防火墙双机热备技术 华为安全HCIA

备份/冗余：提高网络的可靠性，防止单点故障二层冗余机制：STP,链路聚合，浮动静态路由，VRRP虚拟路由器冗余协议，HA高可用性，热备, 冷备热备：通过冗余技术/协议实现动态的主备切换/负载分担可靠性高冷备： 备份设备下电状态，当主设备失效后， 进行物理替换节省费用（电费）双机热备技术产生的原因：1. 防火墙通过VRRP协议实现备份-一主备设备会话表无法同步2. 通过防火墙的流量路径来回不一致造成数据丟失（不同VRRP组主备切换不一致）防火墙双机热备：组成：VRRP虚拟路由器冗余协议：管理一个VRRP组的主备切换，实现备份VGMP VRRP 组统一管理协议（华为私有）：统一管理VRRP组，实现多个VRRP组主备切换一致HRR 华为私有冗余协议：实现防火墙会话表同步VGMP基本原理：当防火墙上的VGMP为Active/Standby状态时，组内所有VRRP备份组的状态统一为Active/Standby 状态状态为Active的VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先 级、VRRP成员状态等）状态：Active :主用防火墙，所有报文都将从该防火墙上通过，该状态下VGMP会定期向对端发送HELLO报文，通知Standby端本身的运行状态（包括优先级、VRRP成员状态等）Standby :备用防火墙，接收到对端发送HELLO报文，会回应一个ACK消息，该消息中也会携带 本身的优先级、VRRP成员状态等成员的状态动态调整，以此完成两台防火墙的主备倒换VGMP HELLO报文发送周期缺省为1秒。当Standby端三个HELLO报文周期没有收到对端发送的 HELLO报文时，会认为对端出现故障，从而将自己切换到Active状态防火墙的VGMP优先级有一个初始优先级，当防火墙的接口或者单板等出现故障时，会在初始优先级 基础上减去一定的降低值USG6000和NGFW Module的初始优先级为45000USG9500的VGMP组的初始优先级与LPU板（接口板）上的插卡个数和SPU板（业务板）上 的CPU个数有关VGMP组管理：状态一致性管理：VGMP管理组控制所有的VRRP备份组统一切换（VRRP备份组加入到管理组后，状态不能自行单独切换） 抢占管理：当原来出现故障的主设备故障恢复时，其优先级恢复，此时可以重新将自己的状态抢占为主HRP：HRP （Huawei Redundancy Protocol）协议：用来实现防火墙双机之间动态状态数据和关键配置命令的备 份在双机热备组网中，当主防火墙出现故障时，所有流量都将切换到备防火墙。因为USG防火 墙是状态防火墙，如果备防火墙上没有原来主防火墙上的会话表等连接状态数据， 则切换到备防火墙的流 量将无法通过防火墙，造成现有的连接中断，此时用户必须重新发起连接HRP模块提供了基础的数据备份机制和传输功能。各个应用模块收集本模块需要备份的数据，提交给 HRP模块，HRP模块负责将数据发送到对端防火墙的对应模块，应用模块需要再将HRP模块提交上来的数 据进行解析，并加入到防火墙的动态运行数据池中备份内容：要备份的连接状态数据包括TCP/UDP的会话表、ServerMap表项、动态黑名单、N0-PAT表项、 ARP表项等备份方向：防火墙上有状态为主的VGMP管理组，向对端备份备份通道：一般情况下，在两台设备上直连的端口作为备份通道，有时也称为“心跳线” （VGMP也通过 该通道进行通信）HRP心跳接口：两台FW之间备份的数据是通过心跳口发送和接收的，是通过心跳链路（备份通道）传输 的心跳口必须是状态独立且具有IP地址的接口，可以是一个物理接口，也可以逻辑捆绑接 口（Eth-Trunk）心跳接口的状态：invalid :本端FW上的心跳口配置错误（物理状态up，协议状态 down），例如指定的心跳口为二层接口或未配置心跳接口的IP地址down :本端FW上的心跳口的物理与协议状态均为down peerdown :本端FW上的心跳口的物理与协议状态均为up 心跳口会向对端对应的心跳口发送心跳链路探测报文。若收不到对 端响应的报文，FW会设置心跳接口状态为peerdown。但心跳口还会不断发送心跳链路探测报文，以便当 对端的对应心跳口 up后，该心跳链路能处于连通状态ready :本端FW上的心跳口的物理与协议状态均为up 心跳口会向对端对应的心跳口发送心跳链路探测报文。若对端心跳 口能响应此报文（也发送心跳链路探测报文），那么FW会设置本端心跳接口状态为ready，随时准备发 送和接受心跳报文。 这时心跳口依旧会不断发送心跳链路探测报文，以保证心跳链路的状态正常 running :本端FW有多个处于ready状态的心跳口时，FW选择最先配置 的心跳口为心跳链路，并设此心跳口的状态为 running如果只有一个处于ready状态的心跳口，那么它自然 会成为状态为running的心跳口。状态为running的接口负责发送HRP心跳报文、HRP数据报文、HRP链 路探测报文、VGMP报文和一致性检查报文其余处于ready状态的心跳口处于备份状态，当处于 running状态的心跳口或心跳链路故障时，其余处于ready状态的心跳口依次（按配置先后顺序）接替当 前心跳口 处理业务双机热备的备份方式： 自动备份：自动备份功能缺省为开启状态，能够自动实时备份配置命令和周期性地备份状态信息，适用于各种 双机热备组网启用自动备份功能后，在一台FW上每执行一条可以备份的命令时，此配置命令就会被立即同步备份 到另一台FW 上启用自动备份功能后，主用设备会周期性地将可以备份的状态信息备份到备用设备上。