防火牆雙機熱備

防火牆輕按兩下熱備

📒部落格首頁： ​​微笑的段嘉許部落格首頁​​

🎉歡迎關注🔎點贊👍收藏⭐留言📝

📌本文由微笑的段嘉許原創！

📆51CTO首發時間：🌴2022年10月4日🌴

✉️堅持和努力一定能換來詩與遠方！

🙏作者水準很有限，如果發現錯誤，一定要及時告知作者哦！感謝感謝！

⭐本文介紹⭐

一提到防火牆，一般會聯想到企業的邊界裝置，防火牆一般放置在内網和網際網路的必經之路。防火牆承載了非常多的功能；如安全規則、防病-毒、IPS、檔案類型過、内容過濾、應用層探測等。也正是因為防火牆如此重要，從另外一個角度看，一旦防火牆出現問題，所有的對外通信及對DMZ伺服器的通信都将中斷，是以企業還要考慮防火牆‘’‘’‘’‘’‘’‘’自身的優化及高可用性。本文介紹華為防火牆的高可用技術。

📝理論講解：

雙機熱備的工作原理

華為的雙機熱備是通過部署兩台或多台防火牆實作熱備及負載均衡，兩台防火牆互相協同工作，猶如一個更大的防火牆。

如下圖所示，企業中在關鍵的業務出口部署一台防火牆，所有的對外流量都經過防火牆傳輸，一旦防火牆出現故障，那麼企業将面臨網絡中斷的問題，無論防火牆本身的性能有多好、功能有多強，在這一刻，都無法挽回企業面臨的損失。是以，通過在企業的出口部署兩台防火牆産品，可以在增加企業安全的同時，保證業務傳輸基本不會中斷，因為兩台裝置同時出現故障的機率非常小。

華為防火牆的雙機熱備包含一下兩種模式

熱備模式：同一時間隻有一台防火牆轉發資料包，其他防火牆不轉發資料包，但是會同步會話表及Server-map表。

負載均衡模式：同一時間，多台防火牆同時準發資料，但每個防火牆又作為其他防火牆的備用裝置，即每個防火牆既是主用裝置也是備用裝置，防火牆之間同步會話表及Server-map表。

VRRP協定

在雙機熱備技術中，即使選舉出了主用裝置和備用裝置，預設情況下流量也通過主用裝置轉發，而備用裝置處于備份狀态。但是客戶機通常通過指定網關位址來指定網絡出口，當客戶機将網關指向主用裝置時，流量自然從主用裝置轉發，但是當主用裝置故障時，客戶機并不會将網關自動指向備用裝置，是以即使雙機熱備本身可以切換，客戶機也依然無法正常通信。是以要保證雙機熱備可以正常工作，還需解決客戶機網關自動切換的問題。而VRRP技術可以解決網關自動切換的問題，甚至還能讓裝置切換對客戶機而言時透明的。在華為防火牆的雙機熱備技術中，VRRP是非常重要的一個組成部分。

VRRP概論

1. VRRP路由器：運作VRRP協定的路由器。
2. 虛拟路由器：由一個主用路由器和若幹個備用路由器組成的一個備份組，一個備份組對用戶端提供一個虛拟網關。
3. VRID：Virtual　Router　ID，虛拟路由器辨別，用來唯一的表示一個備份組。
4. 虛拟IP位址：提供給用戶端的網關IP位址，也是配置設定給虛拟路由器的IP位址，在所有的VRRP中配置，隻有主要裝置提供IP位址的ARP響應。
5. 虛拟MAC位址：基于VRID生成的用于VRRP的MAC位址，在用戶端通過ARP協定解析網關的MAC位址時，主要路由器将提供該MAC位址。
6. IP位址擁有者：若将虛拟路由器的IP位址配置為某個成員實體接口的真實IP位址，那麼該成員被稱為IP位址擁有者。
7. 優先級：用于辨別VRRP路由器的優先級，并通過每個VRRP路由器的優先級選舉主要裝置及備用裝置。
8. 搶占模式：在搶占模式下，如果備用路由器的優先級高于備份組中的其他路由器（包括目前的主要路由器），将立即稱為新的主要路由器。

