防火墙双机热备配置及组网指导
防火墙双机热备, 主要是提供冗余备份的功能, 在网络发生故障的时候避免业务出现中断。
防火墙双机热备组网根据防火墙的模式, 分路由模式下的双机热备组网和透明模式下的双机热备 组网,下面分别根据防火墙的不同模式下的组网提供组网说明及典型配置。
1 防火墙双机热备命令行说明
防火墙的双机热备的配置主要涉及到 HRP 的配置, VGMP 的配置,以及 VRRP 的配置,防 火墙的双机热备组网配置需要根据现网的业务和用户的需求来进行调整, 下面就防火墙的双机热 备配置涉及到的命令行做一个解释说明。
1.1 HRP 命令行配置说明
HRP 是华为的冗余备份协议, Eudemon 防火墙使用此协议进行备份组网, 达到链路状态备 份的目的,从而
保证在设备发生故障的时候业务正常。
HRP 协议是华为自己开发的协议,主要是在 VGMP 协议的基础上进行扩展得到的; VGMP 是华为的私有协
议,主要是用来管理 VRRP 的, VGMP 也是华为的私有协议,是在 VRRP 的基 础上进行扩展得到的。不管是
VGMP 的报文,还是 HRP 的报文,都是 VRRP 的报文,只是防火 墙在识别这些报文的时候能根据自己定义的字
段能判断出是 VGMP 的报文, HRP 的报文,或者 是普通的 VRRP 的报文。
在 Eudemon 防火墙上, hrp 的作用主要是备份防火墙的会话表, 备份防火墙的 servermap 表, 备份防火墙的黑名单, 备份防火墙的配置, 以及备份 ASPF 模块中的公私网地址映射表和上层会 话表等。
两台防火墙正确配置 VRRP , VGMP ,以及 HRP 之后,将会形成主备关系,这个时候防火 墙的命令行上会自动显示防火墙状态是主还是备, 如果命令行上有 HRP_M 的标识, 表示此防火 墙和另外一台防火墙进行协商之后抢占为主防火墙,如果命令行上有 HRP_S 的标识,表示此防 火墙和另外一台防火墙进行协商之后抢占为备防火墙。 防火墙的主备状态只能在两台防火墙之间 进行协商, 并且协商状态稳定之后一定是一台为主状态另外一台为备状态, 不可能出现两台都为 主状态或者都是备状态的。
在防火墙的 HRP 形成主备之后,我们称 HRP 的主备状态为 HRP 主或者是 HRP 备状态, 在 形成 HRP 的主备状态之后默认是一部分配置在主防火墙上配置之后能自动同步到备防火墙上 的,而这些命令将不能在备防火墙的命令行上执行,这些命令包括 ACL ,接口加入域等,但其 中一些命令行是不会从主防火墙上备份到备防火墙上。
HRP 的配置命令的功能和使用介绍如下:
★ hrp enable
: HRP使能命令,使能 HRP之后防火墙将形成主备状态。
:检查主备防火墙两端的
★ hrp configuration check acl 之后,
ACL的配置是否一致。执行此命令 display hrp configuration
check
主备防火墙会进行交互, acl 来查执行完之后可以通过命令行 看两边的配置是否一致。 ★ hrp configuration check hrp 之
:检查主备防火墙两端的
HRP的配置是否一致。执行此命令 display hrp configuration
check
后,主备防火墙会进行交互, acl 执行完之后可以通过命令行 来查看两边的配置是否一致。
★ hrp interface Ethernet/ GigabitEthernet
防火墙心跳口,此接口用来备份防火墙的会话的。
:添加防火墙配置会话备份通道。通常就是指
★ hrp interface Ethernet 1/0/0 high-availability :配置防火墙的高可用性接口。主要是 用来实现防火墙的会话快
速备份,如果不配置 high-availability ,会话快速备份的命令将 不能使能,配置此命令之后,此接口会被有限选择作为防火墙会话备份的接口。在防火墙上 配置了 hrp interface 之后,防火墙选择备份通道的接口为:先选择配置的时候带了 high-availability 的接口,如果配置了多个带 high-availability 的接口,先选择槽位号 和端口号比较小的接口,然后在选择槽位号和端口号比较小的不带 high-availability 的接 口。接口发生故障导致接口上的
