【ファイアウォール】ファイアウォールホットスタンバイ

開発 2023-09-06 18:32:30 訪問数: null

ファーウェイのファイアウォールがネットワークの出口に導​​入されている場合、障害が発生するとネットワーク全体のサービスに影響が出る可能性があるため、ネットワークの信頼性を向上させるためには、ファーウェイのファイアウォールを2台導入してデュアルシステムを形成する必要があります。ホットスタンバイ

1. デュアルマシンホットバックアップの概要

1. デュアルマシンホットスタンバイの概要

     デュアルシステムのホットバックアップには、同じハードウェアとソフトウェア構成を持つ 2 つの Huawei ファイアウォールが必要です。2 つの Huawei ファイアウォールは、独立したリンクを通じて接続されています。このリンクは通常、「ハートビート ライン」と呼ばれます。2 つの Huawei ファイアウォールは通過します。ハートビート ラインは、ピア エンドのヘルス ステータスを確認し、設定とテーブル アイテム (セッション テーブル、IPSec SA など) をピア エンドにバックアップします。

2. デュアルシステムホットバックアップの要件

(1) ハードウェア要件

  • 2 系ホットスタンバイを構成する 2 台のファイアウォールは同一機種であり、搭載ボードの種類・数量・位置が同一である必要があります。USG6680E および USG6712E/6716E の場合は、BomIDバージョン一致、つまり、BomID バージョンが 000、001、002 のデバイスは、BomID バージョンが 003 以降の同じモデルのデバイスとデュアルマシン ホット スタンバイ環境を形成できません。BomID バージョンは、表示バージョンで確認できます。
  • 2 つのファイアウォールのハードディスク構成は異なっていても構いません。たとえば、一方のファイアウォールにはハードディスクがインストールされ、もう一方のファイアウォールにはハードディスクがインストールされていない場合でも、デュアルシステムのホット バックアップの動作には影響しません。ハードディスクのファイアウォールにより、一部のログおよびレポート機能が利用できなくなります。

(2) ソフトウェア要件

     システム ソフトウェア バージョン、システム パッチ バージョン、動的に読み込まれるコンポーネント パッケージ、機能ライブラリ バージョン、HASH 選択 CPU モード、およびデュアル システム ホット スタンバイを構成する 2 つのファイアウォールの HASH ファクタは、同じである必要があります。ソフトウェア バージョンがアップグレードまたはロールバックされる プロセス中に、2 つのファイアウォールが一時的に異なるバージョンのシステム ソフトウェアを実行する可能性があります

(3) ライセンス要件

     デュアルシステムホットバックアップ機能自体にはライセンスは必要ありませんが、IPSやウイルス対策機能などのライセンスが必要な機能については、デュアルシステムホットバックアップを構成する2つのファイアウォールが個別にライセンスを申請して読み込む必要があります。 、2 つのファイアウォール間でライセンスを共有することはできません。2 つのファイアウォールのライセンス制御項目の種類、リソース数量、およびアップグレード サービスの有効期限は同じである必要があります。

3.心拍ライン

     デュアル システム ホット スタンバイ ネットワークでは、ハートビート ラインは 2 つのファイアウォールがメッセージを交換して、ピア エンドのステータス、バックアップ設定コマンド、およびさまざまなテーブル項目を理解するためのチャネルです。この行は通常「ハートビート インターフェイス」と呼ばれます。次のメッセージを渡します。

  • ハートビート メッセージ (Hello メッセージ): 2 つのファイアウォールは定期的にハートビート メッセージを相互に送信し (デフォルトの間隔は 1 秒)、ピア デバイスが生きているかどうかを検出します。
  • VGMP メッセージ: ピア デバイスの VGMP グループのステータスを理解し、ローカル デバイスとピア デバイスの現在のステータスが安定しているかどうか、およびフェイルオーバーを実行するかどうかを判断します。
  • 構成およびテーブル エントリのバックアップ メッセージ: 2 つのファイアウォール間で構成コマンドとステータス情報を同期するために使用されます。
  • ハートビートリンク検出メッセージ: ピアデバイスのハートビートポートがローカルデバイスのメッセージを正常に受信できるかどうかを検出し、使用できるハートビートインターフェイスがあるかどうかを判断するために使用されます。
  • 構成の整合性チェック メッセージ: セキュリティ ポリシー、NAT など、2 つのファイアウォールの主要な構成が一貫しているかどうかをチェックするために使用されます。
     

