DS002005Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置ISSUE1_第1頁
DS002005Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置ISSUE1_第2頁
DS002005Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置ISSUE1_第3頁
DS002005Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置ISSUE1_第4頁
DS002005Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置ISSUE1_第5頁
已閱讀5頁,還剩34頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEDS002005EudemonAll1.00開發(fā)/優(yōu)化者時間審核人開發(fā)類型(新開發(fā)/優(yōu)化)盧希2009-05-15劉志根新開發(fā)Eudemon防火墻雙機熱備業(yè)務(wù)特性與配置前 言在當(dāng)前的組網(wǎng)運用中,用戶對網(wǎng)絡(luò)可靠性的要求越來越高,特別是在一些重要的業(yè)務(wù)入口或接入點上需求保證網(wǎng)絡(luò)不延續(xù)運轉(zhuǎn)。對于這些重要的業(yè)務(wù)點如何保證網(wǎng)絡(luò)的不延續(xù)傳輸,成為必需處理的一個問題。本膠片主要引見防火墻的雙機熱備份技術(shù)原理和詳細(xì)配置,以及在Eudemon防火墻上實施雙機熱備份技術(shù)所運用的三種協(xié)議:VRRP、VGMP和HRP。培訓(xùn)目的學(xué)完本課程后,您應(yīng)該能:掌握雙機熱備份技術(shù)

2、原理掌握VRRP,VGMP和HRP之間的關(guān)系掌握典型雙機組網(wǎng)的配置目 錄雙機熱備份技術(shù)原理Eudemon防火墻雙機熱備份技術(shù)雙機熱備份技術(shù)在防火墻上的實施目 錄雙機熱備份技術(shù)原理Eudemon防火墻雙機熱備份技術(shù)雙機熱備份技術(shù)在防火墻上的實施雙機熱備份技術(shù)產(chǎn)生的緣由傳統(tǒng)的組網(wǎng)方式如下圖,內(nèi)部用戶和外部用戶的交互報文全部經(jīng)過Firewall A。假設(shè)Firewall A出現(xiàn)缺點,內(nèi)部網(wǎng)絡(luò)中一切以Firewall A作為默許網(wǎng)關(guān)的主機與外部網(wǎng)絡(luò)之間的通訊將中斷,通訊可靠性無法保證。Firewall A10.100.10.1/24InternetPC效力器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24傳統(tǒng)雙機

3、熱備份技術(shù)在路由器上的部署RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup備份組Virtual IP Address10.100.10.1InternetPC效力器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24路由器組網(wǎng)中經(jīng)過VRRP協(xié)議實現(xiàn)雙機熱備份VRRP在多區(qū)域防火墻組網(wǎng)中的運用DMZTrustUntrustEudemon A10.100.20.0/24MasterEudemon BBackup10.100.10.0/24備份組1Virtual IP Address10.100.10.1備份組2Virt

4、ual IP Address10.100.20.1備份組3Virtual IP Address202.38.10.1為防火墻上多個區(qū)域提供雙機備份功能時,需求在每一臺防火墻上配置多個VRRP備份組。VRRP在防火墻運用中存在的缺陷Eudemon AMasterEudemon BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實踐連線報文流徑(9)傳統(tǒng)VRRP方式無法實現(xiàn)主、備用Eudemon防火墻形狀的一致性。目 錄雙機熱備份技術(shù)原理Eudemon防火墻雙機熱備份技術(shù)雙機熱備份技術(shù)在防火墻上的實施防火墻雙擊熱備份技術(shù)的特

5、征控制主、備用防火墻的切換形狀信息的備份Eudemon防火墻的雙機熱備份技術(shù)依托三種協(xié)議實現(xiàn):VRRP虛擬路由冗余協(xié)議VGMPVRRP組管理協(xié)議HRP華為冗余協(xié)議防火墻雙機熱備份技術(shù)分析防火墻主備形狀切換的實現(xiàn)VGMPVRRP Group Management Protocol) 提出VRRP管理組的概念,將同一臺防火墻上的多個VRRP備份組都參與到一個VRRP管理組,由管理組一致管理一切VRRP備份組。經(jīng)過一致控制各VRRP備份組形狀的切換,來保證管理組內(nèi)的一切VRRP備份組形狀都是一致的。VGMP的作用:防火墻主備形狀控制切換VRRP管理組的功能:形狀一致性管理管理組內(nèi)VRRP備份組同步形

