华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)

防火墙双机热备与路由/交换机相比较的话,最主要的是会话备份的功能,路由器/交换机主备切换路由能转发就OK,防火墙需要匹配会话。

防火墙双机热备的三个协议

VRRP:虚拟路由冗余协议,在防火墙双机热备种主要作用是检测主备是否正常

VGMP:在防火墙双机热备中主备切换不在使用VRRP,而是将VRRP加入VGMP中由VGMP来管理主备切换。默认情况下主设备VGMP优先级为65001,备用设备优先级为65000。每当VGMP管理组中的一个VRRP出现故障那么VGMP的优先级减2

HRP:指定心跳口,用来备份会话表,server-map,以及一些命令等。

实验拓扑

环境描述

FW1和FW2的G0/0/0属于untrust区域,G0/0/1作为心跳口属于DMZ区域,G0/0/2属于untrust区域。

VRRP1的虚拟IP:192.168.10.1/24

VRRP2的虚拟IP:192.168.20.1/24

实验目标

要求C1能够访问C2

完成流量倒换测试

观察VGMP优先级变化

FW1配置

--------------------------将接口加入对应的安全区域----------------------------------

[FW1]firewall zone trust

[FW1-zone-trust]add int g0/0/0

[FW1-zone-trust]quit

[FW1]firewall zone dmz

[FW1-zone-dmz]add intg0/0/1

[FW1-zone-dmz]quit

[FW1]firewall zone untrust

[FW1-zone-untrust]add int g0/0/2

[FW1-zone-untrust]quit

---------------------------------配置接口IP地址--------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]ip add 192.168.10.254 24

[FW1-GigabitEthernet0/0/0]int g0/0/1

[FW1-GigabitEthernet0/0/1]ip add 10.10.10.1 24

[FW1-GigabitEthernet0/0/1]int g0/0/2

[FW1-GigabitEthernet0/0/2]ip add 192.168.20.254 24

[FW1-GigabitEthernet0/0/2]quit

------------------VRRP配置--------------------------------------------------------------------

[FW1]int g0/0/0

[FW1-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 master

//将接口加入VRRP 1中虚拟IP地址为192.168.10.1状态为主

[FW1-GigabitEthernet0/0/0]vrrp virtual-mac enable

//开启虚拟MAC地址功能,必须开启

[FW1]int g0/0/2

[FW1-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 master

[FW1-GigabitEthernet0/0/2]vrrp virtual-mac enable

[FW1]hrp enable            //开启hrp

[FW1]hrp auto-sync                //启用命令与状态信息的自动备份

[FW1]hrp mirror session enable    //启动会话快速备份

[FW1]hrp int g0/0/1              //指定心跳接口

FW2配置

 

[FW2]firewall zone trust

[FW2-zone-trust]add int g0/0/0

[FW2-zone-trust]quit

[FW2]firewall zone dmz

[FW2-zone-dmz]add int g0/0/1

[FW2-zone-dmz]quit

[FW2]firewall zone untrust

[FW2-zone-untrust]add int g0/0/2

[FW2-zone-untrust]quit

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]ip add 192.168.10.253 24

[FW2-GigabitEthernet0/0/0]int g0/0/1

[FW2-GigabitEthernet0/0/1]ip add 10.10.10.2 24

[FW2-GigabitEthernet0/0/1]int g0/0/2

[FW2-GigabitEthernet0/0/2]ip add 192.168.20.253 24

[FW2]int g0/0/0

[FW2-GigabitEthernet0/0/0]vrrp vrid 1 virtual-ip 192.168.10.1 slave

[FW2-GigabitEthernet0/0/0]vrrp virtual-mac enable

[FW2]int g0/0/2

[FW2-GigabitEthernet0/0/2]vrrp vrid 2 virtual-ip 192.168.20.1 slave

[FW2-GigabitEthernet0/0/2]vrrp virtual-mac enable

[FW2-GigabitEthernet0/0/2]quit

[FW2]hrp enable

[FW2]hrp auto-sync

[FW2]hrp mirror session enable

[FW2]hrp int g0/0/1

这样双机热备就配置完成了,如果想要通信还需配置区域间的安全策略,在主设备上配置安全策略会自动同步到备用设备,在备用设备上是无法配置的

HRP_M[FW1]policyinterzone local untrust inbound

HRP_M[FW1-policy-interzone-local-untrust-inbound]policy 1

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]policy source 192.168.20.0 0.0.0.255