     上記のパケットはファイアウォールのセキュリティ ポリシーによって制御されないため、これらのパケットに対してセキュリティ ポリシーを設定する必要はありません。

4. ハートビートラインとハートビートインターフェースの構成

  • ハートビート インターフェイスは、直接接続することも、スイッチまたはルータを介して接続することもできます。二重化ホット スタンバイを構成する 2 つのファイアウォールは、同じラックまたは隣接するラックに設置することをお勧めします。ハートビート インターフェイスは、ネットワーク ケーブルまたは光ファイバーを使用します。直接接続します。繋がり
  • USG6680E および USG6712E/6716E の場合、ハートビート インターフェイスとして 2 つの専用 HA インターフェイスを使用してください。これら 2 つの HA インターフェイスはデフォルトで Eth-Trunk 65535 インターフェイスに追加されており、使用するために Eth-Trunk 65535 から削除することはできません。 HA インターフェイスについて 詳細については、「デバイスでサポートされるインターフェイス タイプ」を参照してください。2 つの HA インターフェイスの帯域幅が依然として使用要件を満たしていない場合は、他のイーサネット インターフェイスを Eth-Trunk 65535 インターフェイスに追加して、サービス インターフェイスの帯域幅を増やすことができます。バックアップチャネルの帯域幅。
  • 専用の HA インターフェイスを提供しないその他のモデルの場合は、ハートビート インターフェイスとして専用のインターフェイスを計画することをお勧めします。このインターフェイスは、ハートビート メッセージやバックアップ メッセージなど、二重系ホット スタンバイ機能に関連するメッセージの送信にのみ使用されます。同時に、複数のイーサネット インターフェイスを 1 つの Eth-Trunk インターフェイスにバインドし、Eth-Trunk をハートビート インターフェイスとして使用することをお勧めします。これにより、リンクの信頼性が向上するだけでなく、バ​​ックアップ チャネルの帯域幅も増加します。
  • ハートビート インターフェイスは、サービス関連のテーブル アイテムのバックアップ メッセージを送信する必要があります。ハートビート インターフェイスのトラフィック量は、ビジネス トラフィックの量に関連します。ハートビート インターフェイスの帯域幅は、ピーク時のビジネス トラフィックの 30% 以上であることが推奨されます。
  • 少なくとも 2 つのハートビート インターフェイスを構成し、1 つをメイン ハートビート インターフェイスとして、もう 1 つをバックアップとして構成することをお勧めします。

