Backup
0
当EudemonB防火墙恢复正常后,EudemonB将继续成为管理组2的Master,流量将在两个防火墙之间负载分担。
●复杂的负载分担(新增负载分担接口)
当Eudemon防火墙的接口速率难以顺畅传输高速业务流时,为了保证一条物理线路上传输顺畅,建议为Eudemon防火墙添加新接口,并基于新接口配置用于负载分担的备份组。
如图1-9所示。
图1-2负载分担组网
(2)
A1、A2、A3、A4、A5、A6
EudemonA的接口
B1、B2、B3、B4、B5、B6
EudemonB的接口
原有备份组为备份组1、2和3。
其中:
−备份组1包括EudemonA的A1接口、EudemonB的B4接口。
−备份组2包括EudemonA的A3接口、EudemonB的B2接口。
−备份组3包括EudemonA的A6接口、EudemonB的B5接口。
添加三个新的备份组4、5和6。
其中:
−备份组4包括EudemonA的A2接口、EudemonB的B3接口。
−备份组5包括EudemonA的A4接口、EudemonB的B1接口。
−备份组6包括EudemonA的A5接口、EudemonB的B6接口。
EudemonA和EudemonB的管理组和备份组建的关系如下:
−管理组1包含备份组1、2和3。
−管理组2包含备份组4、5和6。
EudemonA是VRRP管理组1协商出的Master,也是管理组2协商出的Backup;EudemonB是VRRP管理组1协商出的Backup,也是管理组2协商出的Master。
1.1.5HRP应用
Eudemon防火墙是状态防火墙,对于每一个动态生成的会话连接,Eudemon防火墙上都有一个会话表项与之对应。
如图1-10所示。
图1-1Eudemon主备备份的典型数据路径
假设采用主备备份方式,EudemonA防火墙作为Master设备并承担所有数据传输任务,其上创建了很多动态会话表项;而EudemonB防火墙由于处于备份状态,没有任何流量经过。
如果EudemonA出现故障或相关链路出现问题,EudemonB将会切换状态而变成新的Master,并开始承担传输任务。
如果状态切换前,会话表项和配置命令没有备份到EudemonB,则先前经过EudemonA的所有会话都会因为无法匹配EudemonB的会话表而断链,导致业务中断,从而影响业务正常进行。
为了实现Master设备出现故障时能由Backup设备平滑地接替工作,需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。
为此,华为公司推出了HRP。
启动HRP双机热备份功能后,如果Master防火墙发生故障,导致VRRP管理组状态改变,VRRP管理组上报该状态到HRP模块,由HRP模块裁决当前是否完成配置命令和会话状态信息的同步备份。
如果完成则引起VRRP管理组发生抢占,并进而引起VRRP备份组抢占,从而实现Backup防火墙平滑地接替工作。
1.1.6配置设备的主从划分
当采用负载分担方式时,网络中存在两台Master设备,用户可能在两台Master设备上输入了很多命令。
当其中一台Master设备出现故障时,如何在这两台防火墙之间备份信息、需要备份哪些命令以及备份方向都是需要考虑的问题。
为了避免备份时混乱,Eudemon防火墙中引入了配置主设备、配置从设备概念。
发送配置备份内容的防火墙被称为配置主设备,接收配置备份内容的防火墙称为配置从设备。
一台防火墙要想成为配置主设备,必须具备如下条件:
●只有VRRP管理组中状态为Master的防火墙才有机会成为配置主设备。
●在负载分担方式下,参与双机热备份的两台Eudemon防火墙都是Master,此时则按照VRRP备份组优先级、接口真实IP地址从大到小的顺序选择配置主设备。