6、狀切換搶占管理屏蔽VRRP備份組搶占通道管理data,trans-onlyVGMP實現(xiàn)原理Eudemon AMasterEudemon BBackupTrustDMZUntrust備份組1備份組2備份組3A1A2A3B2B1B3管理組管理組備份組4VGMP數(shù)據(jù)通道Eudemon AMasterEudemon BBackupTrustDMZUntrustA1A2A3B2B1B3A4B4A4-B4A3-B3A1-B1A2-B2防火墻形狀信息的備份 VGMP可以保證報文來回途徑經(jīng)過同一臺防火墻。當(dāng)主防火墻出現(xiàn)缺點時,一切流量都將切換到備防火墻。但Eudemon防火墻是形狀防火墻,假設(shè)備防火墻上沒有原

7、來主防火墻上的銜接形狀數(shù)據(jù),那么切換到備防火墻的很多流量將無法經(jīng)過防火墻,呵斥現(xiàn)有的銜接中斷,此時用戶必需重新發(fā)起銜接。為了實現(xiàn)主用設(shè)備出現(xiàn)缺點時能由備用設(shè)備平滑地接替任務(wù),需求在主、備用設(shè)備之間備份關(guān)鍵配置命令和會話表形狀等關(guān)鍵信息。HRPHRPHuawei Redundancy Protocol 華為冗余協(xié)議華為公司冗余協(xié)議HRPHuawei Redundancy Protocol是承載在VGMP報文上進(jìn)展傳輸?shù)?。HRP用于在主用設(shè)備和備用設(shè)備之間備份關(guān)鍵配置命令和會話表形狀等關(guān)鍵信息。 HRP/VGMP/VRRP之間的關(guān)系VRRP備份組VGMP管理組VGMP報文HRP模塊HRP報文接口V

8、RRP報文目 錄雙機熱備份技術(shù)原理Eudemon防火墻雙機熱備份技術(shù)雙機熱備份技術(shù)在防火墻上的實施防火墻雙機熱備份組網(wǎng)方式Eudemon的雙機熱備份,可以任務(wù)在路由方式和混合方式兩種方式下:路由方式是指Eudemon的業(yè)務(wù)端口和HRP備份通道接口均任務(wù)在路由方式下。 混合方式是指Eudemon的業(yè)務(wù)端口任務(wù)在透明方式下,而HRP備份通道接口任務(wù)在路由方式下。路由方式和混合方式都包含兩種組網(wǎng)方式:主備組網(wǎng)方式負(fù)載分擔(dān)組網(wǎng)方式路由方式-主備組網(wǎng)方式防火墻設(shè)備管理組成員優(yōu)先級狀態(tài)會話量AMaster備份組1,2,3高主用100%BSlave備份組1,2,3低備用0Eudemon ATrustUntr

9、ust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0PC1PC2路由方式-主備組網(wǎng)方式配置參考1Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 1/0/0 Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.2 24

10、 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address 202.38.10.2 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master #將GE1/0/0和GE3/0/0參與到對應(yīng)的VRRP備份組中。路由方式-主備組網(wǎng)方式配置參考2Eudemon ATrust

11、Untrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0Eudemon interface GigabitEthernet 2/0/0Eudemon-GigabitEthernet2/0/0 ip address 10.100.20.2 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual-ip 10.100.20.1 master#將GE2/0/0參與到對應(yīng)的VRRP備份組中。 Eudemon hrp interface Gi

12、gabitEthernet 2/0/0 Eudemon hrp enable #指定HRP的備份通道并使能HRP功能。路由方式-主備組網(wǎng)方式配置參考3Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255

13、 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untrust HRP_MEudemon-interzone-trust-untrust packet-filter 2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自動備份功能并添加區(qū)域間包過濾規(guī)那么。路由方式-主備組網(wǎng)方式配置驗證Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave管理組Master管理組備份組3Eu

14、demon BGE1/0/0GE3/0/0GE2/0/0HRP_MEudemon display hrp state The firewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet1/0/0 vrid 1 : master GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master #在Eudemon A上執(zhí)行display hrp state命令,檢查當(dāng)

15、前HRP的形狀,顯示以上信息表示HRP建立勝利。 路由方式-負(fù)載分擔(dān)組網(wǎng)方式防火墻設(shè)備管理組備份組優(yōu)先級狀態(tài)會話量AMaster備份組1,2,3高主用部分BSlave備份組1,2,3低備用0ASlave備份組4,5,6低備用0BMaster備份組4,5,6高主用部分Master/Slave管理組Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5PC1PC2Eudemon ATrustUntrust備份組1備份組2GE1/0/

16、0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5路由方式-負(fù)載分擔(dān)組網(wǎng)方式配置參考1Eudemon interface GigabitEthernet 1/0/0 Eudemon-GigabitEthernet1/0/0 ip address 10.100.10.3 24 Eudemon-GigabitEthernet1/0/0 vrrp vrid 1 virtual-ip 10.100.10.1 master Eudemon-GigabitEthernet1/

