華為防火墻(VRRP)雙機(jī)熱備配置及組網(wǎng)

1、防火墻雙機(jī)熱備配置及組網(wǎng)指導(dǎo)防火墻雙機(jī)熱備，主要是提供冗余備份的功能，在網(wǎng)絡(luò)發(fā)生故障的時(shí)候避免業(yè)務(wù)出現(xiàn)中斷。防火墻雙機(jī)熱備組網(wǎng)根據(jù)防火墻的模式，分路由模式下的雙機(jī)熱備組網(wǎng)和透明模式下的雙機(jī)熱備組網(wǎng)，下面分別根據(jù)防火墻的不同模式下的組網(wǎng)提供組網(wǎng)說明及典型配置。1 防火墻雙機(jī)熱備命令行說明 防火墻的雙機(jī)熱備的配置主要涉及到HRP的配置，VGMP的配置，以及VRRP的配置，防火墻的雙機(jī)熱備組網(wǎng)配置需要根據(jù)現(xiàn)網(wǎng)的業(yè)務(wù)和用戶的需求來進(jìn)行調(diào)整，下面就防火墻的雙機(jī)熱備配置涉及到的命令行做一個(gè)解釋說明。1.1 HRP命令行配置說明HRP是華為的冗余備份協(xié)議， Eudemon 防火墻使用此協(xié)議進(jìn)行備份組網(wǎng)，達(dá)到

2、鏈路狀態(tài)備份的目的，從而保證在設(shè)備發(fā)生故障的時(shí)候業(yè)務(wù)正常。HRP協(xié)議是華為自己開發(fā)的協(xié)議，主要是在VGMP協(xié)議的基礎(chǔ)上進(jìn)行擴(kuò)展得到的；VGMP是華為的私有協(xié)議，主要是用來管理VRRP的，VGMP也是華為的私有協(xié)議，是在VRRP的基礎(chǔ)上進(jìn)行擴(kuò)展得到的。不管是VGMP的報(bào)文，還是HRP的報(bào)文，都是VRRP的報(bào)文，只是防火墻在識(shí)別這些報(bào)文的時(shí)候能根據(jù)自己定義的字段能判斷出是VGMP的報(bào)文，HRP的報(bào)文，或者是普通的VRRP的報(bào)文。在Eudemon防火墻上，hrp的作用主要是備份防火墻的會(huì)話表，備份防火墻的servermap表，備份防火墻的黑名單，備份防火墻的配置，以及備份ASPF模塊中的公私網(wǎng)地址映

3、射表和上層會(huì)話表等。兩臺(tái)防火墻正確配置VRRP，VGMP，以及HRP之后，將會(huì)形成主備關(guān)系，這個(gè)時(shí)候防火墻的命令行上會(huì)自動(dòng)顯示防火墻狀態(tài)是主還是備，如果命令行上有HRP_M的標(biāo)識(shí)，表示此防火墻和另外一臺(tái)防火墻進(jìn)行協(xié)商之后搶占為主防火墻，如果命令行上有HRP_S的標(biāo)識(shí)，表示此防火墻和另外一臺(tái)防火墻進(jìn)行協(xié)商之后搶占為備防火墻。防火墻的主備狀態(tài)只能在兩臺(tái)防火墻之間進(jìn)行協(xié)商，并且協(xié)商狀態(tài)穩(wěn)定之后一定是一臺(tái)為主狀態(tài)另外一臺(tái)為備狀態(tài)，不可能出現(xiàn)兩臺(tái)都為主狀態(tài)或者都是備狀態(tài)的。在防火墻的HRP形成主備之后，我們稱HRP的主備狀態(tài)為HRP主或者是HRP備狀態(tài)，在形成HRP的主備狀態(tài)之后默認(rèn)是一部分配置在主防火

4、墻上配置之后能自動(dòng)同步到備防火墻上的，而這些命令將不能在備防火墻的命令行上執(zhí)行，這些命令包括ACL，接口加入域等，但其中一些命令行是不會(huì)從主防火墻上備份到備防火墻上。HRP的配置命令的功能和使用介紹如下： hrp enable ：HRP使能命令，使能HRP之后防火墻將形成主備狀態(tài)。 hrp configuration check acl ：檢查主備防火墻兩端的ACL的配置是否一致。執(zhí)行此命令之后，主備防火墻會(huì)進(jìn)行交互，執(zhí)行完之后可以通過命令行display hrp configuration check acl來查看兩邊的配置是否一致。 hrp configuration check hrp

5、：檢查主備防火墻兩端的HRP的配置是否一致。執(zhí)行此命令之后，主備防火墻會(huì)進(jìn)行交互，執(zhí)行完之后可以通過命令行display hrp configuration check acl來查看兩邊的配置是否一致。 hrp interface Ethernet/ GigabitEthernet ：添加防火墻配置會(huì)話備份通道。通常就是指防火墻心跳口，此接口用來備份防火墻的會(huì)話的。 hrp interface Ethernet 1/0/0 high-availability ：配置防火墻的高可用性接口。主要是用來實(shí)現(xiàn)防火墻的會(huì)話快速備份，如果不配置high-availability，會(huì)話快速備份的命令將不能使

6、能，配置此命令之后，此接口會(huì)被有限選擇作為防火墻會(huì)話備份的接口。在防火墻上配置了hrp interface之后，防火墻選擇備份通道的接口為：先選擇配置的時(shí)候帶了high-availability的接口，如果配置了多個(gè)帶high-availability的接口，先選擇槽位號(hào)和端口號(hào)比較小的接口，然后在選擇槽位號(hào)和端口號(hào)比較小的不帶high-availability的接口。接口發(fā)生故障導(dǎo)致接口上的VRRP處于初始化狀態(tài)或者是接口上的VRRP所屬的VGMP沒有使能的時(shí)候，防火墻會(huì)重新選擇備份通道。 hrp mirror session enable ：會(huì)話快速備份使能命令，此命令使能之后防火墻上對(duì)新

7、建的會(huì)話或者是刷新的會(huì)話立即備份到對(duì)端防火墻上，在配置high-availability之后才能配置此命令。 hrp mirror packet enable ：報(bào)文搬遷使能命令，此命令使能之后，如果ICMP的應(yīng)答報(bào)文或者是TCP的ACK報(bào)文在其中一臺(tái)防火墻上找不到會(huì)話，會(huì)把報(bào)文搬遷到另外一臺(tái)防火墻上，如果在另外一臺(tái)防火墻上找到會(huì)話，報(bào)文根據(jù)會(huì)話轉(zhuǎn)發(fā)，如果找不到會(huì)話，直接丟棄。此功能現(xiàn)在保留，但是基本上不再使用，因?yàn)榉阑饓?huì)話快速備份使能之后會(huì)話在建立或者是刷新的時(shí)候馬上就能備份到對(duì)端防火墻上，并且報(bào)文搬遷占用比較多的帶寬，所以這個(gè)命令推薦不使用。 hrp ospf-cost adjust-e

