HCSCA105HCNA-Security-CBSN第五章防火墻雙機熱備技術V2.5

1、A-A- j第五早防火墻雙機熱備技術1& 2CM 號 Mulmm#! TerhnalAgiiEfi Cfl Ltd- All hghls n*rvd.HUAW6:I1目標學完本課程后，您將能夠:掌握雙機熱備技術原埋拿握雙機熱備基礎配置Copynght & 2015 Huawei Technologies Co. Ltd. All rights reserved.Page 20吵 HUAWei®目錄1. 雙機熱備技術原理雙機熱備基本組網(wǎng)與配吿Copynght © 2015 Huawei Technologies Co. ltd. All nghts reser

2、ved.Page 3Z鄉(xiāng) HUAWGI雙機熱備份技術產(chǎn)生的原因10.100.10.0/24Internet©唱 HUAWCI傳統(tǒng)的組網(wǎng)方戒如圖所示，內部用戶和外部用戶的交互報文全部通 HFirewall A.如果Firewall A出現(xiàn)故障，內部網(wǎng)絡中所有以 Firewall A作為默認網(wǎng)關的主機與外部網(wǎng)絡之間的通訊將中斷，通 訊可靠性無法保證。CopynglTt 袞 JOI'S Huwei TerhriolcgiS Co. Ltd. All lights rperved.Page 4雙機熱備份技術的出現(xiàn)改變了可靠性難以保證的尷尬狀態(tài)，通過在網(wǎng)絡出口位置部署兩 臺或多臺網(wǎng)關設

3、備，保證了內部網(wǎng)絡于外部網(wǎng)絡之間的通訊暢通。USG防火墻作為安全設備，一般會部署在需要保護的網(wǎng)絡和不受保護的網(wǎng)絡之間，即位 于業(yè)務接口點上。在這種業(yè)務點上，如果僅僅使用一臺USG防火墻設備，無論其可靠性多高，系統(tǒng)都可能會承受因為單點故障而導致網(wǎng)絡中斷的風險。為了防止一臺設備出現(xiàn) 意外故障而導致網(wǎng)絡業(yè)務中斷，可以采用兩臺防火墻形成雙機備份。雙機熱備在路由器上部署10. '00.10.2 MasierRoute rA內3P網(wǎng)絡10 IDO 1O.a；2J備忙組 Virtual IP Address ID 100.10110D 10 3BackupRoulerEBackupRouterC10

4、 100 10.4-路由器組網(wǎng)中通過VRRP協(xié)議實現(xiàn)雙機熱備份Copyrighf 占 JOI1?1Terhnolcgies CO-u Ltd. All righTs rewnred.Page 5irnlemet越響HUAWei為了避免路由器傳統(tǒng)組網(wǎng)所引起的單點故障的發(fā)生，通常情況可以采用多條鏈路的保護 機制，依靠動態(tài)路由協(xié)議進行鏈路切換。但這種路由協(xié)議來進行切換保護的方式存在一 定的局限性，當不能使用動態(tài)路由協(xié)議時，仍然會導致鏈路中斷的問題，因此推出了另 一種保護機制VRRP （虛擬路由冗余協(xié)議）來進行。采用 VRRP的鏈路保護機制比依賴動 態(tài)路由協(xié)議的廣播報文來進行鏈路切換的時間更短，同時彌

5、補了不能使用動態(tài)路由情況 下的鏈路保護。VRRP（Virtual Router Redundancy Protocol）是一種基本的容錯協(xié)議。備份組：同一個廣播域的一組路由器組織成一個虛擬路由器，備份組中的所有路由器一 起，共同提供一個虛擬IP地址，作為內部網(wǎng)絡的網(wǎng)關地址。主（Master ）路由器：在同一個備份組中的多個路由器中，只有一臺處于活動狀態(tài)， 只有主路由器能轉發(fā)以虛擬IP地址作為下一跳的報文。備份（Backup ）路由器：在同一個備份組中的多個路由器中，除主路由器外，其他路 由器均為備份路由器，處于備份狀態(tài)。主路由器通過組播方式定期向備份路由器發(fā)送通告報文（HELLO），備份路由器

6、則負責監(jiān)聽通告報文，以此來確定其狀態(tài)。由于VRRP HELL0報文為組播報文，所以要求備份組中的各路由器通過二層設備相連，即啟用VRRP時上下行設備必須具有二層交換功能，否則備份路由器無法收到主路由器發(fā)送的HELL O報文。如果組網(wǎng)條件不滿足，則不能使用VRRP。VRRP在多區(qū)域防火墻組網(wǎng)中的應用10 100.1002410 100 20.0/24USGAf-lazierVirtual IP AddressUSG6備曲塑2BackupVirtual IP Address10,100.20 1笛松絹3 Virtual IP Address202 38.10.1越響HUAWGI為防火墻上多個區(qū)域提

