通常、企業のエッジデバイスを考えると、ファイアウォールを言及し、ユーザーが渡すためにネットワークとインターネットの中にあります。セキュリティルール、IPS、ファイルタイプフィルタリング、コンテンツフィルタリング、およびアプリケーション層フィルタリングファイアウォールのような機能の多くを運びます。問題がある場合、企業のファイアウォールを考慮すべき最初の事を最適化し、高可用性されるようにファイアウォールが、外部通信のすべてのサービスが中断される場合は、理由ファイアウォールのも非常に重要です。
ボーエン概要:
デュアルのホットスタンバイ原則
2、VRRPプロトコル
(1)VRRPプロトコルの概要
(2)VRRPの役割
(3)VRRPステートマシンは、
(4)VRRPが動作する
3、VGMPプロトコルの
の(1)VGMP作品
(2)VGMPパケットのカプセル化
(3)ホットスタンバイ・バックアップ・モード
(4)2つのホットスタンバイルータ接続
ホットスタンバイファイアウォールの達成構成を
まず、ホットスタンバイ原則
インターネットの発展に伴い、現在は人々の生活における問題のほとんどは、ネットワークを介して解決することができますが、同時に、ネットワークセキュリティの問題が公開されています。当たり前になってきた企業でファイアウォールを展開します。中断のないネットワーク伝送ネットワークの発展を確保する方法に解決する必要が問題となります!
ファイアウォールが失敗したら、主要なビジネスに展開Enterpriseは、ファイアウォール、ファイアウォールの送信を通過するすべての外部トラフィックをエクスポートし、そしてビジネスは、どんなに良いファイアウォール自体の性能を、どのように強力な、ネットワークの中断の問題に直面しないだろう。この時点で、彼らは、企業が直面している彼らの損失を取り戻すことはできません。同時に2台の機器の故障の確率は非常に小さいので、だから、基本的な輸送サービスを確保しながら、企業がセキュリティを高めることができ、輸出企業に2つのファイアウォール製品を展開し、中断されることはありません。右の図で展開した後、トポロジの観点から、ネットワークが非常に高い信頼性を持っていますが、技術的な観点から、いくつかの問題を解決する必要性、ルータ、ファイアウォールを持っており、基本的に差がで動作するため、ファイアウォールは、いくつかの特別な設定を必要とします。
(OSPFを実行する)ことにより、R3→R1→R4パスコストが比較的小さい場合、左、内部ネットワークは、R3→R1→R4外部ネットワークによって到達することができ、その後、デフォルトで、R3→R2→R4によって内部ネットワークに到達することができデバイスがR1損傷した場合、R3→R1→R4外部ネットワークによって到達され、OSPFは自動的R3 R2が外部にネットワークを介して転送され、収束します。
FW1がOSPFによってダメージを受けたときに右、R1、R2は、2つのファイアウォールを置き換える、デフォルトでは、フローは、この時間は交通FW1のユーザー数に対応するセッションテーブルの項目を記録し、FW1を介して外部ネットワークに転送されます収束は、トラフィックがFW2をご案内いたしますが、セッションテーブルの流れの前に、FW2輸送セッショントラフィックに戻る前に、FW2を渡し、会話のその後の流れが再確認されたセキュリティポリシーに必要と会話を生成しませんではありません。これは、接続が再確立されていない限り、すべてのトラフィックが終了する前にことを意味します。
ファイアウォール間のデュアルバックアップリンク(ハートビート)、およびスタンバイ状態のバックアップセッションテーブル、サーバー・マップ・テーブルのなど交渉の操作を提供することにより、図Huawei社ホットバックアップファイアウォール機能。ファイアウォールの構成に応じて、マスタ・デバイスが正常に動作しているとき、バックアップデバイスは、パケット転送を提供していない、主要機器およびスタンバイ機器を選出しているが、リアルタイムでバックアップデバイスは、マスタデバイスから現在のセッションテーブルとサーバー・マップ・テーブルをダウンロードしてください。マスタデバイスの誤動作もバックアップデバイスに切り替える場合、デバイスは、トラフィックが中断されていないことを確認するために、スタンバイ現在のトラフィックセッションテーブルとサーバー・マップ・テーブルを残っている場合に、次のことを確認します。
次のようにホットスタンバイ二重環境では、要件がある:
(1)は、2つのハートビートのファイアウォールインターフェイスを同じセキュリティゾーンを添加した;
(2)ファイアウォール装置のための2つのインターフェースは、あるとして一貫した心拍数、である必要がありますGL / 0/0;
(3)同じモデル、同じVRPのバージョンを使用して、2つのホットスタンバイファイアウォールの推奨しました。
Huawei社ホットスタンバイファイアウォールには、次の2つのモードがあります。
- ホットスタンバイモード:同時にファイアウォールによって転送1つのデータパケットのみを使用して、ファイアウォールは他のパケットを転送しますが、同期セッションテーブルとサーバー・マップ・テーブルはありません。
