《Eudemon防火墙双机热备配置指导书》由会员分享,可在线阅读,更多相关《Eudemon防火墙双机热备配置指导书(41页珍藏版)》请在金锄头文库上搜索。
1、华为产品维护资料防火墙双机热备配置指导书防火墙双机热备配置指导书目 录声明i技术支持i防火墙双机热备配置指导书11 防火墙双机热备配置指导书11.1 传统维护链路稳定性的方法11.2 引入双机热备的必要性21.3 防火墙双机热备的基本工作原理41.4 防火墙双机热备的基本配置141.5 双机热备的各种组网方案以及有缺点301.6 双机热备的缺陷和技术发展371.7 双机热备的应用案例38i防火墙双机热备配置指导书1 防火墙双机热备配置指导书在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点上需要保证网络的不间断运行。象企业的internet接入点,银行的数据
2、库服务器等,对于这样一些重要的业务点如何保证网络的不间断传输,成为必须解决的一个问题。在这种业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。而防火墙正是作为内外网的一个接入点上,为了防止一台设备出现故障导致网络业务中断,故此如何维护网络稳定性是急需解决的问题。1.1 传统维护链路稳定性的方法图1 传统链路组网方式传统的组网方式下当链路中断后,就会导致业务中断,也就是我们俗称的单点故障,如上图所示,当路由器出现单点故障后,整个链路就会中断,这样对于重要的业务点如:电信,银行等部门就会带来巨大的影响和损失。为了避免由于单点故障而导致的业务中断,从而
3、形成多条链路的保护机制,如下图所示。 图2 采用多条链路的链路保护机制采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题。例如:如上图所示,如果内部网络直接连到路由器上,由于PC机上无法执行动态路由只能使用静态路由方式,从而指定PC下一跳的固定的路由器接口,当链路中断后,无法实现链路切换。因此推出了另一种保护机制VRRP(虚拟路由冗余协议)来进行。图3 采用VRRP进行链路保护机制采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进行链路切换的时间更短,同时弥补了不能使用动态路由情况
4、下的链路保护。这种保护的机制是:VRRP将局域网的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态(Master)并承担报文转发任务,其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备。如上图所示,内部网络设备只需将网关执行虚拟IP,而不需要指向固定的接口,依靠VRRP协议进行链路切换。1.2 引入双机热备的必要性1. 为什么要引入双机热备虽然存在这么两种链路保护的机制,为什么防火墙还要提出双机热备呢?(1)报文的转发机制不同。对于路由器来说,业务中的每个数据包都会逐包转发,即每个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响
5、,继续进行转发。而由于Eudemon是状态防火墙,只会对业务中首包进行检查,如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能够通过Eudemon防火墙,如果链路切换后,后续报文找不到正确的表项,会导致业务中断。其实对于路由器当配置NAT后也会存在同样的问题,因为在进行NAT后会形成一个NAT转换后的表项。(2) VRRP在防火墙应用的缺陷每个备份组的VRRP是单独工作的,并且每个VRRP状态相对独立,因此无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用 。2. 什么是双机热备双机热备,所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从
6、防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点,是可以保护当前业务不会中断,例如语音电话,如果防火墙不具备状态热备功能,倒换后,当前正在通的电话会中断,只有重新拨打,而具备状态热备功能后,就不存在这个问题。 图4 双机热备基本组网3. 如何实现双机热备 图5 双机热备实现组网图实现双机热备的基本步骤:(1)在接口上配置VRRP(虚拟路由器冗余协议)备份组,来发现防火墙的故障情况;(2)将VRRP备份组加入到VGMP( VRRP组管理协议)中,
7、以实现对VRRP管理组的统一管理;(3)使能HRP(华为冗余协议),实现双机情况下的信息备份。两台防火墙形成双机热备,两台防火墙之间通过VRRP的hello报文协商主备关系,根据VGMP的优先级和接口的IP从而确定防火墙的master和slave关系,并且master防火墙会通过HRP协议定时向slave传送备份信息(命令行备份信息和动态备份信息),当master防火墙出现故障时,主备关系发生转换,业务会平滑切换,不会影响这个业务的进行。4. 双机热备的注意点(1)对于双机热备目前只支持两台设置进行备份,不支持多台设备进行备份。但对于只使用VRRP的组网可以支持多台设备进行冗余备份;(2)由于
