1-4 USG防火墙双机热备业务特性与配置
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
所有以Firewall A作为默认网关的主机与外部网络之间的通讯
将中断,通讯可靠性无法保证。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
传统双机热备份技术在路由器上的部署
10.100.10.2 Master RouterA PC 内部网络 10.100.10.0/24 10.100.10.3 Backup
理组的概念,将同一台防火墙上的多个VRRP备份组都加入 到一个VRRP管理组,由管理组统一管理所有VRRP备份组。
通过统一控制各VRRP备份组状态的切换,来保证管理组内
的所有VRRP备份组状态都是一致的。 VGMP的作用:防火墙主备状态控制切换
VRRP管理组的功能:
状态一致性管理(管理组内VRRP备份组同步状态切换) 抢占管理(屏蔽VRRP备份组抢占) 通道管理(trans-only)
成为必须解决的一个问题。
本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
美河学习在线 www.eimhe.com
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
路由模式-主备组网方式
Master管理组 USG A
备份组1
GE1/0/0 GE2/0/0
GE3/0/0 PC2
PC1 Trust 备份组3 备份组2 Untrust
GE2/0/0
GE1/0/0
USG B
GE3/0/0
Slave管理组
防火墙设备 A B
管理组 Master Slave
成员 备份组1,2,3 备份组1,2,3
USG防火墙 双机热备业务特性与配置
www.huawei.com
美河学习在线 www.eimhe.com
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
前 言
在当前的组网应用中,用户对网络可靠性的要求越来越高,
特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输,
Internet
RouterB
服务器 备份组 Virtual IP Address 10.100.10.1
Backup RouterC 10.100.10.4
路由器组网中通过VRRP协议实现双机热备份
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
路由模式-主备组网方式配置参考 3 Master管理组
USG A 备份组1 GE1/0/0 GE2/0/0 Trust 备份组3 Untrust GE3/0/0
GE2/0/0
GE1/0/0 GE3/0/0 USG B Slave管理组
备份组2
HRP_M[USG2100] hrp auto-sync config
[USG2100-GigabitEthernet3/0/0] ip address 202.38.10.2 24
[USG2100-GigabitEthernet3/0/0] vrrp vrid 2 virtual-ip 202.38.10.1 master #将GE1/0/0和GE3/0/0加入到对应的VRRP备份组中。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
HRP/VGMP/VRRP之间的关系
HRP模块 HRP报文 VGMP管理组 VGMP报文
VRRP备份组
VRRP报文
接口
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Trust
(7)
(4) (6)
PC2
(5) (8) Server Backup USG B DMZ 实际连线 报文流径
Untrust (9)
传统VRRP方式无法实现主、备用USG防火墙状态的 一致性。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
VRRP在多区域防火墙组网中的应用
备份组1 Virtual IP Address 10.100.10.1 Trust USG A Master
10.100.10.0/24 备份组3 Virtual IP Address 202.38.10.1
Untrust
DMZ
备份组2 Virtual IP Address 10.100.20.1 USG B Backup
备份组2
[USG2100-GigabitEthernet2/0/0] ip address 10.100.20.2
24
[USG2100-GigabitEthernet2/0/0] vrrp vrid 3 virtual-ip 10.100.20.1 master #将GE2/0/0加入到对应的VRRP备份组中。
Trust
备份组3 GE2/0/0 GE1/0/0 GE3/0/0 USG B Slave管理组
Untrust 备份组2
[USG2100] interface GigabitEthernet 1/0/0 [USG2100-GigabitEthernet1/0/0] ip address 10.100.10.2 24 [USG2100-GigabitEthernet1/0/0] vrrp vrid 1 virtual-ip 10.100.10.1 master [USG2100] interface GigabitEthernet 3/0/0
优先级 高 低
状态 主wenku.baidu.com 备用
会话量 100% 0
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
路由模式-主备组网方式配置参考1
Master管理组
USG A 备份组1
GE1/0/0 GE2/0/0 GE3/0/0
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
HRP
HRP(Huawei Redundancy Protocol )华为冗余协议
华为公司冗余协议HRP(Huawei Redundancy Protocol)是 承载在VGMP报文上进行传输的。HRP用于在主用设备和备 用设备之间备份关键配置命令和会话表状态等关键信息。
培训目标
学完本课程后,您应该能:
掌握双机热备份技术原理
掌握VRRP,VGMP和HRP之间的关系
掌握典型双机组网的配置
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
目 录
双机热备份技术原理
USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
VGMP实现原理
备份组1 A1 A3 A2 Trust USG A Master 管理组
Untrust DMZ B1 备份组4 B3 备份组3
B2 备份组2
Backup USG B 管理组
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火
墙出现故障时,所有流量都将切换到备防火墙。但USG防火 墙是状态防火墙,如果备防火墙上没有原来主防火墙上的连
接状态数据,则切换到备防火墙的很多流量将无法通过,造
成现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。
[USG2100] hrp interface GigabitEthernet 2/0/0
[USG2100] hrp enable #指定HRP的备份通道并使能HRP功能。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
HRP_M[USG2100] policy interzone trust untrust outbound HRP_M[USG2100-policy-interzone-trust-untrust-outbound] policy 1 HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] action permit HRP_M[USG2100-policy-interzone-trust-untrust-outbound-1] policy source 10.100.10.0 mask 24 #使能配置命令自动备份功能并添加区域间包过滤规则。
路由模式是指USG的业务端口和HRP备份通道接口均工作在路
由模式下。
混合模式是指USG的业务端口工作在透明模式下,而HRP备份 通道接口工作在路由模式下。
路由模式和混合模式都包含两种组网方式:
主备组网方式
负载分担组网方式
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
双机热备份技术产生的原因
PC 内部网络 10.100.10.0/24 10.100.10.1/24
Internet Firewall A
服务器
传统的组网方式如图所示,内部用户和外部用户的交互报文 全部通过Firewall A。如果Firewall A出现故障,内部网络中
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
VGMP数据通道
USG A Master
A3 A2 Trust A4
A1
A4-B4
Untrust
DMZ B1 B4
B2
B3
Backup USG B
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
目 录
双机热备份技术原理
USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
防火墙双机热备份组网方式
USG的双机热备份,可以工作在路由模式和混合模式两种模
式下:
USG防火墙的双机热备份技术依靠三种协议实现:
VRRP(虚拟路由冗余协议)
VGMP(VRRP组管理协议)
HRP(华为冗余协议)
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
防火墙主备状态切换的实现
VGMP(VRRP Group Management Protocol) 提出VRRP管
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
路由模式-主备组网方式配置参考2
备份组1
Master管理组 USG A GE1/0/0 GE3/0/0
GE2/0/0
Trust
备份组3
Untrust
GE2/0/0
GE3/0/0 USG B Slave管理组 [USG2100] interface GigabitEthernet 2/0/0 GE1/0/0
10.100.20.0/24
为防火墙上多个区域提供双机备份功能时,需要在 每一台防火墙上配置多个VRRP备份组。
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
VRRP在防火墙应用中存在的缺陷
(1)
PC1 (2) USG A Master 会话表项 (3)
目 录
双机热备份技术原理
USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
Copyright © 2012 Huawei Technologies Co., Ltd. All rights reserved.
防火墙双机热备份技术分析
防火墙双机热备份技术的特征
控制主、备用防火墙的切换 状态信息的备份