8、nable ：這個(gè)命令是在防火墻和路由器組網(wǎng)的時(shí)候使用的，在防火墻上配置這個(gè)命令后，防火墻發(fā)布OSPF的路由的時(shí)候，會(huì)判斷是主防火墻或者是備防火墻，如果是主防火墻，防火墻把學(xué)習(xí)到的路由直接發(fā)布出去，如果是備防火墻，防火墻把學(xué)習(xí)到的路由加上一個(gè)COST值再發(fā)布出去，這個(gè)COST值默認(rèn)是65535，可以根據(jù)需要進(jìn)行調(diào)整，這樣和防火墻相連的路由器在計(jì)算路由的時(shí)候，路由就都能指到主防火墻上，路由器把報(bào)文轉(zhuǎn)發(fā)到主防火墻上。在使用防火墻和路由器進(jìn)行組網(wǎng)起OSPF協(xié)議的時(shí)候，盡量保證OSPF的域小一些，這樣在防火墻發(fā)生主備倒換的時(shí)候，OSPF的路由能盡快收斂，保證業(yè)務(wù)很快恢復(fù)。 hrp auto-sync

9、connection-status ：防火墻連接狀態(tài)備份命令。防火墻會(huì)話備份不分防火墻是主防火墻或者是備防火墻，使能了次命令后，防火墻都能把自己建立的會(huì)話或者是刷新的會(huì)話備份到對(duì)端防火墻上。此命令行在防火墻hrp enable執(zhí)行之后就默認(rèn)使能了。 hrp auto-sync config：防火墻配置備份命令。防火墻上使能此命令后，在主防火墻上配置的命令行如ACL，域等都可以自動(dòng)備份到備防火墻上，保證命令行能實(shí)時(shí)同步。此命令行在hrp enable之后就默認(rèn)使能了，此時(shí)在備防火墻上是默認(rèn)不能配置ACL等配置的，但是如果需要單獨(dú)配置，執(zhí)行undo hrp auto-sync config就可以在

10、備防火墻上配置此命令行了，主防火墻上執(zhí)行ACL等配置發(fā)送到備防火墻上不會(huì)備執(zhí)行，如果在主防火墻上執(zhí)行此命令，主防火墻上將不把配置發(fā)送到備防火墻上執(zhí)行。 hrp auto-sync config batch-backup ：防火墻配置批量備份使能命令。使能此命令，在防火墻發(fā)生主備倒換之后，新的主防火墻備自動(dòng)把配置備份到新的備防火墻上。此命令默認(rèn)是不使能的，現(xiàn)在也不推薦使用，因?yàn)榕總浞輰⑾拇罅康腃PU資源，可能在執(zhí)行批量備份的時(shí)候影響某些業(yè)務(wù)。 hrp sync config：防火墻配置批量備份命令。執(zhí)行此命令后主防火墻能把自己的配置發(fā)送到備防火墻上執(zhí)行，此命令行在用戶視圖下使用，在使能了hr

11、p之后才能使用。此命令默認(rèn)是也不推薦使用，因?yàn)榕總浞輰⑾拇罅康腃PU資源，可能在執(zhí)行批量備份的時(shí)候影響某些業(yè)務(wù)。 hrp sync connection-status：手工同步連接狀態(tài)信息命令，會(huì)進(jìn)行會(huì)話，黑名單，地址轉(zhuǎn)換表，以及ARP表等的備份等，同時(shí)對(duì)于Eudemon 1000來說還會(huì)刷新備份的通道。 display hrp：顯示當(dāng)前HRP的狀態(tài)信息，主要包括HRP的備份通道，HRP的狀態(tài)，hrp是否使能快速備份，為MASTER狀態(tài)的VGMP信息。 display hrp verbose：顯示當(dāng)前HRP的詳細(xì)狀態(tài)信息。1.2 VGMP配置說明VGMP（vrrp group manage

12、ment protocol）是VRRP的組管理協(xié)議，同樣VGMP協(xié)議也是華為私有的協(xié)議。VGMP通過把VRRP加入到一個(gè)組中進(jìn)行管理，通過VGMP報(bào)文和對(duì)端進(jìn)行協(xié)商，確定自己和對(duì)端的VGMP的狀態(tài)，根據(jù)VGMP的狀態(tài)的主備，把VGMP組下面的VRRP的狀態(tài)改成和VGMP的狀態(tài)一致。VGMP狀態(tài)也分Master和Slave，同樣VGMP報(bào)文是在VRRP報(bào)文的基礎(chǔ)上進(jìn)行封裝的，它通過VRRP報(bào)文通知對(duì)端自己的狀態(tài)以及和對(duì)端進(jìn)行協(xié)商。防火墻的VGMP功能現(xiàn)在支持兩臺(tái)防火墻之間的VGMP協(xié)商，通過協(xié)商，在兩臺(tái)防火墻上形成一主一備的狀態(tài)，當(dāng)其中主防火墻發(fā)生故障或者其他原因?qū)е耉GMP的優(yōu)先級(jí)降低的時(shí)候，

13、備防火墻的VGMP會(huì)搶占為主，原來的主防火墻的VGMP會(huì)變成備，同時(shí)VGMP組里面的VRRP也跟隨這VGMP的狀態(tài)的變化發(fā)生變化。通過VGMP來管理VRRP，使VGMP為主的防火墻對(duì)外發(fā)布VGMP組下面的所有的VRRP的虛地址，而VGMP為備的防火墻不對(duì)外發(fā)布VRRP虛地址，形成VRRP的冗余備份。VGMP的配置命令的功能和使用介紹如下： vrrp group ：創(chuàng)建VGMP管理組。執(zhí)行此命令行之后，創(chuàng)建一個(gè)VGMP管理組，并進(jìn)入此管理組視圖，所有的VGMP的配置都在VGMP視圖下進(jìn)行配置。 add interface Ethernet 1/0/7 vrrp vrid 1 ：把接口Ethern

14、et1/0/7下配置的VRRP 1加入到此管理組進(jìn)行管理。 add interface Ethernet 1/0/7 vrrp vrid 1 data ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理組進(jìn)行管理，并且把接口Ethernet1/0/7作為發(fā)送VGMP數(shù)據(jù)報(bào)文的通道。配置了發(fā)送VGMP的數(shù)據(jù)通道之后，VGMP才能使能。防火墻的配置同步是通過VGMP的數(shù)據(jù)通道進(jìn)行發(fā)送的。 add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only ：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理組進(jìn)行管理

