防火墙入侵与检测 day04 防火墙双机热备

双击热备技术原理

双机热备技术产生的原因

• 传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。

双机热备在路由器上的部署

路由器组网中通过VRRP协议实现双机热备份

双机热备vrrp，负载均衡vrrp priority

1.SW1/SW2/SW3创建VLAN   vlan batch 10 20
2.SW3划分VLAN     access
3.SW1/SW2/SW3配置trunk，允许vlan10 20通过
4.SW1/SW2配置vlanif接口
SW1
interface Vlanif1e 
 ip address 10.1.1.253 255.255.255.0
#
interface Vlanif2e 
 ip address 20.1.1.253 255.255.255.0
#
SW2
interface Vlanif 10 
 ip address 10.1.1.252 255.255.255.0
#
interface Vlanif 20 
 ip address 20.1.1.252 255.255.255.0
#

5.配置VRRP主备模式
SW1
interface Vlanif10 
 vrrp vrid 10 virtual-ip 10.1.1.254
 vrrp vrid 10 priority 110 
#
interface Vlanif20
 vrrp vrid 20 virtual-ip 20.1.1.254
#
SW2
interface Vlanif10
 vrrp vrid 10 virtual-ip 10.1.1.254
#
interface Vlanif20
 vrrp vrid 20 virtual-ip 20.1.1.254
 vrrp vrid 20 priority 110 
#

6。sw1/sw2/r1配置ospf

 

VRRP在多区域防火墙组网

VRRP在防火墙应用中存在的缺陷

• 传统VRRP方式无法实现主、备用防火墙状态的一致性。
• 切换不一致问题
• 会话表不同步问题。 会话表要实现同步。 因为非首包都要经过安全策略检查。如果没有会话表会被丢弃。

VRRP用于防火墙多区域备份

VGMP：为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补此局限。

VGMP组管理

• 状态一致性管理
  VGMP管理组控制所有的VRRP备份组统一切换。
• 抢占管理
  当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。

HRP基本概念

• HRP（Huawei Redundancy Protocol）协议，用来将主防火墙关键配置和连接状态等数据向备防火墙上同步。
• 首包会话快速备份
• 更新报文会话快速备份

防火墙双机热备三大协议

• VRRP 是 主备
• VGMP 是 状态切换一致性
• HRP 是 配置会话表的同步

 

双击热备基本组网与配置

上下行业务接口工作在三层模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。

接口视图下
VRRP配置命令： （active和standby就是VGMP的配置）

vrrp  vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }
执行此命令时，指定active或standby参数后，即将该VRRP组加入了VGMP管理组的Active或Standby管理组。
每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。

HRP配置命令

指定心跳口
hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ]
启用HRP备份功能
hrp enable
启用允许配置备用设备的功能（Actuve）
hrp standby config enable 
启用命令与状态信息的自动备份
hrp auto-sync [ config | connection-status]
启用会话快速备份
hrp mirror session enable

双机热备在防火墙上的部署

防火墙 FW1
1.创建区域并划分、配置接口IP地址
创建区域并划分
firewall zone trust
 add interface GigabitEthernet1/0/1
#
firewall zone untrust
 add interface GigabitEthernet1/0/2
#
firewall zone dmz
 add interface GigabitEthernet1/0/6
#

配置接口IP地址
interface GigabitEthernet1/0/1
 ip address 10.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/2
 ip address 20.1.1.100 255.255.255.0
#
interface GigabitEthernet1/0/6
 ip address 1.1.1.1 255.255.255.0


2.VRRP
interface GigabitEthernet1/0/1
 vrrp vrid 1 virtual-ip 10.1.1.254 active
#
interface GigabitEthernet1/0/2
 vrrp vrid 2 virtual-ip 20.1.1.254 active


3.HRP
 hrp enable
 hrp interface GigabitEthernet1/0/6 remote 1.1.1.2
 hrp auto-sync
 hrp mirror session enable


4.安全策略
security-policy
 rule name icmp_policy
  source-zone trust
  destination-zone untrust
  service icmp
  action permit

 
WEB方式

 

VRRP前提知晓

VRRP （Virtual Router Redundancy Protocol）虚拟路由器冗余协议
VRRP 协议只有一种报文，即 VRRP Advertisement 通告报文，目的地址是224.0.0.18，TTL 是 255，协议号是 112
VRRP 中接口只有 3 个状态：初始状态(Initial)、主状态(Master)和备份状态(Backup)。其中，只有处于主状态的设备才可以转发那些发送到虚拟 IP 地址的报文

VRRP 优先级
Priority：发送报文的 VRRP 路由器在虚拟路由器中的优先级。
取值范围是 0～255，其中可用的范围是 1～254。 0 表示设备停止参与 VRRP，用来使备份路由器尽快成为主路由器，而不必等到计时器超时；

255 则保留给 IP 地址拥有者。缺省值是 100。
VRRP 的 Master 的选举基于优先级，优先级取值范围是 0-255，默认情况下，配置优先级为 100，在接口上可以通过配置优先级的大小来手工选择 Master 设备。比较优先级的大小，优先级高者当选为 Master 设备。当两台设备优先级相同时，如果已经存在 Master，则其保持 Master 身份，无需继续选举；如果不存在 Master，则继续比较接口 IP 地址大小，接口 IP 地址较大的设备当选为Master 设备。

注意：如果路由器的IP和VRRP的虚拟IP一样 则这台路由器优先级直接变为255，直接成为master

int e0/0/1
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
int e0/0/1
vrrp vrid 2 preempt-mode disable
vrrp vrid 2 priority 180
int e0/0/1
vrrp vrid 2 track interface g0/0/1 reduced 30
设置监控端口为interface g0/0/1，如果端口Down掉优先级降低30

int e0/0/1
vrrp vrid 1 authentication-mode md5 huawei

快戳这里补一下基本知识