HC120119004 USG防火墙双机热备业务特性与配置_第1页
HC120119004 USG防火墙双机热备业务特性与配置_第2页
HC120119004 USG防火墙双机热备业务特性与配置_第3页
HC120119004 USG防火墙双机热备业务特性与配置_第4页
HC120119004 USG防火墙双机热备业务特性与配置_第5页
已阅读5页,还剩31页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

USG防火墙

双机热备业务特性与配置前言在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重要的业务入口或接入点上需要保证网络不间断运行。对于这些重要的业务点如何保证网络的不间断传输,成为必须解决的一个问题。本胶片主要介绍防火墙的双机热备份技术原理和具体配置,以及在USG防火墙上实施双机热备份技术所使用的三种协议:VRRP、VGMP和HRP。培训目标学完本课程后,您应该能:掌握双机热备份技术原理掌握VRRP,VGMP和HRP之间的关系掌握典型双机组网的配置目录双机热备份技术原理USG防火墙双机热备份技术双机热备份技术在防火墙上的实施双机热备份技术产生的原因传统的组网方式如图所示,内部用户和外部用户的交互报文全部通过FirewallA。如果FirewallA出现故障,内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断,通讯可靠性无法保证。FirewallA10.100.10.1/24InternetPC服务器内部网络10.100.10.0/24传统双机热备份技术在路由器上的部署RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组VirtualIPAddress10.100.10.1InternetPC服务器内部网络10.100.10.0/24路由器组网中通过VRRP协议实现双机热备份VRRP在多区域防火墙组网中的应用DMZTrustUntrustUSGA10.100.20.0/24MasterUSGBBackup10.100.10.0/24备份组1VirtualIPAddress10.100.10.1备份组2VirtualIPAddress10.100.20.1备份组3VirtualIPAddress202.38.10.1为防火墙上多个区域提供双机备份功能时,需要在每一台防火墙上配置多个VRRP备份组。VRRP在防火墙应用中存在的缺陷USGAMasterUSGBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)传统VRRP方式无法实现主、备用USG防火墙状态的一致性。目录双机热备份技术原理USG防火墙双机热备份技术双机热备份技术在防火墙上的实施防火墙双机热备份技术分析防火墙双击热备份技术的特征控制主、备用防火墙的切换状态信息的备份USG防火墙的双机热备份技术依靠三种协议实现:VRRP(虚拟路由冗余协议)VGMP(VRRP组管理协议)HRP(华为冗余协议)防火墙主备状态切换的实现VGMP(VRRPGroupManagementProtocol)提出VRRP管理组的概念,将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP备份组状态都是一致的。VGMP的作用:防火墙主备状态控制切换VRRP管理组的功能:状态一致性管理(管理组内VRRP备份组同步状态切换)抢占管理(屏蔽VRRP备份组抢占)通道管理(trans-only)VGMP实现原理USGAMasterUSGBBackupTrustDMZUntrust备份组1备份组2备份组3A1A2A3B2B1B3管理组管理组备份组4VGMP数据通道USGAMasterUSGBBackupTrustDMZUntrustA1A2A3B2B1B3A4B4A4-B4A3-B3A1-B1A2-B2防火墙状态信息的备份VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时,所有流量都将切换到备防火墙。但USG防火墙是状态防火墙,如果备防火墙上没有原来主防火墙上的连接状态数据,则切换到备防火墙的很多流量将无法通过,造成现有的连接中断,此时用户必须重新发起连接。为了实现主用设备出现故障时能由备用设备平滑地接替工作,需要在主、备用设备之间备份关键配置命令和会话表状态等关键信息。HRPHRP(HuaweiRedundancyProtocol)华为冗余协议华为公司冗余协议HRP(HuaweiRedundancyProtocol)是承载在VGMP报文上进行传输的。HRP用于在主用设备和备用设备之间备份关键配置命令和会话表状态等关键信息。HRP/VGMP/VRRP之间的关系VRRP备份组VGMP管理组VGMP报文HRP模块HRP报文接口VRRP报文目录双机热备份技术原理USG防火墙双机热备份技术双机热备份技术在防火墙上的实施防火墙双机热备份组网方式USG的双机热备份,可以工作在路由模式和混合模式两种模式下:路由模式是指USG的业务端口和HRP备份通道接口均工作在路由模式下。混合模式是指USG的业务端口工作在透明模式下,而HRP备份通道接口工作在路由模式下。路由模式和混合模式都包含两种组网方式:主备组网方式负载分担组网方式路由模式-主备组网方式防火墙设备管理组成员优先级状态会话量AMaster备份组1,2,3高主用100%BSlave备份组1,2,3低备用0USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0PC1PC2路由模式-主备组网方式配置参考1USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0[USG2100]interfaceGigabitEthernet1/0/0[USG2100-GigabitEthernet1/0/0]ipaddress10.100.10.224

[USG2100-GigabitEthernet1/0/0]vrrpvrid1virtual-ip10.100.10.1master[USG2100]interfaceGigabitEthernet3/0/0[USG2100-GigabitEthernet3/0/0]ipaddress202.38.10.224

[USG2100-GigabitEthernet3/0/0]vrrpvrid2virtual-ip202.38.10.1master#将GE1/0/0和GE3/0/0加入到对应的VRRP备份组中。路由模式-主备组网方式配置参考2USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0[USG2100]

interfaceGigabitEthernet2/0/0[USG2100-GigabitEthernet2/0/0]ipaddress10.100.20.224[USG2100-GigabitEthernet2/0/0]vrrpvrid3virtual-ip10.100.20.1master#将GE2/0/0加入到对应的VRRP备份组中。