5. ハートビートラインおよびハートビートインターフェース設定時の注意事項

  • MGMTインターフェイス(MEth0/0/0)はハートビートインターフェイスとして使用できません
  • vrrp virtual-mac enableコマンドで設定したインターフェースはハートビートインターフェースとして使用できません
  • 2 つのファイアウォールのハートビート インターフェイスのタイプ、インターフェイス番号、およびリンク プロトコル タイプは同じである必要があります。ハートビート インターフェイスとして Eth-Trunk インターフェイスが使用されている場合は、Eth-Trunk インターフェイスのメンバー インターフェイスも同じである必要がありますハートビートインターフェースとしてVLANインターフェース(VLANIF)を使用する場合、実際にパケットを送受信するレイヤー2物理インターフェースも同一である必要があります。
  • 2 つのファイアウォールのハートビート インターフェイスは同じセキュリティ ゾーンに参加する必要があります
  • MTU 値が 1500 未満のインターフェイスはハートビート インターフェイスとして使用できません。構成およびテーブル エントリのバックアップ メッセージの最大長は 1500 バイトであり、メッセージはフラグメンテーションをサポートしていません。ハートビート インターフェイスの MTU 値がそれより小さい場合は、 1500 を超えると、メッセージの送信に失敗します。
  • ハートビート インターフェイスがスイッチまたはルーター経由で接続されている場合、ハートビート パケットおよびバックアップ パケットを転送するスイッチまたはルーター上のインターフェイスの MTU 値は 1500 未満にすることはできません。
  • ハートビート インターフェイスが直接接続されておらず、関連するルートを設定する必要がある場合は、ルートを正しく設定してください。そうでない場合、ハートビート インターフェイスのシャットダウン/シャットダウンの取り消し後、ハートビート インターフェイスが異常状態になり、回復できなくなる可能性があります。間違ったルートを削除するか、ハートビート インターフェイスを再設定してください。解決策としては、アクティブ デバイスとスタンバイ デバイスのいずれかでスタティック ルート ip Route-static dest-heartbeat-address 32 other-up-interface を設定します。アップ状態、シャットダウン/シャットダウンを元に戻すと、この時点でハートビート インターフェイスが異常な動作状態になり、通常に戻ることができなくなります。
  • 仮想システムがファイアウォール上に設定されている場合、ハートビート インターフェイスを仮想システムのインターフェイスにすることはできませんが、ルート システムのインターフェイスにする必要があります。仮想システムの設定コマンドとエントリもピア デバイスにバックアップできます。ルート システム上で計画されたハートビート インターフェイスを介して。

6. 2 台のマシンのホットスタンバイ動作モード

     ファイアウォールは、アクティブ/スタンバイ バックアップと負荷分散の 2 つの動作モードをサポートします。

(1) アクティブ/スタンバイバックアップモード

     2 つのデバイスがあり、1 つはアクティブ、もう 1 つはスタンバイです。通常の状況では、ビジネス トラフィックはメイン デバイスによって処理されます。メイン デバイスに障害が発生すると、バックアップ デバイスがメイン デバイスに代わってビジネス トラフィックを処理し、ビジネスが中断されない トラフィックは単一のデバイスで処理される 負荷分散モードと比較して、ルート計画と障害位置が比較的簡単

(2) 負荷分散モード

     2 つのデバイスは相互にアクティブとスタンバイです。通常の状況では、2 つのデバイスはネットワーク全体のビジネス トラフィックを共有します。一方のデバイスに障害が発生すると、もう一方のデバイスがそのビジネスを引き継ぎ、本来デバイスによって転送されていたビジネスが確実に行われるようにします。中断されません。

  • アクティブ/スタンバイ バックアップ モードと比較して、ネットワーク スキームと構成は比較的複雑です。
  • 侵入防止やウイルス対策などのコンテンツ セキュリティ検出機能が負荷共有ネットワークで使用されている場合、トラフィックの往復パスの不一致によりコンテンツ セキュリティ機能が失敗する可能性があります。
  • 負荷分散ネットワークで NAT を構成する場合、2 つのデバイス間での NAT リソース割り当ての競合を防ぐために追加の構成が必要です。
  • 負荷分散モードのネットワークでは、トラフィックは 2 つのデバイスによって共同処理され、アクティブ/スタンバイ バックアップ モードまたはミラー モードのネットワークよりも大きなピーク トラフィックに耐えることができます。
  • 負荷共有モードのネットワークでデバイスに障害が発生した場合、サービスの半分だけを切り替える必要があり、フェイルオーバー速度が速くなります。

7.VGMPグループ

     VGMP (VRRP Group Management Protocol) プロトコルは Huawei 独自のプロトコルであり、VGMP グループは VGMP プロトコルで定義されており、Huawei ファイアウォールは VGMP グループに基づいてデバイスのアクティブおよびスタンバイ状態の管理を実装します。