8、双机热备中具有备份机制可以备份动态信息和命令,因此要求进行双机热备的两台设备板卡的位置,以及接口卡的类型都要求相同,否则会出现主防火墙备份过去的信息,与从防火墙根本就无法进行搭配使用,如出现主备状态切换就会导致业务出问题。(3)进行双机热备的两台防火墙中的配置文件最好为初始配置或保证两台设备配置相同,以免由于先前的配置而导致业务问题。1.3 防火墙双机热备的基本工作原理防火墙双机热备包含以下三种协议:采用VRRP(Virtual Router Redundancy Protocol 虚拟路由器冗余协议)来发现防火墙的故障情况;采用VGMP( VRRP Group Management Prot
9、ocol VRRP组管理协议)对VRRP备份组进行管理;采用HRP(Huawei Redundancy Protocol 华为公司冗余协议)来进行防火墙的动态状态数据的实时备份。首先我们对这三个协议在双机热备中起的作用,以及如何工作,进行简要描述。1. VRRP(Virtual Router Redundancy Protocol) 虚拟路由器冗余协议(1)什么是VRRPVRRP(Virtual Router Redundancy Protocol)作为一种容错协议,适用于支持组播或广播的局域网(如以太网等),通过一组路由设备共用一个虚拟的IP来达到提供一个虚拟网关的目的 。 (2)VRRP如
10、何起作用在VRRP中有这个几个概念需要注意: VRRP组: 是指配置了相同VRRP ID具备相同虚拟地址工作在同一个以太网广播域(注:由于Vlan技术能够隔离以太网的广播域,因此属于同一个VRRP组的设备应该属于同一个Vlan,而不仅仅是物理上连接到同一个以太网)的一组路由器,由两个或两个以上的路由设备组成,VRRP组中有且仅有一台设备处于活动状态(Master)并承担报文转发任务,其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备。 VRRP ID,是用来标识路由器属于哪个VRRP组的ID,在同一个以太网广播域具备相同的VRRP ID的设备属于同一个VRRP组,用户应该保证属于同
11、一VRRP的设备其虚拟IP地址的设置(注:同一VRRP的虚拟IP地址可以是一个或多个,但是必须保证VRRP组内成员虚拟IP的设置一致)相同。 虚拟IP地址:配置VRRP备份组的时候需要指定其虚拟地址,是VRRP组成员共用的IP地址用于给网络中的主机/路由器指定下一跳。该虚拟IP地址可以是接口地址,也可以是同一个VRRP组中接口的同网段的IP地址。 虚拟MAC地址:是VRRP根据VRRP ID生成的MAC地址,同一个VRRP组其生成的虚拟MAC地址必定相同。虚拟MAC地址为:0000-5e00-01XX,XX为16进制的VRRP的ID号。 VRRP组成员优先级,每个VRRP组成员都具备一个成员优
12、先级,从1到255。VRRP组根据成员优先级的高低来确定备份组成员的主从状态。由备份组中优先级最高的成员将成为Master。 在VRRP中的成员应注意的几种状态:VRRP成员状态一般有三种:Initialize(初始化状态),表示配置了VRRP的相应接口没有UP;Master(主状态),表示该成员工作在转发报文的状态,处于该状态下的VRRP成员具有虚拟IP地址以及相应虚拟MAC地址,并转发以虚拟IP地址为下一跳的IP报文,并定时发送通告报文,通知Slave状态的设备保持侦听;Slave(从状态)表示该成员工作在侦听状态,处于该状态下的成员侦听主设备的通告报文,如果在连续几个通告报文的时间内都没
13、有收到通告报文则把自己变成主设备并转发报文 。VRRP的工作原理:VRRP的工作机制是把几个路由器组成一个虚拟路由器(VRRP组),提供统一的虚拟IP地址以及虚拟MAC地址在组成的虚拟路由器的设备中,通过由优先级等方式选举出主防火墙,只有主防火墙才会接收并转发以虚拟IP地址为下一跳的报文,备用设备则处于监控状态,用于保证有且只有一个设备处于主用并转发用户报文用户配置以虚拟地址为下一跳,这样在VRRP组中只要有一个设备的VRRP状态为主用,就可以保持链接不中断。VRRP的状态切换原理:VRRP中成员有两个状态Master和Slave,处于Master状态的设备会定时发送组播通告报文,状态为Sla
14、ve的设备处于监测状态,其收到Master的通告报文后会更新其监测定时器;如果状态为Slave的设备在三个通告周期内都没有收到Master的通告报文则把自己变成Master并发送通告报文,并发送一个免费ARP报文用于更新三层交换机的ARP表;如果状态为Master的设备收到了另一个Master的通告报文,表明发生了抢占此时取报文的优先级和自己的优先级比较,决定是否变成Slave设备,如果VRRP配置为抢占方式,它收到报文时会比较报文的优先级和自己的优先级,一旦发现自己的优先级比当前的报文中VRRP的优先级高,则不会更新监测定时器,这样超时后便会发送通告报文抢占成为Master; (3)VRRP
15、应用举例图6 VRRP协议的应用RouteA/RouteB/RouteC属于同一个VRRP组,它们具备相同的虚拟IP地址10.110.10.1,局域网内部的用户设置该虚拟IP地址为默认的网关。开始的时候RouteA是该VRRP组的主设备,该设备拥有虚拟IP地址转发IP报文并定时(通常是一秒)发送VRRP通告报文,RouteB和RouteC是从设备并侦听RouteA的通告报文。如果RouteA因为某种原因导致设备故障,或者是RouteA到内部网络的链路故障,导致RouteB和RouteC收不到VRRP通告报文,如果从设备在连续三个通告报文的时间间隔中都没有收到VRRP组设备的VRRP通告报文,则RouteB和RouteC会竞争成为主,竞争的标准根据优先级或者接口IP的范围,最终有一台设备成为新的VRRP主设备并转发报文,从而保障业务正常运行。(4)VRRP应用的局限性 每个备份组的VRRP是单独工作的,并且每个VRRP状态相对独立,因此无法
