收藏
下载资源

华为防火墙-双机热备配置资料

上传人:w****i 文档编号:102318942 上传时间:2019-10-02 格式:PDF 页数:68 大小:1.02MB
返回 下载 相关 举报
华为防火墙-双机热备配置资料_第1页
第1页 / 共68页
华为防火墙-双机热备配置资料_第2页
第2页 / 共68页
华为防火墙-双机热备配置资料_第3页
第3页 / 共68页
华为防火墙-双机热备配置资料_第4页
第4页 / 共68页
华为防火墙-双机热备配置资料_第5页
第5页 / 共68页
点击查看更多>>
资源描述

《华为防火墙-双机热备配置资料》由会员分享,可在线阅读,更多相关《华为防火墙-双机热备配置资料(68页珍藏版)》请在金锄头文库上搜索。

1、Quidway Eudemon 300/500/1000 配置指南可靠性分册目录 文档版本 02 (2007-12-15)华为技术有限公司i 目目录录 1 双机热备份配置双机热备份配置.1 1.1 简介2 1.1.1 总体概述2 1.1.2 VRRP 概述.4 1.1.3 VGMP 概述5 1.1.4 备份方式分类6 1.1.5 HRP 应用10 1.1.6 配置设备的主从划分 10 1.1.7 配置命令和状态信息的备份.11 1.1.8 双机热备份的组网方式.12 1.1.9 报文来回路径不一致的组网.13 1.2 配置 VRRP 备份组.18 1.2.1 建立配置任务18 1.2.2 配置

2、未加入 VRRP 管理组的 VRRP 备份组.18 1.2.3 配置加入 VRRP 管理组的 VRRP 备份组.19 1.2.4 检查配置结果20 1.3 配置 VRRP 管理组.21 1.3.1 建立配置任务21 1.3.2 配置路由模式下的 VRRP 管理组.22 1.3.3 配置混合模式下的 VRRP 管理组.23 1.3.4 检查配置结果24 1.4 配置双机热备份.24 1.4.1 建立配置任务24 1.4.2 配置来回路径一致时的双机热备份. 26 1.4.3 检查配置结果26 1.5 配置来回路径不一致时的链路可达性检查.27 1.5.1 建立配置任务27 1.5.2 检查链路可

3、达性27 1.6 使能来回路径不一致时的会话快速备份和报文搬迁. 28 1.6.1 建立配置任务28 目录 Quidway Eudemon 300/500/1000 配置指南可靠性分册 ii华为技术有限公司文档版本 02 (2007-12-15) 1.6.2 使能会话快速备份 29 1.6.3 使能报文搬迁29 1.7 配置备防火墙上的 NAT.30 1.7.1 建立配置任务30 1.7.2 配置备防火墙上的 NAT30 1.7.3 配置备防火墙上的内部服务器.30 1.8 维护 31 1.8.1 调试 VRRP 报文、状态和定时器.31 1.8.2 调试 VRRP 管理组31 1.8.3 调

4、试 HRP.31 1.8.4 检查两端配置的一致性.32 1.8.5 查看 IP 链路状态.32 1.8.6 调试 IP 链路 32 1.8.7 调试 HRP 配置检查功能.33 1.9 配置举例.33 1.9.1 配置使用 VRRP 管理组的主备备份示例. 33 1.9.2 配置使用 VRRP 管理组的负载分担示例. 37 1.9.3 配置混合模式下的使用 VRRP 管理组的主备备份示例42 1.9.4 配置路由模式下的双机热备份示例. 45 1.9.5 配置混合模式下的双机热备份示例. 46 1.9.6 配置 OSPF 和双机热备份混合组网示例48 1.9.7 配置 IP link 示例5

