防火墙上配置
ip-link使能并配置ip-link的目的地址之后,防火墙会向该目的地址发送icmp的报文判断该目的地址是否可达,判断从防火墙到该目的地址三层链路是否可通,应用在双机热备组网中,VGMP 能根据ip-link特测的结果调整VGMP的优先级,从而使防火墙在和路由器组网中能在发生故障的时候进行主备倒换。
防火墙在使能ip-link功能时,需要判断ip-link的目的地址的设备能和防火墙进行正常的icmp交互,这样防火墙才能正确的检测该目的地址,从而在该设备发生故障的时候正确引导主备防火墙进行主备切换,所以ip-link使用的前提条件是ip-link配置的目的地址的设备能正常的和防火墙进行icmp会话。
ip-link在组网中的应用:
防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:
如上图所示,如果在防火墙上不使能ip-link功能,正常情况下报文会通过防火墙A进行转发,这时必须保证防火墙A的上下行设备都是正常工作。但是一旦和防火墙A相连的路由器A的0/1口发生故障,报文不能从该口进行转发,此时防火墙A的VRRP是检测不到路由器A的0/1口发生故障的,报文会继续从防火墙A转发到路由器A,导致业务中断。
如果在防火墙A上使能ip-link的功能,使得ip-link的目的地址是路由器A的0/1口,当路由器A的0/1口发生故障的时候,防火墙A能探测到路由器A的0/1接口的IP地址是不可达的,此时防火墙A认为从本地0/0口出去的链路不通,这个时候防火墙A会自动调整优先级,使防火墙A和防火墙B发生主备倒换,防火墙A上面的业务全部转移到防火墙B上,保证了业务的正常转发。
防火墙ip-link的配置:
在防火墙上配置ip-link功能时首先要确认ip-link配置中的目的地址的设备在正常的情况下能正确的和防火墙进行icmp会话。相关配置介绍如下:
1:使能防火墙ip-link功能
在系统视图下执行命令ip-link check enable 如:
[Eudemon]ip-link check enable
2:配置ip-link其他参数
ip-link INTEGER<1-32> [ vpn-instance vpn-name] destination [ interface | timer ]
上述命令参数含义可参考命令行给出的提示信息。
3:vrrp绑定ip-link
进入VGMP的视图
Vrrp group 1
配置ip-link
[E1000_A-vrrpgroup-1]add int Ethernet 4/0/0 vrrp vrid 1 ip-link 1
防火墙ip-link的配置:
配置防火墙ip-link使能之后,防火墙将向ip-link目的地址的设备发送icmp报文检测目的设备是否正常。我们通过查看vrrp 组的状态可以看到ip-link已经开始影响vrrp组的优先级了,防火墙ip-link检查调整优先级的大小和加入vrrp管理组的接口down掉调整vrrp管理组的优先级相同。
HRP_M[E1000_A]dis v v
Vrrp Group 16
state : Master
Priority : 98 ――――>此处优先级会根据ip-link检查的结果进行调整
Preempt : YES Delay Time : 0
Timer : 1000
Group-Send : YES
Peer Status : OnLine
Vrrp number : 3
: Same
interface : Ethernet4/0/7, vrrp id : 254 Up
interface : Ethernet4/0/0, vrrp id : 2 Up
interface : Ethernet4/0/1, vrrp id : 1 Down,ip-link: 32 Down
防火墙双机热备典型组网
防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,不管是在路由模式下还是在透明模式下,我们都建议采用主备的组网方式而不采用负载分担的组网方式。
在防火墙双机热备组网的时候,我们需要根据需求决定组网情况以及在此组网下出现网络故障的时候防火墙如何正确的倒换保证业务正常,这些都是在配置的时候需要考虑的。下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
路由模式防火墙和路由器双机热备组网
路由模式下的组网分防火墙和路由器组网,防火墙和交换及组网,以及防火墙上下行分别是交换机和路由器的组网,下面就防火墙和这些设备的组网做一个说明。
组网一:推荐组网
如上图所示,此种组网是防火墙上下行都是路由器的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间起OSPF协议。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST 值的命令,使备防火墙发布路由的时候增大COST,保证业务只在主防火墙上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。在防火墙上配置会话快速备份功能,保证在存在来回路径不一致的时候不影响业务。
组网优点:
1:网络拓扑简单,发生故障的时候OSPF的路由能快速收敛,减小业务中断的时间,同时出现问题时定位比较容易。
2:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发性能。3:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。
4:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间较长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
可靠性分析:
这里只分析主备组网的可靠性。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,备防火墙向外发布路由的时候会自动加上一个COST 值(默认是65500)。
1:FW-2和R4之间的链路故障
当FW-2和R4之间的链路故障,防火墙上配置的vrrp track了此接口,所以vrrp的优先级降低,并且是使用的vrrp的优先级作为VGMP的优先级,所以vgmp的优先级降低,此时FW-2的优先级比FW-1的优先级低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1和FW-2都会更新自身的路由并对外发布路由,此时FW-1为主,对外直接发布自身的路由,而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值(默认是65500),路由重新计算并收敛,业务都从FW-1上走。此组网图中任何一个和防火墙相连的路由器的链路down或者是路由器故障,都会引发上述过程。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙因为心跳口down,导致vrrp的状态变成初始化状态,VGMP的状态也变成初始化状态,HRP的状态变成初始化状态,此时防火墙更新自身路由,同时整个链路的路由收敛,业务从没有故障的防火墙上走,从而保证业务的正常。如果发生故障的防火墙FW-2恢复,防火墙FW-1上的VRRP会up起来,VGMP 会变成主状态,HRP也会变成主状态,而FW-2上的VRRP,VGMP以及HRP都是备状态,FW-2和FW-1都对外发布路由信息,HRP状态为备FW-2对外发布路由的时候会自动加上一个cost 值,使业务仍然从为主的FW-1上走。如果VGMP配置了抢占,抢占延时设置为20s左右,保证FW-1上的会话充分备份到FW-2上,此时FW-2变成主防火墙的时候重新发布路由,业务从主防火墙FW-2上走,因为会话已经从FW-1上备份过来了,所以也不会对业务产生影响。
如果是防火墙之间的心跳线中的一根down掉,因为两台防火墙上的两个心跳线上都配置了VRRP并加入了VGMP组中,所以不会对状态产生影响,但是要注意即使是防火墙的一根心跳线down,也要保证在其他设备出现故障的时候防火墙能正常倒换,所以需要每个接口上的VRRP 都track上下行业务口。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:防火墙的VGMP的优先级使用VRRP的优先级,每个VRRP都监视防火墙的上下两个业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:在防火墙上配置ip-link,分别检测防火墙上下行路由器的接口,保证在接口没有down但是不转发数据的时候防火墙也能检测到并且能进行主备倒换,注意使用ip-link的时候需要添加包过滤规则使防火墙和路由器能进行icmp交互。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf中通过acl限制私网路由的发布。
6:配置根据HRP的状态调整OSPF的cost值的命令,形成主备模式的组网。
7:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,配置的transfer-only上绑定的ip-link也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE板卡,GE卡的两个口之间相连,并配置VRRP,加入同一个VGMP组中,使心跳线形成备份,保证其中一根心跳线down掉的时候另外一根心跳线也能做备份通道。
2:在防火墙的两个心跳线上配置两个VRRP,把两个VRRP加入不同的VGMP组中,防火墙的VGMP的优先级使用VRRP的优先级,为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,并使得两边的VGMP各有一个是主状态。
3:防火墙上下行接口都加入到同一个link-group组中,保证一个接口down的时候另外一个接口也跟着down,OSPF收敛的速度快。
4:负载分担的组网链路的可靠性靠OSPF路由的计算,防火墙主备倒换不会引起路由的变化,所以不用配置ip-link进行探测,所以负载分担的组网防火墙收敛速度慢一些。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛速度快,防火墙倒换过后OSPF能快速收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。同时如果防火墙上做nat转换,有私网路由的时候,需要保证私网路由不发布出去,需要在ospf中通过acl限制私网路由的发布。
6:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时配置的transfer-only上绑定的ip-link也将不再起作用。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时如果配置的transfer-only上绑定的ip-link也将不再起作用。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备模式.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
验证组网二:
负载分担组网:组网验证图及配置_
负载分担.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
组网二:多冗余组网
如上图所示组网,此种组网是对组网一的一种扩展,可以进一步提高网络的可靠性,对于此种组网,防火墙需要和路由器之间运行OSPF协议,由于网络拓扑结构比组网一复杂,出现故障的时候OSPF的收敛速度比组网一慢,故障恢复时间比组网一要长。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST 值的命令,使备防火墙发布路由的时候增大COST,保证业务在同一边的路由器上转发。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置等价路由的方式实现,同时在防火墙上去掉根据HRP状态调整OSPF路由的COST的命令。如果存在来回路径不一致的情况,需要在防火墙上配置会话快速备份功能。
组网优点:
1:此种组网能提供更好的冗余性能,保证此组网中的任意上下行路由器或者是防火墙的其中两台发生故障网络都能正常工作。
2:可以根据需要,只需要在命令行上配置,就能在主备组网和负载分担组网上进行切换。
3:对已经存在的都是路由器的组网如果需要加防火墙可以采用这种组网方案。
组网缺点:
1:此种组网使某些在防火墙上开始或者是终止的应用类型如L2tp和IPSEC等这些应用,不能使用虚地址,因为一旦其中一台防火墙down掉,虚地址将不能生效。所以需要采用虚地址的应用将在这种组网中不能使用。
2:发生故障的时候,OSPF的收敛时间比组网一更长,如果业务中断的时候需要更快的响应时间,防火墙上下行最好采用VRRP,这样故障的时候相应切换速度最快。
3:防火墙上下行业务口都需要采用2GE的板卡,2GE的板卡小包不能线速转发,并且增加了接口并不能增加防火墙的转发能力。
4:采用2GE卡成本较高,网络拓扑比较复杂,对于出现故障的时候的OSPF收敛速度比组网一要慢,并且出现故障时定位也比组网以复杂。
5:此组网防火墙端口已经全部都占用,网络不具有可扩展性。
组网配置要点:
主备模式配置要点:
1:防火墙之间采用2GE板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE卡的两个接口,防火墙下行两个口也采用一个2GE卡的两个接口。
3:在防火墙的每个心跳线上配置一个VRRP,两个心跳线上的VRRP加入同一个VGMP组中。4:防火墙的VGMP的优先级使用VRRP的优先级,所有的VRRP都监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
6:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。
7:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
8:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时如果配置的transfer-only上绑定的ip-link也将不再起作用。
9:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
10:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙之间采用2GE板卡,心跳线形成备份。
2:防火墙上行两个口采用一个2GE卡的两个接口,防火墙下行两个口也采用一个2GE卡的两个接口。
3:在防火墙的每个心跳线上配置两个VRRP,形成负载分担的组网,把两个VRRP加入不同的VGMP组中,并使得两边的VGMP各有一个是主状态。如果是形成主备组网,两个心跳线上的VRRP加入同一个VGMP组中。
4:防火墙的VGMP的优先级使用VRRP的优先级,所有的VRRP都监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100。
5:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
6:防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不能配置成transfer-only,否则VGMP状态会是初始化状态,导致VGMP无法协商形成主备,同时如果配置的transfer-only上绑定的ip-link也将不再起作用。
8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务,保证在来回路径不一致的时候不会对业务产生影响。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。
验证组网一:
主备模式组网:组网验证图及配置.
ppt
防火墙重点配置说明:参考组网一配置
验证组网二:
负载分担组网:略防火墙重点配置说明:略
路由模式防火墙和路由器以及交换机双机热备组网
路由模式下防火墙和路由器的组网,防火墙可以对外发布VRRP虚地址,使VRRP虚地址作为路由的下一跳地址,同时防火墙和路由器之间起OSPF,使得路由器形成备份关系。
组网三:推荐组网
如上图所示,此种组网是防火墙上行是路由器下行为交换机的时候在外面应用的最多的一种组网,对于此种组网,防火墙需要和路由器之间运行OSPF协议,防火墙对交换机一侧起VRRP 协议,使VRRP虚地址作为交换机下面设备的下一跳地址来保证报文转发到主防火墙上。
如果要形成主备组网,可以在防火墙的上下行路由器上对特定的链路调整COST值,保证业务都从同一边的路由器上转发,或者是在防火墙上配置根据HRP状态调整OSPF路由的COST 值的命令,使备防火墙发布路由的时候增大COST,保证业务在同一边的路由器上转发,同时防火墙上配置一个VGMP,把所有的接口上的VRRP加入到同一个VGMP组中。
如果要形成负载分担的组网,即主备防火墙上都有转发业务,需要保证防火墙上下行的路由器上都能有业务到达防火墙,这个可以通过配置路由的方式实现,对交换机一侧需要起两个VRRP,分别加入不同VGMP组中,两个VGMP组在两台防火墙上分别为主状态,同时最好保证来回路径一致,可以通过在路由器上配置策略路由来实现。如果存在来回路径不一致的情况,需要在防火墙上配置会话快速备份功能。
组网优点:
1:防火墙上行是路由器下行是交换机,能适应绝大部分的组网需要,在绝大部分的组网需求中通过在汇聚层交换机和核心层路由器之加防火墙来保护网络免受攻击。
2:防火墙下行为交换机,通过VRRP报文来感知网络故障,故障相应速度快,防火墙上行路由器和防火墙之间起路由协议,能快速收敛。
3:此种组网能适合路由模式下的防火墙的所有的应用类型,对外提供虚IP,能以虚IP地址作为L2tp或者是IPSec的协商地址,使此种应用也能在一台防火墙发生故障的时候能进行备份。
4:防火墙上下行业务口采用1GE的板卡,成本较低,转发性能高,能达到防火墙最大转发性能。
组网缺点:
此组网是我们主推的一种组网,对于上行是路由器下行是交换机的组网是一种最优的组网方案。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙上行路由器转发数据到哪台防火墙的路由是靠OSPF来保证的,下行交换机转发数据到哪台防火墙是靠VRRP来实现的,防火墙的主备状态时对外发布的路由以及对外发布的VRRP 虚地址能保证防火墙上下行设备的报文都转发到主防火墙上,保证形成主备组网,这里只分析主备组网的可靠性。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,备防火墙向外发布路由的时候会自动加上一个COST 值(默认是65500),加入到VGMP组中的VRRP会和VGMP的状态保证一致。
1:FW-2和R2/SW-2之间的链路故障
当FW-2和R2之间的链路故障,防火墙上配置的vrrp track了此接口,所以vrrp的优先级降低,并且是使用的vrrp的优先级作为VGMP的优先级,所以vgmp的优先级降低,此时FW-2的优先级比FW-1的优先级低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
当FW-2和SW-2之间的链路down的时候,防火墙FW-2和SW-2相连的接口上的VRRP
变成初始化状态,防火墙FW-2的VGMP的优先级降低,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1和FW-2都会更新自身的路由并对外发布路由,此时FW-1为主,对外直接发布自身的路由,而FW-2变成了备防火墙,对外发布路由的时候会另外加上一个cost值(默认是65500),路由重新计算并收敛;防火墙FW-1的VGMP的状态变成主状态,VGMP中的加入的VRRP也变成主状态,此时FW-1和SW-1相连的接口上的VRRP成为主,对外发送VRRP的hello报文,更新二层交换机的MAC转发表,同时发布VRRP虚地址的免费ARP,更新下行设备的ARP表,保证业务都转发到FW-1上,同时上行路由器根据路由的变化也把报文转发到FW-1上。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙立即抢占为主状态,调整对外发布的路由,更改VGMP的状态以及VRRP的状态,对外发布VRRP的免费ARP,使上下行设备的报文转发到FW-1上。
组网配置要点:
主备模式配置要点:
1:防火墙业务口和心跳口都采用1GE板卡,心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口,配置ip-link监视路由器的接口,两个接口上的VGMP都加入同一个VGMP 组中。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。
4:两台防火墙形成主备组网,需要在防火墙上配置根据HRP的状态调整OSPF的cost值的命令,根据HRP状态调整OSPF的cost值采用默认值65500就可以,如果由于组网特殊需要可以调整这个值。
5:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only,否则如果形成备份的交换机其中一台down掉,将会导致其中一台防火墙HRP的状态是初始化状态,无法调整上行路由器的路由的COST,导致报文转到这台防火墙上业务中断,配置的transfer-only上绑定的ip-link也将不起作用。
8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:配置VGMP为主的防火墙VGMP不抢占,这样在主防火墙发生故障恢复后路由只变化一次,避免故障恢复的防火墙在发生抢占之后路由再次需要收敛。
负载分担配置要点:
1:防火墙业务口和心跳口都采用1GE板卡,心跳线和交换机相连的接口上都上起VRRP监视到NE40的上行口,配置ip-link监视路由器的接口。心跳线和交换机相连的接口上都配置两个VRRP,分别加入不同的VGMP组中,并使得两边的VGMP组都有一个是主状态。
2:防火墙的VGMP的优先级使用VRRP的优先级,VRRP分别监视防火墙的上下业务口,并且为主状态的VRRP优先级设置为105,为备状态的优先级设置为默认值100,VGMP组中添加VRRP的时候,先添加心跳口做为data通道,使VGMP优先选择心跳口作为VGMP报文的通道。
3:防火墙和上下行路由器起OSPF,形成动态路由,OSPF区域尽量只包含在防火墙和路由器,这样路由收敛非常快速,防火墙倒换过后OSPF能很快收敛。同时不要引入心跳口的IP地址的路由,保证心跳口不转发数据。防火墙形成负载分担的组网,不需要配置根据HRP状态调整防火墙发布的路由的命令。
5:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP抢占方式为立即抢占。
6:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时不能加上VRRP的ID,在路由器请求nat地址池或者时nat server的arp的时候,因为收到ARP请求的接口和配置VRRP的接口不一致,防火墙不会回应ARP请求,会导致上行路由器上没有ARP导致业务不通,不配置VRRP的ID,防火墙直接根据用接口地址回应ARP请求。
7:心跳口不要配置成transfer-only,否则如果形成备份的交换机其中一台down掉,将会导致其中一台防火墙HRP的状态是初始化状态,无法调整上行路由器的路由的COST,导致报文转到这台防火墙上业务中断,配置的transfer-only上绑定的ip-link也将不起作用。
8:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
9:最好保证来回路径一致,可以通过在上行的路由器上配置策略路由的方式实现。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备模式.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
验证组网一:
负载分担组网:组网验证图及配置_
负载分担.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
路由模式防火墙和交换机双机热备组网
防火墙和交换机的组网是指防火墙上下行都是交换机,防火墙对上行和对下行都起VRRP,通过交换机透传VRRP报文,防火墙通过VRRP报文来感知上下行链路的故障,从而发生主备倒换,此组网也是我们主推组网方式。防火墙和交换机的组网比较简单,就只有一种组网方式。
组网四:推荐组网
如上图所示,防火墙上下行都是交换机,交换机透传防火墙的VRRP报文,交换机既可以作为二层设备也可以做三层设备,此组网防火墙通过VRRP报文来感知链路故障,防火墙能快速切换,保证发生故障的时候业务迅速恢复。
此组网一般采用主备模式,防火墙上行交换机可以起VRRP协议,下行交换机也可以起VRRP协议,防火墙采用静态路由的方式,分别指向上下行的交换机的VRRP的虚地址。由于采用主备模式,交换机之间可能会转发数据报文,所以交换机之间的接口需要保证链路的畅通和带宽满足需求。
组网优点:
1:防火墙推荐的典型组网,是已经应用的很成熟的组网方式。
2:上下行都是交换机,并且配置的是静态路由,发生故障的时候能能快速切换。
3:在防火墙上如果配置多个VGMP组,就能形成负载分担的组网。
4:防火墙上的所有的应用类型都能在此种组网上实现。
组网缺点:
对防火墙上下行设备都需要是交换机。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙对上下行设备都发布VRRP的虚地址,上下行设备通过配置静态路由的方式指向防火墙的虚地址,使得数据都转发到VRRP为主的防火墙上。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,加入到VGMP组中的VRRP会和VGMP的状态保证一致。
1:FW-2和SW-3之间的链路故障
当FW-2和SW-3之间的链路故障,此接口上的VRRP变成初始化状态,FW-2防火墙上的VGMP的优先级降低,FW-2上的对应的VGMP变成备状态,防火墙发生主备倒换,FW-1变成主防火墙,FW-2变成备防火墙。
在防火墙发生主备倒换之后,FW-1变成主防火墙,对外发布VRRP的免费ARP,同时VRRP 发送hello报文,更新上下行交换机的MAC表,这样以虚地址为下一跳报文都能转发到主防火墙FW-1上。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙立即抢占为主状态,对外发布VRRP的免费ARP,同时VRRP发送hello报文,使上下行设备的报文转发到FW-1上。组网配置要点:
主备组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,并加入同一个VGMP组中。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道,同时心跳口以transfer-only的方式加入VGMP组中。
3:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP抢占方式为立即抢占。
4:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时加上VRRP的ID,此VRRP所蜀的接口必须保证和收到ARP请求的接口一致,在路由器请求nat地址池或者时nat server的arp的时候,主防火墙回应ARP请求而备防火墙不会回应ARP请求,使到NAT地址池地址的报文能正确的转发到主防火墙上,如果不配置VRRP的ID,主备防火墙都直接用接口地址回应ARP请求,将会导致上行设备上的ARP表出错。5:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
负载分担组网配置要点:
1:防火墙所有的接口都采用1GE的板卡,保证达到最大的转发性能,心跳口做会话备份接口,防火墙上下行和心跳口都起VRRP,上下行每个业务口上配置两个VRRP,加入不同的VGMP 组。
2:防火墙的VGMP的优先级使用配置的优先级,为主状态的VGMP优先级设置为105,为备状态的优先级设置为默认值100,,所有的接口都作为VGMP的数据通道。
3:在配置抢占延时的时候主VGMP抢占设置为不抢占或者是抢占延时20000ms,备VGMP抢占方式为立即抢占。
4:防火墙在对路由器上的出口上起NAT功能,防火墙上的nat地址池或者是nat server配置时加上VRRP的ID,此VRRP所蜀的接口必须保证和收到ARP请求的接口一致,在路由器请求nat地址池或者时nat server的arp的时候,主防火墙回应ARP请求而备防火墙不会回应ARP请求,使到NAT地址池地址的报文能正确的转发到主防火墙上,如果不配置VRRP的ID,主备防火墙都直接用接口地址回应ARP请求,将会导致上行设备上的ARP表出错。5:配置会话快速备份功能,保证发生故障防火墙倒换之后不影响业务。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备组网.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
验证组网一:
负载分担组网:组网验证图及配置_
负载分担.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
透明模式防火墙和路由器双机热备组网
防火墙透明模式下的组网主要是防火墙和路由器组网以及防火墙和交换机组网,防火墙以透明模式加入到网络中,不参与路由协议以及STP协议的计算。其中防火墙和路由器的组网是防火墙透传路由协议的报文,防火墙和交换机组网是防火墙透传STP的报文,防火墙透明接入不影响网络的拓扑结构。
组网五:推荐组网
如上图所示,防火墙透明模式下,路由器之间插入两台防火墙,对业务进行保护,路由器之间运行OSPF协议。可以在路由器上调整链路的COST值,形成主备组网,并使得流量经过防火墙的时候来回路径一致。
组网优点:
1:防火墙透明接入,不改变网络的拓扑接口,在防火墙接入的时候如果没有额外的地址分配给防火墙,可以使防火墙透明模式接入防火墙。
2:防火墙支持透明模式下做nat。
组网缺点:
1:防火墙透明模式接入网络,即使是起Vlanif接口,也不支持动态路由协议。
2:防火墙透明模式下的性能比路由模式下的性能要稍低。
可靠性分析:
这里只分析主备组网的可靠性。
防火墙上下行业务口都工作在透明模式,加入一个vlan中,所有收到的报文都在vlan内转发。
如图所示,防火墙和路由器组网,链路正常的时候,业务走向为图中蓝色的路径。此时防火墙FW-2为主防火墙,FW-1为备防火墙,防火墙通过心跳线维护双机状态并备份会话。
1:FW-2和R-4之间的链路故障
当FW-2和SW-3之间的链路故障,此时在vlan内绑定的vgmp的优先级,防火墙发生主备倒换,并且上下行业务口在一个link-group中,FW-2和R2之间的链路也跟着down。
在防火墙发生主备倒换之后,FW-1变成主防火墙,所有的报文能通过FW-1转发,上下行路由器重新计算路由,业务充主防火墙FW-1转发。
2:防火墙故障
如果是其中FW-2防火墙发生故障down或者是重启,此时FW-1防火墙变成初始化状态,所有的报文都能通过FW-1进行转发,上下行路由器重新计算路由,业务从FW-1上转发。
配置要点:
主备模式配置要点:
1:防火墙工作在混合模式下,上下行业务口工作在透明模式下,心跳口工作在路由模式下。2:防火墙相连的接口采用2GE卡,心跳口形成备份,上面起VRRP协议,心跳口上的VRRP 都加入同一个VGMP组中,配置允许备机转发的命令,调整备防火墙上下行路由器的接口的cost值,保证上下行路由器计算动态路由的时候报文能从主备防火墙上转发。
3:上下行业务口都加入一个vlan中,并在vlan下设置set vgmp,保证vlan中的一个接口down 的时候vgmp的优先级进行调整,防火墙发生主备倒换,上下行接口配置link-group,使得一个接口发生故障的时候另外一个接口也跟着down,保证上下行路由器上的路由快速收敛。4:如果在防火墙上做nat,需要保证nat地址池地址的报文能转发到防火墙上,这个可以在路由器上配置黑洞路由或者是添加network实现。
5:配置会话快速备份命令,保证发生主备倒换之后不对业务产生影响。
负载分担模式配置要点:
1:防火墙工作在混合模式下,上下行业务口工作在透明模式下,心跳口工作在路由模式下。2:防火墙相连的接口采用2GE卡,心跳口形成备份,上面起VRRP协议,心跳口上的VRRP 都加入同一个VGMP组中,配置允许备机转发的命令,保证上下行路由器计算动态路由的时候报文能从主备防火墙转发。
3:防火墙两个心跳口上每个心跳口配置两个VGMP,并使得每个防火墙上都有一个VGMP为主状态,vlan下不需要设置set vgmp的命令,上下行接口配置link-group,使得一个接口发生故障的时候另外一个接口也跟着down,保证上下行路由器上的路由快速收敛。
4:如果在防火墙上做nat,需要保证nat地址池地址的报文能转发到防火墙上,这个可以在路由器上配置黑洞路由或者是添加network实现。
5:配置会话快速备份命令,保证发生主备倒换之后不对业务产生影响。
组网验证图及配置:
验证组网配置可以参考下面嵌入的PPT中的配置。
验证组网一:
主备模式组网:组网验证图及配置_
主备组网.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
验证组网一:
负载分担组网:组网验证图及配置_
负载分担.ppt
防火墙重点配置说明:
防火墙重点配置说
明.doc
透明模式防火墙和交换机双机热备组网
防火墙透明模式下和交换机组网,主要是防火墙上下行设备都是交换机,并且接口上都起STP协议保证不形成环路,防火墙透传STP的报文,从而不影响网络的拓扑结构。
组网六:推荐组网
华为防火墙(VRRP)双机热备配置及组网
防火墙双机热备配置及组网指导 防火墙双机热备,主要是提供冗余备份的功能,在网络发生故障的时候避免业务出现中断。防火墙双机热备组网根据防火墙的模式,分路由模式下的双机热备组网和透明模式下的双机热备组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。 1 防火墙双机热备命令行说明 防火墙的双机热备的配置主要涉及到HRP的配置,VGMP的配置,以及VRRP的配置,防火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整,下面就防火墙的双机热备配置涉及到的命令行做一个解释说明。 1.1 HRP命令行配置说明 HRP是华为的冗余备份协议,Eudemon 防火墙使用此协议进行备份组网,达到链路状态备份的目的,从而保证在设备发生故障的时候业务正常。 HRP协议是华为自己开发的协议,主要是在VGMP协议的基础上进行扩展得到的;VGMP是华为的私有协议,主要是用来管理VRRP的,VGMP也是华为的私有协议,是在VRRP的基础上进行扩展得到的。不管是VGMP的报文,还是HRP的报文,都是VRRP的报文,只是防火墙在识别这些报文的时候能根据自己定义的字段能判断出是VGMP的报文,HRP的报文,或者是普通的VRRP的报文。 在Eudemon防火墙上,hrp的作用主要是备份防火墙的会话表,备份防火墙的servermap 表,备份防火墙的黑名单,备份防火墙的配置,以及备份ASPF模块中的公私网地址映射表和上层会话表等。 两台防火墙正确配置VRRP,VGMP,以及HRP之后,将会形成主备关系,这个时候防火墙的命令行上会自动显示防火墙状态是主还是备,如果命令行上有HRP_M的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有HRP_S的标识,表示此防火墙和另外一台防火墙进行协商之后抢占为备防火墙。防火墙的主备状态只能在两台防火墙之间进行协商,并且协商状态稳定之后一定是一台为主状态另外一台为备状态,不可能出现两台都为主状态或者都是备状态的。 在防火墙的HRP形成主备之后,我们称HRP的主备状态为HRP主或者是HRP备状态,在形成HRP的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括ACL,接口加入域等,但其中一些命令行是不会从主防火墙上备份到备防火墙上。 HRP的配置命令的功能和使用介绍如下: ★ hrp enable :HRP使能命令,使能HRP之后防火墙将形成主备状态。 ★ hrp configuration check acl :检查主备防火墙两端的ACL的配置是否一致。执行此命令之后,主备防火墙会进行交互,执行完之后可以通过命令行display hrp configuration check acl来查看两边的配置是否一致。