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]action permit

HRP_M[FW1-policy-interzone-local-untrust-inbound-1]quit

HRP_M[FW1-policy-interzone-local-untrust-inbound]quit

HRP_M[FW1]policyinterzone trust untrust outbound

HRP_M[FW1-policy-interzone-trust-untrust-outbound]policy 1

HRP_M[FW1-policy-interzone-trust-untrust-outbound-1]action permit

测试连通性

使用display hrp group 命令查看VGMP的优先级

如图可以看出主设备的优先级为65001

如图可以看出备用设备的VGPM优先级65000

可以使用display hrp state查看当前hrp的状态

FW1

FW2

使用display vrrp可以查看vrrp组信息

FW1

HRP_M[FW1]dis vrrp

11:07:10  2016/04/05

GigabitEthernet0/0/2 | Virtual Router 2

VRRP Group : Master

state : Master

Virtual IP : 192.168.20.1

Virtual MAC : 0000-5e00-0102

Primary IP : 192.168.20.254

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES   Delay Time : 0

Advertisement Timer : 1

Auth Type : NONE

Check TTL : YES

GigabitEthernet0/0/0 | Virtual Router 1

VRRP Group : Master

state : Master

Virtual IP : 192.168.10.1

Virtual MAC : 0000-5e00-0101

Primary IP : 192.168.10.254

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES   Delay Time : 0

Advertisement Timer : 1

Auth Type : NONE

Check TTL : YES

FW 2

HRP_S[FW2]dis vrrp

11:09:00  2016/04/05

GigabitEthernet0/0/2 | Virtual Router 2

VRRP Group : Slave

state : Backup

Virtual IP : 192.168.20.1

Virtual MAC : 0000-5e00-0102

Primary IP : 192.168.20.253

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES   Delay Time : 0

Advertisement Timer : 1

Auth Type : NONE

Check TTL : YES

GigabitEthernet0/0/0 | Virtual Router 1

VRRP Group : Slave

state : Backup

Virtual IP : 192.168.10.1

Virtual MAC : 0000-5e00-0101

Primary IP : 192.168.10.253

PriorityRun : 120

PriorityConfig : 100

MasterPriority : 120

Preempt : YES   Delay Time : 0

Advertisement Timer : 1

Auth Type : NONE

Check TTL : YES

流量倒换测试

在C1上一直ping C2 将FW1的G0/0/2接口down掉

由上图可以看出丢了2个包后数据正常转发

再次查看FW1和FW2的VGMP优先级

FW1

FW2

由上图可以看出由于VRRP组down了一个所以优先级减2,原本的FW1的65001变成了64999,由于优先级小于FW2优先级所以状态转换成Backup

时间: 2024-10-12 03:48:15

华为USG防火墙双机热备(业务口工作在三层上下行连接交换机)的相关文章

华为防火墙双机热备(详细介绍VRRP,VGMP)

一.双机热备的工作原理华为的双机热备是通过部署俩台或多台防火墙实现热备及负载均衡,俩台防火墙相互协同工作,犹如一个更大的防火墙 双机热备概述随着互联网的发展,人们生活中的大多数问题可以通过网络解决,但与此同时,网络安全问题也逐渐暴露出来. 华为防火墙的双机热备包含以下俩种模式 1.热备模式:同一时间只有一台防火墙转发数据包,其他防火墙不转发数据包,但是会同步会话表及Server-map表. 2 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙是

华为防火墙——双机热备技术

本章目的: * 理解VRRP的工作原理 * 掌握VGMP的使用场景 * 理解双机热备的工作原理 * 掌握双机热备状态的查看方法 1.双机热备概述 单一链路存在的问题: 如上图所示,企业中在关键的业务出口部署一台防火墙,使用的对外流量都经过防火墙传输,一旦防火墙出现故障,那么企业将面临网络中断的问题,无论防火墙本身的性能多好,功能有多强,在这一刻,都无法挽回企业面临的损失.使用,通过在企业的出口部署两台防火墙产品,及时一台防火墙出现了故障,另一台也会迅速的顶上来继续工作,可以在增强企业安全的同时,

