收藏
下载资源

华为防火墙 双机热备配置.doc

上传人:工**** 文档编号:561096712 上传时间:2023-09-25 格式:DOC 页数:68 大小:984.01KB
返回 下载 相关 举报
华为防火墙 双机热备配置.doc_第1页
第1页 / 共68页
华为防火墙 双机热备配置.doc_第2页
第2页 / 共68页
华为防火墙 双机热备配置.doc_第3页
第3页 / 共68页
华为防火墙 双机热备配置.doc_第4页
第4页 / 共68页
华为防火墙 双机热备配置.doc_第5页
第5页 / 共68页
点击查看更多>>
资源描述

《华为防火墙 双机热备配置.doc》由会员分享,可在线阅读,更多相关《华为防火墙 双机热备配置.doc(68页珍藏版)》请在金锄头文库上搜索。

1、Quidway Eudemon 300/500/1000配置指南 可靠性分册目 录目 录1 双机热备份配置1-11.1 简介1-21.1.1 总体概述1-21.1.2 VRRP概述1-31.1.3 VGMP概述1-41.1.4 备份方式分类1-51.1.5 HRP应用1-91.1.6 配置设备的主从划分1-101.1.7 配置命令和状态信息的备份1-111.1.8 双机热备份的组网方式1-121.1.9 报文来回路径不一致的组网1-131.2 配置VRRP备份组1-181.2.1 建立配置任务1-181.2.2 配置未加入VRRP管理组的VRRP备份组1-181.2.3 配置加入VRRP管理组

2、的VRRP备份组1-191.2.4 检查配置结果1-201.3 配置VRRP管理组1-211.3.1 建立配置任务1-211.3.2 配置路由模式下的VRRP管理组1-221.3.3 配置混合模式下的VRRP管理组1-231.3.4 检查配置结果1-241.4 配置双机热备份1-241.4.1 建立配置任务1-241.4.2 配置来回路径一致时的双机热备份1-251.4.3 检查配置结果1-261.5 配置来回路径不一致时的链路可达性检查1-261.5.1 建立配置任务1-261.5.2 检查链路可达性1-271.6 使能来回路径不一致时的会话快速备份和报文搬迁1-281.6.1 建立配置任务

3、1-281.6.2 使能会话快速备份1-291.6.3 使能报文搬迁1-291.7 配置备防火墙上的NAT1-291.7.1 建立配置任务1-291.7.2 配置备防火墙上的NAT1-301.7.3 配置备防火墙上的内部服务器1-301.8 维护1-311.8.1 调试VRRP报文、状态和定时器1-311.8.2 调试VRRP管理组1-311.8.3 调试HRP1-311.8.4 检查两端配置的一致性1-321.8.5 查看IP链路状态1-321.8.6 调试IP链路1-321.8.7 调试HRP配置检查功能1-331.9 配置举例1-331.9.1 配置使用VRRP管理组的主备备份示例1-3

4、31.9.2 配置使用VRRP管理组的负载分担示例1-371.9.3 配置混合模式下的使用VRRP管理组的主备备份示例1-421.9.4 配置路由模式下的双机热备份示例1-451.9.5 配置混合模式下的双机热备份示例1-461.9.6 配置OSPF和双机热备份混合组网示例1-481.9.7 配置IP link示例1-561.9.8 配置两端状态一致性检查1-581.9.9 配置会话快速备份1-601.9.10 配置报文搬迁1-61文档版本 02 (2007-12-15)华为技术有限公司i插图目录图1-1 来回路径一致组网图1-2图1-2 来回路径不一致组网图1-2图1-3 采用缺省路由的组网

5、1-3图1-4 采用VRRP的虚拟路由器组网1-4图1-5 Eudemon备份的典型组网1-4图1-6 Eudemon备份的状态1-5图1-7 主备备份组网1-6图1-8 负载分担组网(1)1-7图1-9 负载分担组网(2)1-9图1-10 Eudemon主备备份的典型数据路径1-10图1-11 来回路径不一致组网图1-13图1-12 H型结构1-14图1-13 h型结构1-15图1-14 N型结构1-16图1-15 |-型结构1-17图1-16 使用VRRP管理组的主备备份组网1-34图1-17 使用VRRP管理组的负载分担组网1-38图1-18 混合模式下的VRRP管理组的主备备份组网图1

6、-42图1-19 混合模式下的双机热备分组网图1-47图1-20 OSPF和双机热备份混合组网图1-49图1-21 采用路由器的双机热备分组网图1-56图1-22 配置两端状态一致性检查组网图1-59图1-23 配置会话快速备份1-60表格目录表1-1 主备备份方式下各设备的状态1-6表1-2 负载分担方式下各设备的状态(1)1-8表1-3 负载分担方式下各设备的状态(2)1-8表1-4 检查VRRP备份组配置1-20表1-5 检查VRRP管理组配置1-24表1-6 检查双机热备配置1-26表1-7 调试VRRP报文、状态和定时器的相关操作1-31表1-8 调试VRRP管理组的相关操作1-31

7、表1-9 调试HRP的相关操作1-31表1-10 查看IP链路状态1-32表1-11 调试IP链路的相关操作1-32表1-12 调试HRP配置检查功能的相关操作1-33Quidway Eudemon 300/500/1000配置指南 可靠性分册1 双机热备份配置1 双机热备份配置关于本章本章描述内容如下表所示。标题内容1.1 简介介绍双机热备份的基本原理和组网1.2 配置VRRP备份组介绍VRRP备份组的配置方法1.3 配置VRRP管理组介绍VRRP管理组的配置方法1.4 配置双机热备份介绍双机热备份的配置方法1.5 配置来回路径不一致时的链路可达性检查介绍来回路径不一致时的链路可达性检查的配