防火墙技术案例双机热备负载分担组网下的IPSec配置
论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢有什么需要注意的地方呢 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为 USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。1、如何使两台防火墙形成双机热备负载分担状态 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】
防火墙技术案例5双机热备(负载分担)组网下的IPSec配置
【防火墙技术案例5】双机热备(负载分担)组网下的IPSec配置 论坛的小伙伴们,大家好。强叔最近已经开始在“侃墙”系列中为各位小伙伴们介绍各种VPN了。说到VPN,小伙伴们肯定首先想到的是最经典的IPSec VPN,而且我想大家对IPSec的配置也是最熟悉的。但是如果在两台处于负载分担状态下的防火墙上部署IPSec VPN又该如何操作呢?有什么需要注意的地方呢? 本期强叔就为大家介绍如何在双机热备的负载分担组网下配置IPSec。 【组网需求】 如下图所示,总部防火墙NGFW_C和NGFW_D以负载分担方式工作,其上下行接口都工作在三层,并与上下行路由器之间运行OSPF协议。(本例中,NGFW是下一代防火墙USG6600的简称,软件版本为USG6600V100R001C10) 现要求分支用户访问总部的流量受IPSec隧道保护,且NGFW_C处理分支A发送到总部的流量,NGFW_D 处理分支B发送到总部的流量。当NGFW_C或NGFW_D中一台防火墙出现故障时,分支发往总部的流量能全部切换到另一台运行正常的防火墙。 【需求分析】 针对以上需求,强叔先带小伙们做一个简要分析,分析一下我们面临的问题以及解决这个问题的方法。
1、如何使两台防火墙形成双机热备负载分担状态? 两台防火墙的上下行业务接口工作在三层,并且连接三层路由器,在这种情况下,就需要在防火墙上配置VGMP组(即hrp track命令)来监控上下行业务接口。如果是负载分担状态,则需要在每台防火墙上调动两个VGMP组(active组和standby组)来监控业务接口。 2、分支与总部之间如何建立IPSec隧道? 正常状态下,根据组网需求,需要在NGFW_A与NGFW_C之间建立一条隧道,在NGFW_B与NGFW_D之间建立一条隧道。当NGFW_C与NGFW_D其中一台防火墙故障时,NGFW_A和NGFW_B都会与另外一台防火墙建立隧道。 3、总部的两台防火墙如何对流量进行引导? 总部的两台防火墙(NGFW_C与NGFW_D)通过路由策略来调整自身的Cost值,从而实现正常状态下来自NGFW_A的流量通过NGFW_C转发,来自NGFW_B的流量通过NGFW_D转发,故障状态下来自NGFW_A和NGFW_B的流量都通过正常运行的防火墙转发。 【配置步骤】 1、配置双机热备功能。 在配置双机热备功能前,小伙伴们需要按照上图配置各接口的IP地址,并将各接口加入相应的安全区域,然后配置正确的安全策略,允许网络互通。由于这些不是本案例的重点,因此不在此赘述。 完成以上配置后,就要开始配置双机热备功能了。大家可以看到形成双机的两台防火墙(NGFW_C和NGFW_D负载分担处理流量)的上下行接口都工作在三层,而且连接的是路由器。这无疑是非常经典的“防火墙业务接口工作在三层,上下行连接路由器的负载分担组网”。各位小伙伴们可以在华为的任何防火墙资料中看到此经典举例,无论是命令行配置举例还是Web配置举例,大家想怎么看就怎么看~ 因此强叔只在此给出双机热备的命令行配置和关键解释。
防火墙双机热备特性FAQ
防火墙双机热备特性FAQ 1:问:R6新增了支持防火墙和路由器双机热备份组网,的这种组网是如何实现的防火墙主备组网的,需要在防火墙上配置哪些命令,需要注意哪些东西? 答:R6上新增支持防火墙和路由器双机热备份组网,这种组网防火墙和路由器之间器OSPF 协议,同时在防火墙上配置根据HRP状态调整备防火墙上OSPF的COST值,使得路由器学到的路由都指向主防火墙,保证业务都从主防火墙上过,形成双机热备份的。 为了实现防火墙和双机热备份组网,需要在主备防火墙上配置命令:hrp ospf-cost adjust-enable,这个命令能保证主备防火墙对外发布路由的时候只有备防火墙会加上一个COST值,主防火墙直接发布路由。这个COST值默认是65500。 防火墙和路由器组网的时候,心跳线不能配置成transfer-only,同时需要使用VRRP的优先级作为防火墙的VGMP的优先级,VRRP需要track上和路由器相连的接口。 2:问:R6双机热备份是如何支持来回路径不一致的,会话快速备份和传统的会话实时备份有什么区别,会话快速备份涉及到哪些命令行。 答:R6是通过支持会话快速备份来支持来回路径不一致的,会话快速备份就是在会话建立的时候就立即备份到对端防火墙上,保证即使是来回路径不一致,到备防火墙上的报文也能命中会话进行转发。 会话快速备份和传统的会话实时备份的区别是:1:会话快速备份在会话一建立就备份到备防火墙上,而会话实时备份是需要等到会话老化线程扫描到会话判断需要备份才备份到备防火墙上的,所以会话实时备份最常可能需要到会话建立8s之后才能备份到备防火墙上,所以仅仅有会话实时备份不能支持来回路径不一致。2:会话快速备份能备份tcp半连接会话和ICMP会话,而会话实时备份不备份半连接会话和ICMP的会话。 会话快速备份首先需要配置心跳口,并配置high-availability参数,保证此接口是高可用性接口,同时配置hrp mirror session enable。 3:问:R6版本的IP-link应用场景如何?,配置ip-link需要注意什么? 防火墙的ip-link功能一般使用的双机热备组网环境中常见组网如下图所示:
华为三层 二层交换机双机热备份配置举例
华为三层+二层交换机双机热备份配置举例 组网需求 SE2300作为会话边界控制器被部署在企业网络和NGN网络之间,考虑到设备运行的可靠性,采用两台SE2300以主备备份方式工作。其中SE2300-A作为主用,SE2300-B作为备用。 如图1-10所示,内部企业网络1的网段地址为10.100.10.0/24,企业网络2的网段地址为10.100.20.0/24。两台SE2300分别通过LAN Switch连接各个网络。 企业网络1对应的备份组虚拟IP地址为10.100.10.1;企业网络2对应的备份组虚拟IP地址为10.100.20.1;NGN 网络对应的备份组虚拟IP地址为202.38.10.1。 SE2300-A和SE2300-B分别通过接口Ethernet1/0/0连接企业网络1,通过Ethernet2/0/0连接企业网络2,通过Ethernet4/0/0连接NGN网络。 图1-10 双机热备份典型配置组网 配置思路 采用如下思路进行配置: l 在接口上配置VRRP备份组 l 配置VRRP管理组,将备份组添加到VRRP管理组中 l 配置HRP 数据准备 数据规划如下: l VRRP备份组虚拟IP地址 l VRRP管理组的优先级 配置步骤 在进行VRRP相关配置前,请先确保SE2300自己能够正常工作,即已经成功地配置了信令代理和媒体代理功能,及各接口的IP地址。之后进行如下配置: 步骤1 配置SE2300-A # 在Ethernet1/0/0接口上配置VRRP备份组1,并配置备份组的虚拟IP地址。 首先配置实地址,再配置虚地址,实地址和虚地址要配置在同一网段。 在组网环境中一定要注意检查不能有相同的vrid配置存在,不允许出现vrid相同的两台设备接在同一台交换机上。
双机热备篇 你所不知道的HRP
【防火墙技术连载41】强叔侃墙双机热备篇你所不知道的HRP 强叔在前几篇中讲解了双机热备的核心VGMP。在介绍VGMP报文结构时我们看到了几种HRP协议 定义的报文,本期强叔就要为大家解析HRP协议和这几种HRP报文。 有的小伙伴儿们会说:“HRP不就是负责双机的数据备份嘛。有什么难度?”其实HRP在备份时还 是大有文章的,现在强叔就为大家揭秘这些HRP鲜为人知的细节。 1 为什么需要HRP? 1.1 备份配置命令 防火墙通过执行命令(通过Web配置实际上也是在执行命令)来实现用户所需的各种功能。如果备用设备切换为主用设备前,配置命令没有备份到备用设备,则备用设备无法实现主用设备的相关功能,从而导致业务中断。 如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略。如果主用设备FW1上配置的安全策略没有备份到备用设备FW2上,那么当主备状态切换后,新的主用设备FW2将不会允许内网用户访问外网(因为防火墙缺省情况下禁止所有报文通过)。 1.2 备份会话 防火墙属于状态检测防火墙,对于每一个动态生成的连接,都有一个会话表项与之对应。主用设备处理业务过程中创建了很多动态会话表项;而备用设备没有报文经过,因此没有创建会话表项。如果备用设