7、供雙機備份功能時.需要在每一臺防火墻上 配蛙多個VRRP備份組。Copyright 運 JOI'S Huwei TerhnolcgiBS Co. Ltd. All rights wrved.Page E當防火墻上多個區(qū)域需要提供雙機備份功能時，需要在一臺防火墻上配置多個VRRP備份組。由于USG防火墻是狀態(tài)防火墻，它要求報文的來回路徑通過同一臺防火墻。為了滿足這 個限制條件，就要求在同一臺防火墻上的所有VRRP備份組狀態(tài)保持一致，即需要保證在主防火墻上所有VRRP備份組都是主狀態(tài)，這樣所有報文都將從此防火墻上通過，而 另外一臺防火墻則充當備份設備。VRRP在防火墻應用中存在的缺陷

8、67;專 HUAWGI傳統(tǒng)甘RRP方式無法實現(xiàn)主、備用肪火埴狀態(tài)的一致性.武 JOIS Huiwei lerhnolcgies Co,. Ltd. All rights rFwrvpd.Pnge 7如圖所示，假設USG A和USG B的VRRP狀態(tài)一致，即USG A的所有接口均為主用狀態(tài) ,USG B的所有接口均為備用狀態(tài)。此時，Trust區(qū)域的PC1訪問Un trust區(qū)域的PC2，報文的轉發(fā)路線為(1)-(2)-(3)-(4)。USG A轉發(fā)訪問報文時，動態(tài)生成會話表項。當 PC2的返回報文經(jīng)過 -(3)到達USG A 時，由于能夠命中會話表項，才能再經(jīng)過 (2)-(1)到達PC1，順利返

9、回。同理，當 PC2和DMZ區(qū)域的Server也能互訪。假設USG A和USG B的VRRP狀態(tài)不一致，例如，當 USG B與Trust區(qū)域相連的接口為備 用狀態(tài)，但與Un trust區(qū)域的接口為主用狀態(tài)，則PC1的報文通過USG A設備到達PC2后，在USG A上動態(tài)生成會話表項。PC2的返回報文通過路線(4)-(9)返回。此時由于USG B上沒有相應數(shù)據(jù)流的會話表項，在沒有其他報文過濾規(guī)則允許通過的情況下， USG B將丟棄該報文，導致會話中斷。問題產(chǎn)生的原因：報文的轉發(fā)機制不同路由器：每個報文都會查路由表當匹配上后才進行轉發(fā)，當鏈路切換后，后續(xù)報文不會 受到影響，繼續(xù)進行轉發(fā)。狀態(tài)檢測防

10、火墻：如果首包允許通過會建立一條五元組的會話連接，只有命中該會話表 項的后續(xù)報文(包括返回報文)才能夠通過防火墻；如果鏈路切換后，后續(xù)報文找不到 正確的表項，會導致業(yè)務中斷。注意：當路由器配置 NAT后也會存在同樣的問題，因為在進行NAT后會形成一個NAT轉換后的表項VRRP用于防火墻多區(qū)域備份為了保證所肓甘RRP備誨組切換的-竝性，在VRRF的基礎上進行了擴展，推出了VGMP (VRRP Group Managenneni Prolocol)來強補此局限°10 100,200/24越號HUAWCICopyngtitJ015 Huiwei Terhnolcgies Co. Ltd.

11、All righrE wrved.Page BVRRP在防火墻中應用的要求：VRRP狀態(tài)的一致性會話表狀態(tài)備份VGMP提出VRRP管理組的概念，將同一臺防火墻上的多個VRRP備份組都加入到一個VRRP管理組，由管理組統(tǒng)一管理所有 VRRP備份組。通過統(tǒng)一控制各 VRRP備份組狀態(tài) 的切換，來保證管理組內的所有 VRRP備份組狀態(tài)都是一致的。VGMP基本原理 VGMP1X ®(Active/Stand by) VGMP HELLO越嘩HUAWGICopyngtit ?： ZOiS Huawei Terhnolcgies Co. Ltd. All lights “served.Pnge

