防火墙双机热备之配置过程指导
一、组网类型及模式的确定
1、组网类型
结合自身网络的特点,常见一下四种组网:
防火墙业务接口工作在第三层,连接二层交换机、防火墙业务接口工作在第三层,连接路由器、防火墙业务接口工作在第二层,连接二层交换机、防火墙业务接口工作在第二层,连接路由器。
若出现上行连接交换机、下行连接路由器,按照上述四种组网对应的配置即可,即上下就按照连接交换机的组网配置、下行按照路由器的组网配置。
2、模式确定
如何确定采取主备备份还是负载分担,一般情况下,可以遵循以下原则:
①客户没有特殊需求的情况下,主备备份、负载分担均能满足要求,推荐采取主备备份;
②客户组网其他部分都部署了负载分担,一般会要求防火墙也部署为负载分担;
③一台防火墙承担业务转发时,会话表使用率、吞吐量和CPU使用率其中一个或者多个长期超过最大值的80%,必须采用负载分担;
④防火墙启用IPS等安全功能后,性能会有所下降,如果一台防火墙的转发性能下降低于现网总容量时,必须调整成负载分担。
二、配置过程
1、网络基本配置
①接口:防火墙业务接口工作在三层,配置固定IP地址,不能与PPPOE拨号、DHCP结合使用;防火墙业务接口工作在二层,加入同一个VLAN;两台防火墙业务接口以及心跳接口编号等一致。
②安全区域:无论二层还是三层,业务还是心跳接口,都需要加入安全区域,主设备、备设备对应接口安全区域一致。
③路由:业务接口工作在三层连接交换机,一般配置静态路由;连接路由器,一般配置OSPF/BGP;工作在二层则不需要配置路由。
④安全策略:心跳接口交互相关报文(心跳报文、VGMP报文、备份报文、心跳链路探测报文、配置一致性检查报文);两台防火墙业务接口交互VRRP报文;业务接口工作在第三层连接交换机,防火墙会向交换机发送免费的ARP报文;业务接口工作第三层连接路由器,防火墙需要和路由器交互OSPF/BGP报文,业务接口工作在二层,上下行设备之间的OSPF报文需通过防火墙。。
相关的命令:firewall packet-filter basic-protocol enable可以控制OSPF/BGP报文,默认情况下开启,即需要配置上下行安全区域之间的安全策略,允许OSPF/BGP报文通过、VRRP报文是组播报文、免费ARP报文是广播报文,均不受安全策略控制。
2、VGMP组监控接口
①业务接口工作在三层连接交换机,需要在接口配置VRRP备份组;
主备备份方式:主用设备的业务接口上配置一个VRRP备份组,且设置为active状态;备用设备的业务接口上配置同一个VRRP备份组,状态设置为standby;
负载分担方式:两台防火墙的每个业务接口上配置两个VRRP备份组,且分别设置为active、standby状态,两台防火墙上同一个VRRP备份组的状态必须不同,一个为active,另一个为standby。
②业务接口工作在第三层连接路由器,需要在防火墙配置VGMP直接监控接口hrp track interface;
主备备份方式:需要使用命令hrp standby-device指定一台备用设备,还需要使用命令hrp adjust ospf-cost/bgp-adjust enable调整对应开销值;
负载分担方式:需要使用命令hrp adjust ospf-cost/bgp-adjust enable调整对应开销值,还需要在防火墙上下行路由器上合理配置OSPF开销值,将流量均与引导到两台防火墙上处理。
③业务接口工作在二层,需要在防火墙上配置VGMP组监控Vlan:hrp track vlan;
主备备份方式:将主用设备的业务接口加入同个Vlan,使用命令hrp standby-device指定一台备用设备;
负载分担方式:每台设备的业务接口加入同一个Vlan,不需要指定一台备用设备。
3、VGMP组监控路由邻居
支持与OSPF、BGP路由协议联动。
4、心跳接口配置
防火墙双机热备之HRP详解
https://blog.csdn.net/Mario_Ti/article/details/135527645?spm=1001.2014.3001.5502
5、启动双机热备
hrp enable启动双机热备,配置正确即可成功建立双机热备状态,出现HRP_M和HRP_S。
6、备份方式
①自动备份功能默认开启,建议不关闭;
②若主备设备之间不同步,需要清除备用设备相关配置,再用主用设备执行手工批量备份hrp sync config;
③负载分担组网一般需要开启快速会话备份功能hrp mirror session enable。
7、安全业务
在主用防火墙可配置安全业务,如安全策略、NAT、攻击防范、带宽管理、VPN等。
三、配置检查和结果验证
①是否有出现HRP_M和HRP_S标识;
②根据下表检查
| 适用场景 | 是否必选 | 检查项 | 方法 |
| 通用 | 必选 | 型号、软件版本是否一致 | display version |
| 必选 | 部件类型、安装位置一致 | display device | |
| 必选 | 使用相同的业务接口 | display hrp state interface | |
| 必选 | 使用相同的心跳接口 | display hrp interface | |
| 必选 | Eth-Trunk接口成员是否相同 | display eth-trunk trunk-id | |
| 必选 | 接口是否加入相同的安全区域 | display zone | |
| 必选 | 配置一致:双机热备、审计策略、认证策略、安全策略、NAT策略、贷款策略 | display hrp configuration check all | |
| 业务接口工作在三层 | 必选 | 接口配置IP地址 | display ip interface brief |
| 必选 | 连接交换机,两台防火墙的业务接口是否加入相同的VRRP备份组 | display vrrp interface interface-type interface-number | |
| 必选 | 连接交换机,防火墙上下行设备将VRRP备份组的虚拟IP地址设置为下一跳地址 | 检查防火墙的上下行设备的静态路由配置 | |
| 必选 | 连接路由器,主备备份时,备用设备需要配置hrp standby-device,负载分担时,两台防火墙均不需要此配置 | display hrp state verbose | |
| 必选 | 连接路由器,防火墙正确运行OSPF协议,且OSPF区域不包括心跳接口 | display ospf [process-id] brief | |
| 必选 | 连接路由器,需要根据运行的路由协议配置根据主备状态调整OSPF Cost值/BGP MED值功能 | display hrp state verbose | |
| 业务接口工作在第二层 | 必选 | 防火墙上下行业务接口加入到同一个VLAN | display port vlan [interface-type interface-number] |
| 必选 | 主备备份,备用防火墙配置hrp standby-device 命令 | display hrp state verbose | |
| 必选 | 连接交换机,推荐使用主备备份方式 | display hrp state verbose | |
| 必选 | 连接路由器,推荐使用负载分担方式 | display hrp state verbose | |
| 负载分担 | 必选 | 启用会话快速备份功能 | display hrp state verbose |
| 必选 | 正确指定NAT地址池的端口范围 | display hrp state verbose | |
| 镜像模式 | 必选 | 启用镜像模式 | display hrp state verbose |
| 必选 | 两台防火墙上编号相同的业务接口使用相同的IP地址 | display ip interface brief | |
| 必选 | 正确配置镜像模式管理接口 | display current-configuration include hrp mgt-intetface |
③在主用设备接口视图执行shutdown命令,验证主用设备是否进行切换,查看两台防火墙的标识有无变化(HRP_M和HRP_S标识),业务是否正常转发,再执行undo shutdown命令,等待抢占定时器超时后,再次查看标识变化,业务是否正常转发;
④再使用rebot重复③操作。
参考资料:防火墙和VPN技术与实践——李学昭