15、，并且把接口Ethernet1/0/7作為發(fā)送VGMP數(shù)據(jù)報(bào)文的通道，并且此接口下的VRRP的或者優(yōu)先級(jí)發(fā)生變化的時(shí)候不參與到VGMP優(yōu)先級(jí)的計(jì)算。通常在防火墻上下行都是交換機(jī)組網(wǎng)的情況，心跳口上的VRRP可以以此種方式加入到VGMP組中。 add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1：把接口Ethernet1/0/7下配置的VRRP 1加入到此管理組進(jìn)行管理，并且把接口Ethernet1/0/7作為發(fā)送VGMP數(shù)據(jù)報(bào)文的通道，同時(shí)在VGMP上綁定ip-link功能。ip-link的使用介紹請(qǐng)參考其他文檔。 vrrp-group

16、enable：VGMP組使能命令。在配置了VGMP的數(shù)據(jù)通道之后，此命令才可以執(zhí)行，執(zhí)行此命令后，防火墻會(huì)從數(shù)據(jù)通道發(fā)送VGMP的報(bào)文和對(duì)端防火墻進(jìn)行交互，確定VGMP的主備狀態(tài)。 vrrp-group preempt：配置VGMP組的搶占模式。此命令配置之后本端VGMP和對(duì)端VGMP進(jìn)行協(xié)商，并進(jìn)行搶占，如果優(yōu)先級(jí)高就搶占為主，如果優(yōu)先級(jí)低就被搶占為備。配置此命令后默認(rèn)搶占延時(shí)為0，即立即搶占。 vrrp-group preempt delay ：配置VGMP組搶占延時(shí)，單位為毫秒（ms），如果本地的VGMP組的優(yōu)先級(jí)比對(duì)端的VGMP的優(yōu)先級(jí)高，在延時(shí)配置的時(shí)間后VGMP就搶占為Master

17、狀態(tài)。對(duì)于防火墻組網(wǎng)，我們建議的搶占方式是備防火墻搶占延時(shí)為0，主防火墻配置搶占延時(shí)為20000ms或者是不搶占。具體的配置在相關(guān)組網(wǎng)中詳細(xì)說明如何配置防火墻的搶占方式。 vrrp-group priority ：配置VGMP組的優(yōu)先級(jí)。配置VGMP組的優(yōu)先級(jí)后， VGMP和對(duì)端的防火墻的VGMP進(jìn)行協(xié)商，并確定VGMP的主備狀態(tài)。默認(rèn)使用這種方式作為VGMP組的優(yōu)先級(jí)，默認(rèn)優(yōu)先級(jí)是100。VGMP組的優(yōu)先級(jí)調(diào)整算法為：當(dāng)前優(yōu)先級(jí)（當(dāng)前優(yōu)先級(jí)/16）。如果VGMP組下的一個(gè)VRRP變成初始化狀態(tài)，則VGMP組的優(yōu)先級(jí)調(diào)整一次，同樣如果配置的一個(gè)ip-link檢測遠(yuǎn)端IP為不可達(dá)，VGMP組的優(yōu)

18、先級(jí)也會(huì)調(diào)整一次，每次都使用上面的算法進(jìn)行調(diào)整。對(duì)于采用此種方式，建議主防火墻配置為105，備防火墻使用默認(rèn)配置100。 vrrp-group priority using-vrrppriority：使用VRRP的優(yōu)先級(jí)作為VGMP組的優(yōu)先級(jí)。配置VGMP組的優(yōu)先級(jí)后，VGMP和對(duì)端的防火墻的VGMP進(jìn)行協(xié)商，并確定VGMP的主備狀態(tài)。如果采用此種方式?jīng)Q定VGMP組的優(yōu)先級(jí)，首先把VGMP組下所有的VRRP的優(yōu)先級(jí)加起來，再除以VGMP組下的VRRP的個(gè)數(shù)。如果還在VGMP下面配置了ip-link，并且ip-link檢測到遠(yuǎn)端的IP地址不可達(dá)，計(jì)算出ip-link調(diào)整的優(yōu)先級(jí)，計(jì)算方法為ip-

19、link綁定的VRRP的優(yōu)先級(jí)除以16，然后用根據(jù)VGMP組下的所有的VRRP計(jì)算出來的優(yōu)先級(jí)減去ip-link調(diào)整的優(yōu)先級(jí)，得到最終的VGMP組的優(yōu)先級(jí)。采用此種方式，建議VRRP的優(yōu)先級(jí)主防火墻配置為105，備防火墻配置為默認(rèn)的100。 vrrp-group priority plus ：此命令也是用來調(diào)整VGMP的優(yōu)先級(jí)的，但是現(xiàn)在不再使用，也不推薦配置此命令。 vrrp-group manual-preempt：VGMP組手動(dòng)搶占命令。在VGMP配置了搶占延時(shí)的時(shí)候，如果延時(shí)時(shí)間沒有到，即使本地防火墻的VGMP組的優(yōu)先級(jí)比對(duì)端高，也不進(jìn)行搶占。如果在VGMP組下面配置了不搶占，即使本地

20、優(yōu)先級(jí)比對(duì)端高，也不進(jìn)行搶占。但是通過vrrp-group manual-preempt可以進(jìn)行手動(dòng)搶占，如果本地VGMP組優(yōu)先級(jí)高，配置的搶占延時(shí)沒有到或者配置不搶占，通過此命令本地VGMP能馬上搶占為Master狀態(tài)。 vrrp-group timer hello ：VGMP組發(fā)送VGMP的hello報(bào)文的時(shí)間間隔，單位為毫秒（ms），默認(rèn)值為1000ms。通過配置VGMP組下的VGMP的hello報(bào)文的發(fā)送時(shí)間間隔，VGMP組能更快的進(jìn)行搶占切換。建議采用默認(rèn)值，如果參數(shù)設(shè)置的太小，導(dǎo)致防火墻發(fā)送和接受的VGMP的報(bào)文的數(shù)量會(huì)很多，會(huì)占用較多的CPU資源，并且配置1s的hello報(bào)文的時(shí)

21、間間隔也能滿足現(xiàn)網(wǎng)故障反應(yīng)時(shí)間間隔。 vrrp-group group-send：VGMP組下的所有數(shù)據(jù)通道都發(fā)送VGMP報(bào)文。配置此命令后，VGMP發(fā)送數(shù)據(jù)報(bào)文和hello報(bào)文的時(shí)候，加入此VGMP組的每個(gè)數(shù)據(jù)通道都發(fā)送一次。此命令默認(rèn)不使能，VGMP會(huì)自動(dòng)選擇一個(gè)數(shù)據(jù)通道作為發(fā)送VGMP報(bào)文的通道，并且在檢測到數(shù)據(jù)通道發(fā)生故障的時(shí)候重新進(jìn)行選擇。1.3 VRRP配置說明防火墻的VRRP和標(biāo)準(zhǔn)的VRRP協(xié)議一樣，下面大概說說VRRP的配置，詳細(xì)信息可以找相關(guān)的RFC查看。在防火墻上，如果VRRP加入到VGMP中，VRRP的狀態(tài)由VGMP決定，不再自己協(xié)商。VRRP的配置命令的功能和使用介紹如