12、9當防火墻上的VGMP為Active狀態(tài)時，組內所有 VRRP備份組的狀態(tài)統(tǒng)一為 Active狀態(tài) ，所有報文都將從該防火墻上通過，該防火墻成為主用防火墻。此時另外一臺防火墻上 對應的VGMP為備狀態(tài)，該防火墻成為備用防火墻。通過指定VGMP組的優(yōu)先級來決定誰將成為主防火墻或備用防火墻。VGMP的優(yōu)先級會根據(jù)組內的 VRRP備份組成員的狀態(tài)動態(tài)調整，以此完成兩臺防火墻 的主備倒換。與VRRP類似，狀態(tài)為Aactive 的VGMP也會定期向對端發(fā)送HELLO報文，通知 Standby端本身的運行狀態(tài)（包括優(yōu)先級、VRRP成員狀態(tài)等）。與 VRRP不同的是，Standby端收到HELLO報文后，會

13、回應一個 ACK消息，該消息中也會攜帶本身的優(yōu)先 級、VRRP成員狀態(tài)等。VGMP HELLO報文發(fā)送周期缺省為1秒。當Standby端三個HELLO報文周期沒有收到對 端發(fā)送的HELLO報文時，會認為對端出現(xiàn)故障，從而將自己切換到Active狀態(tài)。VGMP組管理狀態(tài)一致性管埋O VGMP管理組控制所有的VRRP份組統(tǒng)一切換*搶占管理口當原來出現(xiàn)故陣的圭設備故偉恢處時.其憂先級也會恢曩.此時可以車 新帚日己的狀態(tài)搶占污主Copyrighf 啟 2015 Huawei TerhinotogiFS Ca Ltd. All rights nwved.IPaq# 10譽咚 HUAWEI狀態(tài)一致性管理各

14、備份組的主/備狀態(tài)變化都需要通知其所屬的VGMP管理組，由VGMP管理組決定是否允許VRRP備份組進行主/備狀態(tài)切換。如果需要切換，則 VGMP管理組 控制所有的VRRP備份組統(tǒng)一切換。VRRP備份組加入到管理組后，狀態(tài)不能自行 單獨切換。搶占管理VRRP備份組本身具有搶占功能。即當原來出現(xiàn)故障的主設備故障恢復時，其優(yōu)先 級也會恢復，此時可以重新將自己的狀態(tài)搶占為主。VGMP管理組的搶占功能和 VRRP備份組類似，當管理組中出現(xiàn)故障的備份組故 障恢復時，管理組的優(yōu)先級也將恢復。此時VGMP可以決定是否需要重新?lián)屨挤Q為主設備。當VRRP備份組加入到VGMP管理組后，備份組上原來的搶占功能將失效，

15、搶占 行為發(fā)生與否必須由VGMP管理組統(tǒng)一決定。HRP基本概念« HRP （Huow巳i Redundoncy Protocol協(xié)議用來將主防火墻 關鍵配冒和連接狀態(tài)等數(shù)據(jù)向備防火墻上同步.越嚳HUAWGICopyirighf k fOls HLunNei Te*匚hncitogi孽弓 Co. Ltd. All rights iweinred.Page i i在雙機熱備組網(wǎng)中，當主防火墻出現(xiàn)故障時，所有流量都將切換到備防火墻。因為USG防火墻是狀態(tài)防火墻，如果備防火墻上沒有原來主防火墻上的會話表等連接狀態(tài)數(shù)據(jù)， 則切換到備防火墻的流量將無法通過防火墻，造成現(xiàn)有的連接中斷，此時用戶必須

16、重新 發(fā)起連接。HRP模塊提供了基礎的數(shù)據(jù)備份機制和傳輸功能。各個應用模塊收集本模塊需要備份的 數(shù)據(jù)，提交給HRP模塊，HRP模塊負責將數(shù)據(jù)發(fā)送到對端防火墻的對應模塊，應用模塊 需要再將HRP模塊提交上來的數(shù)據(jù)進行解析，并加入到防火墻的動態(tài)運行數(shù)據(jù)池中。備份內容：要備份的連接狀態(tài)數(shù)據(jù)包括TCP/UDP的會話表、ServerMap表項、動態(tài)黑名單、NO-PAT表項、ARP表項等。備份方向：防火墻上有狀態(tài)為主的VGMP管理組，向對端備份。備份方式：分為三種批量備份：在兩臺設備第一次協(xié)商完成后，批量備份所有信息，配置批量備份需 要消耗較多的資源，缺省情況下是關閉的。實時備份：在設備運行過程中，新建或