备切换为主用设备前,会话表项没有备份到备用设备,则会导致后续业务报文无法匹配会话表,从而导致业务中断。 如下图所示,主用设备FW1上创建了PC1访问PC2的会话(源地址为10.1.1.10,目的地址为200.1.1.10),PC1与PC2之间的后续报文会按照此会话转发。如果主用设备FW1上的会话不能备份到备用设备FW2上,那么当主备状态切换后,PC1访问PC2的后续报文在FW2上匹配不到会话。这样就会导致PC1访问PC2的业务中断。 因此为了实现主用设备出现故障时备用设备能平滑地接替工作,必须在主用和备用设备之间备份关键配置命令和会话表等状态信息。为此华为防火墙引入了HRP( Huawei Redundancy Protocol)协议,实现防火墙双机之间动态状态数据和关键配置命令的备份。 如下图所示,主用设备FW1上配置了允许内网用户访问外网的安全策略,所以FW1会允许内网PC1访问外网PC2的报文通过,并且会建立会话。由于在FW1和FW2上都使用了HRP协议(配置了双机热备中的HRP功能),因此主用设备FW1上配置的安全策略和创建的会话都会备份到备用设备FW2上。这样当主备状态切换后,由于备用设备上已经存在允许内网用户访问外网的安全策略以及PC1访问PC2的会话,所以PC1访问PC2业务报文不会被禁止或中断。
基于华为防火墙ip link机制的线路检测和切换方案的研究报告和实现
基于ip link机制的 线路检测和保护案的研究和实现
目录 第1章背景 (3) 第2章案概述 .........................................................................................错误!未定义书签。 2.1 负载均衡案.................................................................................错误!未定义书签。 2.2 非负载均衡线路和业务保护案....................................................错误!未定义书签。第3章总结与优化 .. (8) 3.1 总结 (8) 3.2 优化............................................................................................错误!未定义书签。
第1章背景 近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。 为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护案。 第2章线路检测和保护案 2.1 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下:
华为 配置双机热备份
Quidway Eudemon 200E-B 配置指南可靠性分册目录 目录 1 配置双机热备份...........................................................................................................................1-1 1.1 简介..............................................................................................................................................................1-2 1.1.1 VRRP概述...........................................................................................................................................1-2 1.1.2 VGMP概述..........................................................................................................................................1-3 1.1.3 备份方式分类.....................................................................................................................................1-4 1.1.4 HRP应用..............................................................................................................................................1-8 1.1.5 配置设备的主从划分.........................................................................................................................1-9 1.1.6 配置命令和状态信息的备份...........................................................................................................1-10 1.1.7 双机热备份的组网方式...................................................................................................................1-12 1.1.8 配置一致性检查概述.......................................................................................................................1-12 1.1.9 接口的双机热备...............................................................................................................................1-13 1.2 配置VRRP备份组.....................................................................................................................................1-13 1.2.1 建立配置任务...................................................................................................................................1-13 1.2.2 配置VRRP备份组............................................................................................................................1-14 1.2.3 检查配置结果...................................................................................................................................1-15 1.3 配置VRRP管理组.....................................................................................................................................1-15 1.3.1 建立配置任务...................................................................................................................................1-15 1.3.2 配置路由模式下的VRRP管理组....................................................................................................1-16 1.3.3 配置混合模式下的VRRP管理组....................................................................................................1-17 1.3.4 