5、6 1.9.8 配置两端状态一致性检查.58 1.9.9 配置会话快速备份 60 1.9.10 配置报文搬迁61 Quidway Eudemon 300/500/1000 配置指南可靠性分册插图目录 文档版本 02 (2007-12-15)华为技术有限公司iii 插图目录插图目录 图 1-1 来回路径一致组网图2 图 1-2 来回路径不一致组网图 3 图 1-3 采用缺省路由的组网4 图 1-4 采用 VRRP 的虚拟路由器组网 4 图 1-5 Eudemon 备份的典型组网.5 图 1-6 Eudemon 备份的状态.5 图 1-7 主备备份组网6 图 1-8 负载分担组网(1)7 图 1-

6、9 负载分担组网(2)9 图 1-10 Eudemon 主备备份的典型数据路径10 图 1-11 来回路径不一致组网图.13 图 1-12 H 型结构.14 图 1-13 h 型结构. 15 图 1-14 N 型结构.16 图 1-15 |-型结构 17 图 1-16 使用 VRRP 管理组的主备备份组网.34 图 1-17 使用 VRRP 管理组的负载分担组网.38 图 1-18 混合模式下的 VRRP 管理组的主备备份组网图42 图 1-19 混合模式下的双机热备分组网图.47 图 1-20 OSPF 和双机热备份混合组网图. 49 图 1-21 采用路由器的双机热备分组网图.56 图 1

7、-22 配置两端状态一致性检查组网图.59 图 1-23 配置会话快速备份60 Quidway Eudemon 300/500/1000 配置指南可靠性分册表格目录 文档版本 02 (2007-12-15)华为技术有限公司v 表格目录表格目录 表 1-1 主备备份方式下各设备的状态.7 表 1-2 负载分担方式下各设备的状态(1).8 表 1-3 负载分担方式下各设备的状态(2).8 表 1-4 检查 VRRP 备份组配置20 表 1-5 检查 VRRP 管理组配置24 表 1-6 检查双机热备配置26 表 1-7 调试 VRRP 报文、状态和定时器的相关操作. 31 表 1-8 调试 VRR

8、P 管理组的相关操作 31 表 1-9 调试 HRP 的相关操作.31 表 1-10 查看 IP 链路状态.32 表 1-11 调试 IP 链路的相关操作.33 表 1-12 调试 HRP 配置检查功能的相关操作33 Quidway Eudemon 300/500/1000 配置指南可靠性分册1 双机热备份配置 文档版本 02 (2007-12-15)华为技术有限公司1-1 1双机热备份配置双机热备份配置 关于本章 本章描述内容如下表所示。 标题内容 1.1 简介介绍双机热备份的基本原理和组网 1.2 配置 VRRP 备份组介绍 VRRP 备份组的配置方法 1.3 配置 VRRP 管理组介绍

9、VRRP 管理组的配置方法 1.4 配置双机热备份介绍双机热备份的配置方法 1.5 配置来回路径不一致时 的链路可达性检查 介绍来回路径不一致时的链路可达性检查的配置方法 1.6 使能来回路径不一致时 的会话快速备份和报文搬迁 介绍来回路径不一致时的会话快速备份和报文搬迁的 配置方法 1.7 配置备防火墙上的 NAT介绍备防火墙上的 NAT 的配置方法 1.8 维护介绍双机热备份的维护方法 1.9 配置举例介绍配置举例 1 双机热备份配置 Quidway Eudemon 300/500/1000 配置指南可靠性分册 1-2华为技术有限公司文档版本 02 (2007-12-15) 1.1 简介

10、1.1.1 总体概述 网络拓扑结构可以根据报文的来回路径是否一致分为如下两种: 来回路径一致组网 来回路径不一致组网 典型组网图分别如图 1-1、图 1-2 所示。 图1-1 来回路径一致组网图 Trust Eudemon Untrust Quidway Eudemon 300/500/1000 配置指南可靠性分册1 双机热备份配置 文档版本 02 (2007-12-15)华为技术有限公司1-3 图1-2 来回路径不一致组网图 Untrust Trust Router ARouter B Router DRouter C Eudemon AEudemon B PC A PC B net1net

