欢迎来到天天文库
浏览记录
ID:6376383
大小:18.37 MB
页数:40页
时间:2018-01-12
《eudemon防火墙双机热备配置指导书》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、华为产品维护资料防火墙双机热备配置指导书防火墙双机热备配置指导书目录声明i技术支持i防火墙双机热备配置指导书11防火墙双机热备配置指导书11.1传统维护链路稳定性的方法11.2引入双机热备的必要性21.3防火墙双机热备的基本工作原理41.4防火墙双机热备的基本配置141.5双机热备的各种组网方案以及有缺点301.6双机热备的缺陷和技术发展371.7双机热备的应用案例38i防火墙双机热备配置指导书1防火墙双机热备配置指导书在当前的组网应用中,用户对网络可靠性的要求越来越高,特别是在一些重点的业务入口或接入点上需要保证网络的不间断运行。象企业的internet接入点,银行
2、的数据库服务器等,对于这样一些重要的业务点如何保证网络的不间断传输,成为必须解决的一个问题。在这种业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。而防火墙正是作为内外网的一个接入点上,为了防止一台设备出现故障导致网络业务中断,故此如何维护网络稳定性是急需解决的问题。1.1传统维护链路稳定性的方法图1传统链路组网方式传统的组网方式下当链路中断后,就会导致业务中断,也就是我们俗称的单点故障,如上图所示,当路由器出现单点故障后,整个链路就会中断,这样对于重要的业务点如:电信,银行等部门就会带来巨大的影响和损失。为了避免由于单
3、点故障而导致的业务中断,从而形成多条链路的保护机制,如下图所示。图2采用多条链路的链路保护机制39采用多条链路的保护机制,依靠动态路由协议进行链路切换。但这种路由协议来进行切换保护的方式存在一定的局限性,当不能使用动态路由协议时,仍然会导致链路中断的问题。例如:如上图所示,如果内部网络直接连到路由器上,由于PC机上无法执行动态路由只能使用静态路由方式,从而指定PC下一跳的固定的路由器接口,当链路中断后,无法实现链路切换。因此推出了另一种保护机制VRRP(虚拟路由冗余协议)来进行。图3采用VRRP进行链路保护机制采用VRRP的链路保护机制比依赖动态路由协议的广播报文来进
4、行链路切换的时间更短,同时弥补了不能使用动态路由情况下的链路保护。这种保护的机制是:VRRP将局域网的一组路由器组织成一个虚拟路由器,称之为一个备份组。其中仅有一台设备处于活动状态(Master)并承担报文转发任务,其余设备都处于备份状态,并随时按照优先级高低做好接替任务的准备。如上图所示,内部网络设备只需将网关执行虚拟IP,而不需要指向固定的接口,依靠VRRP协议进行链路切换。1.1引入双机热备的必要性1.为什么要引入双机热备虽然存在这么两种链路保护的机制,为什么防火墙还要提出双机热备呢?(1)报文的转发机制不同。对于路由器来说,业务中的每个数据包都会逐包转发,即每
5、个报文都会查路由表当匹配上后才进行转发,当链路切换后,后续报文不会受到影响,继续进行转发。而由于Eudemon是状态防火墙,只会对业务中首包进行检查,如果首包允许通过会建立一条五元组的会话连接,只有命中该会话表项的后续报文(包括返回报文)才能够通过Eudemon防火墙,如果链路切换后,后续报文找不到正确的表项,会导致业务中断。其实对于路由器当配置NAT后也会存在同样的问题,因为在进行NAT后会形成一个NAT转换后的表项。(2)VRRP在防火墙应用的缺陷39每个备份组的VRRP是单独工作的,并且每个VRRP状态相对独立,因此无法保证同一防火墙上各接口的VRRP状态都为主
6、用或都为备用。1.什么是双机热备双机热备,所谓双机热备其实是双机状态备份,当两台防火墙,在确定主从防火墙后,由主防火墙进行业务的转发,而从防火墙处于监控状态,同时主防火墙会定时向从防火墙发送状态信息和需要备份的信息,当主防火墙出现故障后,从防火墙会及时接替主防火墙上的业务运行。状态备份最主要的优点,是可以保护当前业务不会中断,例如语音电话,如果防火墙不具备状态热备功能,倒换后,当前正在通的电话会中断,只有重新拨打,而具备状态热备功能后,就不存在这个问题。图4双机热备基本组网2.如何实现双机热备图5双机热备实现组网图实现双机热备的基本步骤:(1)在接口上配置VRRP(虚
7、拟路由器冗余协议)备份组,来发现防火墙的故障情况;39(2)将VRRP备份组加入到VGMP(VRRP组管理协议)中,以实现对VRRP管理组的统一管理;(3)使能HRP(华为冗余协议),实现双机情况下的信息备份。两台防火墙形成双机热备,两台防火墙之间通过VRRP的hello报文协商主备关系,根据VGMP的优先级和接口的IP从而确定防火墙的master和slave关系,并且master防火墙会通过HRP协议定时向slave传送备份信息(命令行备份信息和动态备份信息),当master防火墙出现故障时,主备关系发生转换,业务会平滑切换,不会影响这个业务的进行
此文档下载收益归作者所有