信息安全基础知识笔记06防火墙双机热备技术(下)
作者:互联网
信息安全基础知识笔记06防火墙双机热备技术(下)
本笔记主要介绍防火墙双机热备,分为上下两个部分。下部分主要介绍防火墙双机热备的基本组网方式和配置方法(其中包括配置VRRP,VGMP和配置HRP),以及分别通过命令行和Web图形界面方式进行配置实现。
双机热备基本组网
下图为防火墙直路部署,上下行连接交换机的主备备份组网图。防火墙上下行业务接口工作在三层(路由)模式,连接二层设备时,需要在上下行的业务接口上配置VRRP备份组,使VGMP管理组能够通过VRRP备份组监测三层业务接口。
双机热备组网最常见的是防火墙采用路由模式,下行交换机双线上联到防火墙,若以防火墙A作为主,当防火墙A上行或下行链路down掉后,防火墙B自动切换为主设备,交换机流量走向防火墙B。
将上面的网络组网图转换成实际拓扑图如下。假设有一企业的两台防火墙的业务接口都工作在三层,上下行分别连接二层交换机。上行交换机连接运营商的接入点1.1.1.10/24,运营商为企业分配的外网IP地址为1.1.1.1/24。现在希望两台防火墙以主备备份方式工作。主防火墙A与备防火墙B通过GE1/0/6连接HRP心跳链路,用于同步配置命令,网段配置为10.10.0.0/24。
正常情况下,流量通过防火墙A转发。当防火墙A出现故障时,流量通过防火墙B转发,保证业务不中断。
(1)命令行配置方式
Step 1:基础配置
① 为各防火墙的接口配置IP地址。(详细命令省略)
防火墙A配置如下:
防火墙B配置如下:
② 将防火墙各接口加入到对应的安全区域中(详细命令省略)
防火墙A和防火墙B的安全区域配置相同。此处创建了一个优先级为95的安全区域hrp,专用于加入HRP心跳接口。
③ 在两个防火墙上均配置一条缺省路由,下一跳为运营商接入点1.1.1.10,使内网用户的流量可以正常转发至运营商的路由器上。
防火墙A和防火墙B的静态路由配置相同。
Step 2:配置VRRP备份组
配置命令:
vrrp vrid virtual-router-ID virtual-ip virtual-address [ ip-mask | ip-mask-length ] { active | standby }
Tips:斜体为需更改的参数,[]中的命令为二选一,{}中的命令为可选项。下同
执行此命令时,指定active或standby参数后,即将该VRRP组加入了VGMP管理组的Active(主)或Standby(备)管理组。
每个普通物理接口(GigabitEthernet接口)下最多配置255个VRRP组。
在防火墙A上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Active。在下行业务接口GE1/0/3上配置VRRP备份组2,并设置其状态为Active。
在防火墙B上行业务接口GE1/0/1上配置VRRP备份组1,并设置其状态为Standby。在FW_B下行业务接口GE1/0/3上,配置VRRP备份组2,并设置其状态为Standby。
Tips:需要注意的是如果接口的IP地址与VRRP备份组地址不在同一网段,则配置VRRP备份组地址时需要指定掩码。
关于vrrp其他的一些常用命令配置:
① Master管理组默认情况下会每隔60秒发送一次vrrp报文,可以在接口视图下调整vrrp报文发送间隔。接口视图下修改vrrp报文发送时间:
配置命令:
vrrp vrid virtual-router-ID timer advertise adver-interval
② vrrp也可以与ip-link进行配合,当上行链路断掉后使vrrp能够进行主备切换。在接口视图下配置ip-link:
配置命令:
vrrp vrid virtual-router-id ip-link link-id
③ 缺省情况下,VGMP管理组的抢占功能为启用状态,抢占延迟时间为60秒。可以调整VGMP管理组的抢占延时时间。配置VGMP管理组的抢占延迟时间命令如下:
配置命令:
hrp preempt [ delay interval ]
Step 3:配置指定心跳口并启用双机热备功能
i、配置HRP之前,需要知道的事项:
① HRP两台防火墙心跳口的接口类型和编号必须相同,且心跳口不能为二层以太网接口。
② 防火墙支持使用Eth-Trunk接口做为心跳口,既提高了可靠性,又增加了备份通道的带宽。
③ 主备防火墙的心跳口可以直接相连,也可以通过中间设备,如交换机或路由器连接。当心跳口通过中间设备相连时,需要配置remote参数来指定对端IP地址。
ii、根据不同的场景使用不同的备份方式:
① 当两台设备启用HRP备份功能之后,会进行主备状态的协商,最后得到一个主用设备(显示时以HRP_A表示),一个备用设备(显示时以HRP_S表示)。两端首次协商出主备后,主用设备将向备用设备备份配置和连接状态等信息。
配置命令:启用HRP备份功能
hrp enable
② 启用允许配置备用设备的功能后,所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备。如果主备设备上都进行了某项配置,则从时间上来说,后配置的信息会覆盖先配置的信息。
配置命令:启用允许配置备用设备的功能
hrp standby config enable
启用命令与状态信息的自动备份
hrp auto-sync [ config | connection-status]
③ 防火墙工作于负载分担组网时,报文的来回路径可能会不一致,务必启用会话快速备份功能,使一台防火墙的会话信息立即同步至另一台防火墙,保证内外部用户的业务不中断。
配置命令:启用会话快速备份
hrp mirror session enable
回到本例,为两防火墙分别配置使能HRP。
配置命令:
hrp interface interface-type interface-number [ remote { ip-address | ipv6-address } ]
用于指定心跳口。且不要忘记使能HRP功能。
配置完成后,先配置hrp的防火墙A成为主防火墙(状态为HRP_M),后配置hrp的防火墙B成为备防火墙(状态为HRP_S)。
Step 4:在防火墙A上配置安全策略,允许内网用户访问Internet。双机热备状态成功建立后,防火墙A的安全策略配置会自动备份到防火墙B上。
只需在防火墙A输入命令,HRP自动将命令备份到防火墙B上。
若命令后有(+B)的字样,则表示可以备份且备份同步成功。
Step 5:在防火墙A上配置NAT策略,当内网用户访问Internet时,将源地址由10.3.0.0/16网段转换为地址池中的地址(1.1.1.2-1.1.1.5)。双机热备状态成功建立后,防火墙A的NAT策略配置会自动备份到防火墙B上。
只需在防火墙A输入命令,HRP自动将命令备份到防火墙B上。
Step 6:将内网PC的默认网关设置为VRRP备份组2的虚拟IP地址,在运营商ISP的路由器上配置到防火墙的等价路由,路由下一跳指向VRRP备份组1的虚拟IP地址。
Tips:分析本例拓扑后发现,ISP运营商路由器不需要加入静态路由也可通讯。
(2)配置结果验证
Step 1:在防火墙A和防火墙B上执行display vrrp命令,检查VRRP组内接口的状态信息,显示以下信息表示VRRP组建立成功。
防火墙A:
防火墙B:
Step 2:在防火墙A和防火墙B上执行display hrp state verbose命令,检查当前VGMP组的状态,显示以下信息表示双机热备建立成功。
防火墙A:
防火墙B:
Step 3:运营商ISP路由器位于Untrust区域。在Trust区域的PC端能够ping通Untrust区域的运营商ISP路由器。分别在防火墙A和防火墙B上检查会话。
防火墙A:可以看到内网IP在防火墙经过NAT后访问外网
防火墙B:可以看出防火墙B上存在带有Remote标记的会话,表示配置双机热备功能后,会话备份成功。
Step 4:在PC上执行ping 1.1.1.10 -t,然后将防火墙A GE1/0/1接口网线拨出,观察防火墙状态切换及ping包丢包情况;再将防火墙A GE1/0/1接口网线恢复,观察防火墙状态切换及ping包丢包情况。
(3)Web界面配置方式
Step 1:点击“系统 > 高可靠性 > 双机热备 > 配置”进行双机热备相关配置。
① 点击“配置”进入双机热备配置界面,在配置界面中可以配置HRP的基本参数,以及对接口、VLAN、IP-Link、BFD的监视;
② 点击“详细”按钮可以查看HRP的历史切换信息;
③ 点击“一致性检查”按钮可以对主备防火墙的配置做一致性检查。
Step 2:在双机热备配置界面点击“配置”按钮对主用设备防火墙A的配置,在配置虚拟IP地址下点击“新建”建立相应VRRP备份组。
Step 3:在双机热备界面,点击“详细”可以查看双机热备主备切换信息。
Step 4:在双机热备界面确认运行模式、角色及VRRP备份组的状态信息。
思考题
(1)HRP技术可以实现备防火墙不需要配置任何信息,所有配置信息均由主防火墙通过HRP同步至备防火墙,且重启后配置信息不丢失。
答案:错误
(2)在防火墙做双机热备组网时,为实现备份组整体状态切换,需要使用以下哪个协议技术?
答案:VGMP
标签:热备,06,备份,配置,防火墙,HRP,双机 来源: https://www.cnblogs.com/zylSec/p/15204058.html