8、置方法1.6 使能来回路径不一致时的会话快速备份和报文搬迁介绍来回路径不一致时的会话快速备份和报文搬迁的配置方法1.7 配置备防火墙上的NAT介绍备防火墙上的NAT的配置方法1.8 维护介绍双机热备份的维护方法1.9 配置举例介绍配置举例1.1 简介1.1.1 总体概述网络拓扑结构可以根据报文的来回路径是否一致分为如下两种:l 来回路径一致组网l 来回路径不一致组网典型组网图分别如图1-1、图1-2所示。图1-1 来回路径一致组网图图1-2 来回路径不一致组网图上述网络均可以部署Eudemon防火墙的双机热备份功能,保证不会出现因单点故障导致的通话中断。Eudemon防火墙的双机热备份需要三个

9、协议的支持:l VRRP(Virtual Router Redundancy Protocol)是由RFC2338定义的一种容错协议,通过实现物理设备和逻辑设备的分离,实现在多个出口网关之间进行选路。l VGMP(VRRP Group Management Protocol)是华为公司为防止VRRP状态不一致现象的发生,在VRRP的基础上自主开发出的扩展协议。该协议负责统一管理加入其中的各备份组VRRP的状态。l HRP(Huawei Redundancy Protocol)协议用来进行防火墙的动态状态数据的实时备份。通常,内部网络的主机都配置一条缺省路由,下一跳为出口路由器的接口IP地址。如

10、图1-3所示,IP地址为10.100.10.1/24。图1-3 采用缺省路由的组网内外部用户的交互报文全部通过Router A。如果Router A出现故障,内部网络中所有以Router A为缺省路由下一跳的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。1.1.2 VRRP概述VRRP正是为了解决上述问题而提出来的。作为一种容错协议,VRRP适用于支持组播或广播的局域网(如以太网等)。VRRP将局域网的一组路由器构成一个备份组,功能上相当于一台虚拟路由器。局域网内的主机仅仅知道这个虚拟路由器的IP地址,而不知道备份组内的具体设备的IP地址。它们将自己的缺省路由下一跳地址设置为该虚拟路由器

11、的IP地址。于是,网络内的主机就通过这个虚拟路由器与其它网络进行通信。备份组中,仅有一台设备处于活动状态,称为主用设备(Master);其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备,称为备份设备(Backup)。图1-4所示为三台路由器组成的备份组。图1-4 采用VRRP的虚拟路由器组网VRRP机制将该虚拟路由器动态关联到某承担传输业务的物理路由器上,从而当该物理路由器出现故障时能再次选择新路由器来接替业务传输工作,整个过程对用户来说是完全透明的,这就很好实现了内部网络和外部网络之间不间断通信。1.1.3 VGMP概述Eudemon备份的典型组网如图1-5所示。每个安全区域的

12、接口均形成一个VRRP备份组,各VRRP备份组均相对独立,且单独工作。图1-5 Eudemon备份的典型组网此时,由于Eudemon是状态防火墙,只检查会话流的首报文,并动态生成会话表项。后续报文(包括返回报文)只有匹配该会话表项才能通过Eudemon。当某会话的进路径和出路径不一致时,后续报文或返回报文将无法匹配防火墙的会话表项,导致报文被丢弃。如图1-6所示,返回报文通过路径(5)(9)到达Eudemon B后将会被丢弃。图1-6 Eudemon备份的状态传统VRRP机制中,由于各VRRP备份组相对独立,无法保证同一防火墙上各接口的VRRP状态都为主用或都为备用,即传统VRRP方式将无法实

13、现Eudemon防火墙VRRP状态的一致性。华为公司为解决上述问题,提出VGMP扩展协议,负责统一管理加入其中的各备份组VRRP状态。借助VGMP机制,可以实现对多个VRRP备份组(虚拟防火墙)的状态一致性管理、抢占管理和通道管理等,保证一台防火墙上的接口同时处于主用或备用状态,实现Eudemon防火墙VRRP状态的一致性。1.1.4 备份方式分类主备备份通过接口、备份组、管理组之间的不同组合,可以实现两台Eudemon防火墙主备备份、负载分担等方式。在选择备份方式时,防火墙根据备份组的数量、各备份组中防火墙的优先级关系来确定采用哪种工作方式。借助VGMP机制,可以实现主备备份,即每个Eude

14、mon防火墙上都配置相同编号的VRRP管理组,但是优先级不同。如图1-7所示。图1-7 主备备份组网A1、A2、A3Eudemon A的接口B1、B2、B3Eudemon B的接口在图1-7中:l Eudemon A上的VRRP管理组1包含备份组1、2、3,优先级为Level1。l Eudemon B上的VRRP管理组1也包含备份组1、2、3,优先级为Level2。由于Level1Level2,所以Eudemon A作为Master防火墙,Eudemon B作为Backup防火墙。表1-1 主备备份方式下各设备的状态防火墙设备管理组1成员优先级状态会话量A备份组1,2,3Level1Master全部B备份组1,2,3Level2Backup0Trust、DMZ和Untrust区域内的主机将业务数据分别发送到Eudemon A防火墙(Master)的A1、A2和A3接口,由该防火墙承担全部会话业务。当Master防火墙出现故障或相关链路故障时,状态发生切换,Backup防火墙变成Master,并开始承担全部会话业务。负载分担负载分担方式包括如下两种:l 简化的负载分担(复用原有接口)所谓负载分担,也可以称为互为主备。每个Eudemon防火墙上分别配置两个不同编号的VRRP管理组,具有不同的优先级,如图1-8所示。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 社会民生

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号