检查配置结果...................................................................................................................................1-18 1.4 配置双机热备份........................................................................................................................................1-18 1.4.1 建立配置任务...................................................................................................................................1-18 1.4.2 配置双机热备份...............................................................................................................................1-20 1.4.3 检查配置结果...................................................................................................................................1-20 1.5 维护............................................................................................................................................................1-20 1.5.1 调试VRRP报文、状态和定时器....................................................................................................1-21 1.5.2 调试VRRP管理组............................................................................................................................1-21 1.5.3 调试HRP...........................................................................................................................................1-21 1.5.4 检查两端配置的一致性...................................................................................................................1-21 1.5.5 调试HRP配置检查功能...................................................................................................................1-22
防火墙双机热备典型故障现象及定位
双机热备份典型故障现象及定位 当前现网组网基本上都是双机热备份组网,而现在由于双机热备份配置或者是组网带来的问题导致现网业务中断也是多有案例出现,下面就几个典型案例来介绍防火墙双机热备份组网中的常见故障及故障定位解决办法。 1案例一:双机热备份组网部分业务中断的问题 业务与软件部门在河北某局点于2007年11月用两台Eudemon 1000替换NetScreen的防火墙NS500,业务割接之后发现部分业务不通,最终定位为双机热备份配置的问题。 1.1组网图: 组网图如下所示,其中图中注明的新增的两台Eudemon 1000是替换掉NS500割入的设备,防火墙使用路由模式组网,使用的版本是EU300&500&1000&SP1800-VRP3.30-0359(08)。 1.2防火墙配置: 防火墙配置如下附件所示:
由于此次割接是Eudemon 防火墙替换NS500的防火墙,所以防火墙的配置基本上是把NS500的配置翻译成防火墙的配置之后割接上去。 1.3故障现象: 防火墙割接上去之后,发现用一个测试软件从trust到dmz域做NAT outbound出去访问一个指定的server不通,但是可以从防火墙上ping通此server服务器,查看防火墙会话,有从测试PC到server的会话。 刚开始业务与软件部门的兄弟开始检查配置,找自己的部门人员分析,反复查看配置及组网,对比防火墙和NS500的配置之后,仍然没有发现任何疑点,因为NAT地址的地址以前在NS500上使用是可以的对外发起访问的,但是在Eudemon 1000上却对外发起访问不成功,由于此次割接只是用防火墙Eudemon 1000替换NS500,其他设备没有什么改动,初步定位问题出现在防火墙上。但是防火墙上已经建立了从内网访问server的会话,如果按照防火墙的转发原理,只要回来的报文能到达防火墙,都能命中会话转发到测试PC上。 1.4定位过程: 最后现场技术支持和用服找到防火墙研发,防火墙研发登陆到防火墙上,开始进行定位。首先查看从测试PC到指定Server的会话,确实是存在从测试PC到指定Server的TCP会话,同时存在从F5到Server的会话。当时让现场工程师从F5 ping Server,发现ping不通,然后查看防火墙上的从测试PC到Server的会话,发现会话的老化时间都是10S钟。 根据上面的现象,初步断定是报文从防火墙做NAT出去之后回来的报文没有达到防火墙上,因为如果报文能回到防火墙上,会命中会话转发到F5或者是测试PC上,ping和TCP的三次握手能完成,F5能ping通Server,从测试PC到Server的TCP连接的会话老化时间应该是20分钟而不是10S。 首先让现场工程师查看从防火墙的上行设备上是否有地址池地址的路由能到达防火墙,查看路由没有问题,然后查看防火墙上行设备上的对应的地址池的ARP表项是否正确,发现此设备上没有到地址池的ARP表项,所以导致到防火墙NAT地址池的地址的报文因为没有ARP转发不到防火墙上。通过在防火墙上行设备上ping防火墙的NAT地址的地址,使上行设备
核心交换机双机热备解决方案
核心交换机双机热备解决方案 一、项目背景 稳定持续的系网络系统运行变得越来越重要,而原来有单机核心三层交换数据潜伏巨大的崩溃风险。 VRRP(虚拟路由冗余协议)技术来解决该问题,以实现主、备核心三层交换设备之间动态、无停顿的热切换。 二、方案设计: 2.1、简要介绍VRRP的基本概念。 通常情况下,内部网络中的所有主机都设置一条相同的缺省路由,指向出口网关(即图1中的交换机S9300A),实现主机与外部网络的通信。当出口网关发生故障时,主机与外部网络的通信就会中断。 图1 局域网缺省网关 配置多个出口网关是提高系统可靠性的常见方法,但需要解决如何在多个出口网关之间进行选路的问题。 VRRP(Virtual Router Redundancy Protocol)是RFC3768定义的一种容错协议,通过物理设备和逻辑设备的分离,实现在多个出口网关之间选路,很好地解决了上述问题。 在具有多播或广播能力的局域网(如以太网)中,VRRP提供逻辑网关确保高利用度的传输链路,不仅能够解决因某网关设备故障带来的业务中断,而且无需修改路由协议的配置。 2.2、VRRP工作原理:
vrrp只定义了一种报文——vrrp报文,这是一种组播报文,由主三层交换机定时发出来通告他的存在。使用这些报文可以检测虚拟三层交换机各种参数,还可以用于主三层交换机的选举。 VRRP中定义了三种状态模型,初始状态Initialize,活动状态Master 和备份状态Backup,其中只有活动状态的交换机可以为到虚拟IP地址的的转发请求提供服务。 VRR报文是封装在IP报文上的,支持各种上层协议,同时VRRP还支持将真实接口IP地址设置为虚拟IP地址。 那么如何从备份组的多台交换机中选举Master?这项工作由我们在备份组内每台交换机上配置的相同IP地址的虚拟交换机完成。 虚拟交换机根据配置的优先级的大小选择主交换机,优先级最大的作为主交换机,状态为Master,若优先级相同(如果交换机没有配置优先级,就采用默认值100),则比较接口的主IP地址,主IP地址大的就成为主交换机,由它提供实际的路由服务。其他交换机作为备份交换机,随时监测主交换机的状态。当主交换机正常工作时,它会每隔一段时间发送一个VRRP 组播报文,以通知组内的备份交换机,主交换机除正常工作状态。如果组内的备份交换机长时间没有接收到来自主交换机,则将自己状态转换为Master。当组内有多台备份交换机,将有可能产生多个主交换机。这时每一个主交换机就会比较VRRP报文中的优先级和自己本地的优先级,如果本地的优先级小于VRRP中的优先级,则将自己的状态转换为Backup,否则保持自己的状态不变。通过这样一个过程,就会将优先级最大的交换机选成新的主交换机,完成VRRP的备份功能。
