防火墙双机热备与路由/交换机相比较的话,最主要的是会话备份的功能,路由器/交换机主备切换路由能转发就OK,防火墙需要匹配会话。

 

防火墙双机热备的三个协议

 

VRRP:虚拟路由冗余协议,在防火墙双机热备种主要作用是检测主备是否正常

VGMP:在防火墙双机热备中主备切换不在使用VRRP,而是将VRRP加入VGMP中由VGMP来管理主备切换。默认情况下主设备VGMP优先级为65001,备用设备优先级为65000。每当VGMP管理组中的一个VRRP出现故障那么VGMP的优先级减2

HRP:指定心跳口,用来备份会话表,server-map,以及一些命令等。


实验拓扑

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第1张图片


环境描述

FW1FW2G0/0/0属于untrust区域,G0/0/1作为心跳口属于DMZ区域,G0/0/2属于untrust区域。

VRRP1的虚拟IP192.168.10.1/24

VRRP2的虚拟IP192.168.20.1/24

 

实验目标

要求C1能够访问C2

完成流量倒换测试

观察VGMP优先级变化


FW1配置

--------------------------将接口加入对应的安全区域----------------------------------

[FW1]firewall zone trust

[FW1-zone-trust]add int g0/0/0

[FW1-zone-trust]quit

[FW1]firewall zone dmz

[FW1-zone-dmz]add intg0/0/1

[FW1-zone-dmz]quit

[FW1]firewall zone untrust

[FW1-zone-untrust]add int g0/0/2

[FW1-zone-untrust]quit

 

---------------------------------配置接口IP地址--------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.10.254 24

[FW1-GigabitEthernet0/0/0]int g0/0/1

[FW1-GigabitEthernet0/0/1]ip add 10.10.10.1 24

[FW1-GigabitEthernet0/0/1]int g0/0/2

[FW1-GigabitEthernet0/0/2]ip add 192.168.20.254 24

[FW1-GigabitEthernet0/0/2]quit

 

------------------VRRP配置--------------------------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 master

//将接口加入VRRP 1中虚拟IP地址为192.168.10.1状态为主

[FW1-GigabitEthernet0/0/0]vrrp virtual-mac enable

//开启虚拟MAC地址功能,必须开启

[FW1]int g0/0/2

[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 master

[FW1-GigabitEthernet0/0/2]vrrp virtual-mac enable

 

[FW1]hrp enable            //开启hrp

[FW1]hrp auto-sync                //启用命令与状态信息的自动备份

[FW1]hrp mirror session enable    //启动会话快速备份

[FW1]hrp int g0/0/1              //指定心跳接口

 

 

FW2配置

 

[FW2]firewall zone trust

[FW2-zone-trust]add int g0/0/0

[FW2-zone-trust]quit

[FW2]firewall zone dmz

[FW2-zone-dmz]add int g0/0/1

[FW2-zone-dmz]quit

[FW2]firewall zone untrust

[FW2-zone-untrust]add int g0/0/2

[FW2-zone-untrust]quit

 

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]ip add 192.168.10.253 24

[FW2-GigabitEthernet0/0/0]int g0/0/1

[FW2-GigabitEthernet0/0/1]ip add 10.10.10.2 24

[FW2-GigabitEthernet0/0/1]int g0/0/2

[FW2-GigabitEthernet0/0/2]ip add 192.168.20.253 24

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 slave

[FW2-GigabitEthernet0/0/0]vrrp virtual-mac enable

[FW2]int g0/0/2

[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 slave

[FW2-GigabitEthernet0/0/2]vrrp virtual-mac enable

[FW2-GigabitEthernet0/0/2]quit

[FW2]hrp enable

[FW2]hrp auto-sync

[FW2]hrp mirror session enable

[FW2]hrp int g0/0/1

 

这样双机热备就配置完成了,如果想要通信还需配置区域间的安全策略,在主设备上配置安全策略会自动同步到备用设备,在备用设备上是无法配置的

 

HRP_M[FW1]policyinterzone local untrust inbound

HRP_M[FW1-policy-interzone-local-untrust-inbound]policy 1

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]policy source 192.168.20.0 0.0.0.255

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]action permit

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]quit

HRP_M[FW1-policy-interzone-local-untrust-inbound]quit

HRP_M[FW1]policyinterzone trust untrust outbound

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit



测试连通性

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第2张图片


使用display hrp group 命令查看VGMP的优先级

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第3张图片

如图可以看出主设备的优先级为65001

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第4张图片

如图可以看出备用设备的VGPM优先级65000

 

可以使用display hrp state查看当前hrp的状态

FW1

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第5张图片

FW2

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第6张图片


使用display vrrp可以查看vrrp组信息

 

FW1

 

HRP_M[FW1]dis vrrp

11:07:10  2016/04/05

  GigabitEthernet0/0/2 | Virtual Router 2

    VRRP Group : Master

    state : Master

    Virtual IP : 192.168.20.1

    Virtual MAC : 0000-5e00-0102

    Primary IP : 192.168.20.254

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES


  GigabitEthernet0/0/0 | Virtual Router 1

    VRRP Group : Master

    state : Master

    Virtual IP : 192.168.10.1

    Virtual MAC : 0000-5e00-0101

    Primary IP : 192.168.10.254

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

Check TTL : YES



FW 2 

HRP_S[FW2]dis vrrp

11:09:00  2016/04/05

  GigabitEthernet0/0/2 | Virtual Router 2

    VRRP Group : Slave

    state : Backup

    Virtual IP : 192.168.20.1

    Virtual MAC : 0000-5e00-0102

    Primary IP : 192.168.20.253

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES

 

 

  GigabitEthernet0/0/0 | Virtual Router 1

    VRRP Group : Slave

    state : Backup

    Virtual IP : 192.168.10.1

    Virtual MAC : 0000-5e00-0101

    Primary IP : 192.168.10.253

    PriorityRun : 120

    PriorityConfig : 100

    MasterPriority : 120

    Preempt : YES   Delay Time : 0

    Advertisement Timer : 1

    Auth Type : NONE

    Check TTL : YES


流量倒换测试

 

C1上一直ping C2 FW1G0/0/2接口down

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第7张图片


wKioL1cDczPQIMEvAAASlvAZhsA919.png


华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第8张图片

由上图可以看出丢了2个包后数据正常转发


再次查看FW1FW2VGMP优先级


FW1

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第9张图片


FW2

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)_第10张图片

由上图可以看出由于VRRPdown了一个所以优先级减2,原本的FW165001变成了64999,由于优先级小于FW2优先级所以状态转换成Backup