HCSCA105-HCNA-Security-CBSN-第五章-防火墻雙機(jī)熱備技術(shù)

修訂記錄課程編碼適用產(chǎn)品產(chǎn)品版本課程版本ISSUEHCSCA105USG6000V100R001C30V2.5開發(fā)/優(yōu)化者時間審核人開發(fā)類型（新開發(fā)/優(yōu)化）余雷201305姚傳哲新開發(fā)張浩201503陳昊優(yōu)化本頁不打印第五章

防火墻雙機(jī)熱備技術(shù)目標(biāo)學(xué)完本課程后，您將能夠:把握雙機(jī)熱備技術(shù)原理把握雙機(jī)熱備根底配置名目雙機(jī)熱備技術(shù)原理雙機(jī)熱備根本組網(wǎng)與配置雙機(jī)熱備份技術(shù)產(chǎn)生的緣由傳統(tǒng)的組網(wǎng)方式如以下圖，內(nèi)部用戶和外部用戶的交互報文全部通過FirewallA。假設(shè)FirewallA消逝故障，內(nèi)部網(wǎng)絡(luò)中全部以FirewallA作為默認(rèn)網(wǎng)關(guān)的主機(jī)與外部網(wǎng)絡(luò)之間的通訊將中斷，通訊牢靠性無法保證。FirewallAInternetPC效勞器內(nèi)部網(wǎng)絡(luò)雙機(jī)熱備在路由器上部署路由器組網(wǎng)中通過VRRP協(xié)議實現(xiàn)雙機(jī)熱備份RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup備份組VirtualIPAddress10.100.10.1InternetPC服務(wù)器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用為防火墻上多個區(qū)域供給雙機(jī)備份功能時，需要在每一臺防火墻上配置多個VRRP備份組。DMZTrustUntrustUSGAMasterUSGBBackup備份組1VirtualIPAddress備份組2VirtualIPAddress備份組3VirtualIPAddressVRRP在防火墻應(yīng)用中存在的缺陷傳統(tǒng)VRRP方式無法實現(xiàn)主、備用防火墻狀態(tài)的全都性。USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑(9)VRRP用于防火墻多區(qū)域備份為了保證全部VRRP備份組切換的全都性，在VRRP的根底上進(jìn)展了擴(kuò)展，推出了VGMP〔VRRPGroupManagementProtocol〕來彌補(bǔ)此局限。DMZTrustUntrustUSGAUSGB備份組2備份組3備份組1VGMP治理組VGMP治理組VGMP根本原理VGMP狀態(tài)(Active/Standby)VGMPHELLOVGMPpriority65001DMZTrustUntrustUSGAUSGB備份組2備份組3備份組1VGMPActiveVGMPStandbyVGMPpriority65000helloackVGMP組治理狀態(tài)全都性治理VGMP治理組把握全部的VRRP備份組統(tǒng)一切換。搶占治理當(dāng)原來消逝故障的主設(shè)備故障恢復(fù)時，其優(yōu)先級也會恢復(fù)，此時可以重新將自己的狀態(tài)搶占為主。HRP根本概念HRP〔HuaweiRedundancyProtocol〕協(xié)議，用來將主防火墻關(guān)鍵配置和連接狀態(tài)等數(shù)據(jù)向備防火墻上同步。VRRP組1VRRP組2VRRP組3①②③④⑤UntrustTrustDMZ會話表⑥FWAFWBHRP會話快速備份首包會話快速備份更新報文會話快速備份會話快速備份主備名目雙機(jī)熱備技術(shù)原理雙機(jī)熱備根本組網(wǎng)與配置雙機(jī)熱備根本組網(wǎng)上下行業(yè)務(wù)接口工作在三層模式，連接二層設(shè)備時，需要在上下行的業(yè)務(wù)接口上配置VRRP備份組，使VGMP治理組能夠通過VRRP備份組監(jiān)測三層業(yè)務(wù)接口。USG_AMasterUSG_BBackup備份組1VirtualIPAddressG1/0/1UntrustTrustG1/0/3G1/0/7G1/0/7G1/0/1G1/0/3備份組2VirtualIPAddress配置VRRP備份組接口視圖下配置VRRP：vrrpvridvirtual-router-IDvirtual-ipvirtual-address[ip-mask|ip-mask-length]{active|standby}執(zhí)行此命令時，指定active或standby參數(shù)后，立刻該VRRP組參與了VGMP治理組的Active或Standby治理組。每個一般物理接口〔GigabitEthernet接口〕下最多配置255個VRRP組。HRP配置命令指定心跳口hrpinterfaceinterface-type

interface-number[remote{ip-address|ipv6-address}]啟用HRP備份功能hrpenable啟用允許配置備用設(shè)備的功能hrpstandbyconfigenable啟用命令與狀態(tài)信息的自動備份hrpauto-sync[config|connection-status]啟用會話快速備份hrpmirrorsessionenableVRRP配置舉例USG_A關(guān)于VRRP組1配置：[USG_A]interfaceGigabitEthernet1/0/1[USG_A-GigabitEthernet1/0/1]ipaddress10.2.0.124[USG_A-GigabitEthernet1/0/1]vrrpvrid1virtual-ip1.1.1.1255.255.255.0activeUSG_B關(guān)于VRRP組1的配置：[USG_B]interfaceGigabitEthernet1/0/1[USG_B-GigabitEthernet1/0/1]ipaddress10.2.0.224[USG_B-GigabitEthernet1/0/1]vrrpvrid1virtual-ip1.1.1.1255.255.255.0standbyHRP配置舉例USG_A關(guān)于HRP配置：[USG_A]hrpenable[USG_A]hrpmirrorsessionenable[USG_A]hrpinterfaceGigabitEthernet1/0/7雙機(jī)熱備配置(WEB)USG_A雙機(jī)熱備配置(WEB)USG_B查看VRRP狀態(tài)HRP_A<USG_A>displayvrrpinterfaceG1/0/3GigabitEthernet1/0/3|VirtualRouter2VRRPGroup:Activestate:ActiveVirtualIPVirtualMAC:0000-5e00-0102PriorityRun:120PriorityConfig:100MasterPriority:120Preempt:YESDelayTime:0AdvertisementTimer:1AuthType:NONECheckTTL:YES查看HRP狀態(tài)查看處于Master狀態(tài)防火墻的狀態(tài)信息如下：HRP_A<USG_A>dishrpstateThefirewall”sconfigstateis:ACTIVE

Currentstateofvirtualroutersconfiguredasactive:GigabitEthernet1/0/1vrid1:activeGigabitEthernet1/0/3vrid2:active總結(jié)雙機(jī)熱備技術(shù)原理雙機(jī)熱備根本組網(wǎng)及配置習(xí)題推斷題HRP技術(shù)可以實現(xiàn)備防火墻不需要配置任何信