提高培训 Eudemon防火墙产品维护培训胶片V1.0

HUAWEITECHNOLOGIESCO.,LTD.2020年4月19日星期日HUAWEITECHNOLOGIESCo.,Ltd.防火墙产品维护V100R001HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage2学习目标掌握Eudemon防火墙双机、NAT等配置掌握Eudemon防火墙软件升级和维护方法掌握Eudemon防火墙故障处理方法学习完本课程，您应该能够：HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage3课程内容第一章双机高级配置第二章NAT高级配置第三章维护指导第四章案例分析HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage4VGMP的引入与基本原理由于每个传统的VRRP备份组是相互独立的，无法保证这种一致性，因此华为公司在VRRP的基础上进行了扩展，推出了VGMP（VRRPGroupManagementProtocol）来弥补VRRP在状态防火墙上使用时存在的局限。VGMP提出一个VRRP管理组的概念，用来管理同一台防火墙上的多个VRRP备份组，因此可以将要保持状态一致的所有VRRP备份组都加入到VRRP管理组，由管理组统一管理所有VRRP备份组的状态。VRRP管理组本身也有主状态和备状态之分。当某台防火墙上的VRRP管理组为主状态时，它将保证组内所有VRRP备份组的状态统一为主状态，这样所有报文都将从该防火墙上通过，该防火墙成为主用防火墙（Master）。此时另外一台防火墙上对应的VRRP管理组为备状态，该防火墙成为备用防火墙（Backup）。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage5VRRP管理组之间的通讯主备防火墙上的VRRP管理组依靠VGMP报文进行通讯，以维持主备状态的稳定，并在必要时协调主备状态的切换。当VRRP备份组加入到VRRP管理组时，可以指定它是否作为VRRP管理组与对端防火墙对应管理组进行通讯的数据通道。如果管理组中指定了多个数据通道，则选择第一个可用的通道作为实际的通讯链路。transfer-only类型的组成员是一种特殊类型的数据通道，它被设计只用来与对端防火墙进行通讯而不承担报文转发的业务。该类型组成员的状态将不会影响管理组的状态，不会导致管理组的主备切换。VRRP管理组优先选用该类型的数据通道与对端进行通讯。另外，不允许VRRP管理组中只有transfer-only类型的组成员而没有其他类型的成员。transfer-only类型的数据通道一般都配置在防火墙之间的心跳接口上。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage6VRRP管理组状态切换状态为主的管理组定时向对端发送通告报文。如果对端在指定时间内没有收到通告报文，则认为主防火墙已经出现故障，于是将自己切换成主状态，并控制组内所有VRRP备份组统一切换，从而代替原来的主防火墙承担业务。当VRRP管理组内的某个VRRP备份组感知到某种异常状态时，也会向它所属的VRRP管理组发出状态切换的请求，而由VRRP管理组根据防火墙当时的工作状态决定是否统一切换状态。VRRP管理组还有一个“抢占”的概念。当原来出现故障的防火墙在故障恢复后，其VRRP管理组优先级会升高，当优先级升到比当前主防火墙上管理组的优先级还高时，该管理组可抢占成主状态，使自己成为主防火墙，而原来的主防火墙将切换成备防火墙。可以通过配置指定是否允许这样的抢占行为发生（注意只有在故障恢复时的主备切换才称之为“抢占”，在故障发生时的主备切换不受该配置的影响）。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage7VRRP管理组优先级计算配置优先级的目的是用来决定VRRP管理组的状态。优先级高的管理组将切换到主状态。有两种方式来配置VRRP管理组的优先级，一种是直接指定优先级的数值，另外一种是根据组成员的优先级来计算管理组的优先级。直接配置优先级数值时，管理组运行时优先级＝优先级配置值－所有故障组成员优先级数值之和÷16。由于组成员的优先级我们一般都采用默认值100，所以当一个组成员出现故障时管理组优先级数值下降6(100/16=6)。为了在主设备的一个组成员出现故障时就能触发主备切换，这就要求主备防火墙上管理组优先级之差在1～5（假设组成员优先级都采用默认值100）之间。管理组的默认配置优先级为100。由于transfer-only类型的组成员只用于传输VGMP报文而不承担业务，因此该类型的组成员将不参与VRRP管理组任何类型的优先级计算。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage8VRRP管理组优先级计算（续）当业务端口为透明模式的接口（无法配置IP地址）或者业务端口与三层模块（无法透传VRRP组播报文）相连时，业务端口上无法配置VRRP备份组。此时我们一般用心跳口上的VRRP备份组来监视业务端口，当业务端口出现故障时降低监视它们的VRRP备份组的优先级。由于VRRP备份组并没有出现故障，所以不能用直接指定管理组优先级数值的方法，此时我们可以根据组成员的优先级来计算管理组的优先级。具体的计算方法是：所有状态正常的组成员的优先级之和÷管理组中组成员总数。这样当用于监视的VRRP备份组成员优先级变化时，能直接影响管理组的运行优先级，从而触发主备切换。在配置管理组优先级时，使用using-vrrppriority关键字即采用这种优先级计算方法。transfer-only类型的组成员不参与优先级计算（也不包括在组成员总数中），所以不能用transfer-only类型的组成员来监视其他业务端口。