- 负载均衡模式:同一时间,多台防火墙同时转发数据,但每个防火墙又作为其他防火墙的备用设备,即每个防火墙即是主用设备也是备用设备,防火墙之间同步会话表及Server-map表;
关于华为防护墙的热备模式和负载均衡模式如图:
二、VRRP协议
在双机热备技术中,即使选举出了主用设备和备用设备,默认情况下流量也通过主用设备转发,而备用设备处于备份状态。但是客户机通常通过指定网关地址来指定网络出口,当客户机将网关指向主用设备时,流量自然从主用设备转发,但是当主用设备故障时,客户机并不会将网关自动指向备用设备,所以即使双机热备本身可以切换、客户机依然无法正常通信。所以要保证双机热备可以正常工作,还需解决客户机网关自动切换的问题。而VRRP技术可以解决网关自动切换的问题,甚至还能让设备切换对客户机而言是透明的。在华为防火墙的双机热备技术中,VRRP是非常重要的一个组成部分。
(1)VRRP协议概述
VRRP(虚拟路由冗余协议)由IETF进行维护。用来解决网关单点故障的路由协议。VRRP可以应用在路由器中提供网关冗余,也可以用在防火墙中做双击热备。
VRRP的基本概念如下:
(1)VRRP路由器:运行VRRP协议的路由器;
(2)虚拟路由器:由一个主用路由器和若干备用路由器组成的一个备份组,一个备份组对客户机提供一个虚拟网关;
(3)VRID:Virtual Router ID,虚拟路由器标识,用来唯一的表识一个备份组;
(4)虚拟IP地址:提供给客户端的网关IP地址,也是分配给虚拟路由器的IP地址,在所有的VRRP中配置,只有主用设备提供该IP地址的ARP响应;
(5)虚拟MAC地址:基于VRID生成的用于VRRP的MAC地址,在客户端通过ARP协议解析网关的MAC地址时,主用路由器提供该MAC地址;
(6)IP地址拥有者:若将虚拟路由器的IP地址配置为某个成员物理接口的真是IP地址,那么该成员被称为IP地址拥有者;
(7)优先级:用于表示VRRP路由器的优先级,并通过每个VRRP路由器的优先级选举主用设备及备用设备;
(8)抢占模式:在抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),将立即成为新的主用路由器;
(9)非抢占模式:在非抢占模式下,如果备用路由器的优先级高于备份组中的其他路由器(包括当前的主用路由器),则不会立即成为主用路由器,直到下一次公平选举(如断电、设备重启等);
VRRP的工作原理与Cisco设备基本相同,只有一些细节上的一些区别,如图:
(2)VRRP的角色
工作在VRRP模式下的路由器有两种角色,分别是:
- Master路由器:正常情况下由Master路由器负责ARP响应及提供数据包的转发,并且默认每隔1s向其他路由器通告Master路由器当前的状态信息;
- Backup路由器:是Master路由器的备用路由器,正常情况下不提供数据包的转发,当Master路由器故障时,在所有的Backup路由器中优先级最高的路由器将成为新的Master路由器,接替转发数据包的工作,从而保证业务不间断;
(3)VRRP的状态机
VRRP定义了三种工作状态,如下:
- Initialize状态:刚配置VRRP时的初始状态。该状态下,不对VRRP报文做任何处理,当接口shutdown或接口故障时将进入该状态;
- Master状态:当前设备选举成为主用路由器时的一种状态。该状态下会转发业务报文,并周期性地发送VRRP通告报文,处于该状态的路由器还将响应客户机发起的ARP请求,并将虚拟MAC地址回应客户机。当接口关闭时,将立即切换至Initialize状态;
- Backup状态:当前设备选举成为备用路由器的一种状态。该状态下不转发任何业务报文,工作在该状态下的路由器会接收主用路由器发送的VRRP通告报文,并判断主用路由器是否正常工作。在双机热备模式中还将同步主用设备上的状态信息;
三种状态之间的切换关系如图:
Initialize状态是VRRP的初始状态,当接口shutdown时,无论路由器处于Master状态还是Backup状态,都将立即切换至Initialize状态;当路由器配置IP地址拥有者时,其优先级默认为255,此时路由器直接由Initialize状态切换至Master状态;当路由器不是IP地址拥有者时,其优先级< 255,此时路由器直接由Initialize状态切换至Backup状态;处于Master状态的路由器如果收到优先级更大的VRRP报文,将由Master状态切换至Backup状态,而Backup状态的路由器如果收到一个优先级更大或者本地优先级相等的报文(通常是由Master路由器发出),将重置Master_DOWN_Interval计时器,如果一直没有接收到Master路由器发送的VRRP通过报文,待Master_DOWN_Interval计时器超时后,将由Backup状态切换至Master状态。
注意:除非手工将路由器配置为IP地址拥有者(优先级=255),否则VRRP的状态切换总是先经历Backup状态,即时路由器的优先级最高,也需要从Backup状态过渡到Master状态。此时Backup状态只是一个瞬间的过渡状态。
(4)VRRP的工作原理
VRRP选举Master路由器和Backup路由器的流程如下:
首先选举优先级高的设备成为Master路由器,如果优先级相同,再比较接口的IP地址大小,IP地址大(数值大)的设备将成为Master路由器,而备份组中其他的路由器将成为Backup路由器。
VRRP中的默认接口优先级值为100,取值范围为0~255。其中优先级0是系统保留,优先级255保留给IP地址拥有者,IP地址拥有者不需要配置优先级,优先级默认是255。
VRRP的工作原理如图:
故障切换过程:
默认情况下,Master设备(FW1)会周期性(每1s)地向Backup设备发送VRRP通告,而Backup设备每次收到VRRP通告,就将Master_DOWN_Interval计时器重置为0。当Master设备出现故障,无法发出VRRP通告报文时,Backup设备将无法接收到VRRP,在Master_DOWN_Interval超时后,将直接由Backup状态切换为Master状态,FW2代替FW1成为新的Master设备。同时会向下游交换机发出免费ARP报文,以更新下游交换机的MAC地址表。而后续客户机发起的针对虚拟IP的ARP请求报文,FW2将直接代为回应,客户机发出的报文也将由FW2转发,而这一切变化对客户机而言都是透明的。因为虚拟IP地址仍然可用!
当FW1解决故障恢复正常运行时,因为FW1的优先级配置比FW2高,在抢占模式下,其将直接成为Master设备,而FW2再次回到Backup状态;在非抢占模式下,FW2依然是Master设备,而FW1成为Backup设备。
建议:当Master设备和Backup设备性能相差不大,同时网络规模较大时,建议配置为非抢占模式,因为这样可以减少网络的波动。
三、VGMP协议
(1)VGMP的工作原理
如果仅仅使用双机热备+VRRP就会出现以下情况:
造成以下现象的原因是两个VRRP备份组各自独立工作,,那么有没有什么办法可以使两个备份组协同工作,以保证设备在两个备份组的状态一致性呢?就需要使用到——VGMP协议。
VGMP(VRRP组管理协议)用来实现VRRP备份组的统一管理,以保证设备在各个备份组中的状态一致性。VGMP通过在设备(FW1和FW2)上将所有的备份组(备份组1和备份组2)加入一个VGMP组中进行统一管理,一旦检测到某个备份组(备份组1)中的状态变化(如接口进入Initialize状态),VGMP组将自身优先级减2,并重新协商VGMP的Active组和Standby组。选举出的Active组将所有的其他备份组(备份组1和备份组2)统一进行状态切换(备份组1和备份组2中的FW2将成为Master设备)。
VGMP的工作原理:
- VGMP组的状态决定了VRRP备份组的状态,即设备的角色(如Master和Backup)不再通过VRRP报文选举,而是直接通过VGMP统一管理;
- VGMP组的状态通过比较优先级决定,优先级高的VGMP组将成为Active,优先级低的VGMP组将成为Standby;
- 默认情况下,VGMP组的优先级为45000;
- VGMP根据组内VRRP备份组的状态自动调整优先级,一旦检测到备份组的状态变成Initialize状态,VGMP组的优先级会自动减2;
- 通过心跳线协商VGMP状态信息;
VGMP的工作原理:
注意:在加入了VGMP组之后,VRRP中的状态标识从Master和Backup变成Active和Standby。
(2)VGMP的报文封装
VGMP通过心跳线协商VGMP的状态信息,通过发送VGMP报文实现。VGMP报文有以下两种形式,如图:
左图中,当心跳线直连,或者通过二层交换机相连时,发送的报文属于组播报文,报文封装中不携带UDP头部信息;
右图中,心跳线通过三层设备(路由器)连接时,因为组播报文无法通过三层设备,所以在报文封装中会额外增加一个UDP头部信息,此时发送的报文属于单播;
在实际应用中,应根据实际的拓补灵活选择报文封装。在华为防火墙中,通过以下命令指定接口发送的报文属于哪种类型的封装。
[USG6000V1]hrp int g 1/0/0 //eNSP模拟器不支持这条命令
[USG6000V1]hrp int g 1/0/0 remote 1.1.1.1其中hrp命令用来指定用于心跳链路的接口,带remote参数的命令表示报文将封装UDP,并发送单播报文,不带remote参数的命令表示将发送组播报文。1.1.1.1标识对端是被(心跳线对端接口)的IP地址,该地址要求可路由,只有指定remote参数时才需要指定。
注意:
- 加入VGMP后,心跳线的作用包含状态信息备份(会话表和Server-map表)及VGMP状态协商;
- 华为防火墙在默认情况下放行组播流量(不带remote参数的VGMP报文),禁止单播流量(带remote参数的VGMP报文),所以配置了remote参数,还需要配置Local区域和心跳接口区域之间的安全策略;
- 配置了虚拟IP地址的接口不能作为心跳口;
- 如果使用二层接口作为心跳接口,不能直接在二层接口上配置,而是将二层接口加入VLAN,在VLAN中配置心跳接口;
- eNSP模拟器中,及时心跳接口之间相连,也必须配置remote参数,否则无法配置;
(3)双机热备的备份方式
双击热备的备份方式包括以下三种:
- 自动备份:该模式下,和双机热备有关的配置命令只能在主用设备上配置,并自动同步到备用设备中,主用设备自动将状态信息同步到备用设备中,该模式是华为防火墙的默认开启模式,主要应用于热备模式;
- 手工批量备份:该模式下,主用设备上所有的配置命令和状态信息,只有在手工指定批量备份命令时才会自动同步到备用设备,该模式主要应用于主、备设备配置不同步,需要立即进行同步的场景中;
- 快速备份:该模式下,不同步配置命令,只同步状态信息。在负载均衡方式的双机热备环境中,该模式必须启用,以快速更新状态信息;
(1)开启双击热备功能
[USG6000V1]hrp enable
HRP_S[USG6000V1] //开启双机热备后,提示符发生变化(2)配置自动备份模式
HRP_M[USG6000V1]hrp auto-sync 开启双机热备后,执行可以同步的命令时会有(+B)的提示
HRP_M[USG6000V1]security-policy (+B)(3)配置手工批量备份模式
HRP_M<USG6000V1>hrp sync config //表示手工同步命令配置
HRP_M<USG6000V1>hrp sync connection-status //表示手工同步状态信息
//注意,此命令是在用户视图下执行的(4)配置快速备份模式
HRP_M[USG6000V1]hrp mirror session enable (4)连接路由器时的双机热备
場合ステートフルフェイルオーバー構成上流またはVRRPインタフェースまたはデバイスの状態を検出することにより、スイッチング素子の下流が、上流または下流の装置がルータである場合、VRRPは(VRRPマルチキャストフェイルオーバーに依存して)正常に動作しません。Huawei社のファイアウォールのアプローチは、そのインターフェイスのステータスを監視することで、OSPFトラフィックのスイッチングを実現しています。
直接VGMP基、インタフェース障害(さえ遠隔機器の故障場合、ローカルインタフェースの物理的特性が閉じられます)へのインターフェースを介して、VGMPことにより優先VGMP基はへのアクティブ状態から切り替えられ減少、界面状態の変化を知覚しますStabdby状態。そして、スタンバイグループは、Active状態に昇格する前に。VGMPグループが解放されると、自動的に最終的にアクティブセットフローガイド装置に、OSPFによって65500のコスト値、自動収束を増加させるスタンバイOSPFルーティングです。
ファイアウォールのホット・スタンバイ構成を実現
実験トポロジ:
ケースの実装:
(1)ファイアウォールインターフェイスコンフィギュレーションのIPアドレス、及び各領域を追加し、セキュリティポリシーを設定
[FW1]int g1/0/0
[FW1-GigabitEthernet1/0/0]ip add 10.1.1.101 24
[FW1-GigabitEthernet1/0/0]int g1/0/1
[FW1-GigabitEthernet1/0/1]ip add 172.16.1.1 24
[FW1-GigabitEthernet1/0/1]int g1/0/2
[FW1-GigabitEthernet1/0/2]ip add 192.168.1.101 24
[FW1-GigabitEthernet1/0/2]quit
[FW1]firewall zone untrust
[FW1-zone-untrust]add int g1/0/0
[FW1-zone-untrust]quit
[FW1]firewall zone dmz
[FW1-zone-dmz]add int g1/0/1
[FW1-zone-dmz]quit
[FW1]firewall zone trust
[FW1-zone-trust]add int g1/0/2
[FW1-zone-trust]quit
[FW1]security-policy
[FW1-policy-security]rule name trust_to_untrust
[FW1-policy-security-rule-trust_to_untrust]source-zone trust
[FW1-policy-security-rule-trust_to_untrust]destination-zone untrust
[FW1-policy-security-rule-trust_to_untrust]action permit
//配置安全策略:内部流量可以到外部
[FW1-policy-security-rule-trust_to_untrust]quit
[FW1-policy-security]rule name local_to_dmz
[FW1-policy-security-rule-local_to_dmz]source-zone local
[FW1-policy-security-rule-local_to_dmz]destination-zone dmz
[FW1-policy-security-rule-local_to_dmz]action permit
//配置安全策略:从防火墙本身可以到DMZ区域(建立心跳线)
[FW1-policy-security-rule-local_to_dmz]quit
