多平台统一管理软件接口,如何实现多平台统一管理软件接口
797
2022-09-24
华为防火墙VRRP双机热备的原理及配置(华为防火墙双机热备透明模式)
华为防火墙VRRP双机热备的原理及配置(华为防火墙双机热备透明模式)
一、何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议——VRRP。
华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙。
华为防火墙的双机热备包含以下两种模式: 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作。 负载均衡模式:同一时间内,多台防火墙同时转发数据,并且互为备份,每个防火墙既是主设备,也是备用设备。防火墙之间同步会话表及server-map表。
二、VRRP的概念VRRP(virtual router redundancy protocol,虚拟路由冗余协议),用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双机热备。
VRRP的相关专业术语介绍: VRRP路由器:运行VRRP协议的路由器。 虚拟路由器:由一个主用路由器和若干个备用路由器组成一个备份组,一个备份组对客户端提供一个虚拟网关。 VRID:虚拟路由器标识,用来唯一的标识一个备份组。 虚拟IP地址:提供给客户端的网关地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应。 虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器将提供该MAC地址。 IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真实IP地址,那么该成员被称为IP地址拥有者。 优先级:用于标识VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备。 抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),则将立即成为新的主用路由器。 非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中其他路由器(包括当前的主用路由器),也不会立即成为主用路由器,直到下一次公平选举(如重启设备等)。
三、VRRP的两种角色
工作在VRRP模式下的路由器有两种角色,分别是Master路由器和Backup路由器。 Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前状态信息。 Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的master路由器,接替转发数据包的工作,从而保证业务不中断。
四、VRRP的选举流程VRRP选举master路由器和backup路由器的流程如下:首先选举优先级高的设备成为master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为master路由器,而备份组中其他的路由器将成为backup路由器。.除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即使路由器的优先级最高,也需要从backup状态过渡到master状态。此时,backup状态只是一个瞬间的过渡状态。.VRRP中的默认接口优先级为100,取值范围为0~255,其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,默认优先级就是255。.五、VRRP的三个状态
VRRP定义了三种状态,分别如下: Initalize状态:刚配置了VRRP时的状态下,在该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时也将进入该状态。 Master状态:当前设备选举成为master路由器时的一种状态,该状态下会转发数据报文,并周期性地发送VRRP通告报文,当接口关闭或设备宕机后将立即切换至Initialize状态。 Backup状态:当前设备选举成为备用路由器时的一种状态,该状态不转发任何数据报文,只会接收master路由器发送VRRP通告报文,以便检测master路由器是否在正常工作,并且还同步主用设备上的状态信息。
可以简单理解为,VGMP就是用来统一设备在不同备份组中的状态的即可。
VGMP的工作原理如下: VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如master和backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理。 VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为standby。 默认情况下,VGMP组的优先级为45000。 VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2。 VGMP通过心跳线协商VGMP状态信息。
通过以下命令指定通过接口发送的报文属于哪种类型的封装。
[USG6000V1]hrp interface GigabitEthernet 1/0/0 [USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1
关于配置VGMP的其他注意事项: 加入了VGMP后,心跳线的作用包含状态信息备份(会话表和server-map表)及VGMP状态协商。 华为防火墙在默认情况下放行组播流量(如不带remote参数的VGMP报文)禁止单播流量(如带remote参数的VGMP报文),所以如果配置了remote参数,还需要配置local区域和心跳线接口所在的区域之间配置安全策略。 配置了VRRP virtual-mac enable的接口不能作为心跳口。 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入vlan,在vlan中配置心跳接口。 eNSPoint模拟器中,即使心跳接口之间相连,也必须配置remote参数,否则无法配置。
2、双机热备的备份方式
双机热备的备份方式包括以下三种: 自动备份:该模式下,和双机热备有关的配置只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中。 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工执行批量备份命令时才会自动同步到备用设备。该模式主要应用于主设备和备用设备配置不同步,需要立即进行同步的场景。 快速备份:该模式下,不同步配置命令,只同步状态信息,在负载均衡方式的双机热备环境中,该默认必须启用,以快速更新状态信息。
各个模式的配置命令如下:
(1)开启双机热备功能:
[USG6000V1]hrp enable HRP_S[USG6000V1]
(2)配置自动备份模式:
HRP_M[USG6000V1]hrp auto-sync HRP_M[USG6000V1]security-policy (+B)
(3)配置手工批量备份模式:
HRP_M
(4)配置快速备份模式:
HRP_S[USG6000V1]hrp mirror session enable HRP_M[USG6000V1]
需求如下:
LSW1和LSW2是二层交换机,FW1、FW2、LSW1、LSW2组成双机热备网络,正常情况下,PC1发起的访问R1的流量通过FW1转发,当FW1出现故障时,在PC1不做任何调整的前提下,可以自动通过FW2转发。开始配置:FW1配置如下:
至此,FW1的配置暂时就完成了。开始配置FW2,FW2的配置与FW1的配置类似,就不写注释了FW2配置如下:
配置至此,双机热备状态已经同步了,现在FW2为备份状态,多数配置已经无法在FW2上进行,只能在FW1上配置后,自动同步到FW2,那么现在在FW1配置一条策略,以便允许trust区域访问untrust区域,并且在FW2防火墙设备上查看是否同步到这条策略。FW1配置如下:
HRP_M[USG6000V1]security-policy (+B) HRP_M[USG6000V1-policy-security]rule name test1 (+B) HRP_M[USG6000V1-policy-security-rule-test1]source-zone trust (+B) HRP_M[USG6000V1-policy-security-rule-test1]destination-zone untrust (+B) HRP_M[USG6000V1-policy-security-rule-test1]action permit (+B) HRP_M[USG6000V1-policy-security-rule-test1]quit HRP_M[USG6000V1-policy-security]quit
FW2设备上查看是否有FW1创建的策略:
HRP_S[USG6000V1]security-policy Error: The device is in HRP standby state, so this command can not be executed. HRP_S[USG6000V1]dis current-configuration ...................... security-policy rule name permit_heat source-zone local destination-zone dmz action permit rule name test1 source-zone trust destination-zone untrust action permit
配置R1路由器及PC及的IP地址,并ping通。
R1路由器配置如下(R1路由器相当于运营商的公网上的路由器了,这里只是为了模拟一个这样的环境):
HRP_M[USG6000V1]dis firewall session table Current Total Sessions : 24 icmp ×××: public --> public 192.168.1.1:17547 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:18059 --> 10.1.1.1:2048 icmp ×××: public --> public 192.168.1.1:14987 --> 10.1.1.1:2048
在FW2查看会话表:
HRP_S[USG6000V1]dis firew se ta Current Total Sessions : 26 icmp ×××: public --> public Remote 192.168.1.1:9099 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:9611 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:10891 --> 10.1.1.1:2048 icmp ×××: public --> public Remote 192.168.1.1:12171 --> 10.1.1.1:2048
可以看出两个防火墙上的会话表内容都是不一样的(但不会影响故障切换)。那么现在就可以进行故障切换的验证咯!
模拟FW1设备故障(关闭FW1的任意一个接口即可,注:此时PC1还在持续pingR1,才可以看到故障切换的效果):
HRP_M[USG6000V1]in g1/0/0 (+B) HRP_M[USG6000V1-GigabitEthernet1/0/0]shutdown
HRP_S[USG6000V1]display hrp state Role: standby, peer: active (should be "active-standby") Running priority: 44998, peer: 45000 ...................... HRP_S[USG6000V1]dis hrp interface GigabitEthernet1/0/1 : running
八、总结
1、两台防火墙用于心跳线的接口需要加入相同的安全区域。2、两台防火墙用于心跳线的接口的编号必须一致,如都是G1/0/1。3、建议用于双机热备的两台防火墙采用相同的型号,相同的VRP版本。连接同一个设备(路由器或交换机)都使用同一个接口编号。4、当热备组中的设备坏掉后,买来新的设备进行加入热备组时,在配置时,原来坏掉的那台设备在VGMP中配置的是active,哪怕现在备份组中有设备处于active状态,新买来的设备必须也配置active状态,否则无法协商。如在上面环境中,FW1配置时配置为active状态,然后FW1设备down掉了,此时FW2由standby状态变为active状态,那么,此时再买来一台FW3想要重新加入备份组,在配置时,须配置为active。如该条命令:vrrp vrid 1 virtual-ip 192.168.1.100 active。不过还有个弊端,就是配置后,新买的FW3变成了active状态,但是FW2上有很会话表就同步不了了,因为只有备份设备去同步活跃设备,活跃设备是不会去同步备份设备的状态的,所以,还是先将FW2重新使用vrrp vrid 1 virtual-ip 192.168.1.100 active这条命令,将原始的状态变为active状态,然后在配置FW3时,直接将FW3配置为standby状态,会话表便可同步成功(关于FW3如何将FW2的安全策略同步过来,我没有搞明白,如果哪位知道怎么同步安全策略的,还希望写在评论中),在FW3加入备份前,我手动配置了相关的安全策略。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
相关文章
发表评论
暂时没有评论,来抢沙发吧~