17、者刷新的數(shù)據(jù)實時備份?？焖賯浞輦浞萃ǖ溃阂话闱闆r下，在兩臺設備上直連的端口作為備份通道，有時也稱為“心跳線 ”（VGMP也通過該通道進行通信）。HRP會話快速備份-首包會話快速備份更新報文會話快速備悅越響HUAWGICopyright 盒 lei's Huawei Terhnotogies Co Ltd. All lights iwenred.Page 12在來回路徑不一致的組網(wǎng)中，業(yè)務流的來回報文有可能不會從同一個防火墻上經(jīng)過。為 了支持來回路徑不一致的組網(wǎng)，防火墻增加了會話快速備份功能。即在首包創(chuàng)建會話時 ，立即將會話數(shù)據(jù)打包備份到對端，然后再將報文轉發(fā)出去，保證了當回應的報文到達

18、 對端防火墻時，對端防火墻上已經(jīng)接收到備份過來的會話數(shù)據(jù)并加入到會話表中。比如 對于TCP三次握手的報文，SYN+ACK報文從另一臺設備回來時，由于查不到會話，報 文會被丟棄，導致連接建立失敗。對于UDP會話，第一個反向報文過來時，在另一臺上也會因為查不到會話，需要走包過濾流程，有可能會被丟棄。通常情況下，對于TCP連接、狀態(tài)改變的報文命中會話之后立即備份到對端，包括三次 握手報文和fin、rst報文；對于UDP會話，快速備份是創(chuàng)建會話之后立即備份到對端， 后續(xù)報文也進行備份以避免會話信息的老化。©目錄1. 雙機熱備技術原理雙機熱備基本組網(wǎng)與配置Copynght 2015 Huawe

19、i Technologies Co. ltd. All nghts reserved.Page 13©吵 HUAWGI備份絹1 irijc IP AcdresIJZM畑Gl/0/110.2.0.1/24MasterUSG AG1/0/31二3 ZMZ24;<2；' 3.5.0.10/24PC1：1.1.1.10/24G1/0/7io,io,aPi/2G1/0/710.10.0 2/24UntiuvlGI/0/1100.2/24G1fQ/310.3.0.2/24、 品恃級2 Virfuol IP AdOes10.3A3724雙機熱備基本組網(wǎng)上下行業(yè)務接口工件在三層模式，連

20、撈二層設備時*瑋要在上下行的業(yè)務援口上配耀備曲蛆.tfVGMPgtyHVRRP監(jiān)測三層業(yè)務建口.§電 HUAWCI紀亡kUp USG BCopyright 宜 2015 Huawei Terhinolcgies Co,. Ltd. All rigtirE merged.Page 14雙機熱備組網(wǎng)最常見的是防火墻采用路由模式，下行交換機雙線上聯(lián)到防火墻，正常 情況下防火墻A作為主，當防火墻 A上行或下行鏈路down掉后，防火墻B自動切換為主設 備，交換機流量走向防火墻 Bo配置VRRP備份組*接口視圖下配SVRRP:vrrp vrid viftud-router-ID virtual-

21、ip vinuai-(jddfe$s / ip-ir)(jsk ip-mask- length (active | standby執(zhí)行此命令時.指定activeSlstandby數(shù)民即將該你RF組 加入了 VGMP理組的Active或5怕巾切管理組口$修 HUAWEI口每個普通物理接口（GgobitE也曰門由接口）下最多配»255個 ” RRP 組。Copyright 賈 ICllS HLUMjwei Tpchnotogies Co-U Ltd. All rights rFwnred.Page 15Master管理組默認情況下會每隔1秒發(fā)送一次vrrp報文，可以在接口視圖下調整vrr

22、p報文發(fā)送間隔。接口視圖下修改vrrp報文發(fā)送時間： vrrp vrid virtual-router-ID timer advertise adver-i ntervalvrrp也可以與ip-link進行配合，當上行鏈路斷掉后使vrrp能夠進行主備切換。在接口視圖下配置ip-link :vrrp vrid virtual-router-id ip-li nk lin k-id缺省情況下，VGMP管理組的搶占功能為啟用狀態(tài)，搶占延遲時間為60s。配置VGMP管理組的搶占延遲時間命令如下：hrp preempt delay in terval HRP配置命令*指定心陜.丨h(huán)rp interfac

23、e /nt efface type interface number fenrgff tpddrs | ipvpdd 隔貧 J啟用HRP帝份功能hrp 世-啟用允許配賢備用設備的功能hrp standby config anable*啟用令令與狀態(tài)佰息的自動備份hrp auto-sync f config | conneahn itatui啟用會話快速備粉越吵HUAWeihrp minor session enableC&pyrighf 覚 2*015 Huawei Terhinelegies Co?. Ltd. All righrE wrved.Page 1HRP兩臺USG心跳口的接

