信息安全基础知识笔记06防火墙双机热备技术(下)

本文主要是介绍信息安全基础知识笔记06防火墙双机热备技术(下)，对大家解决编程问题具有一定的参考价值，需要的程序猿们随着小编来一起学习吧！

信息安全基础知识笔记06防火墙双机热备技术(下)

 

　　本笔记主要介绍防火墙双机热备，分为上下两个部分。下部分主要介绍防火墙双机热备的基本组网方式和配置方法（其中包括配置VRRP，VGMP和配置HRP），以及分别通过命令行和Web图形界面方式进行配置实现。

 

 

　　双机热备基本组网 

　　下图为防火墙直路部署，上下行连接交换机的主备备份组网图。防火墙上下行业务接口工作在三层（路由）模式，连接二层设备时，需要在上下行的业务接口上配置VRRP备份组，使VGMP管理组能够通过VRRP备份组监测三层业务接口。 

 　　 

　　双机热备组网最常见的是防火墙采用路由模式，下行交换机双线上联到防火墙，若以防火墙A作为主，当防火墙A上行或下行链路down掉后，防火墙B自动切换为主设备，交换机流量走向防火墙B。 

  

　　将上面的网络组网图转换成实际拓扑图如下。假设有一企业的两台防火墙的业务接口都工作在三层，上下行分别连接二层交换机。上行交换机连接运营商的接入点1.1.1.10/24，运营商为企业分配的外网IP地址为1.1.1.1/24。现在希望两台防火墙以主备备份方式工作。主防火墙A与备防火墙B通过GE1/0/6连接HRP心跳链路，用于同步配置命令，网段配置为10.10.0.0/24。 

　　正常情况下，流量通过防火墙A转发。当防火墙A出现故障时，流量通过防火墙B转发，保证业务不中断。 

 　　

 

  

　　（1）命令行配置方式 

　　Step 1：基础配置 

　　① 为各防火墙的接口配置IP地址。（详细命令省略） 

　　防火墙A配置如下： 

 　　 

　　防火墙B配置如下： 

 　　 

  

　　② 将防火墙各接口加入到对应的安全区域中（详细命令省略） 

 　　 

　　防火墙A和防火墙B的安全区域配置相同。此处创建了一个优先级为95的安全区域hrp，专用于加入HRP心跳接口。

 

　　③ 在两个防火墙上均配置一条缺省路由，下一跳为运营商接入点1.1.1.10，使内网用户的流量可以正常转发至运营商的路由器上。 

 　　 

　　防火墙A和防火墙B的静态路由配置相同。 

  

 

　　Step 2：配置VRRP备份组 

　　配置命令： 

　　vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby } 

　　Tips：斜体为需更改的参数，[]中的命令为二选一，{}中的命令为可选项。下同 

　　执行此命令时，指定active或standby参数后，即将该VRRP组加入了VGMP管理组的Active（主）或Standby（备）管理组。 

　　每个普通物理接口（GigabitEthernet接口）下最多配置255个VRRP组。 

 

　　在防火墙A上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Active。在下行业务接口GE1/0/3上配置VRRP备份组2，并设置其状态为Active。 

 　　

 　　 

　　在防火墙B上行业务接口GE1/0/1上配置VRRP备份组1，并设置其状态为Standby。在FW_B下行业务接口GE1/0/3上，配置VRRP备份组2，并设置其状态为Standby。 

 　　 

 　　 

　　Tips：需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段，则配置VRRP备份组地址时需要指定掩码。

 

　　关于vrrp其他的一些常用命令配置： 

　　① Master管理组默认情况下会每隔60秒发送一次vrrp报文，可以在接口视图下调整vrrp报文发送间隔。接口视图下修改vrrp报文发送时间： 

　　配置命令： 

　　vrrp vrid virtual-router-ID timer advertise adver-interval  

 　　

  

　　② vrrp也可以与ip-link进行配合，当上行链路断掉后使vrrp能够进行主备切换。在接口视图下配置ip-link： 

　　配置命令： 

　　vrrp vrid virtual-router-id ip-link link-id 

  

　　③ 缺省情况下，VGMP管理组的抢占功能为启用状态，抢占延迟时间为60秒。可以调整VGMP管理组的抢占延时时间。配置VGMP管理组的抢占延迟时间命令如下： 

　　配置命令： 

　　hrp preempt [ delay interval ] 

 　　

 

 

　　Step 3：配置指定心跳口并启用双机热备功能 

　　i、配置HRP之前，需要知道的事项： 

　　① HRP两台防火墙心跳口的接口类型和编号必须相同，且心跳口不能为二层以太网接口。 

　　② 防火墙支持使用Eth-Trunk接口做为心跳口，既提高了可靠性，又增加了备份通道的带宽。 

　　③ 主备防火墙的心跳口可以直接相连，也可以通过中间设备，如交换机或路由器连接。当心跳口通过中间设备相连时，需要配置remote参数来指定对端IP地址。 

 

　　ii、根据不同的场景使用不同的备份方式： 

　　① 当两台设备启用HRP备份功能之后，会进行主备状态的协商，最后得到一个主用设备（显示时以HRP_A表示），一个备用设备（显示时以HRP_S表示）。两端首次协商出主备后，主用设备将向备用设备备份配置和连接状态等信息。 

