安全运维之华为防火墙主备切换

对于局域网内的主机来说,如果它要跟外部网络的主机通信,就需要通过路由器/三层交换机等对相关数据包进行转发。如果路由器或交换机出现故障,那么跨网段的通信将会受到影响。为了解决单点故障问题,存在一种虚拟路由器冗余协议(VRRP:Virtual Router Redundancy Protocol),即将两台或多台路由器/交换机视为一个虚拟路由器,拥有一个虚拟IP地址,那么主机将该虚拟IP地址作为跨网段访问的下一跳地址。其中,虚拟路由器指定其中的一台设备作为主(Matser)设备进行路由选择和数据转发,其余的为备(Backup/Slave)设备,主备设备均有自己的IP。当主设备故障时,VRRP通过自己的选择策略将主设备的工作交由备设备接管,从而避免了对网络通信的影响。当然,除了单纯的主备模式,VRRP还支持负载模式,即主备设备同时工作,以分担相应工作压力。

上文所述“选择策略”的一种实现方式是优先级的定义,对虚拟路由器包含的各个物理设备赋予不同的优先级,优先级最高的置为主设备,较低的置为备设备。当主设备故障时退服,备设备升级为主设备。通常情况下,主设备上配置了“抢占模式”(preempt),当其重新入网工作时,由于其优先级较高将重新成为主设备。可以通过如下命令来查看设备的主备状态及VRRP信息:

display vrrp

display vrrp brief

防火墙(特别是三层防火墙)也支持VRRP协议,其功能与上述描述类似。所谓主备切换,就是对主防火墙和备防火墙进行切换,是一种应急演练措施,可以用来评测主墙和备墙是否正常工作。具体的操作过程如下:

1、当前配置保存

对于防火墙来说,既有存在于硬盘的策略配置文件,也有存在于内存的当前运行策略。如果内存中的策略没有保存则在设备重启后相关策略会丢失,只会执行硬盘中策略配置文件中的策略。因此,在执行主备切换前,需要保存当前策略,这一点很重要。

save

2、策略比对同步

因为切换后,备墙将成为新的主墙,如果主备墙策略不一致,将会对网络运行造成影响。因此,在切换前,必须比对主墙和备墙的策略,以保障策略一致。

3、关闭抢占模式

如上文所述,如主墙配置了抢占模式,当其重新入网时将重新成为主墙,流量也将重新回归主墙,备墙无法顺利执行工作。因此,需要关闭主墙的抢占模式:

undo hrp preempt

4、识别上下行接口

一般情况下,可以通过shutdown防火墙的上下行接口实现主备切换的触发,而上下行接口往往会被分别划入trust和untrust安全域,可以通过如下命令查看每个安全域下面的接口信息。

display zone

安全运维之华为防火墙主备切换_第1张图片

由上图可见,GigabitEthernet0/0/5、GigabitEthernet0/0/6分别为上下行接口。进一步的,可以通过如下命令查看这接口的IP地址、link-group、ospf cost值等配置信息。我们需要关注的是接口的link-group值,可以看出GigabitEthernet0/0/5、GigabitEthernet0/0/6的link-group值相同,表示其中一个接口down的话另外一个接口也会down。

display current-configuration interface

进一步的,通过如下命令可以查看接口的up/down状态。其中,接口up/down状态包括physical和protocol两个方面,即一个是物理开关状态,一个是逻辑开关状态。可以看出,正常情况下,GigabitEthernet0/0/5、GigabitEthernet0/0/6的physical和protocol状态都是up。

display ip interface brief

5、查看主备墙通讯接口并开启telnet功能

主备墙之间通过心跳口hrp相连,因为主墙上下行接口down掉之后,会导致主墙无法通过正常方式登录而造成托管,因此在down接口之前需要开启主墙的telnet功能,并利用备墙利用心跳口登录主墙进行操作,防止主墙托管。

5.1 查看心跳域hrp对应的接口Eth-Trunk0

display zone

5.2 查看接口Eth-Trunk0对应的IP地址192.168.222.4

display currrent-configuration interface

display ip interface brief

5.3 开启主墙telnet功能

system-view

telnet server enable

quit

6、通过备墙TELNET登录主墙并shutdown相关端口

#telnet登录

telnet 192.168.222.4

username:XX

password:XX

#进入接口0/0/6并shutdown

system-view

interface GigabitEthernet0/0/6

shutdown

quit

quit

通过如上操作即实现了接口GigabitEthernet0/0/6的down操作,GigabitEthernet0/0/6的状态由up变为down。因为GigabitEthernet0/0/5与GigabitEthernet0/0/5在一个link-group,则GigabitEthernet0/0/5的状态也由up变为down,可以通过display ip interface brief进行查看确认。

7、恢复原主墙状态并关闭其telnet功能

执行步骤6的操作后,原则上原备墙会即可变为主墙,如果配置了短信告警的话经过几秒钟应该会收到告警。因为原主墙关闭了抢占模式,那么即使主墙重新入网也不会执行抢占操作,即主备墙的当前状态不会改变。

为了使得原主墙仍然在管控范围内,需要通过如下命令恢复原主墙上下行接口的状态,以实现设备的正常登录。

system-view

interface GigabitEthernet0/0/6

undo shutdown

quit

quit

执行上述操作几秒后,可以发现原主墙可以通过原有的方式进行登录和管理。从安全角度考虑,防火墙应关闭telnet功能以防止恶意人员的探测和攻击,因此主墙切换的最后一步就是通过如下命令关闭原主墙的telnet功能。

system-view

undo telnet server enable

quit

8、总结

总得来看,华为防火墙主备切换主要分为保存策略、检查接口、切换操作、恢复状态这么几步,按流程操作一般都能够完成。这里,小饼特别套强调策略保存的状态恢复这两步,如果这两步出现问题要么会因策略不一致对业务造成直接影响,更有可能会导致设备托管,到时只能去机房处理了。

感谢您花费时间阅读此文,水平有限,但请见谅,欢迎关注评论,期待与您一起学习、成长。有兴趣深入了解的同仁可以参见《强叔侃墙》,绝对物超所值,下文将介绍华为防火墙的NAT配置方法。

你可能感兴趣的:(安全运维之华为防火墙主备切换)