9. 非搶占模式：在非搶占模式下，如果備用路由器的優先級高于備份組中的其他路由器（包括目前的主用路由器），則不會立即成為主用路由器，直到下一次公平選舉（如斷電、裝置重新開機等）

   VRRP的工作原理和Cisco的HSRP基本相同，隻是在細節上有些差別

• VRRP時公有協定，而HSRP是Cisco專有協定。
• VRRP中虛拟路由器的IP位址可以是成員路由器的IP位址，而HSRP不可以
• VRRP的虛拟MAC位址字首是00-00-5e-00-01-VRID，而HSRP的虛拟MAC位址字首是00-00-0C-07-AC-組号
• VRRP的狀态機有三個，而HSRP的狀态機包含五個（初始、學習、監聽、發言、備份、活動）
• VRRP隻有一種封包，VRRP通告封包由主用路由器發出，用于檢測虛拟路由器的參數，同時用于主用路由器的選舉。而HSRP有三種封包（hell、政變、辭職）
• VRRP不支援接口跟蹤，而HSRP支援。

VRRP的角色

工作在VRRP模式下的路由器有兩種角色，分别是Master路由器和Backup路由器。

• Master路由器：正常情況下由Master路由器負責ARP響應及提供資料包的轉發，并且預設每個1s 向其他路由器通告Master路由器目前的狀态資訊
• Backup路由器：是Master路由器的備用路由器，正常情況下不提供資料包的轉發，當Master路由器故障時，在所有的Backup路由器中優先級最高的路由器将成為新的Master路由器，接替轉發資料包的工作，進而保證業務不中斷。

VRRP的狀态機

VRRP定義了三種工作狀态，分别時Initialize（初始）Master（活動狀态）和Backup（備份狀态）

• Initialize狀态：剛配置了VRRP時的初始狀态。該狀态下，不對VRRP封包做任何處理，當接口Shutdown或接口故障時也将進入該狀态。
• Master狀态：目前裝置選舉成為主用路由器時的一種狀态。該狀态下會轉發業務封包，并周期性地發送VRRP通告封包，處于該狀态地路由器還将響應客戶機發送地ARP請求，并将虛拟MAC位址回送客戶機。當接口關閉時，将立即切換至Initialize狀态。
• backup狀态：目前裝置選舉成為備用路由器時的一種狀态。該狀态不轉發任何業務封包，工作在該狀态下的路由器會接收主用路由器發送的VRRP通告封包，并判斷主用路由器是否正常工作。在雙機熱備模式中還将同步主用裝置上的狀态資訊。

三種狀态之間的切換關系如下圖所示

VGMP的工作原理表現

• VGMP組的狀态決定了VRRP備份組的狀态，即裝置的角色（如Master和Backup）不通過VRRP封包選舉，而是直接通過VGMP統一管理。
• VGMP組的狀态通過比較優先級決定，優先級高的VGMP組将成為Active，優先級低的VGMP組将成為Standby。
• 預設情況下，VGMP組的優先級為4500
• VGMP根據組内VRRP備份組的狀态自動調正優先級，一旦檢測到備份組的狀态變成Initialize狀态，VGMP組的優先級會自動減2
• VGMP通過心跳線協商VGMP狀态資訊、

下面通過一個示例分析VGMP的工作原理，如圖：

📢友情提示：

在加入了VGMP組之後，VRRP中的狀态辨別從Master和Backup變成Active和Standby。

VGMP的封包封裝

VGMP通過心跳線協商VGMP的狀态資訊，通過發送VGMP封包實作，VGMP封包有一下兩種形式

在實際應用中，應根據實際的拓撲靈活選擇封包封裝。在華為防火牆中，通過一下指令指定通過接口的封包屬于哪種類型的封裝。

[USG6000V1]hrp interface GigabitEthernet 1/0/0  //eNSP模拟器中不支援該配置
[USG6000V1]hrp interface GigabitEthernet 1/0/0 remote 1.1.1.1      

