防火墙双机热备(HCIA)
目录
一、冗余分类
物理冗余:单设备改多设备,多线路连接。
网络冗余:多线路,保障网络冗余性,单条链路挂掉,还能走另一条。
设备冗余:交换机堆叠、关类做双机热备。
链路冗余:线路做链路聚合。
1、双机热备的产生
传统的组网方式,内部用户和外部用户的交互报文全部通过Firewall A。如果Firewall A出现故障,内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。
双机热备:两台或多台设备解决单台机器的单点故障。
2、热备和冷备
热备:实时备份,业务中断时间短。
冷备:手动备份/离线备份,业务中断时间久,需要人为干预。
二、VRRP
VRRP虚拟路由冗余协议:在一个广播域内将多台路由器的接口,加入同一个逻辑备份组,备份组有一个虚拟IP地址,这个虚拟的IP地址只有主设备会响应。
虚拟MAC:每一个VRRP备份组,都会有自己的虚拟MAC地址。
VRRP注意事项
1、在一个VRRP组中,收到ARP请求,只有主设备会响应这个请求。
2、ARP应答中MAC地址为这个VRRP组中虚拟MAC地址。
3、交换机具备学习的功能,会把接口跟这个虚拟MAC做映射。
4、PC会记录ARP映射表。
5、PC会把这个虚拟MAC地址进行封装后发送。
VRRP通告报文
VRRP通告报文:组播报文224.0.0.18,只有组设备会周期性(1s)在该广播域内发送,3倍hello时间没收到VRRP通告报文,进行VRRP主备切换,备设备切换为主设备,并在该广播域发送免费ARP(检测IP地址是否有冲突,源MAC是【虚拟MAC地址】,交换机本来映射表是虚MAC——>接口1,收到免费ARP后映射表虚MAC——>接口2)。
VRRP技术:在一个广播域内,将不同路由器的多个接口做一个逻辑备份组,这个逻辑备份组有一个虚IP可以给主机做网关,这个虚IP会对应一个虚拟MAC,当三倍hello时间没有收到组播通告报文,备机会切换为主机,并发送免费ARP。
由于VRRP组只在一个广播域,比如路由器上联接口是一个VRRP组,下联接口是另一个VRRP组,R1的下联口发生故障,R2的下联口成为主,上联都没有变化,这样会造成流量来回路径不一致。
VRRP track:将多个接口做逻辑绑定,一个接口故障,会影响绑定组里的其他接口进行优先级降低。
三、VGMP
VGMP(VRRP组管理协议):将不同的VRRP备份组加入到相同的VGMP管理组,VGMP组内会让关联者状态一致,下边的变为备,上边也变为备,实现同步切换。
两种VGMP组
组名 | 状态 |
Active组 | Active |
Standby组 | Standby |
启用了VGMP后,VRRP优先级就会失效,不能通过VRRP选举主备,而是VMGP的Active主和Strandby备组决定。
VGMP优先级
(1)、V1:Active优先级65001,Standby优先级65000。
(2)、V5:Active优先级45000,Strandby优先级45000。
优先级高状态为Active,组内有一个VRRP成员故障,会导致这个VGMP优先级下降2,Strandby组的状态就会由Strandby变为Active,会发免费ARP引导流量。
路由器换成防火墙,主备切换会产生问题,由于没有会话同步,流量到备机后,新会话(首包过来并且通过防火墙安全策略放行)正常没有问题,之前主机旧会话由于没有同步,会直接被拦截。
四、HRP
HRP华为冗余协议:用于双机之间数据同步,引入心跳线的概念。
心跳线:单独拿防火墙一个接口配置,主墙会周期性(1s,自动备份,快速备份)同步状态信息(状态信息:会话表)。 |
数据同步:同步配置(接口IP,路由不同步)、同步状态
周期性同步: | (1)、自动备份 | 1s |
(2)、快速备份 | 负载分担下用,产生立刻备份。 |
五、双机热备基本组网与配置
配置步骤
1、配置接口IP。
2、配置接口区域
3、配置tracert区域内接口的VRRP组,配置Untrust区域内接口的VRRP组。
4、配置心跳口。
5、指定双机热备备墙。
6、开启双机热备。
防火墙接口加入区域:
[FW1]firewall zone trust
[FW1-zone-trust]add interface GigabitEthernet 1/0/0
防火墙不老化:
user-interface con 0
idle-timeout 0 0
做双机之前配置要完全一致
[FW1]interface GigabitEthernet 0/0/0
[FW1-GigabitEthernet0/0/0]vrrp vrid 2 virtual-ip 192.168.1.254 active
[FW1-GigabitEthernet0/0/0]vrrp vrid 2 timer advertise 6 (VRRP通告时间6s一次)
配置心跳口:
[FW1]hrp interface GigabitEthernet 1/0/1 remote 1.1.1.2 (指定本端心跳口和对端心跳IP)
[FW2]hrp standby-device (指定FW2做备墙)
[FW1]hrp interface Eth-Trunk 1 (监听聚合接口)
[FW1]hrp enable (开启双机热备)
双机组建完成后,配置只能在主墙上配置
HRP_M[FW1]security-policy (+B) (+B的意思的立即同步备墙,配置防火墙安全策略)
HRP_M[FW1-policy-security]rule name PC1-to-PC2 (+B) (配置策略名)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-zone trust (+B) (配置策略源区域)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-zone untrust (+B) (配置策略目的区域)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]source-address 10.1.1.1 32 (+B) (配置源地址)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]destination-address 192.168.1.1 32 (+B ) (配置目的地址)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]service icmp (+B) (配置匹配的协议)
HRP_M[FW1-policy-security-rule-PC1-to-PC2]action permit (+B) (配置放行策略)
主备部署,心跳线断了,两边都认为自己是主,都会主动发送免费ARP引流,会导致流量时断时续。
正常双主(负载模式),非正常双组(心跳口断开,导致双主,流量路径不一致,会话没同步,丢包时断时续)
防火墙主备模式,心跳线断开,备机从备切到主VRRP会发免费ARP引流,但是这个时候心跳线恢复,备从主切回备就不会发免费ARP,主墙依旧是主,下边链路还没切,得等主墙的ARRP通告时间到了发报文,下边交换机arp和mac地址表才能更新,流量才能走正确路径。
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。 如若内容造成侵权/违法违规/事实不符,请联系我的编程经验分享网邮箱:veading@qq.com进行投诉反馈,一经查实,立即删除!