11、2 net3net4 上述网络均可以部署 Eudemon 防火墙的双机热备份功能,保证不会出现因单点故障导 致的通话中断。 Eudemon 防火墙的双机热备份需要三个协议的支持: VRRP(Virtual Router Redundancy Protocol)是由 RFC2338 定义的一种容错协议, 通过实现物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。 VGMP(VRRP Group Management Protocol)是华为公司为防止 VRRP 状态不一致 现象的发生,在 VRRP 的基础上自主开发出的扩展协议。该协议负责统一管理加入 其中的各备份组 VRRP 的状态。

12、HRP(Huawei Redundancy Protocol)协议用来进行防火墙的动态状态数据的实时备 份。 通常,内部网络的主机都配置一条缺省路由,下一跳为出口路由器的接口 IP 地址。如 图 1-3 所示,IP 地址为 10.100.10.1/24。 1 双机热备份配置 Quidway Eudemon 300/500/1000 配置指南可靠性分册 1-4华为技术有限公司文档版本 02 (2007-12-15) 图1-3 采用缺省路由的组网 服务器 内部网络 10.100.10.0/24 RouterA 10.100.10.1/24 Internet PC 内外部用户的交互报文全部通过 Ro

13、uterA。如果 Router A 出现故障,内部网络中所有以 RouterA为缺省路由下一跳的主机与外部网络之间的通讯将中断, 通讯可靠性无法保证。 1.1.2 VRRP 概述 VRRP 正是为了解决上述问题而提出来的。作为一种容错协议,VRRP 适用于支持组播 或广播的局域网(如以太网等) 。 VRRP 将局域网的一组路由器构成一个备份组,功能上相当于一台虚拟路由器。局域网 内的主机仅仅知道这个虚拟路由器的 IP 地址, 而不知道备份组内的具体设备的 IP 地址。 它们将自己的缺省路由下一跳地址设置为该虚拟路由器的 IP 地址。于是,网络内的主 机就通过这个虚拟路由器与其它网络进行通信。

14、备份组中,仅有一台设备处于活动状态,称为主用设备(Master) ;其余设备都处于备份 状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup) 。 图 1-4 所示为三台路由器组成的备份组。 图1-4 采用 VRRP的虚拟路由器组网 RouterA 10.100.10.2/24Master RouterB Backup 10.100.10.3/24 RouterC 10.100.10.4/24 Backup 备份组 Virtual IP Address 10.100.10.1/24 Internet 服务器 内部网络 10.100.10.0/24 PC VRRP 机制将该虚

15、拟路由器动态关联到某承担传输业务的物理路由器上,从而当该物理 路由器出现故障时能再次选择新路由器来接替业务传输工作, 整个过程对用户来说是完 全透明的,这就很好实现了内部网络和外部网络之间不间断通信。 Quidway Eudemon 300/500/1000 配置指南可靠性分册1 双机热备份配置 文档版本 02 (2007-12-15)华为技术有限公司1-5 1.1.3 VGMP 概述 Eudemon 备份的典型组网如图 1-5 所示。 每个安全区域的接口均形成一个 VRRP备份组, 各 VRRP 备份组均相对独立,且单独工作。 图1-5 Eudemon 备份的典型组网 DMZ Trust U

16、ntrust Eudemon A Master 10.100.20.0/24 Eudemon B Backup 10.100.10.0/24 备份组1 Virtual IP Address 10.100.10.1/24 备份组2 Virtual IP Address 10.100.20.1/24 备份组3 Virtual IP Address 202.38.10.1/24 此时,由于 Eudemon 是状态防火墙,只检查会话流的首报文,并动态生成会话表项。 后续报文(包括返回报文)只有匹配该会话表项才能通过 Eudemon。当某会话的进路径 和出路径不一致时,后续报文或返回报文将无法匹配防火墙的会话表项,导致报文被丢 弃。如图 1-6 所示,返回报文通过路径(5)(9)到达 Eudemon B 后将会被丢弃。 图1-6 Eudemon 备份的状态 Eudemon A Master Eudemon B Backup (1) (2) (3) (4) (5) (6) (7) (8) (9) 会话表项 实际连线 报文流径 Untrust Trust DMZ PC2 PC1 传统 V

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 高等教育 > 大学课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号