VRRP处于初始化状态或者是接口上的 VRRP所属的VGMP没有
使能的时候,防火墙会重新选择备份通道。 ★ hrp mirror session enable
:会话快速备份使能命令,此命令使能之后防火墙上对新建的
会话或者是刷新的会话立即备份到对端防火墙上,在配置 此命令。
★ hrp mirror packet enable
high-availability 之后才能配置
:报文搬迁使能命令,此命令使能之后,如果 ICMP 的应答报文
会把报文搬迁到另外一台防火墙上,
或者是TCP的ACKB文在其中一台防火墙上找不到会话,
如果在另外一台防火墙上找到会话,报文根据会话转发,如果找不到会话,直接丢弃。此功 能现在保留,但是基本上不再使用,因为防火墙会话快速备份使能之后会话在建立或者是刷 新的时候马上就能备份到对端防火墙上,并且报文搬迁占用比较多的带宽,所以这个命令推 荐不使用。 ★ hrp ospf-cost adjust-enable
墙上配置这个命令后,防火墙发布
:这个命令是在防火墙和路由器组网的时候使用的,在防火
OSPF的路由的时候,会判断是主防火墙或者是备防火墙,
如果是主防火墙,防火墙把学习到的路由直接发布出去,如果是备防火墙,防火墙把学习到
的路由加上一个 COST直再发布岀去,这个 COST值默认是65535,可以根据需要进行调整, 这样和防火墙相连的路由器在计算路由的时候,路由就都能指到主防火墙上,路由器把报文 转发到主防火墙上。在使用防火墙和路由器进行组网起
域小一些,这样在防火墙发生主备倒换的时候, ★ hrp auto-sync connection-status
OSPF协议的时候,尽量保证 OSPF的
OSPF的路由能尽快收敛, 保证业务很快恢复。
:防火墙连接状态备份命令。防火墙会话备份不分防火
墙是主防火墙或者是备防火墙,使能了次命令后,防火墙都能把自己建立的会话或者是刷新 的会话备份到对端防火墙上。此命令行在防火墙 hrp enable 执行之后就默认使能了。
★ hrp auto-sync config :防火墙配置备份命令。防火墙上使能此命令后,在主防火墙上配置
的命令行如ACL域等都可以自动备份到备防火墙上,保证命令行能实时同步。此命令行在 hrp enable之后就默认使能了,此时在备防火墙上是默认不能配置
ACL等配置的,但是如果
需要单独配置,执行 undo hrp auto-sync config 就可以在备防火墙上配置此命令行了,主 防火墙上执行 ACL等配置发送到备防火墙上不会备执行,如果在主防火墙上执行此命令,主 防火墙上将不把配置发送到备防火墙上执行。
★ hrp auto-sync config batch-backup
:防火墙配置批量备份使能命令。使能此命令,在防
火墙发生主备倒换之后,新的主防火墙备自动把配置备份到新的备防火墙上。此命令默认是 不使能的,现在也不推荐使用,因为批量备份将消耗大量的 的时候影响某些业务。
★ hrp sync config :防火墙配置批量备份命令。执行此命令后主防火墙能把自己的配置发送到
备防火墙上执行,此命令行在用户视图下使用,在使能了 也不推荐使用,因为批量备份将消耗大量的 业务。
★ hrp sync connection-status :手工同步连接状态信息命令, 会进行会话,黑名单,地址转 换表,以及ARP表等的备份等,同时对于 ★ display hrp
CPU资源,可能在执行批量备份
hrp 之后才能使用。此命令默认是
CPU资源,可能在执行批量备份的时候影响某些
Eudemon 1000来说还会刷新备份的通道。
HRP的备份通道,HRP的状态,hrp是否
:显示当前 HRP的状态信息,主要包括
使能快速备份,为 MASTER状态的VGMP言息。
★ display hrp verbose :显示当前HRP的详细状态信息
1.2 VGMP 配置说明
VGMP (vrrp group management protocol )是 VRRP 的组管理协议,同样 VGMP 协议也是华 为私有的协