即主用设备 的状态信息建立后不会立即备份，而是在建立一段时间（10秒左右）之后才会备份到备用设备。自动备份不会备份以下类型的会话：到防火墙自身的会话，例如管理员登录防火墙时产生的会话未完成3次握手的TCP半连接会话（快速备份支持备份此会话）只为UDP首包创建，而不被后续包匹配的会话（快速备份支持备份此会话）手工批量备份：需要管理员手工触发每执行一次手工批量备份命令，主用设备就会立即同步一次配置命令和状态信息到备用设备， 不必等到自动备份周期的到来。因此手工批量备份主要适用于主备设备之间配置不同步，需要手工同步的 场景会话快速备份：会话快速备份功能，适用于负载分担的工作方式，以应对报文来回路径不一致的场景 负载分担组网下，由于两台防火墙都是主用设备，都能转发报文，所以可能存在报文的来回 路径不一致的情况，即来回两个方向的报文分别从不同的防火墙经过。 这时如果两台防火墙的会话没有及 时相互备份， 则回程报文会因为没有匹配到会话表项而被丢弃，从而导致业务中断。所以为防止上述现象 发生，需要在负载分担组网下配置会话快速备份功能，使两台防火墙能够实时的相互备份会话，使回程报 文能够查找到相应的会话表项，从而保证内外部用户的业务不中断启用会话快速备份功能后，主用设备会实时地将可以备份的会话（包括上面提到的自 动备份 不支持的会话）都同步到备用设备上。即在主用设备会话建立的时候立即将其实时备份到备用设备设备重启后主备FW的配置自动同步：双机热备组网中，如果一台FW重启，重启期间业务都是由另一台FW承载。在此期间，承载 业务的FW上可能会新增、删除或修改配置。为了保证主备FW配置一致，在FW重启完成后，会自动从当 前承载业务的FW上进行一次配置同步配置同步仅会同步支持备份的配置，如安全策略、NAT策略等。不支持备份的配置，如OSPF、BGP 等， 还继续沿用原有的配置配置同步需要一定的时间。同步的时间与配置量有关，配置量越大同步配置所需时间也越长，最长可能需要1个小时左右。在配置同步期间，FW 上无法执行支持备份的配置命令HRP配置命令:指定心跳口： hrp interface interface-type interface-number remote ip-address | ipv6- address 启用HRP备份功能：hrp enable启用允许配置备用设备的功能：hrp standby config enable启用命令与状态信息的自动备份：hrp aut o-sync config | connec ti on-s tat us 启用会话快速备份：hrp mirror session enable双机热备配置后，配置需要主设备配置rmUIiUh- alluLMhalIp id由亡弼5.25&_255.VLB :w 1 virtubl l# 142.1i|.1.354jtt vr-f Le wna|v htpt卄.S ! fl Wflc坤 1 ftl gib1 + PMrr*pl-SIp 列詳旳sm.255.J55.wrrp vfM 2 virtual-dp *tl .1BR_3 .S4 rtLvhntvrfar aLgibtEtwrnHtl ih/2unde- Rhwtd口lp14.1.1.1ABf-alca -Mn|iparaLflrMl L zont cr*itiat prLarit A5sdB Lfc-rtrfflce iLaBbLrfThewTftJW-iadd Ltrrfae ClgHt!t1EtMrut37ft/*idd Ltvrfaeflra -Ji31 xanih unzruc-Eset prderlty 5id。l*tsrrciearurLfcy -pa-Ll-cyru-i fm truiit L口匸“smrtii - :anv ruitdt5Tii*tEan-zM locilrule I-Mt turS.t_Mnt*Wit3-GRi：-aa ACdr 2.1E4.1.2 2S5.1S1.154.* wrrp vrild 1 vlrl ua-L- Lp 312.1-M.e tiindla.*rujE：v-iuni-a b fetpi pi-railInEMrsriic-i dE ciMFnvtU*d3 Shrtd&vAljs aedms 52.1E4.2.2 2S&.2H.1S5.* vrvp vPia ZI7E上S4 -t-tSlbjr=tit那 pfflliLntardc-i丄巾 Ehirniil: I!阳/A8nit#ptrplTflr-iiiiiill =un tri;i.kWTt5iBdU Jnt-irfbev OJata!itE!Efcar*HbA/D/DM Ince*fttij-EbEtEiMr* ec b/BSM Inwr&ceK4!itE!Mr* ec h/6/2flrHlll -ZOftE wATIVStM-t Frlorl即Ad Jntirfacv 31g;abiitEfuirBl: 1/0/1&：:ur“Ucyrvle n&*e tryst. 1*1ia4irct-zaie t*nt 4*iC*LnrtlM!- Eo-r v Lsca mt伽 pienrit