防火墙双击热备
防火墙双击热备
博客主页: 微笑的段嘉许博客主页
欢迎关注点赞收藏⭐留言
本文由微笑的段嘉许原创!
51CTO首发时间:2022年10月4日
✉️坚持和努力一定能换来诗与远方!
作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!
⭐本文介绍⭐
一提到防火墙,一般会联想到企业的边界设备,防火墙一般放置在内网和互联网的必经之路。防火墙承载了非常多的功能;如安全规则、防病毒、IPS、文件类型过、内容过滤、应用层探测等。也正是因为防火墙如此重要,从另外一个角度看,一旦防火墙出现问题,所有的对外通信及对DMZ服务器的通信都将中断,所以企业还要考虑防火墙自身的优化及高可用性。本文介绍华为防火墙的高可用技术。
文章目录
- 防火墙双击热备
- 理论讲解:
-
- 双机热备的工作原理
- 华为防火墙的双机热备包含一下两种模式
- VRRP协议
-
- VRRP概论
- VRRP的角色
- VRRP的状态机
- VGMP的工作原理表现
- VGMP的报文封装
- 双机热备的备份方式
- 理论讲解:
- 一、将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址
-
- 1、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址
- 2、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址
- 二、配置防火墙安全策略允许local访问DMZ,允许Trust访问Untrust
-
- 1、防火墙FW1配置安全策略允许local访问DMZ,允许Trust访问Untrust
- 2、防火墙FW2配置安全策略允许local访问DMZ,允许Trust访问Untrust
- 三、在FW1和FW2配置VRRP,FW1*为Trust和Untrust区域的master设备,FW2为VRRP的Backup设备
-
- 1、在防火墙FW1配置VRRP为TRust和Untrust区域的master设备
- 2、在防火墙FW2配置VRRP为TRust和Untrust区域的Backup设备
- 3、客户端配置IP地址
- 4、测试直连路由
- 四、在FW1启动双机热备,配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障
-
- 1、**在防火墙FW1启动双机热备份**
- 2、在防火墙FW2启动双机热备份
- 五、PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备
-
- 1、PC2访问PC1关闭FW1的内网接口在FW2抓包验证
理论讲解:
双机热备的工作原理
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
如下图所示,企业中在关键的业务出口部署一台防火墙,所有的对外流量都经过防火墙传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能有多好、功能有多强,在这一刻,都无法挽回企业面临的损失。所以,通过在企业的出口部署两台防火墙产品,可以在增加企业安全的同时,保证业务传输基本不会中断,因为两台设备同时出现故障的概率非常小。
华为防火墙的双机热备包含一下两种模式
热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表。
负载均衡模式:同一时间,多台防火墙同时准发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙既是主用设备也是备用设备,防火墙之间同步会话表及Server-map表。
VRRP协议
在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主用设备故障时,客户机并不会将网关自动指向备用设备,所以即使双机热备本身可以切换,客户机也依然无法正常通信。所以要保证双机热备可以正常工作,还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题,甚至还能让设备切换对客户机而言时透明的。在华为防火墙的双机热备技术中,VRRP是非常重要的一个组成部分。
VRRP概论
-
VRRP路由器:运行VRRP协议的路由器。
-
虚拟路由器:由一个主用路由器和若干个备用路由器组成的一个备份组,一个备份组对客户端提供一个虚拟网关。
-
VRID:Virtual Router ID,虚拟路由器标识,用来唯一的表示一个备份组。
-
虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主要设备提供IP地址的ARP响应。
-
虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主要路由器将提供该MAC地址。
-
IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。
-
优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主要设备及备用设备。
-
抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主要路由器),将立即称为新的主要路由器。
-
非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等)
VRRP的工作原理和Cisco的HSRP基本相同,只是在细节上有些区别
- VRRP时公有协议,而HSRP是Cisco专有协议。
- VRRP中虚拟路由器的IP地址可以是成员路由器的IP地址,而HSRP不可以
- VRRP的虚拟MAC地址前缀是00-00-5e-00-01-VRID,而HSRP的虚拟MAC地址前缀是00-00-0C-07-AC-组号
- VRRP的状态机有三个,而HSRP的状态机包含五个(初始、学习、监听、发言、备份、活动)
- VRRP只有一种报文,VRRP通告报文由主用路由器发出,用于检测虚拟路由器的参数,同时用于主用路由器的选举。而HSRP有三种报文(hell、政变、辞职)
- VRRP不支持接口跟踪,而HSRP支持。
VRRP的角色
工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器。
- Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每个1s 向其他路由器通告Master路由器当前的状态信息
- Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不中断。
VRRP的状态机
VRRP定义了三种工作状态,分别时Initialize(初始)Master(活动状态)和Backup(备份状态)
- Initialize状态:刚配置了VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口Shutdown或接口故障时也将进入该状态。
- Master状态:当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态地路由器还将响应客户机发送地ARP请求,并将虚拟MAC地址回送客户机。当接口关闭时,将立即切换至Initialize状态。
- backup状态:当前设备选举成为备用路由器时的一种状态。该状态不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息。
三种状态之间的切换关系如下图所示
VGMP的工作原理表现
- VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不通过VRRP报文选举,而是直接通过VGMP统一管理。
- VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby。
- 默认情况下,VGMP组的优先级为4500
- VGMP根据组内VRRP备份组的状态自动调正优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2
- VGMP通过心跳线协商VGMP状态信息、
下面通过一个示例分析VGMP的工作原理,如图:
友情提示:
在加入了VGMP组之后,VRRP中的状态标识从Master和Backup变成Active和Standby。
VGMP的报文封装
VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现,VGMP报文有一下两种形式
在实际应用中,应根据实际的拓扑灵活选择报文封装。在华为防火墙中,通过一下命令指定通过接口的报文属于哪种类型的封装。
[USG6000V1]hrp interface GigabitEthernet 1/0/0 //eNSP模拟器中不支持该配置
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
其中hrp命令用来指定用于心跳链路的接口,带remote参数的命令表示报文将封装UDP,并发送单薄报文,不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端设备(心跳线对端接口)的IP地址,该地址要求可路由,只有指定remote参数时才需要指定。
双机热备的备份方式
双机热备的备份方式包括一下三种
- 自动备份:该模式下,和双机热备有关的配置命令只能在主用设备上配置,并自动同步到备用设备中,主要设备自动将状态信心同步到备用设备中。该模式是华为防火墙的默认开启模式,主要应用于热备模式。
- 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主备设备配置不同步,需要立即进行同步的场景中。
- 快速备份:该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备坏境中,该模式必须启用,以快速更新状态信息。
理论讲解:
拓扑图:
推荐步骤:
将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址
配置防火墙安全策略允许local访问DMZ,允许Trust访问Untrust
在FW1和FW2配置VRRP,FW1为Trust和Untrust区域的master设备,FW2为VRRP的Backup设备
在FW1启动双机热备,配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障
PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备
实验步骤:
一、将防火墙接口划分到指定的区域给防火墙接口配置IP地址查看接口配置IP地址
1、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址
1)进入到指定区域、接口加入指定的区域
2)配置IP地址
3)查看配置的IP地址
4)允许ping防火墙
2、将防火墙FW1接口划分到指定的区域给给防火墙配置IP地址、查看配置的IP地址
1)进入到指定区域、接口加入到指定的区域
2)配置IP地址、允许ping防火墙
3)查看配置的IP地址
二、配置防火墙安全策略允许local访问DMZ,允许Trust访问Untrust
1、防火墙FW1配置安全策略允许local访问DMZ,允许Trust访问Untrust
1)FW1配置安全策略
2、防火墙FW2配置安全策略允许local访问DMZ,允许Trust访问Untrust
1)FW2配置安全策略
三、在FW1和FW2配置VRRP,FW1*为Trust和Untrust区域的master设备,FW2为VRRP的Backup设备
1、在防火墙FW1配置VRRP为TRust和Untrust区域的master设备
1)进入接口
2)指定VRRP的ID号和客户端网关配置为master
3)查看配置的VRRP
4)进入接口
5)指定VRRP的ID号和客户端网关配置master
6)查看配置的VRRP
2、在防火墙FW2配置VRRP为TRust和Untrust区域的Backup设备
1)进入接口
2)指定VRRP的ID号和客户端网关配置为Backup
3)查看配置的VRRP
4)进入接口
5)指定VRRP的ID号和客户端网关配置为Backup
6)查看配置的VRRP
3、客户端配置IP地址
1)PC1配置IP地址
2)PC2配置IP地址
4、测试直连路由
1)PC1:
2)PC2:
四、在FW1启动双机热备,配置防火墙的DMZ区域接口为心跳网络通过VGMP检测VRRP故障
1、在防火墙FW1启动双机热备份
1)传输心跳信息互指IP地址
2)启动双机热备份
3)指定双机热备份
2、在防火墙FW2启动双机热备份
1)传输心跳信息互指IP地址
2)启动双机热备份
3)指定双机热备份
五、PC2访问PC1将FW1内网接口关闭在FW2抓包验证防火墙双机热备
1、PC2访问PC1关闭FW1的内网接口在FW2抓包验证
1)关闭接口
2)PC2访问PC1
作者水平很有限,如果发现错误,一定要及时告知作者哦!感谢感谢!