华为防火墙VRRP双机热备的原理及实例配置

博文目录:一.双机热备是什么?二.什么是VRRP?三.VRRP的两种角色四.VRRP的三个状态机五.VRRP选举Master路由器和Backup路由器的流程六.通过VGMP实现VRRP备份组的统一管理七.双机热备的配置八.总结 一.双机热备是什么? 1.双机热备的作用 多台设备运行双机热备:一台设备故障其他设备接替工作:增强网络稳定性:保证业务的连续性: 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 2.华为防火墙双机热备的两种模式:

华为防火墙实现双机热备配置详解

一提到防火墙,一般都会想到企业的边界设备,是内网用户与互联网的必经之路.防火墙承载了非常多的功能,比如:安全规则.IPS.文件类型过滤.内容过滤.应用层过滤等.也正是因为防火墙如此的重要,如果防火墙一旦出现问题,所有对外通信的服务都将中断,所以企业中首先要考虑的就是防火墙的优化及高可用性. 博文大纲:一.双机热备工作原理二.VRRP协议(1)VRRP协议概述(2)VRRP的角色(3)VRRP的状态机(4)VRRP的工作原理三.VGMP协议(1)VGMP的工作原理(2)VGMP的报文封装(3)双机

华为USG防火墙及NGFW高可用性的规划与实施详解

华为USG防火墙及NGFW高可用性的规划与实施详解 课程目标: 该课程程为卷B,它紧接卷A所描述的基础内容,开始进入防火墙的高可性的规划与实施,本课程卷B的核心目标是:一.从真正意义上去理解防火墙的双机热备的工作原理:二.让工程人员能够实施基于不同防火墙工作模式的双机热备并结合实践的环境进行故障排除:三.突破学员仅在安全认证学习过程中所理解的防火墙双机热备的内容,在实践的环境中防火墙的双机热备技术及可能引发的问题远不止安全认证学习中所描述的内容. 为USG防火墙及NGFW高可用性的规划与实施详解

华为防火墙VRRP双机热备的原理及配置

一.何为双机热备?所谓的双机热备无非就是以7X24小时不中断的为企业提供服务为目的,各种双机热备的技术很多,那么华为使用了这个共有协议的热备协议--VRRP. 华为的双机热备是通过部署两台或多台防火墙实现热备及负载均衡,两台防火墙相互协同工作,犹如一个更大的防火墙. 华为防火墙的双机热备包含以下两种模式: 热备模式:同一时间只有一台防火墙转发数据,其他防火墙不转发,但是会同步会话表及server-map表,当目前工作的防火墙宕机以后,备份防火墙接替转发数据的工作. 负载均衡模式:同一时间内,多台

常见防火墙的双机热备功能配置

概述:防火墙支持双机热备是标配,所以,大部分防火墙厂商都支持双机热备功能,区别在于实现技术不同. 尽管实现技术不同,但是,大部分都是围绕高可靠的常见协议VRRP做文章,或者即使不用VRRP,也是借鉴VRRP的思想, 本文描述不同厂商的实现思路和配置方法. 1.华为USG6600系列防火墙. 实现思路:VRRP + VGMP + HRP,实现主备防火墙. 原理说明:VRRP作为单方面的上行或者下行的基本协议,VGMP是对VRRP的更高层次的集合体,可以确保FW1在上下行两个方向上的VRRP状态保持

十个网络优化改造案例之一 交换机由单机改造为双机热备

主要内容及技术 Cisco交换机配置HSRP实现双机热备 关键字:Cisco.HSRP.多模光纤.光模块选择 前言: 在设计网络的时候,最先要避免的就是"单点故障".什么是"单点故障"?简单的说,就是担任核心转发任务的设备只有一台,当这台设备负载过重或者是遇到其他故障的时候停机,从而使得网络出现瘫痪等问题.为了避免"单点故障"的出现,必须为担任核心转发任务的设备配置热备份,也就是两台设备,一主一备,当主用设备发生故障的时候,能够将数据转发任务自动

haproxy/nginx+keepalived负载均衡 双机热备 邮件报警 实战及常见问题

Haproxy 做http和tcp反向代理和负载均衡keepalived 为两台 Haproxy 服务器做高可用/主备切换.nginx   为内网服务器做正向代理,如果业务需求有变化,也可以部分替代 haproxy 做 http 反向代理.如果发生主备切换,向指定邮箱发送报警邮件. 本文比较裹脚布,没耐心的就别看了. 一.两台服务器,系统 CentOS6主机名        外网IP        内网IPlbserver_01  202.1.1.101   10.1.1.11/24lbserv