華為防火墻實現(xiàn)雙機熱備配置詳解附案例

華為防火墻實現(xiàn)雙機熱備配置詳解，附案例一提到防火墻，一般都會想到企業(yè)的邊界設備，是內(nèi)網(wǎng)用戶與互聯(lián)網(wǎng)的必經(jīng)之路。防火墻承載了非常多的功能，比如：安全規(guī)則、IPS、文件類型過濾、內(nèi)容過濾、應用層過濾等。也正是因為防火墻如此的重要，如果防火墻一旦出現(xiàn)問題，所有對外通信的服務都將中斷，所以企業(yè)中首先要考慮的就是防火墻的優(yōu)化及高可用性。本文導讀一、雙機熱備工作原理二、VRRP協(xié)議三、VGMP協(xié)議四、實現(xiàn)防火墻雙機熱備的配置一、雙機熱備工作原理在企業(yè)中部署一臺防火墻已然成為常態(tài)。如何能夠保證網(wǎng)絡不間斷地傳輸成為網(wǎng)絡發(fā)展中急需解決的問題！

企業(yè)在關(guān)鍵的業(yè)務出口部署一臺防火墻，所有的對外流量都要經(jīng)過防火墻進行傳輸，一旦防火墻出現(xiàn)故障，那么企業(yè)將面臨網(wǎng)絡中斷的問題，無論防火墻本身的性能有多好，功能有多么強大。在這一刻，都無法挽回企業(yè)面臨的損失。所以在企業(yè)的出口部署兩臺防火墻產(chǎn)品，可以在增加企業(yè)安全的同時，保證業(yè)務傳輸基本不會中斷，因為兩臺設備同時出現(xiàn)故障的概率非常小。經(jīng)過圖中右邊的部署，從拓補的角度來看，網(wǎng)絡具有非常高的可靠性，但是從技術(shù)的角度來看，還需解決一些問題，正因為防火墻和路由器在工作原理上有著本質(zhì)的區(qū)別，所以防火墻還需一些特殊的配置。左圖，內(nèi)部網(wǎng)絡可以通過R3→R1→R4到達外部網(wǎng)絡，也可以通過R3→R2→R4到達，如果通過R3→R1→R4路徑的cost（運行OSPF協(xié)議）比較小，那么默認情況，內(nèi)部網(wǎng)絡將通過R3→R1→R4到達外部網(wǎng)絡，當R1設備損壞時，OSPF將自動收斂，R3將通過R2轉(zhuǎn)發(fā)到達外部網(wǎng)絡。右圖，R1、R2替換成兩臺防火墻，默認情況下，流量將通過FW1進行轉(zhuǎn)發(fā)到達外部網(wǎng)絡，此時在FW1記錄著大量的用戶流量對應的會話表項內(nèi)容，當FW1損壞時，通過OSPF收斂，流量將引導FW2上，但是FW2上沒有之前流量的會話表，之前傳輸會話的返回流量將無法通過FW2，而會話的后續(xù)流量需要重新經(jīng)過安全策略的檢查，并生成會話。這就意味著之前所有的通信流量都將中斷，除非重新建立連接。在雙機熱備環(huán)境中，要求如下：（1）兩臺防火墻用于心跳線的接口加入相同的安全區(qū)域；（2）兩臺防火墻用于心跳線的接口的設備編號必須一致，比如都是G1/0/0；（3）建議用于雙機熱備的兩條防火墻采用相同的型號、相同的VRP版本；華為防火墻的雙機熱備包含以下兩種模式：熱備模式：**同一時間只用一臺防火墻轉(zhuǎn)發(fā)數(shù)據(jù)包，其他防火墻不轉(zhuǎn)發(fā)數(shù)據(jù)包，但是會同步會話表及Server-map表；負載均衡模式：**同一時間，多臺防火墻同時轉(zhuǎn)發(fā)數(shù)據(jù)，但每個防火墻又作為其他防火墻的備用設備，即每個防火墻即是主用設備也是備用設備，防火墻之間同步會話表及Server-map表；華為防護墻的熱備模式和負載均衡模式如圖：二、VRRP協(xié)議在雙機熱備技術(shù)中，即使選舉出了主用設備和備用設備，默認情況下流量也通過主用設備轉(zhuǎn)發(fā)，而備用設備處于備份狀態(tài)。但是客戶機通常通過指定網(wǎng)關(guān)地址來指定網(wǎng)絡出口，當客戶機將網(wǎng)關(guān)指向主用設備時，流量自然從主用設備轉(zhuǎn)發(fā)，但是當主用設備故障時，客戶機并不會將網(wǎng)關(guān)自動指向備用設備，所以即使雙機熱備本身可以切換、客戶機依然無法正常通信。所以要保證雙機熱備可以正常工作，還需解決客戶機網(wǎng)關(guān)自動切換的問題。而VRRP技術(shù)可以解決網(wǎng)關(guān)自動切換的問題，甚至還能讓設備切換對客戶機而言是透明的。在華為防火墻的雙機熱備技術(shù)中，VRRP是非常重要的一個組成部分。01（1）VRRP協(xié)議概述VRRP（虛擬路由冗余協(xié)議）由IETF進行維護。用來解決網(wǎng)關(guān)單點故障的路由協(xié)議。VRRP可以應用在路由器中提供網(wǎng)關(guān)冗余，也可以用在防火墻中做雙擊熱備。VRRP的基本概念如下：（1）VRRP路由器：運行VRRP協(xié)議的路由器；（2）虛擬路由器：由一個主用路由器和若干備用路由器組成的一個備份組，一個備份組對客戶機提供一個虛擬網(wǎng)關(guān)；