除非配置主设备出现故障或者退出VRRP备份组,否则配置主设备与配置从设备之间不进行转换,从而尽力保证了配置主设备的稳定性。
配置设备的主从划分仅仅是在负载分担方式下引入的概念,主备备份方式下不涉及配置设备主从划分。
1.1.7配置命令和状态信息的备份
防火墙备份的信息
目前,Eudemon防火墙上的双机热备份功能支持配置命令和连接状态信息的备份,可以通过自动备份和手工批量备份两种方式实现。
防火墙备份的信息包括如下两种:
●状态信息
−防火墙生成的会话表表项
−动态黑名单表项
−NAT表项
●配置命令
−ACL包过滤命令
−攻击防范命令
−地址绑定命令
−黑名单命令
包括黑名单的启动命令、手工添加黑名单表项命令
−日志命令
−NAT命令
−统计命令
−区域命令
包括创建安全区域,设置区域优先级以及接口加入安全区域
−ASPF命令
−清除会话表项的命令
−清除配置的命令
信息备份方向
状态信息是从备份组中的Master防火墙备份到Backup防火墙。
如果进行双机热备份的两台Eudemon防火墙分别是两个备份组的Master,则连接状态会互相备份,由系统决定需要备份的连接状态信息的内容。
配置命令只能进行单向备份。
即备份方向只能从配置主防火墙到配置从防火墙,不能反向备份。
自动备份
自动备份方式包括自动实时备份和自动批量备份。
分别从如下两方面进行说明:
●配置命令的备份
自动批量备份是指当配置从设备接替工作或重新启动时,由配置主设备将所有配置命令批量备份到配置从设备,配置从设备执行仅需要双机备份的配置命令,从而实现主/备防火墙之间的配置同步。
自动实时备份在自动批量备份后进行。
在Eudemon防火墙运行过程中,当配置主设备识别到启动双机热备份的命令时,配置主设备自动将配置命令备份到配置从设备,从而配置从设备运行这些配置命令。
在配置主设备、配置从设备都正常工作的情况下,如果启动自动实时备份功能,则在配置主设备上每输入一条需要双机备份的命令时,此配置命令将被传送给到配置从设备并执行;如果在配置主设备上输入不需要双机备份的命令,则该命令仅在配置主设备上执行,不会被传送到配置从设备。
对于在配置从设备上执行的命令,不会被传送到配置主设备。
当配置从设备未工作或工作异常时,自动备份无法进行。
●连接状态的备份
自动批量备份是指当Backup防火墙接替工作或重新启动时,由Master防火墙将所有连接状态信息备份到Backup防火墙,并由Backup防火墙进行状态处理。
自动实时备份在自动批量备份后进行。
在Eudemon防火墙运行过程中,当Master防火墙上产生了需要备份的连接状态信息时,Master防火墙自动将连接状态信息备份到Backup防火墙,并由Backup防火墙进行状态处理。
手工批量备份
分别从如下两方面进行说明:
●配置命令的备份
手工批量备份是指当配置主设备、配置从设备都正常工作时,且配置主设备上启动手工批量同步备份功能,则配置主设备将需要双机备份的配置命令批量发送到配置从设备,从而让配置从设备执行这些配置命令。
当配置从设备未工作或工作异常时,手工批量备份无法进行。
●连接状态的备份
手工批量备份是指当Master防火墙、Backup防火墙都正常工作时,且Master防火墙上启动手工批量同步备份功能,则Master防火墙将需要双机备份的连接状态信息批量发送到Backup防火墙,并由Backup防火墙进行状态更新。
当Backup防火墙未工作或工作异常时,手工批量备份无法进行。
1.1.8双机热备份的组网方式
Eudemon的双机热备份,除可以工作在路由模式下外,还可以工作在混合模式下。
混合模式下的双机热备份主要是指Eudemon工作于混合模式下,通过透明模式的接口接收和发送业务报文,用以完成网络应用;通过路由模式的接口传送VRRP、VGMP和HRP报文,用以维护防火墙的主备关系。
混合模式下的双机热备份除能够提供透明模式的无缝接入,对外提供二层交换机(透明模式下的防火墙)业务外,还能保证当主防火墙发生故障后,流量能够转换到备防火墙上,保证业务的连续性。