  • 各 Huawei ファイアウォールには VGMP グループがあります。ユーザーはこの VGMP グループを削除したり、他の VGMP グループを作成したりすることはできません。VGMP グループには優先順位とステータスの 2 つの属性があります。VGMP グループの優先順位によって、VGMP グループのステータスが決まります。
  • VGMP グループの優先順位は設定できません。デバイスが正常に起動すると、デバイスのハードウェア構成に従って VGMP グループの優先順位が自動的に生成されます。この優先順位を初期優先順位と呼びます。初期優先順位は CPU の数に関連します。デバイスに障害が発生すると、VGMP グループの優先順位が下がります。
  • USG6635E/6640E-K/6655E、USG6680E、および USG6712E/6716E のデフォルトの優先度は 45002、その他のモデルのデフォルトの優先度は 45000 です。

8. VGMPグループの状況

     VGMP グループには、initialize、load-balance、active、standby の 4 つの状態があり、このうち、initialize が初期化状態です 装置がデュアルマシンホットを有効にしていない場合 ピア装置の VGMP グループ優先度が決定され、デバイスは、ハートビート ラインを通じてピア デバイスの VGMP メッセージを受信し、ピア デバイスの VGMP グループの優先順位を確認します。

  • デバイス自体の VGMP グループ優先度がピア デバイスの VGMP グループ優先度に等しい場合、デバイスの VGMP グループ ステータスはロード バランスになります。
  • デバイス自体の VGMP グループ優先度がピア デバイスの VGMP グループ優先度よりも高い場合、デバイスの VGMP グループ ステータスはアクティブになります。
  • 自装置の VGMP グループ優先度が相手装置の VGMP グループ優先度より低い場合、本装置の VGMP グループ状態はスタンバイになります。
  • デバイスがピア デバイスから VGMP パケットを受信せず、ピア VGMP グループの優先順位を学習できない場合、デバイスの VGMP グループ ステータスはアクティブになります。たとえば、ハートビート ラインに障害があるなどです。
  • デュアル システム ホット バックアップでは、2 つのデバイスのハードウェア モデル、ボード タイプ、および数量が同じである必要があるため、通常の状況では、2 つのデバイスの VGMP グループの優先順位は等しく、VGMP グループのステータスはロード状態になります。装置に障害が発生すると、装置の VGMP グループ優先度が低下します 障害が発生した装置の VGMP グループ優先度は、障害が発生していない装置の VGMP グループ優先度よりも低くなります 障害が発生した装置の VGMP グループのステータスはスタンバイに変わります.ステータスがアクティブになります


     Huawei ファイアウォールは、VGMP グループのステータスに応じて VRRP バックアップ グループのステータス、動的ルーティング (OSPF、OSPFv3、および BGP) コスト値、VLAN ステータス、およびインターフェイス ステータス (ミラー モード) を調整して、デュアル バックアップまたは負荷分散を実現できます。ホットスタンバイモード

2. 2台ホットスタンバイ構成

1.ケース

2. 設定プロセス

(1)USG1

(2)USG2

(3)AR1

(4)SW1

3. テスト

(1)PC1

(2)PC2

おすすめ

転載: blog.csdn.net/2301_76769041/article/details/132587798
おすすめ
ランキング
Web側のオンラインクラウド編集ソリューション
2つのシナリオでのJVMチューニングケース(基本テンプレートの概要-G1)-ピット概要ハイライト21を踏む(週に1回更新)
Node Sass は現在の環境のバインディングを見つけることができませんでした
RabbitMQのコマンドラインの使用方法は、手動でキューrabbitmqadminを作成します
币圈韭菜十大致命操作(八)热爱幻想,无视现实
Wide Face+YOLOV7 顔検出
shrioの研究ノート
Eclipseは「:不明なMavenの設定の問題」を示します
6512. [3.18] GDOI2020シミュレーションツリーとパス
不像总结的总结
アーカイブ
もっと
2024-05-07(34)
2024-05-06(6)
2024-05-05(0)
2024-05-04(18)
2024-05-03(8)
2024-05-02(0)
2024-05-01(4)
2024-04-30(35)
2024-04-29(5)
2024-04-28(12)

コードワールド

© 2018 codetd.com