（3）VRID：VirtualRouterID，虛擬路由器標識，用來唯一的表識一個備份組；

（4）虛擬IP地址：提供給客戶端的網(wǎng)關(guān)IP地址，也是分配給虛擬路由器的IP地址，在所有的VRRP中配置，只有主用設備提供該IP地址的ARP響應；

（5）虛擬MAC地址：基于VRID生成的用于VRRP的MAC地址，在客戶端通過ARP協(xié)議解析網(wǎng)關(guān)的MAC地址時，主用路由器提供該MAC地址；

（6）IP地址擁有者：若將虛擬路由器的IP地址配置為某個成員物理接口的真是IP地址，那么該成員被稱為IP地址擁有者；

（7）優(yōu)先級：用于表示VRRP路由器的優(yōu)先級，并通過每個VRRP路由器的優(yōu)先級選舉主用設備及備用設備；

（8）搶占模式：在搶占模式下，如果備用路由器的優(yōu)先級高于備份組中的其他路由器（包括當前的主用路由器），將立即成為新的主用路由器；

（9）非搶占模式：在非搶占模式下，如果備用路由器的優(yōu)先級高于備份組中的其他路由器（包括當前的主用路由器），則不會立即成為主用路由器，直到下一次公平選舉（如斷電、設備重啟等）；VRRP的工作原理與Cisco設備基本相同，只有一些細節(jié)上的一些區(qū)別，如圖：02VRRP的角色工作在VRRP模式下的路由器有兩種角色，分別是：Master路由器：正常情況下由Master路由器負責ARP響應及提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，并且默認每隔1s向其他路由器通告Master路由器當前的狀態(tài)信息；Backup路由器：是Master路由器的備用路由器，正常情況下不提供數(shù)據(jù)包的轉(zhuǎn)發(fā)，當Master路由器故障時，在所有的Backup路由器中優(yōu)先級最高的路由器將成為新的Master路由器，接替轉(zhuǎn)發(fā)數(shù)據(jù)包的工作，從而保證業(yè)務不間斷；03VRRP的狀態(tài)機VRRP定義了三種工作狀態(tài)，如下：Initialize狀態(tài)：剛配置VRRP時的初始狀態(tài)。該狀態(tài)下，不對VRRP報文做任何處理，當接口shutdown或接口故障時將進入該狀態(tài)；Master狀態(tài)：當前設備選舉成為主用路由器時的一種狀態(tài)。該狀態(tài)下會轉(zhuǎn)發(fā)業(yè)務報文，并周期性地發(fā)送VRRP通告報文，處于該狀態(tài)的路由器還將響應客戶機發(fā)起的ARP請求，并將虛擬MAC地址回應客戶機。當接口關(guān)閉時，將立即切換至Initialize狀態(tài)；Backup狀態(tài)：當前設備選舉成為備用路由器的一種狀態(tài)。該狀態(tài)下不轉(zhuǎn)發(fā)任何業(yè)務報文，工作在該狀態(tài)下的路由器會接收主用路由器發(fā)送的VRRP通告報文，并判斷主用路由器是否正常工作。