基于华为防火墙ip link机制的线路检测和切换方案的研究和实现
基于ip link机制的 线路检测和保护方案的研究和实现
目录 第1章背景 (3) 第2章方案概述 .......................................................................................... 错误!未定义书签。 2.1负载均衡方案 ................................................................................. 错误!未定义书签。 2.2非负载均衡线路和业务保护方案 ................................................. 错误!未定义书签。第3章总结与优化 (8) 3.1总结 (8) 3.2优化................................................................................................. 错误!未定义书签。
第1章背景 近年来,随着互联网应用的不断发展,集团客户的业务越来越多的依赖于互联网,由此集团客户对于互联网专线的保障等级要求越来越高。部分重要集团为保障自身业务发展,都开通了多条运营商线路,通过冗余线路保障业务不受某条线路的影响而中断公司整个业务。而关于故障线路的快速检测和线路之间的及时切换,都成为客户关注和急需要解决的问题。 为此,本文作者结合日常工作经验和典型集团客户需求,分析和总结了针对华为防火墙进行双线接入的业务负载均衡和路由保护方案。 第2章线路检测和保护方案 2.1 Ip link线路检测机制 Ip link检测机制是基于icmp协议的链路可达性检查机制,主要原理是通过icmp协议探测链路上目的地址是否可达,由此判断该链路是否可用。目前主要用在华为Eudemon系统防火墙上,用于检测与防火墙不直接相连的接口或链路状态。 检测流程如下:
华为防火墙部署及配置指南
防火墙二层模式部署在互联网出口,运行在双机热备的主备模式下。上连出口网关路由器,下连入侵防御系统,对接沙箱和CIS ,按等保三级“安全区域边界”相关控制点配置策略。 CIS 、SecoManager 一般部署在“运维管理区”,如果用户网络没有按分域架构部署,CIS 、SecoManager 可直接连接核心交换机,保证USG 和CIS 、SecoManager 路由可达即可。 1 防火墙部署及配置指南1.1 方案描述
1.2 网络规划
1.3 配置思路 1.完成防火墙基本网络配置,包括接口和安全区域。 2.配置防火墙双机。 3.配置安全策略,放通OSPF协议流量和内部服务器对外提供服务的流量,禁止其 他流量通过。 4.配置路由器和交换机OSPF。数据规划参考2.2.2 网络规划,配置操作请参考相关 路由器与交换机产品文档。 5.参考本手册后续章节完成与FireHunter、SecManager、CIS、日志服务器的对接和 业务配置。 1.4 配置详情 1.完成网络基本配置。
2.配置双机热备功能。 3.在FW_A上配置安全策略。双机热备状态成功建立后,FW_A的安全策略配置会 自动备份到FW_B上。 # 配置安全策略,允许上下行路由器交互的OSPF报文通过FW。
当FW的业务接口工作在二层时,上下行设备之间的OSPF报文需要通过FW。OSPF报文受 firewall packet-filter basic-protocol enable命令控制。缺省情况下,firewall packet-filter basic- protocol enable处于开启状态,即OSPF报文受安全策略控制,需要在上行业务接口所在安全区 域与下行业务接口所在安全区域之间配置安全策略,允许协议类型为OSPF的报文通过。本例以 firewall packet-filter basic-protocol enable开启为例进行介绍。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name policy_ospf_1 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit HRP_M[FW_A-policy-security] rule name policy_ospf_2 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.0.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] source-address 10.3.1.2 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.0.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] destination-address 10.3.1.1 32 HRP_M[FW_A-policy-security-rule-policy_ospf_2] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_2] quit # 配置安全策略,允许外部访问内部服务器的服务端口。 HRP_M[FW_A] security-policy HRP_M[FW_A-policy-security] rule name service HRP_M[FW_A-policy-security-rule-policy_ospf_1] source-zone untrust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-zone trust HRP_M[FW_A-policy-security-rule-policy_ospf_1] destination-address 192.168.0.100 32 HRP_M[FW_A-policy-security-rule-policy_ospf_1] service protocol tcp destination-port 8081 HRP_M[FW_A-policy-security-rule-policy_ospf_1] action permit HRP_M[FW_A-policy-security-rule-policy_ospf_1] quit 1.5 使用限制及注意事项 本场景中用到防火墙各功能特性的使用限制及注意事项详见防火墙产品文档。
华为USG9500高端防火墙售前培训材料
Huawei Enterprise A Better Way T级安全防护,极速访问体验 -华为USG9500高端防火墙售前技术培训
新特性应用场景、方案&价值 目录 USG9500产品定位 13x -x x -x USG9500产品软硬件介绍 2x -x
USG9500产品定位及概述 ?市场定位 ?USG9500主要定位于运营商、金融、教育、能源、政府等高端用户,主要部署在其高速网络出口,提供攻击防护、安全隔离、大规模NAT转换、访问控制、海量VPN接入等安全功能。 ?体系结构 ?最领先的“NP+多核+分布式”架构 ?产品特点 ?最高性能防火墙、最大容量VPN网关、灵活多样的智能选路、服务器负载均衡、最多接口种类&最大接口容量、高可靠性
USG9500规格参数 型号USG9520USG9560USG9580 插槽数量3个,可配置业务板和接口板8个插槽,可配置业务板和接口板16个插槽,可配置业务板和接口板吞吐量80G(特殊配置可达100G)480G960G 并发连接数80M480M960M 每秒新建连接数1M6M12M VPN性能48G(配4个CPU业务板)240G(配4个CPU业务板:5块)480G(配4个CPU业务板:10块)VPN隧道数128k(配4个CPU业务板)640k(配4个CPU业务板:5块)100万 虚拟防火墙数409640964096 可靠性模块热插拔/组件热插拔/双机热备/链路聚合/双主控/外置BYPASS盒子 接口板类型以太网 GE接口 单槽位:48×GE(光/电) 以太网 10GE接 口 单槽位:10×10G,收敛卡4×10G可插4块
- USG防火墙双机热备业务特性与配置
- 防火墙双机热备典型故障现象及定位
- 基于华为防火墙ip link机制的线路检测和切换方案的研究和实现
- 防火墙技术案例双机热备负载分担组网下的IPSec配置
- 华为USG6350双机热备与 NAT 功能结合配置
- 1-4 USG防火墙双机热备业务特性与配置
- 防火墙双机热备配置及组网指导.
- 华为防火墙(VRRP)双机热备配置及组网
- 防火墙双机热备配置及组网指导
- 防火墙双机热备配置及组网指导
- 华为防火墙(VRRP)双机热备配置及组网
- 防火墙技术案例双机热备负载分担组网下的IPSec配置
- -华为防火墙(VRRP)双机热备配置及组网
- 华为防火墙(VRRP)双机热备配置及组网
- 核心交换机双机热备解决方案
- 华为防火墙VRRP双机热备配置及组网
- 华为防火墙产品技术
- 基于华为防火墙ip link机制的线路检测和切换方案的研究和实现
- 防火墙技术案例5_双机热备(负载分担)组网下的IPSec配置
- 防火墙技术案例5双机热备(负载分担)组网下的IPSec配置