22、下： vrrp vrid 1 virtual-ip 1.1.1.100：在接口視圖下配置VRRP。此命令是在接口上配置VRRP的ID以及VRRP的虛地址。 vrrp vrid 1 track Ethernet1/0/6：配置VRRP監(jiān)視的端口。配置監(jiān)視的端口之后，如果此端口的協(xié)議狀態(tài)down，VRRP的優(yōu)先級(jí)會(huì)自動(dòng)調(diào)整。默認(rèn)是調(diào)整10，可以在此命令后面繼續(xù)配置下降多少。 vrrp vrid 1 priority ：配置VRRP的優(yōu)先級(jí)。默認(rèn)值是100，如果是主防火墻，建議配置為105，備防火墻建議配置為默認(rèn)值100。 vrrp vrid 1 timer advertise ：VRRP的hell

23、o報(bào)文發(fā)送的時(shí)間間隔。默認(rèn)VRRP的hello報(bào)文的發(fā)送時(shí)間間隔為1s，建議使用默認(rèn)配置。 vrrp vrid 1 preempt-mode：VRRP的搶占參數(shù)。如果VRRP加入VGMP組中，VRRP的搶占參數(shù)不再生效。1.4 IP-Link配置說明1.4.1 ip-link功能說明：防火墻ip-link功能是一種檢測三層鏈路是否可達(dá)的功能，基本原理就是在防火墻上配置ip-link使能并配置ip-link的目的地址之后，防火墻會(huì)向該目的地址發(fā)送icmp的報(bào)文判斷該目的地址是否可達(dá)，判斷從防火墻到該目的地址三層鏈路是否可通，應(yīng)用在雙機(jī)熱備組網(wǎng)中，VGMP能根據(jù)ip-link特測的結(jié)果調(diào)整VGMP

24、的優(yōu)先級(jí)，從而使防火墻在和路由器組網(wǎng)中能在發(fā)生故障的時(shí)候進(jìn)行主備倒換。防火墻在使能ip-link功能時(shí)，需要判斷ip-link的目的地址的設(shè)備能和防火墻進(jìn)行正常的icmp交互，這樣防火墻才能正確的檢測該目的地址，從而在該設(shè)備發(fā)生故障的時(shí)候正確引導(dǎo)主備防火墻進(jìn)行主備切換，所以ip-link使用的前提條件是ip-link配置的目的地址的設(shè)備能正常的和防火墻進(jìn)行icmp會(huì)話。1.4.2 ip-link在組網(wǎng)中的應(yīng)用：防火墻的ip-link功能一般使用的雙機(jī)熱備組網(wǎng)環(huán)境中常見組網(wǎng)如下圖所示：0/00/10/10/00/0防火墻A(主)路由器A路由器C防火墻B(備)路由器B如上圖所示,如果在防火墻上不使

25、能ip-link功能，正常情況下報(bào)文會(huì)通過防火墻A進(jìn)行轉(zhuǎn)發(fā)，這時(shí)必須保證防火墻A的上下行設(shè)備都是正常工作。但是一旦和防火墻A相連的路由器A的0/1口發(fā)生故障，報(bào)文不能從該口進(jìn)行轉(zhuǎn)發(fā)，此時(shí)防火墻A的VRRP是檢測不到路由器A的0/1口發(fā)生故障的，報(bào)文會(huì)繼續(xù)從防火墻A轉(zhuǎn)發(fā)到路由器A，導(dǎo)致業(yè)務(wù)中斷。如果在防火墻A上使能ip-link的功能，使得ip-link的目的地址是路由器A的0/1口，當(dāng)路由器A的0/1口發(fā)生故障的時(shí)候，防火墻A能探測到路由器A的0/1接口的IP地址是不可達(dá)的，此時(shí)防火墻A認(rèn)為從本地0/0口出去的鏈路不通，這個(gè)時(shí)候防火墻A會(huì)自動(dòng)調(diào)整優(yōu)先級(jí)，使防火墻A和防火墻B發(fā)生主備倒換，防火墻

26、A上面的業(yè)務(wù)全部轉(zhuǎn)移到防火墻B上，保證了業(yè)務(wù)的正常轉(zhuǎn)發(fā)。1.4.3 防火墻ip-link的配置：在防火墻上配置ip-link功能時(shí)首先要確認(rèn)ip-link配置中的目的地址的設(shè)備在正常的情況下能正確的和防火墻進(jìn)行icmp會(huì)話。相關(guān)配置介紹如下：1：使能防火墻ip-link功能在系統(tǒng)視圖下執(zhí)行命令ip-link check enable 如：Eudemonip-link check enable2：配置ip-link其他參數(shù)ip-link INTEGER vpn-instance vpn-name destination X.X.X.X interface | timer 上述命令參數(shù)含義可參考命

27、令行給出的提示信息。3：vrrp綁定ip-link 進(jìn)入VGMP的視圖 Vrrp group 1配置ip-linkE1000_A-vrrpgroup-1add int Ethernet 4/0/0 vrrp vrid 1 ip-link 1 1.4.4 防火墻ip-link的配置：配置防火墻ip-link使能之后，防火墻將向ip-link目的地址的設(shè)備發(fā)送icmp報(bào)文檢測目的設(shè)備是否正常。我們通過查看vrrp 組的狀態(tài)可以看到ip-link已經(jīng)開始影響vrrp組的優(yōu)先級(jí)了，防火墻ip-link檢查調(diào)整優(yōu)先級(jí)的大小和加入vrrp管理組的接口down掉調(diào)整vrrp管理組的優(yōu)先級(jí)相同。 HRP_ME

28、1000_Adis v v Vrrp Group 16 state : Master Priority : 98 此處優(yōu)先級(jí)會(huì)根據(jù)ip-link檢查的結(jié)果進(jìn)行調(diào)整 Preempt : YES Delay Time : 0 Timer : 1000 Group-Send : YES Peer Status : OnLine Vrrp number : 3 : Same interface : Ethernet4/0/7, vrrp id : 254 Up interface : Ethernet4/0/0, vrrp id : 2 Up interface : Ethernet4/0/1, vr

29、rp id : 1 Down,ip-link: 32 Down2 防火墻雙機(jī)熱備典型組網(wǎng)防火墻雙機(jī)熱備，主要是提供冗余備份的功能，在網(wǎng)絡(luò)發(fā)生故障的時(shí)候避免業(yè)務(wù)出現(xiàn)中斷。防火墻雙機(jī)熱備組網(wǎng)根據(jù)防火墻的模式，分路由模式下的雙機(jī)熱備組網(wǎng)和透明模式下的雙機(jī)熱備組網(wǎng)，不管是在路由模式下還是在透明模式下，我們都建議采用主備的組網(wǎng)方式而不采用負(fù)載分擔(dān)的組網(wǎng)方式。在防火墻雙機(jī)熱備組網(wǎng)的時(shí)候，我們需要根據(jù)需求決定組網(wǎng)情況以及在此組網(wǎng)下出現(xiàn)網(wǎng)絡(luò)故障的時(shí)候防火墻如何正確的倒換保證業(yè)務(wù)正常，這些都是在配置的時(shí)候需要考慮的。下面分別根據(jù)防火墻的不同模式下的組網(wǎng)提供組網(wǎng)說明及典型配置。2.1 路由模式防火墻和路由器雙機(jī)熱

