USG防火墙双机热备业务特性与配置
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
混合模式是指USG的业务端口工作在透明模式下,而HRP备份通 道接口工作在路由模式下。
路由模式和混合模式都包含两种组网方式:
主备组网方式 负载分担组网方式
路由模式-主备组网方式
备份组1
Master管理组
USG A
GE1/0/0
GE3/0/0
PC1 Trust
GE2/0/0 备份组3
PC2 Untrust
HRP报文 VGMP报文 VRRP报文
HRP模块 VGMP管理组 VRRP备份组
接口
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
防火墙双机热备份组网方式
USG的双机热备份,可以工作在路由模式和混合模式两种模式 下:
路由模式是指USG的业务端口和HRP备份通道接口均工作在路由 模式下。
202.38.10.1
为防火墙上多个区域提供双机备份功能时,需要在 每一台防火墙上配置多个VRRP备份组。
VRRP在防火墙应用中存在的缺陷
(1) PC1
Trust
(8) Server
DMZ
(2) (7)
USG A Master
会话表项 (3)
(6)
(9)
Backup USG B
(4) PC2 (5) Untrust
状态一致性管理(管理组内VRRP备份组同步状态切换) 抢占管理(屏蔽VRRP备份组抢占) 通道管理(trans-only)
VGMP实现原理
Trust DMZ
备份组1 A1
USG Hale Waihona Puke Baidu Master
A3
A2
管理组
Untrust
B1
B2 备份组2
备份组4 B3
Backup USG B
备份组3 管理组
USG防火墙 双机热备业务特性与配置
前言
在当前的组网应用中,用户对网络可靠性的要求越来越高, 特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输, 成为必须解决的一个问题。 本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
防火墙设备 A B
GE2/0/0
备份组2
GE1/0/0
GE3/0/0
USG B
Slave管理组
管理组
成员
优先级
Master 备份组1,2,3
高
Slave
备份组1,2,3
低
状态 主用 备用
会话量 100%
0
路由模式-主备组网方式配置参考1
Master管理组
USG A
备份组1 GE1/0/0
GE3/0/0
实际连线 报文流径
传统VRRP方式无法实现主、备用USG防火墙状态的一 致性。
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
防火墙双机热备份技术分析
防火墙双击热备份技术的特征
控制主、备用防火墙的切换 状态信息的备份
USG防火墙的双机热备份技术依靠三种协议实现:
培训目标
学完本课程后,您应该能:
掌握双机热备份技术原理 掌握VRRP,VGMP和HRP之间的关系 掌握典型双机组网的配置
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
双机热备份技术产生的原因
PC 内部网络 10.100.10.0/24
服务器
10.100.10.1/24 Firewall A
PC 内部网络 10.100.10.0/24
服务器
10.100.10.3 Backup
RouterB Backup
备份组 Virtual IP Address
10.100.10.1
10.100.10.4
RouterC
Internet
路由器组网中通过VRRP协议实现双机热备份
VRRP在多区域防火墙组网中的应用
Internet
传统的组网方式如图所示,内部用户和外部用户的交互报文 全部通过Firewall A。如果Firewall A出现故障,内部网络中所 有以Firewall A作为默认网关的主机与外部网络之间的通讯将 中断,通讯可靠性无法保证。
传统双机热备份技术在路由器上的部署
10.100.10.2 Master RouterA
Trust
备份组1
Virtual IP Address 10.100.10.1
USG A Master
10.100.10.0/24 DMZ
10.100.20.0/24
备份组2 Virtual IP Address
10.100.20.1
USG B Backup
Untrust
备份组3 Virtual IP Address
GE2/0/0
Trust
备份组3
Untrust
GE2/0/0
备份组2
GE1/0/0
GE3/0/0
USG B
Slave管理组
[USG2100] interface GigabitEthernet 1/0/0
VRRP(虚拟路由冗余协议) VGMP(VRRP组管理协议) HRP(华为冗余协议)
防火墙主备状态切换的实现
VGMP(VRRP Group Management Protocol) 提出VRRP管理组的 概念,将同一台防火墙上的多个VRRP备份组都加入到一个 VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一 控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP 备份组状态都是一致的。 VGMP的作用:防火墙主备状态控制切换 VRRP管理组的功能:
HRP
HRP(Huawei Redundancy Protocol )华为冗余协议 华为公司冗余协议HRP(Huawei Redundancy Protocol)是承载 在VGMP报文上进行传输的。HRP用于在主用设备和备用设备 之间备份关键配置命令和会话表状态等关键信息。
HRP/VGMP/VRRP之间的关系
VGMP数据通道
Trust
USG A
A1
Master
A3
A2
A4
A4-B4
DMZ
B1
B4
B2
B3
Backup
USG B
Untrust
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙 出现故障时,所有流量都将切换到备防火墙。但USG防火墙 是状态防火墙,如果备防火墙上没有原来主防火墙上的连接 状态数据,则切换到备防火墙的很多流量将无法通过,造成 现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。