在雙機熱備模式中還將同步主用設備上的狀態(tài)信息；三種狀態(tài)之間的切換關(guān)系如圖：Initialize狀態(tài)是VRRP的初始狀態(tài)，當接口shutdown時，無論路由器處于Master狀態(tài)還是Backup狀態(tài)，都將立即切換至Initialize狀態(tài)；當路由器配置IP地址擁有者時，其優(yōu)先級默認為255，此時路由器直接由Initialize狀態(tài)切換至Master狀態(tài)；當路由器不是IP地址擁有者時，其優(yōu)先級<255，此時路由器直接由Initialize狀態(tài)切換至Backup狀態(tài)；處于Master狀態(tài)的路由器如果收到優(yōu)先級更大的VRRP報文，將由Master狀態(tài)切換至Backup狀態(tài)，而Backup狀態(tài)的路由器如果收到一個優(yōu)先級更大或者本地優(yōu)先級相等的報文（通常是由Master路由器發(fā)出），將重置Master_DOWN_Interval計時器，如果一直沒有接收到Master路由器發(fā)送的VRRP通過報文，待Master_DOWN_Interval計時器超時后，將由Backup狀態(tài)切換至Master狀態(tài)。注意：除非手工將路由器配置為IP地址擁有者（優(yōu)先級=255），否則VRRP的狀態(tài)切換總是先經(jīng)歷Backup狀態(tài)，即時路由器的優(yōu)先級最高，也需要從Backup狀態(tài)過渡到Master狀態(tài)。此時Backup狀態(tài)只是一個瞬間的過渡狀態(tài)。04VRRP的工作原理VRRP選舉Master路由器和Backup路由器的流程如下：

首先選舉優(yōu)先級高的設備成為Master路由器，如果優(yōu)先級相同，再比較接口的IP地址大小，IP地址大（數(shù)值大）的設備將成為Master路由器，而備份組中其他的路由器將成為Backup路由器。VRRP中的默認接口優(yōu)先級值為100，取值范圍為0~255。其中優(yōu)先級0是系統(tǒng)保留，優(yōu)先級255保留給IP地址擁有者，IP地址擁有者不需要配置優(yōu)先級，優(yōu)先級默認是255。VRRP的工作原理如圖：故障切換過程：默認情況下，Master設備（FW1）會周期性（每1s）地向Backup設備發(fā)送VRRP通告，而Backup設備每次收到VRRP通告，就將Master_DOWN_Interval計時器重置為0。當Master設備出現(xiàn)故障，無法發(fā)出VRRP通告報文時，Backup設備將無法接收到VRRP，在Master_DOWN_Interval超時后，將直接由Backup狀態(tài)切換為Master狀態(tài)，F(xiàn)W2代替FW1成為新的Master設備。同時會向下游交換機發(fā)出免費ARP報文，以更新下游交換機的MAC地址表。而后續(xù)客戶機發(fā)起的針對虛擬IP的ARP請求報文，F(xiàn)W2將直接代為回應，客戶機發(fā)出的報文也將由FW2轉(zhuǎn)發(fā)，而這一切變化對客戶機而言都是透明的。因為虛擬IP地址仍然可用！當FW1解決故障恢復正常運行時，因為FW1的優(yōu)先級配置比FW2高，在搶占模式下，其將直接成為Master設備，而FW2再次回到Backup狀態(tài)；在非搶占模式下，F(xiàn)W2依然是Master設備，而FW1成為Backup設備。建議：當Master設備和Backup設備性能相差不大，同時網(wǎng)絡規(guī)模較大時，建議配置為非搶占模式，因為這樣可以減少網(wǎng)絡的波動。三、VGMP協(xié)議VGMP的工作原理1如果僅僅使用雙機熱備+VRRP就會出現(xiàn)以下情況：

