双机热备方案 双机热备技术及常见应用案例实验
双机热备方案双机热备技术及常见应用案例实验
防火墙作为串联在网络中的设备,其可靠性存在一定的安全隐患,为了解决企业网络可靠性问题,本文结合双机热备技术,用通俗易懂的言语解释相关理论知识,同时将该技术应用在常见的企业组网模式中。提示:需要了解VRRP、VGMP、HRP协议主要功能及缺点,本文不在详细介绍,可以参考往期资料。一:双机热备技术理论介绍。双击热备组网的建立和运行需要重点解决以下五个关键问题。(1)设备的主备状态如何决定?(2)如何监控接口或设备故障?(3)发现故障后,如何保障设备的主备状态切换?(4)主备状态切换之后,网络流量如何引导?(5)如何进行信息同步,保障主备切换后业务不中断?(一)设备的主备状态如何决定设备的主备状态主要由设备接口的优先级和IP地址决定的,在优先级相等的情况下,IP地址大的设备为主设备。(二)如何监控接口或者设备故障主要分四种情况:1、下行设备为二层设备时,在开启VRRP协议的情况下,VRRP协议通过组播的方式传递给备份设备接口的状态,备份设备比较接口的优先级决定2、下行设备是三层设备时,在无法通过组播通信的时候可以通过IP单播的形式探测对端接口状态。3、在防火墙本身是透明模式的情况下,上下行业务口以Vlan形式通信,任何接口故障都能发生变化。4、非直连链路通过IP-link和BFD技术检测故障。(三)发生故障后,设备的主备切换。1、接口故障:通过VGMP协议整体进行切换。2、整机发生故障(比如掉电):三倍时间(3S)收不到主动报文,备份设备VGMP主动切换3、心跳线故障:变成两个Active,变成负载均衡模式了(解决办法:心跳线做链路聚合)4、抢占模式:主设备配置抢占模式,在主设备恢复状态之后,引起主备切换。(四):主备切换之后,网络流量引导1、VRRP:免费ARP引流。2、通过VGMP调整链路的cost值655003、负载分担:动态路由自由收敛的方式对网络流量进行引导4、此处重点讲解防火墙透明模式下如何引导流量:透明模式无法通过上下行路由引导流量,只能通过启动或者禁用vlan的方式进行主备切换。如果上下接交换机的部署模式,此时防火墙只能配置主备的模式,不然会形成环路;如果上下路由器,此时透明模式的防火墙只能配置成负载均衡模式,加入是主备模式的话,备用vlan被禁用,此时路由无法建立邻居,主备切换后会导致业务重点,失去了双击热备的可靠性原则。(五):如何进行信息同步,保障主备切换后业务不中断现在状态监测防火墙通过首包建立会话,后面的数据通过首包检测通过后不再匹配,大大提升了业务访问的效率,假如防火墙主备切换,会话无法同步会引起业务中断,所以HRP协议就为了解决防火墙会话同步问题。注:VGMP报文只在心跳线上传输,HRP华为的冗余协议,能够同步命令和配置,但是不能备份防火墙下的接口下的信息和路由配置(静态路由),心跳线:三层接口必须有IP地址。20%-30%的业务流带宽,适时对心跳线做链路聚合提升心跳线业务处理能力。二:应用案例实验(一)业务场景业务接口工作在二层, 上下行连接路由器的负载均衡组网实验。(二)实验需求1.两台 NGFW 的业务接口都工作在二层,上下行分别连接路由器。NGFW 的上下行业务接口都加入到 VLAN2 中。上下行路由器之间运行 OSPF 协议,NGFW 作为二层设备透传 OSPF 协议报文,不参与路由协议计算;2.现在希望两台 NGFW 以负载分担方式工作。正常情况下,NGFW_A和NGFW_B共同转发流量。当其中一台 NGFW 出现故障时,另外一台 NGFW 转发全部业务,保证业务不中断。(三)组网设备两台同型号的 NGFW 防火墙,四台路由器,两台 PC,实验拓扑图:
(四)实验步骤(Web)Step 1 在 NGFW_A 上配置接口:选择“网络 > 接口” 。单击 GE1/0/1,按如下参数配置。
单击“确定” 。参考上述步骤按如下参数配置 GE1/0/3 接口
参考上述步骤按如下参数配置 GE1/0/7 接口。
Step 2 在 NGFW_A 上配置双机热备功能单击选择“系统 > 高可靠性 > 双机热备” 。单击“配置” 。选中“启用”前的复选框后,按如下参数配置。
单击“确定” 。Step 3 在 NGFW_B 上配置接口NGFW_B 与 NGFW_A 的接口配置方法相同,只是 IP 地址不同。您可以按照“实验拓扑图”配置 NGFW_B 的各接口,具体过程略。Step 4 在 NGFW_B 上配置双机热备功能选择“系统 > 高可靠性 > 双机热备” 。单击“配置” 。选中“启用”前的复选框后,按如下参数配置。
单击“确定” 。Step 5 在 NGFW_A 上配置安全策略双机热备状态成功建立后,NGFW_A 的安全策略配置会自动备份到 NGFW_B 上选择“策略 > 安全策略”。单击“新建”,按如下参数配置 policy_sec1。
单击“确定” 。Step 6 配置路由器分别在四台路由器上配置 OSPF,发布相邻网段,具体配置命令请参考路由器的相关文档。配置完成。验证结果(五)命令行验证步骤:1、在 NGFW_A 上执行 display hrp state 命令,检查当前 VGMP 组的状态,显示以下信息表示双机热备建立成功。
2、 PC2 位于 Untrust 区域。在 Trust 区域的 PC1 端能够 ping 通 Untrust 区域的 PC2。分别在 NGFW_A 和 NGFW_B 上检查会话。
可以看出 NGFW_B 上存在带有 Remote 标记的会话,表示配置双机热备功能后,会话备份成功。3、在 PC 上执行 ping 10.1.0.10 –t,然后将 NGFW_A 防火墙 GE1/0/1 接口网线拨出,观察防火墙状态切换及 ping 包丢包情况;再将 NGFW_A 防火墙 GE1/0/1 接口网线恢复,观察防火墙状态切换及 ping 包丢包情况。
