信息安全技术(HCIA-Security)-第八次课-防火墙双机热备技术课件.pptx

1、防火墙双机热备技术第1页目标l学完本课程后，您将能够:p掌握双机热备技术原理p掌握双机热备基础配置第2页目录1.双机热备双机热备技术原理技术原理2.双机热备基本组网与配置第3页双机热备技术产生的原因l传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障，内部网络中所有以Firewall A作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。Firewall A10.100.10.1/24PC服务器内部网络10.100.10.0/24第4页路由器冗余部署方案l路由器组网中通过VRRP协议实现设备冗余：RouterA10.

2、100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组Virtual IP Address10.100.10.1PC服务器内部网络10.100.10.0/24第5页VRRP在多区域防火墙组网中的应用l为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。DMZTrustUntrustUSG A10.100.20.0/24MasterUSG BBackup10.100.10.0/24备份组1Virtual IP Address10.100.10.1备份组2Virtual IP Address1

3、0.100.20.1备份组3Virtual IP Address202.38.10.1第6页VRRP在防火墙应用中存在的缺陷l传统VRRP方式无法实现主、备用防火墙状态的一致性。USG AMasterUSG BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)第7页VRRP用于防火墙多区域备份l为了保证所有VRRP备份组切换的一致性，在VRRP的基础上进行了扩展，推出了VGMP（VRRP Group Management Protocol）来弥补此局限。DMZTrustUntrustUSG A10.1

4、00.20.0/24vUSG B10.100.10.0/24备份组 2备份组 3备份组 1VGMP 管理组管理组VGMP 管理组管理组helloack第8页VGMP基本原理l当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby状态。l状态为Active的VGMP也会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）。DMZTrustUntrustUSG A10.100.20.0/24USG B10.100.10.0/24备份组 2备份组 3备份组 1VGMP ActiveVGMP

5、 Standbyhelloack第9页VGMP组管理l状态一致性管理pVGMP管理组控制所有的VRRP备份组统一切换。l抢占管理p当原来出现故障的主设备故障恢复时，其优先级也会恢复，此时可以重新将自己的状态抢占为主。第10页HRP基本概念lHRP（Huawei Redundancy Protocol）协议，用来实现防火墙双机之间动态状态数据和关键配置命令的备份。VRRP组组1VRRP组组2VRRP组组3UntrustTrustDMZ会话表会话表FWAFWB第11页HRP心跳接口l两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输的。p心跳口必须是状态独立且具有IP地

6、址的接口，可以是一个物理接口（GE接口），也可以是为了增加带宽，由多个物理接口捆绑而成的一个逻辑接口Eth-Trunk。第12页心跳接口的状态lHRP心跳接口共有五种状态：pInvalidpDownpPeerdownpReadyprunning第14页双机热备的备份方式设备重启后主备FW的配置自动同步会话快速备份自动备份手工批量备份第16页目录1.双机热备技术原理2.双机热备基本组网与配置双机热备基本组网与配置第17页双机热备基本组网l上下行业务接口工作在三层模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。USG_AMa

7、sterUSG_BBackup备份组1Virtual IP Address1.1.1.1/24G1/0/110.2.0.1/24PC1:1.1.1.10/24UntrustTrustG1/0/310.3.0.1/24G1/0/610.10.0.1/24G1/0/610.10.0.2/24G1/0/110.2.0.2/24G1/0/310.3.0.2/24备份组2Virtual IP Address10.3.0.3/24PC2:10.3.0.10/24第18页VRRP备份组配置命令-CLIl接口视图下配置VRRP：l执行此命令时，指定active或standby参数后，即将该VRRP组加入了VG

8、MP管理组的Active或Standby管理组。l每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。vrrp vrid virtual-router-ID virtual-ip virtual-address ip-mask|ip-mask-length active|standby 第19页HRP配置命令-CLIl指定心跳口l启用HRP备份功能l启用允许配置备用设备的功能l启用命令与状态信息的自动备份l启用会话快速备份hrp interface interface-type interface-number remote ip-address|ipv6-ad

9、dress hrp enablehrp standby config enablehrp auto-sync config|connection-statushrp mirror session enable第20页VRRP配置举例-CLIlUSG_A关于VRRP组1配置：lUSG_B关于VRRP组1的配置：USG_Ainterface GigabitEthernet 1/0/1 USG_A-GigabitEthernet 1/0/1 ip address 10.2.0.1 24USG_A-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1

10、 255.255.255.0 activeUSG_Binterface GigabitEthernet 1/0/1 USG_B-GigabitEthernet1/0/1 ip address 10.2.0.2 24USG_B-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standby第21页HRP配置举例-CLIlUSG_A关于HRP配置：USG_Ahrp enableUSG_Ahrp mirror session enableUSG_Ahrp interface GigabitEthernet 1/0/

11、6第22页查看VRRP状态-CLIl查看处于VRRP备份组中的接口状态信息：HRP_Adisplay vrrp interface G1/0/3GigabitEthernet1/0/3|Virtual Router 2 VRRP Group:Active state:Active Virtual IP:10.3.0.3 Virtual MAC:0000-5e00-0102 Primary IP:10.3.0.1 PriorityRun:120 PriorityConfig:100 MasterPriority:120 Preempt:YES Delay Time:0 Advertisement

12、 Timer:1 Auth Type:NONE Check TTL:YES第23页查看HRP状态-CLIl查看处于Master状态防火墙的状态信息如下：HRP_Adis hrp stateThe firewalls config state is:ACTIVE Current state of virtual routers configured as active:GigabitEthernet1/0/1 vrid 1:active GigabitEthernet1/0/3 vrid 2:active 第24页防火墙配置界面-Webl点击“系统 高可靠性 双机热备 配置”进行双机热备相关配置

13、。第25页双机热备主用设备配置-Webl在双机热备配置界面点击“配置”按钮对主用设备USG_A的配置，在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。第26页双机热备备用设备配置-Webl在双机热备配置界面点击“配置”按钮对备用设备USG_B的配置，在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。第27页查看双机热备历史切换信息-Webl在双机热备界面，点击“详细”可以查看双机热备主备切换信息。第28页查看双机热备状态信息-Webl在双机热备界面确认运行模式、角色及VRRP备份组的状态信息。第29页思考题1.HRP技术可以实现备防火墙不需要配置任何信息，所有配置信息均由主防火墙通过HRP同步至备防火墙，且重启后配置信息不丢失。A.正确B.错误2.在防火墙做双机热备组网时，为实现备份组整体状态切换，需要使用以下哪个协议技术？A.VGMP B.VRRPC.HRPD.OSPF 第30页本章总结l双机热备技术原理l双机热备基本组网及配置第31页谢谢