30、備組網(wǎng)路由模式下的組網(wǎng)分防火墻和路由器組網(wǎng)，防火墻和交換及組網(wǎng)，以及防火墻上下行分別是交換機(jī)和路由器的組網(wǎng)，下面就防火墻和這些設(shè)備的組網(wǎng)做一個(gè)說明。2.1.1 組網(wǎng)一：推薦組網(wǎng)發(fā)生故障防火墻倒換調(diào)整路由后業(yè)務(wù)走向 主防火墻 備防火墻雙機(jī)熱備心跳線鏈路正常時(shí)的業(yè)務(wù)走向OSPF區(qū)域OSPF區(qū)域故障時(shí)此處鏈路down，防火墻主備倒換，調(diào)整對(duì)外發(fā)布的路由R1R2R3R4FW-1FW-2如上圖所示，此種組網(wǎng)是防火墻上下行都是路由器的時(shí)候在外面應(yīng)用的最多的一種組網(wǎng)，對(duì)于此種組網(wǎng)，防火墻需要和路由器之間起OSPF協(xié)議。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同

31、一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)只在主防火墻上轉(zhuǎn)發(fā)。如果要形成負(fù)載分擔(dān)的組網(wǎng)，即主備防火墻上都有轉(zhuǎn)發(fā)業(yè)務(wù)，需要保證防火墻上下行的路由器上都能有業(yè)務(wù)到達(dá)防火墻，這個(gè)可以通過配置等價(jià)路由的方式實(shí)現(xiàn)，同時(shí)在防火墻上去掉根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST的命令。在防火墻上配置會(huì)話快速備份功能，保證在存在來回路徑不一致的時(shí)候不影響業(yè)務(wù)。組網(wǎng)優(yōu)點(diǎn)：1：網(wǎng)絡(luò)拓?fù)浜唵危l(fā)生故障的時(shí)候OSPF的路由能快速收斂，減小業(yè)務(wù)中斷的時(shí)間，同時(shí)出現(xiàn)問題時(shí)定位比較容易。2：防火墻上下行業(yè)務(wù)口采用1GE的板卡，成本較

32、低，轉(zhuǎn)發(fā)性能高，能達(dá)到防火墻最大轉(zhuǎn)發(fā)性能。3：可以根據(jù)需要，只需要在命令行上配置，就能在主備組網(wǎng)和負(fù)載分擔(dān)組網(wǎng)上進(jìn)行切換。4：對(duì)已經(jīng)存在的都是路由器的組網(wǎng)如果需要加防火墻可以采用這種組網(wǎng)方案。組網(wǎng)缺點(diǎn)：1：此種組網(wǎng)使某些在防火墻上開始或者是終止的應(yīng)用類型如L2tp和IPSEC等這些應(yīng)用，不能使用虛地址，因?yàn)橐坏┢渲幸慌_(tái)防火墻down掉，虛地址將不能生效。所以需要采用虛地址的應(yīng)用將在這種組網(wǎng)中不能使用。2：發(fā)生故障的時(shí)候，OSPF的收斂時(shí)間較長，如果業(yè)務(wù)中斷的時(shí)候需要更快的響應(yīng)時(shí)間，防火墻上下行最好采用VRRP，這樣故障的時(shí)候相應(yīng)切換速度最快。可靠性分析：這里只分析主備組網(wǎng)的可靠性。如圖所示，防

33、火墻和路由器組網(wǎng)，鏈路正常的時(shí)候，業(yè)務(wù)走向?yàn)閳D中藍(lán)色的路徑。此時(shí)防火墻FW-2為主防火墻，F(xiàn)W-1為備防火墻，備防火墻向外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)COST值（默認(rèn)是65500）。1：FW-2和R4之間的鏈路故障當(dāng)FW-2和R4之間的鏈路故障，防火墻上配置的vrrp track了此接口，所以vrrp的優(yōu)先級(jí)降低，并且是使用的vrrp的優(yōu)先級(jí)作為VGMP的優(yōu)先級(jí)，所以vgmp的優(yōu)先級(jí)降低，此時(shí)FW-2的優(yōu)先級(jí)比FW-1的優(yōu)先級(jí)低，防火墻發(fā)生主備倒換，F(xiàn)W-1變成主防火墻，F(xiàn)W-2變成備防火墻。在防火墻發(fā)生主備倒換之后，F(xiàn)W-1和FW-2都會(huì)更新自身的路由并對(duì)外發(fā)布路由，此時(shí)FW-1為主，對(duì)外直

34、接發(fā)布自身的路由，而FW-2變成了備防火墻，對(duì)外發(fā)布路由的時(shí)候會(huì)另外加上一個(gè)cost值（默認(rèn)是65500），路由重新計(jì)算并收斂，業(yè)務(wù)都從FW-1上走。此組網(wǎng)圖中任何一個(gè)和防火墻相連的路由器的鏈路down或者是路由器故障，都會(huì)引發(fā)上述過程。2：防火墻故障 如果是其中FW-2防火墻發(fā)生故障down或者是重啟，此時(shí)FW-1防火墻因?yàn)樾奶赿own，導(dǎo)致vrrp的狀態(tài)變成初始化狀態(tài)，VGMP的狀態(tài)也變成初始化狀態(tài)，HRP的狀態(tài)變成初始化狀態(tài)，此時(shí)防火墻更新自身路由，同時(shí)整個(gè)鏈路的路由收斂，業(yè)務(wù)從沒有故障的防火墻上走，從而保證業(yè)務(wù)的正常。如果發(fā)生故障的防火墻FW-2恢復(fù)，防火墻FW-1上的VRRP會(huì)up

35、起來，VGMP會(huì)變成主狀態(tài)，HRP也會(huì)變成主狀態(tài)，而FW-2上的VRRP，VGMP以及HRP都是備狀態(tài)，F(xiàn)W-2和FW-1都對(duì)外發(fā)布路由信息，HRP狀態(tài)為備FW-2對(duì)外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)cost值，使業(yè)務(wù)仍然從為主的FW-1上走。如果VGMP配置了搶占，搶占延時(shí)設(shè)置為20s左右，保證FW-1上的會(huì)話充分備份到FW-2上，此時(shí)FW-2變成主防火墻的時(shí)候重新發(fā)布路由，業(yè)務(wù)從主防火墻FW-2上走，因?yàn)闀?huì)話已經(jīng)從FW-1上備份過來了，所以也不會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。 如果是防火墻之間的心跳線中的一根down掉，因?yàn)閮膳_(tái)防火墻上的兩個(gè)心跳線上都配置了VRRP并加入了VGMP組中，所以不會(huì)對(duì)狀態(tài)產(chǎn)生影