[USG2100]

hrpinterfaceGigabitEthernet2/0/0[USG2100]

hrpenable#指定HRP的备份通道并使能HRP功能。路由模式-主备组网方式配置参考3USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0HRP_M[USG2100]hrpauto-syncconfigHRP_M[USG2100]policyinterzonetrustuntrustoutboundHRP_M[USG2100-policy-interzone-trust-untrust-outbound]

policy1HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1]actionpermitHRP_M[USG2100-policy-interzone-trust-untrust-outbound-1]policysource10.100.10.0mask24#使能配置命令自动备份功能并添加区域间包过滤规则。

路由模式-主备组网方式配置验证USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0HRP_M[USG2100]displayhrpstate

Thefirewall'sconfigstateis:MASTERCurrentstateofvirtualroutersconfiguredasmaster:GigabitEthernet1/0/0vrid1:masterGigabitEthernet3/0/0vrid2:masterGigabitEthernet2/0/0vrid3:master#在USGA上执行displayhrpstate命令,检查当前HRP的状态,显示以上信息表示HRP建立成功。

路由模式-负载分担组网方式防火墙设备管理组备份组优先级状态会话量AMaster备份组1,2,3高主用部分BSlave备份组1,2,3低备用0ASlave备份组4,5,6低备用0BMaster备份组4,5,6高主用部分Master/Slave管理组USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5PC1PC2USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5路由模式-负载分担组网方式配置参考1[USG2100]interfaceGigabitEthernet1/0/0

[USG2100-GigabitEthernet1/0/0]ipaddress10.100.10.324[USG2100-GigabitEthernet1/0/0]vrrpvrid1virtual-ip10.100.10.1master[USG2100-GigabitEthernet1/0/0]vrrpvrid4virtual-ip10.100.10.2slave[USG2100]interfaceGigabitEthernet3/0/0[USG2100-GigabitEthernet3/0/0]ipaddress202.38.10.324

[USG2100-GigabitEthernet3/0/0]vrrpvrid2virtual-ip202.38.10.1master

[USG2100-GigabitEthernet3/0/0]vrrpvrid5virtual-ip202.38.10.2slave

将接口GE1/0/0和GE3/0/0加入到对应的VRRP备份组中路由模式-负载分担组网方式配置参考2USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5[USG2100]interfaceGigabitEthernet2/0/0[USG2100-GigabitEthernet2/0/0]ipaddress10.100.20.324[USG2100-GigabitEthernet2/0/0]vrrpvrid3virtual-ip10.100.20.1master[USG2100-GigabitEthernet2/0/0]vrrpvrid6virtual-ip10.100.20.2slave[USG2100]

hrpinterfaceGigabitEthernet2/0/0[USG2100]

hrpenable

#将GE1/0/0和GE3/0/0加入对应的备份组;指定HRP备份通道并使能HRP功能。

路由模式-负载分担组网方式配置参考3USGATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave/Master管理组Master/Slave管理组备份组3USGBGE1/0/0GE3/0/0GE2/0/0备份组4备份组6备份组5HRP_M[USG2100]hrpauto-syncconfigHRP_M[USG2100]policyinterzonetrustuntrustoutboundHRP_M[USG2100-policy-interzone-trust-untrust-outbound]

policy1HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1]actionpermitHRP_M[USG2100-policy-interzone-trust-untrust-outbound-1]policysource10.100.10.0mask24#使能配置命令自动备份功能并添加区域间包过滤规则。路由模式-负载分担组网方式配置验证HRP_M[USG2100]dishrpstate

Thefirewall'sconfigstateis:MASTERCurrentstateofvirtualroutersconfiguredasmaster:GigabitEthernet3/0/0vrid2:masterGigabitEthernet2/0/0vrid3:masterGigabitEthernet1/0/0vrid1:masterCurrentstateofvirtualroutersconfiguredasslave:GigabitEthernet3/0/0vrid5:slaveGigabitEthernet2/0/0vrid6:slaveGigabitEthernet1/0/0vrid4:slave#在USGA上执行displayhrpstate命令,检查当前HRP的状态。从以上显示信息可以看出,在USGA上,VRRP备份组1、2、3属于Master管理组;VRRP备份组4、5、6属于Slave管理组。混合模式-主备组网方式上图组网方式可以实现负载分担吗?G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USGAUSGBSwitch1Switch2Switch3Switch4trustuntrust备份组1PC1PC2混合模式-主备组网方式配置参考1G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USGAUSGBSwitch1Switch2Switch3Switch4trustuntrust备份组1[USG2100]interfaceGigabitEthernet0/0/1[USG2100-GigabitEthernet0/0/1]ipaddress10.100.20.224[USG2100-GigabitEthernet0/0/1]vrrpvrid1virtual-ip10.100.20.1master[USG2100]firewallzonedmz

[USG2100-zone-dmz]addinterfacegigabitethernet0/0/1

#配置GE0/0/1所属的VRRP备份组和虚拟IP地址,并将其加入DMZ区域

混合模式-主备组网方式配置参考2G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USGAUSGBSwitch1Switch2Switch3Switch4trustuntrust备份组1[USG2100]interfacegigabitethernet0/0/0

[USG2100-GigabitEthernet0/0/0]portswitch

[USG2100]interfacegigabitethernet0/0/2

[USG2100-GigabitEthernet0/0/2]portswitch#配置GE0/0/0和GE0/0/2工作在透明模式。

混合模式-主备组网方式配置参考3G0/0/0G0/0/0G0/0/2G0/0/2G0/0/1G0/0/1USGAUSGBSwitch1Switch2Switch3Switch4trustuntrust备份组1[USG2100]

vlan2[USG2100-vlan-2]portGigabitEthernet0/0/0

[USG2100-vlan-2]portGigabitEthernet0/0/2

[USG2100-vlan-2]hrptrackmaster

人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论