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage9双机热备份－HRPVGMP可以保证报文来回路径通过同一台防火墙。当主防火墙出现故障时，所有流量都将切换到备防火墙。但Eudemon防火墙是状态防火墙，如果备防火墙上没有原来主防火墙上的连接状态数据，则切换到备防火墙的很多流量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接。要解决这个问题，只有使主备防火墙上的连接状态数据及时同步到备防火墙。为此华为公司在VGMP的基础上再进行扩展，推出了HRP（HuaweiRedundancyProtocol），它用来从主防火墙向备防火墙上同步关键配置数据和连接状态数据等。需要备份的状态信息包括动态生成的黑名单、会话表、NAT表项；需要备份的配置命令主要是和安全区域、ACL、攻击防范、地址绑定、黑名单、包过滤、统计和日志、NAT、清除会话表项等命令。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage10连接状态数据的热备份要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、NAT表项等。当备防火墙上没有这些数据时，切换到备防火墙上的流量可能会被防火墙阻拦，从而造成连接中断。连接状态备份分为批量备份和实时备份两种形式。批量备份发生在主备刚刚切换完成后，或者在备设备刚刚启动完成时。此时主设备将所有需要备份的数据批量备份到备设备。用户也可以手工输入命令进行数据的批量备份。实时备份发生在防火墙稳定运行过程种。新产生的连接状态表项或者需要刷新或删除的表项会实时从主防火墙发送到备防火墙。连接状态数据备份的方向是：只要防火墙上有VRRP管理组的状态为主，则它就会向对端防火墙备份。当两台防火墙上都有状态为主的管理组是，则连接状态数据会相互备份（但会保证不会重复备份）。在某些复杂的双机热备份组网中，同一台防火墙上可能配置多个VRRP管理组，且这些管理组的状态有可能不一致，这样导致主设备和备设备的界限变得模糊。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage11关键配置命令的热备份关键配置命令支持双向备份，所以需要选举出一台防火墙作为配置主设备，而另一台防火墙则成为配置从设备。需要备份的关键命令从配置主设备备份到配置从设备，在配置从设备上将不允许用户手工配置这些命令。只有当设备中有状态为主的VRRP管理组，该设备才有可能成为配置主设备。配置主设备会保持相对的稳定，只有当设备上已经不存在状态为主的VRRP管理组时，该设备才会切换成配置从设备。当某台防火墙被选举成配置主设备时，在该防火墙的命令行提示符前有“HRP_M”的标志，而配置从设备前则有“HRP_S”的标志。当没有以上提示符时，表示防火墙的双机热备份功能没有启动，或者该防火墙上没有状态为主（Master）的VRRP管理组。与连接状态数据类似，配置备份也有批量备份和实时备份两种形式。可以通过配置来允许或禁止这两种形式的备份。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage12数据备份的通道在Eudemon200防火墙上，所有数据的备份都是借用VRRP管理组中的数据通道来进行的，不需要额外的配置。在Eudemon500/Eudemon1000/SecPath防火墙上，关键配置的备份是通过VRRP管理组中的数据通道进行的，但连接状态数据的备份则需要另外指定通道接口。可以通过hrpinterfaceinterface-name来指定备份通道。在Eudemon500/Eudemon1000/SecPath防火墙上，通过hrpinterfaceinterface-name指定的备份通道，必须要配置VRRP备份组并加入到某个VRRP管理组才能生效。HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage13基本配置介绍－VRRPVRRP备份组的配置主要有以下几点：VRRP编号、虚拟IP地址、优先级与Track功能。VRRP备份组在接口视图下配置，并且接口必须配置了IP地址后才能配置新的VRRP备份组或者修改已有的配置。配置虚拟IP地址虚拟IP地址一般与接口地址在同一个网段，也支持不在同一个网段的虚拟IP地址，此时需要配置子网掩码。这里假设接口Ethernet1/0/0接口地址为192.168.1.1，24位掩码。[Eudemon-ethernet1/0/0]vrrpvrid1virtual-ip192.168.1.254配置优先级优先级默认值为100，通常不需要改变。这里修改为120。[Eudemon-ethernet1/0/0]vrrpvrid1priority120配置监视接口VRRP备份组有一个监视（Track）其它接口的功能，当被监视的接口出现故障时将降低该VRRP备份组的优先级（默认降低10）。在业务端口需要备份但又无法配置VRRP备份组时（如接口位透明模式或者与接口相连的是三层设备而无法透传VRRP组播报文）可使用该功能。以下示例监视Ethernet4/0/0接口。[Eudemon-ethernet1/0/0]vrrpvrid1trackEthernet4/0/0HUAWEITECHNOLOGIESCo.,Ltd.HUAWEIConfidentialPage14基本配置介绍－VGMPVGMP的配置主要是配置VRRP管理组，包括创建管理组、添加组成员、配置优先级、抢占功能、群发功能、使能VRRP管理组。创建VRRP管理组#创建一个编号为16的管理组[Eudemon]vrrpgroup16添加组成员#添加普通的备份组成员[Eudemon-vrrpgroup-16]addinterfaceethernet1/0/0vrrpvrid1#添加备份组成员，并指定为传输VGMP报文的数据通道[Eudemon-vrrpgroup-1