DS002005Eudemon防火墙双机热备业务特性与配置ISSUE1

©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Eudemon防火墙双机热备业务特性与配置Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page2前言在当前的组网应用中，用户对网络可靠性的要求越来越高，特别是在一些重要的业务入口或接入点上需要保证网络不间断运行。对于这些重要的业务点如何保证网络的不间断传输，成为必须解决的一个问题。本胶片主要介绍防火墙的双机热备份技术原理和具体配置，以及在Eudemon防火墙上实施双机热备份技术所使用的三种协议：VRRP、VGMP和HRP。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page3培训目标学完本课程后，您应该能：掌握双机热备份技术原理掌握VRRP，VGMP和HRP之间的关系掌握典型双机组网的配置Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page4目录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page5目录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page6双机热备份技术产生的原因传统的组网方式如图所示，内部用户和外部用户的交互报文全部通过FirewallA。如果FirewallA出现故障，内部网络中所有以FirewallA作为默认网关的主机与外部网络之间的通讯将中断，通讯可靠性无法保证。FirewallA10.100.10.1/24InternetPC服务器内部网络10.100.10.0/24Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page7传统双机热备份技术在路由器上的部署RouterA10.100.10.2MasterRouterBBackup10.100.10.3RouterC10.100.10.4Backup备份组VirtualIPAddress10.100.10.1InternetPC服务器内部网络10.100.10.0/24路由器组网中通过VRRP协议实现双机热备份Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page8VRRP在多区域防火墙组网中的应用DMZTrustUntrustEudemonA10.100.20.0/24MasterEudemonBBackup10.100.10.0/24备份组1VirtualIPAddress10.100.10.1备份组2VirtualIPAddress10.100.20.1备份组3VirtualIPAddress202.38.10.1为防火墙上多个区域提供双机备份功能时，需要在每一台防火墙上配置多个VRRP备份组。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page9VRRP在防火墙应用中存在的缺陷EudemonAMasterEudemonBBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)会话表项Server(5)(6)(8)实际连线报文流径(9)传统VRRP方式无法实现主、备用Eudemon防火墙状态的一致性。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page10目录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page11防火墙双击热备份技术的特征控制主、备用防火墙的切换状态信息的备份Eudemon防火墙的双机热备份技术依靠三种协议实现：VRRP（虚拟路由冗余协议）VGMP（VRRP组管理协议）HRP（华为冗余协议）防火墙双机热备份技术分析Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page12防火墙主备状态切换的实现VGMP（VRRPGroupManagementProtocol)提出VRRP管理组的概念，将同一台防火墙上的多个VRRP备份组都加入到一个VRRP管理组，由管理组统一管理所有VRRP备份组。通过统一控制各VRRP备份组状态的切换，来保证管理组内的所有VRRP备份组状态都是一致的。VGMP的作用：防火墙主备状态控制切换VRRP管理组的功能：状态一致性管理（管理组内VRRP备份组同步状态切换）抢占管理（屏蔽VRRP备份组抢占）通道管理（data，trans-only）Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page13VGMP实现原理EudemonAMasterEudemonBBackupTrustDMZUntrust备份组1备份组2备份组3A1A2A3B2B1B3管理组管理组备份组4Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page14VGMP数据通道EudemonAMasterEudemonBBackupTrustDMZUntrustA1A2A3B2B1B3A4B4A4-B4Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page15防火墙状态信息的备份VGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时，所有流量都将切换到备防火墙。但Eudemon防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。为了实现主用设备出现故障时能由备用设备平滑地接替工作，需要在主、备用设备之间备份关键配置命令和会话表状态等关键信息。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page16HRPHRP（HuaweiRedundancyProtocol）华为冗余协议华为公司冗余协议HRP（HuaweiRedundancyProtocol）是承载在VGMP报文上进行传输的。HRP用于在主用设备和备用设备之间备份关键配置命令和会话表状态等关键信息。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page17HRP/VGMP/VRRP之间的关系VRRP备份组VGMP管理组VGMP报文HRP模块HRP报文接口VRRP报文Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page18目录1.双机热备份技术原理2.Eudemon防火墙双机热备份技术3.双机热备份技术在防火墙上的实施Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page19防火墙双机热备份组网方式Eudemon的双机热备份，可以工作在路由模式和混合模式两种模式下：路由模式是指Eudemon的业务端口和HRP备份通道接口均工作在路由模式下。混合模式是指Eudemon的业务端口工作在透明模式下，而HRP备份通道接口工作在路由模式下。路由模式和混合模式都包含两种组网方式：主备组网方式负载分担组网方式Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page20路由模式-主备组网方式防火墙设备管理组成员优先级状态会话量AMaster备份组1，2，3高主用100%BSlave备份组1，2，3低备用0EudemonATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3EudemonBGE1/0/0GE3/0/0GE2/0/0PC1PC2Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page21路由模式-主备组网方式配置参考1EudemonATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3EudemonBGE1/0/0GE3/0/0GE2/0/0[Eudemon]interfaceGigabitEthernet1/0/0[Eudemon-GigabitEthernet1/0/0]ipaddress10.100.10.224[Eudemon-GigabitEthernet1/0/0]vrrpvrid1virtual-ip10.100.10.1master[Eudemon]interfaceGigabitEthernet3/0/0[Eudemon-GigabitEthernet3/0/0]ipaddress202.38.10.224[Eudemon-GigabitEthernet3/0/0]vrrpvrid2virtual-ip202.38.10.1master#将GE1/0/0和GE3/0/0加入到对应的VRRP备份组中。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page22路由模式-主备组网方式配置参考2EudemonATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3EudemonBGE1/0/0GE3/0/0GE2/0/0[Eudemon]interfaceGigabitEthernet2/0/0[Eudemon-GigabitEthernet2/0/0]ipaddress10.100.20.224[Eudemon-GigabitEthernet2/0/0]vrrpvrid3virtual-ip10.100.20.1master#将GE2/0/0加入到对应的VRRP备份组中。[Eudemon]hrpinterfaceGigabitEthernet2/0/0[Eudemon]hrpenable#指定HRP的备份通道并使能HRP功能。Copyright©2009HuaweiTechnologiesCo.,Ltd.Allrightsreserved.Page23路由模式-主备组网方式配置参考3EudemonATrustUntrust备份组1备份组2GE1/0/0GE2/0/0GE3/0/0Slave管理组Master管理组备份组3EudemonBGE1/0/0GE3/0/0GE2/0/0HRP_M[Eudemon]hrpauto-syncconfigHRP_M[Eudemon]acl2000HRP_M[Eudemon-acl-basic-2000]rulepermitsource10.100.10.00.0.0.255HRP_M[Eudemon-acl-basic-2000]quitHRP_M[Eudem