议。 VGMP 通过把 VRRP 加入到一个组中进行管理,通过 VGMP 报文和对端进行协 商,确定自己和对端的
VGMP 的状态,根据 VGMP 的状态的主备,把 VGMP 组下面的 VRRP 的状态改成和 VGMP的状态一致。VGMP状态也分 Master和Slave,同样VGMP报文是在VRRP 报文的基础上进行封装的,它通过 VRRP 报文通
知对端自己的状态以及和对端进行协商。
防火墙的 VGMP 功能现在支持两台防火墙之间的 VGMP 协商, 通过协商, 在两台防火墙上 形成一主一备的状态, 当其中主防火墙发生故障或者其他原因导致 VGMP 的优先级降低的时候, 备防火墙的 VGMP 会抢占为主, 原来的主防火墙的 VGMP 会变成备, 同时 VGMP 组里面的 VRRP 也跟随这 VGMP的状态的变化发生变化。通过
VGMP来管理VRRP,使VGMP为主的防火墙
对外发布 VGMP 组下面的所有的 VRRP 的虚地址,而 VGMP 为备的防火墙不对外发布 VRRP 虚地址,形成
VRRP 的冗余备份。
VGMP 的配置命令的功能和使用介绍如下:
★ vrrp group <1-16> :创建VGMP管理组。执行此命令行之后,创建一个
此管理组视图,所有的
VGM管理组,并进入
VGMP勺配置都在 VGMF视图下进行配置。
:把接口 Ethernet1/0/7 下配置的 VRRP 1 加
★ add interface Ethernet 1/0/7 vrrp vrid 1
入到此管理组进行管理。
★ add interface Ethernet 1/0/7 vrrp vrid 1 data
:把接口 Ethernet1/0/7 下配置的 VRRP
1 加入到此管理组进行管理,并且把接口
Ethernet1/0/7 作为发送VGMP数据报文的通道。配
置了发送VGMP勺数据通道之后,VGMP才能使能。防火墙的配置同步是通过
进行发送的。
VGMP勺数据通道
:把接口 Ethernet1/0/7
★ add interface Ethernet 1/0/7 vrrp vrid 1 data transfer-only
下配置的VRRP 1加入到此管理组进行管理,并且把接口 报文的通道,并且此接口下的
Ethernet1/0/7 作为发送VGMP数据
VRRP的或者优先级发生变化的时候不参与到 VGMP优先级的计
算。通常在防火墙上下行都是交换机组网的情况,心跳口上的 VRRP可以以此种方式加入到
VGMP!中。
★ add interface Ethernet1/0/7 vrrp vrid 1 data ip-link 1
置的VRRP 1加入到此管理组进行管理,并且把接口 的通道,同时在 VGMPk绑定ip-link 功能。ip-link
:把接口 Ethernet1/0/7 下配
Ethernet1/0/7 作为发送 VGMP数据报文
的使用介绍请参考其他文档。
★ vrrp-group enable : VGMP!使能命令。在配置了 VGMP勺数据通道之后,此命令才可以执行,
执行此命令后,防火墙会从数据通道发送 主备状态。
★ vrrp-group preempt :配置VGMP!的抢占模式。此命令配置之后本端
VGMP勺报文和对端防火墙进行交互,确定 VGM啲
VGMP和对端 VGMP进行
协商,并进行抢占,如果优先级高就抢占为主,如果优先级低就被抢占为备。配置此命令后 默认抢占延时为 0,即立即抢占。
★ vrrp-group preempt delay <0-1800000〉:配置 VGMP!抢占延时,单位为毫秒(
本地的VGMP!的优先级比对端的
ms),如果
VGMP就抢占为
0,主防火墙配
VGM啲优先级高,在延时配置的时间后
Master 状态。对于防火墙组网,我们建议的抢占方式是备防火墙抢占延时为
置抢占延时为20000ms或者是不抢占。具体的配置在相关组网中详细说明如何配置防火墙的 抢占方式。 ★ vrrp-group priority <1-254>
:配置 VGMPI的优先级。配置 VGMPS的优先级后,
VGMP和
对端的防火墙的 VGMP进行协商,并确定VGMP勺主备状态。默认使用这种方式作为 VGMPS的
华为防火墙VRRP双机热备配置及组网
