《SecPath-防火墙双机热备典型配置》由会员分享,可在线阅读,更多相关《SecPath-防火墙双机热备典型配置(26页珍藏版)》请在金锄头文库上搜索。
1、-SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。缩略语:缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层的包过滤NATNetwork Address Translat
2、or网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先. z.-目录1 特性简介31.1 双机热备的工作机制32 特性使用指南42.1 使用场合42.2 配置指南4 双机热备组网应用配置指南4 双机热备应用涉及的配置42.3 考前须知43 支持的设备和版本53.1 设备版本53.2 支持的设备53.3 配置保存54 配置举例64.1 典型组网64.2 设备根本配置9 其他共同配置:94.3 双机热备业务典型配置举例9 透明模式主备模式9 透明模式负载分担模式14 路由模
3、式主备模式17 路由模式负载分担模式19 路由模式主备模式支持非对称路径21 路由模式负载分担模式支持非对称路径28 动态路由模式组网335 相关资料33. z.-1 特性简介双机热备在链路切换前,对会话信息进展主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。而流量的切换则依靠传统备份技术如VRRP、动态路由来实现,应用灵活,能适应各种组网环境。
4、另外需要使用专有的备份链路口进展会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。A. 在命令行下无法配置双机热备,只能在WEB页面上配置;WEB配置页面:B. 必须配置心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存,重启,心跳口开场工作,心跳口在命令行和WEB页面下的接口管理中都不可见,但是双机热备配置页面下可见。C. 没有主备设备之分,工作中的设备称为主用设备比拟适宜些,两台防火墙的会话信息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,目前只有稳态的会话才会进展备份;D. 主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式
5、组网依赖于VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙随之切换;动态路由模式依赖于动态路由协议,由于动态路由协议进展路由学习比VRRP切换慢,所以路由模式的双机热备主用设备切换时间较长;在这两种组网的根底上又可以配置为双主用模式、主备用模式;E. 目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;假设出报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将支持非对称的报文转发。2 特性使用指南2.1 使用场合Secpath防火墙作为外网的接入点,当设备出现故障便会导致外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的
6、话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。2.2 配置指南2.2.1 双机热备组网应用配置指南双机热备典型组网应用包括以下容:l 透明模式主备模式l 透明模式负载分担模式l 路由模式主备模式l 路由模式负载分担模式l 路由模式主备模式支持非对称路径l 路由模式负载分担模式支持非对称路径2.2.2 双机热备应用涉及的配置用户必须在Web设置双机热备功能,命令行无法配置。2.3 考前须知双机热备关于Web配置根据具体实例再作说明。3 支持的设备和版本3.1 设备版本f5000a-1_dis verH3C ware Platform
7、 Softwareware Software, Version 5.20, Beta 3203ware Platform Software Version WAREV500R002B62D001H3C SecPath F5000-A5 Software Version V300R002B01D012Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.piled Oct 31 2008 14:56:27, RELEASE SOFTWAREH3C SecPath F5000-A5 uptime is 0
8、week, 0 day, 0 hour, 51 minutes CPU type: RMI *LR732 1000MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory MPUA PCB Version:Ver.A SWBA PCB Version:Ver.A MPUA Basic Logic Version:133.0 MPUA E*tend Logic Version:133.0 SWBA Logic Version:132.0 MPUA L*30T FPGA Version: 3.08 Basic BootWare Vers
9、ion: 1.02 E*tend BootWare Version: 1.02 FI*ED PORT CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FI*ED PORT AU* (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FI*ED PORT M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0SUBCARD 1 NSQ1GT8C40 (Hardware)Ver.A, (Driver)1.0, (Cpld)134.0 SUBSLOT 2 The SubCard is
10、not present SUBSLOT 3 The SubCard is not present SUBSLOT 4 The SubCard is not present3.2 支持的设备Secpath F5000-A53.3 配置保存每次配置完成后,注意进展配置的保存。系统管理配置维护配置保存,点击。4 配置举例4.1 典型组网图1 双机热备路由典型组网图2 双机热备透明典型组网图3 双机热备非对称主备典型组网图4 双机热备非对称双主典型组网4.2 设备根本配置4.2.1 其他共同配置:(1) 接口模式:M-G0/0为管理接口Interface Physical Protocol IP Ad
11、dressM-GigabitEthernet0/0 up up 4.3 双机热备业务典型配置举例4.3.1 透明模式主备模式1. 功能简述主备模式就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备Down机后,备用设备会接收工作。2. 典型配置步骤组网图21、 防火墙运行在二层模式,配置如下图的Vlan;F5000A-B 配置:f5000a-2dis cu sysname f5000a-2 # vlan 12# interface GigabitEthernet1/6 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/8 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 12 F5000A-A 配置 : f5000a-1dis cu sysname f5000a-1