其中hrp指令用來指定用于心跳鍊路的接口，帶remote參數的指令表示封包将封裝UDP，并發送單薄封包，不帶remote參數的指令表示将發送多點傳播封包。1.1.1.1辨別對端裝置（心跳線對端接口）的IP位址，該位址要求可路由，隻有指定remote參數時才需要指定。

雙機熱備的備份方式

雙機熱備的備份方式包括一下三種

• 自動備份：該模式下，和雙機熱備有關的配置指令隻能在主用裝置上配置，并自動同步到備用裝置中，主要裝置自動将狀态信心同步到備用裝置中。該模式是華為防火牆的預設開啟模式，主要應用于熱備模式。
• 手工批量備份：該模式下，主用裝置上所有的配置指令和狀态資訊，隻有在手工執行批量備份指令時才會自動同步到備用裝置。該模式主要應用于主備裝置配置不同步，需要立即進行同步的場景中。
• 快速備份：該模式下，不同步配置指令，隻同步狀态資訊。在負載均衡方式的雙機熱備壞境中，該模式必須啟用，以快速更新狀态資訊。

📝實驗配置與實作：

拓撲圖：

推薦步驟：

将防火牆接口劃分到指定的區域給防火牆接口配置IP位址檢視接口配置IP位址

配置防火牆安全政策允許local通路DMZ，允許Trust通路Untrust

在FW1和FW2配置VRRP，FW1為Trust和Untrust區域的master裝置，FW2為VRRP的Backup裝置

在FW1啟動雙機熱備，配置防火牆的DMZ區域接口為心跳網絡通過VGMP檢測VRRP故障

PC2通路PC1将FW1内網接口關閉在FW2抓包驗證防火牆雙機熱備

實驗步驟：

一、将防火牆接口劃分到指定的區域給防火牆接口配置IP位址檢視接口配置IP位址

1、将防火牆FW1接口劃分到指定的區域給給防火牆配置IP位址、檢視配置的IP位址

1）進入到指定區域、接口加入指定的區域

2）配置IP位址

3）檢視配置的IP位址

4）允許ping防火牆

2、将防火牆FW1接口劃分到指定的區域給給防火牆配置IP位址、檢視配置的IP位址

1）進入到指定區域、接口加入到指定的區域

2）配置IP位址、允許ping防火牆

3）檢視配置的IP位址

二、配置防火牆安全政策允許local通路DMZ，允許Trust通路Untrust

1、防火牆FW1配置安全政策允許local通路DMZ，允許Trust通路Untrust

1）FW1配置安全政策

2、防火牆FW2配置安全政策允許local通路DMZ，允許Trust通路Untrust

1）FW2配置安全政策

三、在FW1和FW2配置VRRP，FW1 為Trust和Untrust區域的master裝置，FW2為VRRP的Backup裝置

1、在防火牆FW1配置VRRP為TRust和Untrust區域的master裝置

1）進入接口

2）指定VRRP的ID号和用戶端網關配置為master

3）檢視配置的VRRP

4）進入接口

5）指定VRRP的ID号和用戶端網關配置master

6）檢視配置的VRRP

2、在防火牆FW2配置VRRP為TRust和Untrust區域的Backup裝置

1）進入接口

2）指定VRRP的ID号和用戶端網關配置為Backup

3）檢視配置的VRRP

4）進入接口

5）指定VRRP的ID号和用戶端網關配置為Backup

6）檢視配置的VRRP

3、用戶端配置IP位址

1）PC1配置IP位址

-2）PC2配置IP位址

4、測試直連路由

1）PC1：

2）PC2：

四、在FW1啟動雙機熱備，配置防火牆的DMZ區域接口為心跳網絡通過VGMP檢測VRRP故障

1、在防火牆FW1啟動雙機熱備份

1）傳輸心跳資訊互指IP位址

2）啟動雙機熱備份

3）指定雙機熱備份

2、在防火牆FW2啟動雙機熱備份

1）傳輸心跳資訊互指IP位址

2）啟動雙機熱備份

3）指定雙機熱備份

五、PC2通路PC1将FW1内網接口關閉在FW2抓包驗證防火牆雙機熱備

1、PC2通路PC1關閉FW1的内網接口在FW2抓包驗證

1）關閉接口

2）PC2通路PC1