36、響，但是要注意即使是防火墻的一根心跳線down，也要保證在其他設(shè)備出現(xiàn)故障的時(shí)候防火墻能正常倒換，所以需要每個(gè)接口上的VRRP都track上下行業(yè)務(wù)口。組網(wǎng)配置要點(diǎn)： 主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線形成備份，保證其中一根心跳線down掉的時(shí)候另外一根心跳線也能做備份通道。2：防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，每個(gè)VRRP都監(jiān)視防火墻的上下兩個(gè)業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100。3：防火墻上下行接口都加入到同一個(gè)link-group組中，保證一個(gè)

37、接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。4：在防火墻上配置ip-link，分別檢測防火墻上下行路由器的接口，保證在接口沒有down但是不轉(zhuǎn)發(fā)數(shù)據(jù)的時(shí)候防火墻也能檢測到并且能進(jìn)行主備倒換，注意使用ip-link的時(shí)候需要添加包過濾規(guī)則使防火墻和路由器能進(jìn)行icmp交互。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過后OSPF能快速收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過acl

38、限制私網(wǎng)路由的發(fā)布。6：配置根據(jù)HRP的狀態(tài)調(diào)整OSPF的cost值的命令，形成主備模式的組網(wǎng)。7：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。8：心跳口不能配置成transfer-only，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無法協(xié)商形成主備，配置的transfer-only上綁定的ip-link也將不再起

39、作用。9：配置會(huì)話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。10：配置VGMP為主的防火墻VGMP不搶占，這樣在主防火墻發(fā)生故障恢復(fù)后路由只變化一次，避免故障恢復(fù)的防火墻在發(fā)生搶占之后路由再次需要收斂。負(fù)載分擔(dān)配置要點(diǎn)：1：防火墻之間采用2GE板卡，GE卡的兩個(gè)口之間相連，并配置VRRP，加入同一個(gè)VGMP組中，使心跳線形成備份，保證其中一根心跳線down掉的時(shí)候另外一根心跳線也能做備份通道。2：在防火墻的兩個(gè)心跳線上配置兩個(gè)VRRP，把兩個(gè)VRRP加入不同的VGMP組中，防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值

40、100，并使得兩邊的VGMP各有一個(gè)是主狀態(tài)。3：防火墻上下行接口都加入到同一個(gè)link-group組中，保證一個(gè)接口down的時(shí)候另外一個(gè)接口也跟著down，OSPF收斂的速度快。4：負(fù)載分擔(dān)的組網(wǎng)鏈路的可靠性靠OSPF路由的計(jì)算，防火墻主備倒換不會(huì)引起路由的變化，所以不用配置ip-link進(jìn)行探測，所以負(fù)載分擔(dān)的組網(wǎng)防火墻收斂速度慢一些。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂速度快，防火墻倒換過后OSPF能快速收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。同時(shí)如果防火墻上做nat轉(zhuǎn)換，有私網(wǎng)路由的時(shí)候，需要保

41、證私網(wǎng)路由不發(fā)布出去，需要在ospf中通過acl限制私網(wǎng)路由的發(fā)布。6：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。7：心跳口不能配置成transfer-only，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無法協(xié)商形成主備，同時(shí)配置的transfer-only上綁定的ip-link也將不再起作用。8：心跳口不能配置

42、成transfer-only，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無法協(xié)商形成主備，同時(shí)如果配置的transfer-only上綁定的ip-link也將不再起作用。 組網(wǎng)驗(yàn)證圖及配置：驗(yàn)證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。驗(yàn)證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點(diǎn)配置說明： 驗(yàn)證組網(wǎng)二：負(fù)載分擔(dān)組網(wǎng)： 防火墻重點(diǎn)配置說明： 2.1.2 組網(wǎng)二：多冗余組網(wǎng)發(fā)生故障防火墻倒換調(diào)整路由后業(yè)務(wù)走向 主防火墻 備防火墻雙機(jī)熱備心跳線鏈路正常時(shí)的業(yè)務(wù)走向OSPF區(qū)域OSPF區(qū)域故障時(shí)此處鏈路down，防火墻主備倒換，調(diào)整對(duì)外發(fā)布的路由R1R2R3R4FW-1FW-2如上圖所示組網(wǎng)，此種組網(wǎng)是對(duì)組

43、網(wǎng)一的一種擴(kuò)展，可以進(jìn)一步提高網(wǎng)絡(luò)的可靠性，對(duì)于此種組網(wǎng)，防火墻需要和路由器之間運(yùn)行OSPF協(xié)議，由于網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)比組網(wǎng)一復(fù)雜，出現(xiàn)故障的時(shí)候OSPF的收斂速度比組網(wǎng)一慢，故障恢復(fù)時(shí)間比組網(wǎng)一要長。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)在同一邊的路由器上轉(zhuǎn)發(fā)。如果要形成負(fù)載分擔(dān)的組網(wǎng)，即主備防火墻上都有轉(zhuǎn)發(fā)業(yè)務(wù)，需要保證防火墻上下行的路由器上都能有業(yè)務(wù)到達(dá)防火墻，這個(gè)可以通過配置等價(jià)路由的方式實(shí)現(xiàn)，同時(shí)在防火

44、墻上去掉根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST的命令。如果存在來回路徑不一致的情況，需要在防火墻上配置會(huì)話快速備份功能。組網(wǎng)優(yōu)點(diǎn)：1：此種組網(wǎng)能提供更好的冗余性能，保證此組網(wǎng)中的任意上下行路由器或者是防火墻的其中兩臺(tái)發(fā)生故障網(wǎng)絡(luò)都能正常工作。2：可以根據(jù)需要，只需要在命令行上配置，就能在主備組網(wǎng)和負(fù)載分擔(dān)組網(wǎng)上進(jìn)行切換。3：對(duì)已經(jīng)存在的都是路由器的組網(wǎng)如果需要加防火墻可以采用這種組網(wǎng)方案。組網(wǎng)缺點(diǎn)：1：此種組網(wǎng)使某些在防火墻上開始或者是終止的應(yīng)用類型如L2tp和IPSEC等這些應(yīng)用，不能使用虛地址，因?yàn)橐坏┢渲幸慌_(tái)防火墻down掉，虛地址將不能生效。所以需要采用虛地址的應(yīng)用將在這種組網(wǎng)中不能