17、0/0 vrrp vrid 4 virtual-ip 10.100.10.2 slave Eudemon interface GigabitEthernet 3/0/0 Eudemon-GigabitEthernet3/0/0 ip address 202.38.10.3 24 Eudemon-GigabitEthernet3/0/0 vrrp vrid 2 virtual-ip 202.38.10.1 master Eudemon-GigabitEthernet3/0/0 vrrp vrid 5 virtual-ip 202.38.10.2 slave 將接口GE1/0/0和GE3/0/0參

18、與到對應(yīng)的VRRP備份組中路由方式-負(fù)載分擔(dān)組網(wǎng)方式配置參考2Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5Eudemon interface GigabitEthernet 2/0/0 Eudemon-GigabitEthernet2/0/0 ip address 10.100.20.3 24 Eudemon-GigabitEthernet2/0/0 vrrp vrid 3 virtual

19、-ip 10.100.20.1 master Eudemon-GigabitEthernet2/0/0 vrrp vrid 6 virtual-ip 10.100.20.2 slave Eudemon hrp interface GigabitEthernet 2/0/0 Eudemon hrp enable #將GE1/0/0和GE3/0/0參與對應(yīng)的備份組;指定HRP備份通道并使能HRP功能。 路由方式-負(fù)載分擔(dān)組網(wǎng)方式配置參考3Eudemon ATrustUntrust備份組1備份組2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理組Master/Slave管理組備

20、份組3Eudemon BGE1/0/0GE3/0/0GE2/0/0備份組4備份組6備份組5HRP_MEudemon hrp auto-sync config HRP_MEudemon acl 2000 HRP_MEudemon-acl-basic-2000 rule permit source 10.100.10.0 0.0.0.255 HRP_MEudemon-acl-basic-2000 quit HRP_MEudemon firewall interzone trust untrust HRP_MEudemon-interzone-trust-untrust packet-filter

21、2000 outbound HRP_MEudemon-interzone-trust-untrust quit#使能配置命令自動備份功能并添加區(qū)域間包過濾規(guī)那么。HRP_MEudemon dis hrp state The firewalls config state is: MASTER Current state of virtual routers configured as master: GigabitEthernet3/0/0 vrid 2 : master GigabitEthernet2/0/0 vrid 3 : master GigabitEthernet1/0/0 vrid

22、 1 : master Current state of virtual routers configured as slave: GigabitEthernet3/0/0 vrid 5 : slave GigabitEthernet2/0/0 vrid 6 : slave GigabitEthernet1/0/0 vrid 4 : slave #在Eudemon A上執(zhí)行display hrp state命令,檢查當(dāng)前HRP的形狀。從以上顯示信息可以看出,在Eudemon A上,VRRP備份組1、2、3屬于Master管理組;VRRP備份組4、5、6屬于Slave管理組。路由方式-負(fù)載分擔(dān)組

23、網(wǎng)方式配置驗證混合方式-主備組網(wǎng)方式上圖組網(wǎng)方式可以實現(xiàn)負(fù)載分擔(dān)嗎?G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1PC1PC2混合方式-主備組網(wǎng)方式配置參考1G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon interface GigabitEthernet 0/0/1

24、Eudemon-GigabitEthernet0/0/1 ip address 10.100.20.2 24 Eudemon-GigabitEthernet0/0/1 vrrp vrid 1 virtual-ip 10.100.20.1 master Eudemon firewall zone dmz Eudemon-zone-dmz add interface gigabitethernet 0/0/1 #配置GE0/0/1所屬的VRRP備份組和虛擬IP地址,并將其參與DMZ區(qū)域 混合方式-主備組網(wǎng)方式配置參考2G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eude

25、mon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon interface gigabitethernet 0/0/0 Eudemon-GigabitEthernet 0/0/0 portswitch Eudemon interface gigabitethernet 0/0/2 Eudemon-GigabitEthernet 0/0/2 portswitch #配置GE0/0/0和GE0/0/2任務(wù)在透明方式。 混合方式-主備組網(wǎng)方式配置參考3G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1Eudemon AEudemon BSwitch 1Switch 2Switch 3Switch 4trustuntrust備份組1Eudemon vlan 2 Eudemon-vlan-2 port interface GigabitEthernet 0/0/0 Eudemon-vlan-2 port interface GigabitEthernet 0/0/2 Eudemon-vlan-2 hrp track master #建立VLAN 2,將接口GE0/0/0和

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論