　　配置命令：启用HRP备份功能 

　　hrp enable 

　　② 启用允许配置备用设备的功能后，所有可以备份的信息都可以直接在备用设备上进行配置，且备用设备上的配置可以同步到主用设备。如果主备设备上都进行了某项配置，则从时间上来说，后配置的信息会覆盖先配置的信息。 

　　配置命令：启用允许配置备用设备的功能 

　　hrp standby config enable 

　　启用命令与状态信息的自动备份 

　　hrp auto-sync [ config | connection-status]

 

　　③ 防火墙工作于负载分担组网时，报文的来回路径可能会不一致，务必启用会话快速备份功能，使一台防火墙的会话信息立即同步至另一台防火墙，保证内外部用户的业务不中断。 

　　配置命令：启用会话快速备份 

　　hrp mirror session enable

 

　　回到本例，为两防火墙分别配置使能HRP。 

　　配置命令： 

　　hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ] 

　　用于指定心跳口。且不要忘记使能HRP功能。

　　

 　  　 

　　配置完成后，先配置hrp的防火墙A成为主防火墙（状态为HRP_M），后配置hrp的防火墙B成为备防火墙（状态为HRP_S）。

 

 

　　Step 4：在防火墙A上配置安全策略，允许内网用户访问Internet。双机热备状态成功建立后，防火墙A的安全策略配置会自动备份到防火墙B上。 

　　只需在防火墙A输入命令，HRP自动将命令备份到防火墙B上。 

 　　 

　　若命令后有（+B）的字样，则表示可以备份且备份同步成功。

 

 

　　Step 5：在防火墙A上配置NAT策略，当内网用户访问Internet时，将源地址由10.3.0.0/16网段转换为地址池中的地址（1.1.1.2-1.1.1.5）。双机热备状态成功建立后，防火墙A的NAT策略配置会自动备份到防火墙B上。 

　　只需在防火墙A输入命令，HRP自动将命令备份到防火墙B上。 

 　　

 　　 

 

 

　　Step 6：将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址，在运营商ISP的路由器上配置到防火墙的等价路由，路由下一跳指向VRRP备份组1的虚拟IP地址。 

 　　 

　　Tips：分析本例拓扑后发现，ISP运营商路由器不需要加入静态路由也可通讯。

 

 

　　（2）配置结果验证 

　　Step 1：在防火墙A和防火墙B上执行display vrrp命令，检查VRRP组内接口的状态信息，显示以下信息表示VRRP组建立成功。 

　　防火墙A： 

 　　 

　　防火墙B： 

 　　

 

 

　　Step 2：在防火墙A和防火墙B上执行display hrp state verbose命令，检查当前VGMP组的状态，显示以下信息表示双机热备建立成功。 

　　防火墙A： 

 　　 

　　防火墙B： 

 　　

 

 

　　Step 3：运营商ISP路由器位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的运营商ISP路由器。分别在防火墙A和防火墙B上检查会话。 

　　防火墙A：可以看到内网IP在防火墙经过NAT后访问外网 

 　　 

　　防火墙B：可以看出防火墙B上存在带有Remote标记的会话，表示配置双机热备功能后，会话备份成功。 

 　　

 

 

　　Step 4：在PC上执行ping 1.1.1.10 -t，然后将防火墙A GE1/0/1接口网线拨出，观察防火墙状态切换及ping包丢包情况；再将防火墙A GE1/0/1接口网线恢复，观察防火墙状态切换及ping包丢包情况。

 

 

　　（3）Web界面配置方式 

　　Step 1：点击“系统 > 高可靠性 > 双机热备 > 配置”进行双机热备相关配置。 

 　　 

　　① 点击“配置”进入双机热备配置界面，在配置界面中可以配置HRP的基本参数，以及对接口、VLAN、IP-Link、BFD的监视； 

　　② 点击“详细”按钮可以查看HRP的历史切换信息； 

　　③ 点击“一致性检查”按钮可以对主备防火墙的配置做一致性检查。

 

 

　　Step 2：在双机热备配置界面点击“配置”按钮对主用设备防火墙A的配置，在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。 

 　　

 　　

 

  

　　Step 3：在双机热备界面，点击“详细”可以查看双机热备主备切换信息。 

 　　

 

 

　　Step 4：在双机热备界面确认运行模式、角色及VRRP备份组的状态信息。 

 　　

 

 

　　思考题 

　　（1）HRP技术可以实现备防火墙不需要配置任何信息，所有配置信息均由主防火墙通过HRP同步至备防火墙，且重启后配置信息不丢失。 

　　答案：错误

 

　　（2）在防火墙做双机热备组网时，为实现备份组整体状态切换，需要使用以下哪个协议技术？ 

　　答案：VGMP

 

 

 

 

　　

这篇关于信息安全基础知识笔记06防火墙双机热备技术(下)的文章就介绍到这儿，希望我们推荐的文章对大家有所帮助，也希望大家多多支持为之网！