45、使用。2：發(fā)生故障的時(shí)候，OSPF的收斂時(shí)間比組網(wǎng)一更長，如果業(yè)務(wù)中斷的時(shí)候需要更快的響應(yīng)時(shí)間，防火墻上下行最好采用VRRP，這樣故障的時(shí)候相應(yīng)切換速度最快。3：防火墻上下行業(yè)務(wù)口都需要采用2GE的板卡，2GE的板卡小包不能線速轉(zhuǎn)發(fā)，并且增加了接口并不能增加防火墻的轉(zhuǎn)發(fā)能力。4：采用2GE卡成本較高，網(wǎng)絡(luò)拓?fù)浔容^復(fù)雜，對(duì)于出現(xiàn)故障的時(shí)候的OSPF收斂速度比組網(wǎng)一要慢，并且出現(xiàn)故障時(shí)定位也比組網(wǎng)以復(fù)雜。5：此組網(wǎng)防火墻端口已經(jīng)全部都占用，網(wǎng)絡(luò)不具有可擴(kuò)展性。組網(wǎng)配置要點(diǎn)：主備模式配置要點(diǎn)：1：防火墻之間采用2GE板卡，心跳線形成備份。2：防火墻上行兩個(gè)口采用一個(gè)2GE卡的兩個(gè)接口，防火墻下行兩個(gè)

46、口也采用一個(gè)2GE卡的兩個(gè)接口。3：在防火墻的每個(gè)心跳線上配置一個(gè)VRRP，兩個(gè)心跳線上的VRRP加入同一個(gè)VGMP組中。4：防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，所有的VRRP都監(jiān)視防火墻的上下業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂非?？焖伲阑饓Φ箵Q過后OSPF能很快收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。6：兩臺(tái)防火墻形成主備組網(wǎng)，需要在防火墻上配置根據(jù)HRP的狀態(tài)調(diào)整OSPF的cost值的命令，根據(jù)HRP狀

47、態(tài)調(diào)整OSPF的cost值采用默認(rèn)值65500就可以，如果由于組網(wǎng)特殊需要可以調(diào)整這個(gè)值。7：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒有ARP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。8：心跳口不能配置成transfer-only，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無法協(xié)商形成主備，同時(shí)如果配置的transfer-only上綁定的ip-link也將不再

48、起作用。9：配置會(huì)話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)。10：配置VGMP為主的防火墻VGMP不搶占，這樣在主防火墻發(fā)生故障恢復(fù)后路由只變化一次，避免故障恢復(fù)的防火墻在發(fā)生搶占之后路由再次需要收斂。負(fù)載分擔(dān)配置要點(diǎn)：1：防火墻之間采用2GE板卡，心跳線形成備份。2：防火墻上行兩個(gè)口采用一個(gè)2GE卡的兩個(gè)接口，防火墻下行兩個(gè)口也采用一個(gè)2GE卡的兩個(gè)接口。3：在防火墻的每個(gè)心跳線上配置兩個(gè)VRRP，形成負(fù)載分擔(dān)的組網(wǎng)，把兩個(gè)VRRP加入不同的VGMP組中，并使得兩邊的VGMP各有一個(gè)是主狀態(tài)。如果是形成主備組網(wǎng)，兩個(gè)心跳線上的VRRP加入同一個(gè)VGMP組中。4：防火墻的VGMP的

49、優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，所有的VRRP都監(jiān)視防火墻的上下業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100。5：防火墻和上下行路由器起OSPF，形成動(dòng)態(tài)路由，OSPF區(qū)域盡量只包含在防火墻和路由器，這樣路由收斂非?？焖?，防火墻倒換過后OSPF能很快收斂。同時(shí)不要引入心跳口的IP地址的路由，保證心跳口不轉(zhuǎn)發(fā)數(shù)據(jù)。6：防火墻上的nat地址池或者是nat server配置時(shí)不能加上VRRP的ID，在路由器請(qǐng)求nat地址池或者時(shí)nat server的arp的時(shí)候，因?yàn)槭盏紸RP請(qǐng)求的接口和配置VRRP的接口不一致，防火墻不會(huì)回應(yīng)ARP請(qǐng)求，會(huì)導(dǎo)致上行路由器上沒有A

50、RP導(dǎo)致業(yè)務(wù)不通，不配置VRRP的ID，防火墻直接根據(jù)用接口地址回應(yīng)ARP請(qǐng)求。7：心跳口不能配置成transfer-only，否則VGMP狀態(tài)會(huì)是初始化狀態(tài)，導(dǎo)致VGMP無法協(xié)商形成主備，同時(shí)如果配置的transfer-only上綁定的ip-link也將不再起作用。8：配置會(huì)話快速備份功能，保證發(fā)生故障防火墻倒換之后不影響業(yè)務(wù)，保證在來回路徑不一致的時(shí)候不會(huì)對(duì)業(yè)務(wù)產(chǎn)生影響。組網(wǎng)驗(yàn)證圖及配置：驗(yàn)證組網(wǎng)配置可以參考下面嵌入的PPT中的配置。驗(yàn)證組網(wǎng)一：主備模式組網(wǎng)： 防火墻重點(diǎn)配置說明：參考組網(wǎng)一配置驗(yàn)證組網(wǎng)二：負(fù)載分擔(dān)組網(wǎng)：略 防火墻重點(diǎn)配置說明：略2.2 路由模式防火墻和路由器以及交換機(jī)雙機(jī)

51、熱備組網(wǎng)路由模式下防火墻和路由器的組網(wǎng)，防火墻可以對(duì)外發(fā)布VRRP虛地址，使VRRP虛地址作為路由的下一跳地址，同時(shí)防火墻和路由器之間起OSPF，使得路由器形成備份關(guān)系。2.2.1 組網(wǎng)三：推薦組網(wǎng)發(fā)生故障防火墻倒換調(diào)整路由后業(yè)務(wù)走向 主防火墻 備防火墻雙機(jī)熱備心跳線鏈路正常時(shí)的業(yè)務(wù)走向OSPF區(qū)域故障時(shí)此處鏈路down，防火墻主備倒換，調(diào)整對(duì)外發(fā)布的路由R1R2SW-1FW-1FW-2VRRPSW-2如上圖所示，此種組網(wǎng)是防火墻上行是路由器下行為交換機(jī)的時(shí)候在外面應(yīng)用的最多的一種組網(wǎng)，對(duì)于此種組網(wǎng)，防火墻需要和路由器之間運(yùn)行OSPF協(xié)議，防火墻對(duì)交換機(jī)一側(cè)起VRRP協(xié)議，使VRRP虛地址作為

