《SecPath--防火墙双机热备典型配置》由会员分享,可在线阅读,更多相关《SecPath--防火墙双机热备典型配置(26页珍藏版)》请在金锄头文库上搜索。
1、 .wd.SecPath防火墙双机热备典型配置举例关键词:双机热备、主备模式、负载分担模式、数据同步、流量切换摘要:防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。本文将介绍双机热备的概念、工作模式及典型应用等。缩略语:缩略语英文全名中文解释ALGApplication Level Gateway应用层网关ASPFApplication Specific Packet Filter基于应用层的包过滤NATNetwork Address Tran
2、slator网络地址转换VRRPVirtual Router Redundancy Protocol虚拟路由冗余协议OSPFOpen Shortest Path First开放最短路径优先目录1 特性简介31.1 双机热备的工作机制32 特性使用指南42.1 使用场合42.2 配置指南42.2.1 双机热备组网应用配置指南42.2.2 双机热备应用涉及的配置42.3 本卷须知43 支持的设备和版本53.1 设备版本53.2 支持的设备53.3 配置保存54 配置举例64.1 典型组网64.2 设备 根本配置94.2.1 其他共同配置:94.3 双机热备业务典型配置举例94.3.1 透明模式主备
3、模式94.3.2 透明模式负载分担模式144.3.3 路由模式主备模式174.3.4 路由模式负载分担模式194.3.5 路由模式主备模式支持非对称路径214.3.6 路由模式负载分担模式支持非对称路径284.3.7 动态路由模式组网335 相关资料331 特性简介双机热备在链路切换前,对会话信息进展主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。1.1 双机热备的工作机制互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断
4、。而流量的切换则依靠传统备份技术如VRRP、动态路由来实现,应用灵活,能适应各种组网环境。另外需要使用专有的备份链路口进展会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。A. 在命令行下无法配置双机热备,只能在WEB页面上配置;WEB配置页面:B. 必须配置心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存,重启,心跳口开场工作,心跳口在命令行和WEB页面下的接口管理中都不可见,但是双机热备配置页面下可见。C. 没有主备设备之分,工作中的设备称为主用设备比拟适宜些,两台防火墙的会话信息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,目前只有稳
5、态的会话才会进展备份;D. 主要有两种模式的组网:静态路由模式和动态路由模式,静态路由模式组网依赖于VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙随之切换;动态路由模式依赖于动态路由协议,由于动态路由协议进展路由学习比VRRP切换慢,所以路由模式的双机热备主用设备切换时间较长;在这两种组网的根基上又可以配置为双主用模式、主备用模式;E. 目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;假设出报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将支持非对称的报文转发。2 特性使用指南2.1 使用场合Secpath防火墙作为内外网的接入点
6、,当设备出现故障便会导致内外网之间的网络业务的全部中断。在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。双机热备解决方案能够很好的解决这个问题。2.2 配置指南2.2.1 双机热备组网应用配置指南双机热备典型组网应用包括以下内容:l 透明模式主备模式l 透明模式负载分担模式l 路由模式主备模式l 路由模式负载分担模式l 路由模式主备模式支持非对称路径l 路由模式负载分担模式支持非对称路径2.2.2 双机热备应用涉及的配置用户必须在Web设置双机热备功能,命令行无法配置。2.3 本卷须知双机热备关于Web配置根据具体实例再作说明。3 支
7、持的设备和版本3.1 设备版本f5000a-1_dis verH3C Comware Platform SoftwareComware Software, Version 5.20, Beta 3203Comware Platform Software Version COMWAREV500R002B62D001H3C SecPath F5000-A5 Software Version V300R002B01D012Copyright (c) 2004-2008 Hangzhou H3C Tech. Co., Ltd. All rights reserved.Compiled Oct 31 2
8、008 14:56:27, RELEASE SOFTWAREH3C SecPath F5000-A5 uptime is 0 week, 0 day, 0 hour, 51 minutes CPU type: RMI XLR732 1000MHz CPU 2048M bytes DDR2 SDRAM Memory 4M bytes Flash Memory MPUA PCB Version:Ver.A SWBA PCB Version:Ver.A MPUA Basic Logic Version:133.0 MPUA Extend Logic Version:133.0 SWBA Logic
9、Version:132.0 MPUA LX30T FPGA Version: 3.08 Basic BootWare Version: 1.02 Extend BootWare Version: 1.02 FIXED PORT CON (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FIXED PORT AUX (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0FIXED PORT M-GE0/0 (Hardware)Ver.A, (Driver)1.0, (Cpld)133.0SUBCARD 1 NSQ1GT8C40 (Har
10、dware)Ver.A, (Driver)1.0, (Cpld)134.0 SUBSLOT 2 The SubCard is not present SUBSLOT 3 The SubCard is not present SUBSLOT 4 The SubCard is not present3.2 支持的设备Secpath F5000-A53.3 配置保存每次配置完成后,注意进展配置的保存。系统管理配置维护配置保存,点击。4 配置举例4.1 典型组网图1 双机热备路由典型组网图2 双机热备透明典型组网图3 双机热备非对称主备典型组网图4 双机热备非对称双主典型组网4.2 设备 根本配置4.
11、2.1 其他共同配置:(1) 接口模式:M-G0/0为管理接口Interface Physical Protocol IP AddressM-GigabitEthernet0/0 up up 192.1.1.14.3 双机热备业务典型配置举例4.3.1 透明模式主备模式1. 功能简述主备模式就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备Down机后,备用设备会接收工作。2. 典型配置步骤组网图21、 防火墙运行在二层模式,配置如以下图的Vlan;F5000A-B 配置:f5000a-2dis cu sysname f5000a-2 # vlan 12# interface GigabitEthernet1/6 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/8 port link-mode bridge port access vlan 12 # interface GigabitEthernet1/9 port link-mode bridge port access vlan 12 F5000A-A 配置 : f