造成以下現(xiàn)象的原因是兩個VRRP備份組各自獨立工作，，那么有沒有什么辦法可以使兩個備份組協(xié)同工作，以保證設備在兩個備份組的狀態(tài)一致性呢？就需要使用到——VGMP協(xié)議。VGMP（VRRP組管理協(xié)議）用來實現(xiàn)VRRP備份組的統(tǒng)一管理，以保證設備在各個備份組中的狀態(tài)一致性。VGMP通過在設備（FW1和FW2）上將所有的備份組（備份組1和備份組2）加入一個VGMP組中進行統(tǒng)一管理，一旦檢測到某個備份組（備份組1）中的狀態(tài)變化（如接口進入Initialize狀態(tài)），VGMP組將自身優(yōu)先級減2，并重新協(xié)商VGMP的Active組和Standby組。選舉出的Active組將所有的其他備份組（備份組1和備份組2）統(tǒng)一進行狀態(tài)切換（備份組1和備份組2中的FW2將成為Master設備）。VGMP的工作原理：VGMP組的狀態(tài)決定了VRRP備份組的狀態(tài)，即設備的角色（如Master和Backup）不再通過VRRP報文選舉，而是直接通過VGMP統(tǒng)一管理；VGMP組的狀態(tài)通過比較優(yōu)先級決定，優(yōu)先級高的VGMP組將成為Active，優(yōu)先級低的VGMP組將成為Standby；默認情況下，VGMP組的優(yōu)先級為45000；VGMP根據(jù)組內(nèi)VRRP備份組的狀態(tài)自動調(diào)整優(yōu)先級，一旦檢測到備份組的狀態(tài)變成Initialize狀態(tài)，VGMP組的優(yōu)先級會自動減2；通過心跳線協(xié)商VGMP狀態(tài)信息；VGMP的工作原理如圖：注意：在加入了VGMP組之后，VRRP中的狀態(tài)標識從Master和Backup變成Active和Standby。VGMP的報文封裝2VGMP通過心跳線協(xié)商VGMP的狀態(tài)信息，通過發(fā)送VGMP報文實現(xiàn)。VGMP報文有以下兩種形式，如圖：

左圖中，當心跳線直連，或者通過二層交換機相連時，發(fā)送的報文屬于組播報文，報文封裝中不攜帶UDP頭部信息；

右圖中，心跳線通過三層設備（路由器）連接時，因為組播報文無法通過三層設備，所以在報文封裝中會額外增加一個UDP頭部信息，此時發(fā)送的報文屬于單播；在實際應用中，應根據(jù)實際的拓補靈活選擇報文封裝。在華為防火墻中，通過以下命令指定接口發(fā)送的報文屬于哪種類型的封裝。其中hrp命令用來指定用于心跳鏈路的接口，帶remote參數(shù)的命令表示報文將封裝UDP，并發(fā)送單播報文，不帶remote參數(shù)的命令表示將發(fā)送組播報文。標識對端是被（心跳線對端接口）的IP地址，該地址要求可路由，只有指定remote參數(shù)時才需要指定。注意：加入VGMP后，心跳線的作用包含狀態(tài)信息備份（會話表和Server-map表）及VGMP狀態(tài)協(xié)商；華為防火墻在默認情況下放行組播流量（不帶remote參數(shù)的VGMP報文），禁止單播流量（帶remote參數(shù)的VGMP報文），所以配置了remote參數(shù)，還需要配置Local區(qū)域和心跳接口區(qū)域之間的安全策略；配置了虛擬IP地址的接口不能作為心跳口；如果使用二層接口作為心跳接口，不能直接在二層接口上配置，而是將二層接口加入VLAN，在VLAN中配置心跳接口；eNSP模擬器中，及時心跳接口之間相連，也必須配置remote參數(shù)，否則無法配置；雙機熱備的備份方式3雙擊熱備的備份方式包括以下三種：自動備份：該模式下，和雙機熱備有關(guān)的配置命令只能在主用設備上配置，并自動同步到備用設備中，主用設備自動將狀態(tài)信息同步到備用設備中，該模式是華為防火墻的默認開啟模式，主要應用于熱備模式；手工批量備份：該模式下，主用設備上所有的配置命令和狀態(tài)信息，只有在手工指定批量備份命令時才會自動同步到備用設備，該模式主要應用于主、備設備配置不同步，需要立即進行同步的場景中；快速備份：該模式下，不同步配置命令，只同步狀態(tài)信息。在負載均衡方式的雙機熱備環(huán)境中，該模式必須啟用，以快速更新狀態(tài)信息；（1）開啟雙