52、交換機(jī)下面設(shè)備的下一跳地址來保證報(bào)文轉(zhuǎn)發(fā)到主防火墻上。如果要形成主備組網(wǎng)，可以在防火墻的上下行路由器上對(duì)特定的鏈路調(diào)整COST值，保證業(yè)務(wù)都從同一邊的路由器上轉(zhuǎn)發(fā)，或者是在防火墻上配置根據(jù)HRP狀態(tài)調(diào)整OSPF路由的COST值的命令，使備防火墻發(fā)布路由的時(shí)候增大COST，保證業(yè)務(wù)在同一邊的路由器上轉(zhuǎn)發(fā)，同時(shí)防火墻上配置一個(gè)VGMP，把所有的接口上的VRRP加入到同一個(gè)VGMP組中。如果要形成負(fù)載分擔(dān)的組網(wǎng)，即主備防火墻上都有轉(zhuǎn)發(fā)業(yè)務(wù)，需要保證防火墻上下行的路由器上都能有業(yè)務(wù)到達(dá)防火墻，這個(gè)可以通過配置路由的方式實(shí)現(xiàn)，對(duì)交換機(jī)一側(cè)需要起兩個(gè)VRRP，分別加入不同VGMP組中，兩個(gè)VGMP組在兩臺(tái)

53、防火墻上分別為主狀態(tài)，同時(shí)最好保證來回路徑一致，可以通過在路由器上配置策略路由來實(shí)現(xiàn)。如果存在來回路徑不一致的情況，需要在防火墻上配置會(huì)話快速備份功能。組網(wǎng)優(yōu)點(diǎn)：1：防火墻上行是路由器下行是交換機(jī)，能適應(yīng)絕大部分的組網(wǎng)需要，在絕大部分的組網(wǎng)需求中通過在匯聚層交換機(jī)和核心層路由器之加防火墻來保護(hù)網(wǎng)絡(luò)免受攻擊。2：防火墻下行為交換機(jī)，通過VRRP報(bào)文來感知網(wǎng)絡(luò)故障，故障相應(yīng)速度快，防火墻上行路由器和防火墻之間起路由協(xié)議，能快速收斂。3：此種組網(wǎng)能適合路由模式下的防火墻的所有的應(yīng)用類型，對(duì)外提供虛IP，能以虛IP地址作為L2tp或者是IPSec的協(xié)商地址，使此種應(yīng)用也能在一臺(tái)防火墻發(fā)生故障的時(shí)候能進(jìn)

54、行備份。4：防火墻上下行業(yè)務(wù)口采用1GE的板卡，成本較低，轉(zhuǎn)發(fā)性能高，能達(dá)到防火墻最大轉(zhuǎn)發(fā)性能。組網(wǎng)缺點(diǎn)：此組網(wǎng)是我們主推的一種組網(wǎng)，對(duì)于上行是路由器下行是交換機(jī)的組網(wǎng)是一種最優(yōu)的組網(wǎng)方案?？煽啃苑治觯哼@里只分析主備組網(wǎng)的可靠性。防火墻上行路由器轉(zhuǎn)發(fā)數(shù)據(jù)到哪臺(tái)防火墻的路由是靠OSPF來保證的，下行交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)到哪臺(tái)防火墻是靠VRRP來實(shí)現(xiàn)的，防火墻的主備狀態(tài)時(shí)對(duì)外發(fā)布的路由以及對(duì)外發(fā)布的VRRP虛地址能保證防火墻上下行設(shè)備的報(bào)文都轉(zhuǎn)發(fā)到主防火墻上，保證形成主備組網(wǎng)，這里只分析主備組網(wǎng)的可靠性。如圖所示，防火墻和路由器組網(wǎng)，鏈路正常的時(shí)候，業(yè)務(wù)走向?yàn)閳D中藍(lán)色的路徑。此時(shí)防火墻FW-2為主防火墻

55、，F(xiàn)W-1為備防火墻，備防火墻向外發(fā)布路由的時(shí)候會(huì)自動(dòng)加上一個(gè)COST值（默認(rèn)是65500），加入到VGMP組中的VRRP會(huì)和VGMP的狀態(tài)保證一致。1：FW-2和R2/SW-2之間的鏈路故障當(dāng)FW-2和R2之間的鏈路故障，防火墻上配置的vrrp track了此接口，所以vrrp的優(yōu)先級(jí)降低，并且是使用的vrrp的優(yōu)先級(jí)作為VGMP的優(yōu)先級(jí)，所以vgmp的優(yōu)先級(jí)降低，此時(shí)FW-2的優(yōu)先級(jí)比FW-1的優(yōu)先級(jí)低，防火墻發(fā)生主備倒換，F(xiàn)W-1變成主防火墻，F(xiàn)W-2變成備防火墻。當(dāng)FW-2和SW-2之間的鏈路down的時(shí)候，防火墻FW-2和SW-2相連的接口上的VRRP變成初始化狀態(tài)，防火墻FW-2的

56、VGMP的優(yōu)先級(jí)降低，防火墻發(fā)生主備倒換，F(xiàn)W-1變成主防火墻，F(xiàn)W-2變成備防火墻。在防火墻發(fā)生主備倒換之后，F(xiàn)W-1和FW-2都會(huì)更新自身的路由并對(duì)外發(fā)布路由，此時(shí)FW-1為主，對(duì)外直接發(fā)布自身的路由，而FW-2變成了備防火墻，對(duì)外發(fā)布路由的時(shí)候會(huì)另外加上一個(gè)cost值（默認(rèn)是65500），路由重新計(jì)算并收斂；防火墻FW-1的VGMP的狀態(tài)變成主狀態(tài)，VGMP中的加入的VRRP也變成主狀態(tài)，此時(shí)FW-1和SW-1相連的接口上的VRRP成為主，對(duì)外發(fā)送VRRP的hello報(bào)文，更新二層交換機(jī)的MAC轉(zhuǎn)發(fā)表，同時(shí)發(fā)布VRRP虛地址的免費(fèi)ARP，更新下行設(shè)備的ARP表，保證業(yè)務(wù)都轉(zhuǎn)發(fā)到FW-1上

57、，同時(shí)上行路由器根據(jù)路由的變化也把報(bào)文轉(zhuǎn)發(fā)到FW-1上。2：防火墻故障 如果是其中FW-2防火墻發(fā)生故障down或者是重啟，此時(shí)FW-1防火墻立即搶占為主狀態(tài)，調(diào)整對(duì)外發(fā)布的路由，更改VGMP的狀態(tài)以及VRRP的狀態(tài)，對(duì)外發(fā)布VRRP的免費(fèi)ARP，使上下行設(shè)備的報(bào)文轉(zhuǎn)發(fā)到FW-1上。組網(wǎng)配置要點(diǎn)：主備模式配置要點(diǎn)：1：防火墻業(yè)務(wù)口和心跳口都采用1GE板卡，心跳線和交換機(jī)相連的接口上都上起VRRP監(jiān)視到NE40的上行口，配置ip-link監(jiān)視路由器的接口，兩個(gè)接口上的VGMP都加入同一個(gè)VGMP組中。2：防火墻的VGMP的優(yōu)先級(jí)使用VRRP的優(yōu)先級(jí)，VRRP分別監(jiān)視防火墻的上下業(yè)務(wù)口，并且為主狀態(tài)的VRRP優(yōu)先級(jí)設(shè)置為105，為備狀態(tài)的優(yōu)先級(jí)設(shè)置為默認(rèn)值100，VGMP組中添加