路由模式和混合模式都包含两种组网方式:
主备组网方式 负载分担组网方式
路由模式-主备组网方式
备份组1
Master管理组
USG A
GE1/0/0
GE3/0/0
PC1 Trust
GE2/0/0 备份组3
PC2 Untrust
HRP报文 VGMP报文 VRRP报文
HRP模块 VGMP管理组 VRRP备份组
接口
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
防火墙双机热备份组网方式
USG的双机热备份,可以工作在路由模式和混合模式两种模式 下:
路由模式是指USG的业务端口和HRP备份通道接口均工作在路由 模式下。
202.38.10.1
为防火墙上多个区域提供双机备份功能时,需要在 每一台防火墙上配置多个VRRP备份组。
VRRP在防火墙应用中存在的缺陷
(1) PC1
Trust
(8) Server
DMZ
(2) (7)
USG A Master
会话表项 (3)
(6)
(9)
Backup USG B
(4) PC2 (5) Untrust
状态一致性管理(管理组内VRRP备份组同步状态切换) 抢占管理(屏蔽VRRP备份组抢占) 通道管理(trans-only)
VGMP实现原理
Trust DMZ
备份组1 A1
USG Hale Waihona Puke Baidu Master
A3
A2
管理组
Untrust
B1
B2 备份组2
备份组4 B3
Backup USG B
备份组3 管理组
USG防火墙 双机热备业务特性与配置
前言
在当前的组网应用中,用户对网络可靠性的要求越来越高, 特别是在一些重要的业务入口或接入点上需要保证网络不间 断运行。对于这些重要的业务点如何保证网络的不间断传输, 成为必须解决的一个问题。 本胶片主要介绍防火墙的双机热备份技术原理和具体配置, 以及在USG防火墙上实施双机热备份技术所使用的三种协议: VRRP、VGMP和HRP。
防火墙设备 A B
GE2/0/0
备份组2
GE1/0/0
GE3/0/0
USG B
Slave管理组
管理组
成员
优先级
Master 备份组1,2,3
高
Slave
备份组1,2,3
低
状态 主用 备用
会话量 100%
0
路由模式-主备组网方式配置参考1
Master管理组
USG A
备份组1 GE1/0/0
GE3/0/0
实际连线 报文流径
传统VRRP方式无法实现主、备用USG防火墙状态的一 致性。
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
防火墙双机热备份技术分析
防火墙双击热备份技术的特征
控制主、备用防火墙的切换 状态信息的备份
USG防火墙的双机热备份技术依靠三种协议实现:
培训目标
学完本课程后,您应该能:
掌握双机热备份技术原理 掌握VRRP,VGMP和HRP之间的关系 掌握典型双机组网的配置
目录
双机热备份技术原理 USG防火墙双机热备份技术 双机热备份技术在防火墙上的实施
双机热备份技术产生的原因
PC 内部网络 10.100.10.0/24
服务器
10.100.10.1/24 Firewall A
PC 内部网络 10.100.10.0/24
服务器
10.100.10.3 Backup
RouterB Backup
备份组 Virtual IP Address
10.100.10.1
10.100.10.4
RouterC
Internet
路由器组网中通过VRRP协议实现双机热备份
VRRP在多区域防火墙组网中的应用
Internet
传统的组网方式如图所示,内部用户和外部用户的交互报文 全部通过Firewall A。如果Firewall A出现故障,内部网络中所 有以Firewall A作为默认网关的主机与外部网络之间的通讯将 中断,通讯可靠性无法保证。
传统双机热备份技术在路由器上的部署
10.100.10.2 Master RouterA
Trust
备份组1
Virtual IP Address 10.100.10.1
USG A Master
10.100.10.0/24 DMZ
10.100.20.0/24
备份组2 Virtual IP Address
10.100.20.1
USG B Backup
Untrust
备份组3 Virtual IP Address
GE2/0/0
Trust
备份组3
Untrust
GE2/0/0
备份组2
GE1/0/0
GE3/0/0
USG B
Slave管理组
[USG2100] interface GigabitEthernet 1/0/0
VRRP(虚拟路由冗余协议) VGMP(VRRP组管理协议) HRP(华为冗余协议)
防火墙主备状态切换的实现
VGMP(VRRP Group Management Protocol) 提出VRRP管理组的 概念,将同一台防火墙上的多个VRRP备份组都加入到一个 VRRP管理组,由管理组统一管理所有VRRP备份组。通过统一 控制各VRRP备份组状态的切换,来保证管理组内的所有VRRP 备份组状态都是一致的。 VGMP的作用:防火墙主备状态控制切换 VRRP管理组的功能:
HRP
HRP(Huawei Redundancy Protocol )华为冗余协议 华为公司冗余协议HRP(Huawei Redundancy Protocol)是承载 在VGMP报文上进行传输的。HRP用于在主用设备和备用设备 之间备份关键配置命令和会话表状态等关键信息。
HRP/VGMP/VRRP之间的关系
VGMP数据通道
Trust
USG A
A1
Master
A3
A2
A4
A4-B4
DMZ
B1
B4
B2
B3
Backup
USG B
Untrust
防火墙状态信息的备份
VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙 出现故障时,所有流量都将切换到备防火墙。但USG防火墙 是状态防火墙,如果备防火墙上没有原来主防火墙上的连接 状态数据,则切换到备防火墙的很多流量将无法通过,造成 现有的连接中断,此时用户必须重新发起连接。 为了实现主用设备出现故障时能由备用设备平滑地接替工作, 需要在主、备用设备之间备份关键配置命令和会话表状态等 关键信息。