[FW1-policy-security]quit
//FW2的配置与FW1几乎是一模一样的,这里就不多说了
//注意FW2上也需设置相同的规则(2)VRRPバックアップグループ
次のようにFW1は以下のとおりです。
[FW1]int g1/0/2
[FW1-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 active
[FW1-GigabitEthernet1/0/2]int g1/0/0
[FW1-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 active 次のようにFW2は以下のとおりです。
[FW2]int g1/0/2
[FW2-GigabitEthernet1/0/2]vrrp vrid 1 virtual-ip 192.168.1.100 standby
[FW2-GigabitEthernet1/0/2]int g1/0/0
[FW2-GigabitEthernet1/0/0]vrrp vrid 2 virtual-ip 10.1.1.100 standby (3)構成ハートビート・インターフェース
[FW1]hrp int g1/0/1 remote 172.16.1.2
//FW1指定心跳接口,并指定对端接口IP地址
[FW2]hrp int g1/0/1 remote 172.16.1.1
//FW同上,这就是为什么防火墙需要设置从本地到DMZ区域的策略(4)ホットスタンバイを可能にします
[FW1]hrp enable
HRP_S[FW1]
//FW1的配置,命令提示符出现了变化
[FW2]hrp enable
HRP_S[FW2]
//FW2同上(5)バックアップを配置
HRP_S[FW1]hrp auto-sync
//配置自动备份HRP_S[FW2]hrp auto-sync(6)の構成と認証チェック
ホットスタンバイ状態情報①ビューを
HRP_M[FW1]display hrp state
Role: active, peer: standby //本端状态为Active,对端为Standby
Running priority: 45000, peer: 45000 //本端优先级为45000,对端为45000
Core state: normal, peer: normal
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 9 minutes
Last state change information: 2019-10-26 6:29:53 HRP core state changed, old_s
tate = abnormal(active), new_state = normal, local_priority = 45000, peer_priori
ty = 45000.②ハートビートインターフェイスのステータスを表示します
HRP_M[FW1]display hrp interface
GigabitEthernet1/0/1 : runningPC1pingPC2と③2つのPCの設定IPアドレスとゲートウェイ(仮想アドレス)は、
ファイアウォールセッションテーブルを表示④
HRP_M[FW1]display firewall session table
Current Total Sessions : 2
udp : public --> public 172.16.1.2:49152 --> 172.16.1.1:18514
udp : public --> public 172.16.1.1:49152 --> 172.16.1.2:18514⑤PC1はpingPC2を続け、アナログインタフェース障害FW1
HRP_M[FW1]int g1/0/2(+B)
HRP_M[FW1-GigabitEthernet1/0/2]shutdown
⑥ホットスペアFW2の状態をチェックし、ダブルクリック
HRP_M[FW2]display hrp state
Role: active, peer: standby (should be "standby-active") //状态发生了变化
Running priority: 45000, peer: 44998 //FW1的优先级减2
Core state: abnormal(active), peer: abnormal(standby)
Backup channel usage: 0.00%
Stable time: 0 days, 0 hours, 1 minutes
Last state change information: 2019-10-26 6:49:06 HRP core state changed, old_s
tate = normal, new_state = abnormal(active), local_priority = 45000, peer_priori
ty = 44998.実験の完了!
--------この記事の最後に、これまで、読んでくれてありがとう--------