24、口類型和編號必須相同，且心跳口不能為二層以太網(wǎng)接口。USG支持使用Eth-Trunk接口做為心跳口，既提高了可靠性，又增加了備份通道的帶寬。主備USG的心跳口可以直接相連，也可以通過中間設備，如交換機或路由器連接。當心跳口通過中 間設備相連時，需要配置 remote參數(shù)來指定對端IP地址。當兩臺設啟用備HRP備份功能之后，會進行主備狀態(tài)的協(xié)商，最后得到一個主用設備（顯示 時以HRP_A表示），一個備用設備（顯示時以HRP_S表示）。兩端首次協(xié)商出主備后，主用設備將向備用設備備份配置和連接狀態(tài)等信息。啟用允許配置備用設備的功能后，所有可以備份的信息都可以直接在備用設備上進行配置， 且備用設備上的

25、配置可以同步到主用設備。如果主備設備上都進行了某項配置，則從時間 上來說，后配置的信息會覆蓋先配置的信息。USG工作于負載分擔組網(wǎng)時，報文的來回路徑可能會不一致，務必啟用會話快速備份功 能，使一臺USG的會話信息立即同步至另一臺 USG，保證內外部用戶的業(yè)務不中斷。VRRP配置舉例 USG_A關于VRRP組1配置：US6_AJ interface Gigabit Ethernet 1/(V1U5G.A-GigabitEtiiemet 1W1 ip address 10 2.0.1 24U SG_A-Gigab itEthemet 1/0/1 vrrp vrid 1 virtiwl-ip 1.1

26、.11 25S .255.255.0 active* USG_B關于HRRP組1的配實：US<j_&)interfaoe GigabitEther net 1/0/1USG.BGigabitEthefnet 1/0/1 ip address 10 2 0 224§畛 HUAWGIU5G_B GigabitEtbernet 1/0/1 Nrrp vrid 1 virtual-駁 1.1.1.1 255 255 255 0 standbyCopyrighf 覚 HOI'S Huiauvei Terhinelegies Co. Ltd. All righrE wrve

27、d.iPaq# 17USG_A關于VRRP組2配置:USG_Ainterface GigabitEthernet 1/0/3USG_A-GigabitEthernet 1/0/3 ip address 10.3.0.1 24USG_A-GigabitEthernet 1/0/3 vrrp vrid 2 virtual-ip 10.3.0.3 activeUSG_B關于VRRP組2的配置：USG_Binterface GigabitEthernet 1/0/3USG_B-GigabitEthernet 1/0/3 ip address 10.3.0.2 24USG_B-GigabitEthern

28、et 1/0/3 vrrp vrid 2 virtual-ip10.3.0.3 standbyHRP配置舉例 USG_A關于HRP配置：(USG A)hrp enableUSG AJhcp mirror session enable§峪 HUAWCIIUSG- Alhrp interface Gigabit Ethernet 1/0/7C&pyrighf k Joi'S Huiffijvei Terhnelegies Co,. Ltd. All righrE rFw>rved.iPaq# ISUSG_B關于HRP的配置：USG_Bhrp en ableUSG_B

29、hrp mirror sessi on en ableUSG_Bhrp in terface GigabitEthernet 1/0/7雙機熱備配置(WEB) USG_A fin £«ftRGCW7v| g nwitnip im<340000 AeseRiPMM最：waft口工e&三交欽時恵倉免爐備處. KMVI VRM) 口 口 iPMtt/fiRUPIL “”匚 2GE1S010 3 9 1/25$ 255 25$ 010”活 6 255S5 00匚1W190“ 1/M5 M 255 011 1 1/M400Copynght 6 2015 Huawei T

30、echnologies Co. Ltd. All rights reserved.Page 190吵 HUAWei雙機熱備配置(WEB) USG_BMPWtt KsaMiPiitt対ItBP勺化8：!“它三交時XVAMfSVlPKit.+榊VfW 訂口 iPMMf 出CE1/V3溝 30M562552S5 0S30 洛 5 2562550GEVQH1020 亦 6 MMCCopynght fi 2015 Huawei Technologtes Co. Ltd. All rights reserved.Page 20妙 HUAWEI時IMVRRP并涕 HRPA人 USGIA>disp_ay

31、 vrrp iHerface Gl、0、3 GgabdEhern21AV3 - virtue- ROUF 2 VRRP Group - Active sasActive三 rtual 一P: 一 O.3O.3 Virtual MAC - oooo,5eooo102 Primary -p -10 3 0 1 p=ontyRun 二 20 PnorHyConhg -00 MaMerproMy - -20 p-ee 弓 p - YES Desry Ume 0 Advertisement Umer1 Au=_/Type. NONE Check TH. . YmsCopynght«2015 Huawei T2hnologp5 co: Sa- >= rights reserved-page咗心 h