1.1.9报文来回路径不一致的组网
如图1-11所示,net1和net4间的用户通信,报文和返回报文的路径分别为RouterA-EudemonA-RouterC和RouterD-EudemonB-RouterB。
由于Eudemon是状态防火墙,要求网络报文来回路径一致。
此时,传统的双机热备份无法保证来回路径不一致组网下的可靠性。
图1-1来回路径不一致组网图
一般情况下,如果各路由器支持完整的路由协议,则每台路由器上都会有分别到达net1、net2、net3和net4的路由,EudemonA和EudemonB也可能同时具有到达各net的路由。
当网络设备接口故障等现象发生时,可能导致某台Eudemon无法获得完整的到达源和目的的路由。
以net1和net4间的数据流为例,以EudemonA和EudemonB上是否存在对应的路由表项为划分原则,网络结构可以分为如下几种:
●H型结构
双机拥有完整的到达源和目的的路由。
●h型结构
只有一台防火墙拥有完整的到达源和目的的路由,另一台不完整。
●N型结构
两台防火墙都没有完整的到达源和目的的路由。
●|-型结构
只有一台拥有完整的到达源和目的的路由,另一台完全没有。
具体如图1-12、图1-13、图1-14、图1-15所示。
图1-2H型结构
图1-3h型结构
图1-4N型结构
图1-5|-型结构
当EudemonA故障后,net1与net4间的报文将通过EudemonB转发。
但如果EudemonA上的信息没有备份到EudemonB,EudemonB会将到达的报文丢弃,导致net1和net4的用户通信中断。
为防止这样的现象出现,可以通过快速备份会话,将EudemonA上的相应的会话表项快速备份到EudemonB,使返回报文在对端设备上能够查找到会话表,使报文能够通过该设备。
除此之外,还可以配置报文搬迁,将后续无法命中EudemonB会话表的TCP后续报文、包过滤丢弃的UDP报文和ICMP报文迅速搬迁到EudemonA,触发生成会话表后,备份到EudemonB,从而使返回报文能够顺利通过EudemonB。
实际应用中,ACL的配置可能相对复杂。
手工检查主备防火墙上的ACL配置的一致性容易遗漏。
可以配置检查两端配置的一致性,由Eudemon自行比较,并根据比较结果修改防火墙上的配置。
1.2配置VRRP备份组
1.2.1建立配置任务
应用环境
当在网络出口处采用两台Eudemon防火墙保护内部网络的安全时,需要配置双机热备份功能。
首先则应该配置VRRP备份组。
前置任务
在配置VRRP备份组前,需要完成以下任务:
●配置防火墙的工作模式
●创建VPN实例(可选)
●配置接口绑定VPN实例(可选)
●配置接口IP地址(可选)
●配置接口加入安全区域
●当接口属于VPN实例时,需要首先配置接口绑定该VPN实例,再配置接口IP地址。
●不能配置工作于透明模式下的接口的IP地址。
数据准备
在配置VRRP备份组前,需要准备以下数据:
●接口类型和接口号
●VRRP备份组号
●备份组的虚拟IP地址
●子网掩码或子网掩码长度
●VRRP备份组的优先级
●抢占方式和延迟时间
●认证方式和认证字
●备份组中的Master发送VRRP报文的间隔时间
●被监视的接口类型和接口号
●优先级降低的数额
●是否检测VRRP报文的TTL值
1.2.2配置未加入VRRP管理组的VRRP备份组
当各Eudemon防火墙之间仅需要实现路由通路的备份,而对状态一致性要求不高时,可以只配置未加入VRRP管理组的VRRP备份组。
此时无法确保各备份组状态一致性,不建议使用。
配置未加入VRRP管理组的VRRP备份组,需要进行如下操作。
步骤1执行命令system-view,进入系统视图。
步骤2执行命令interfaceinterface-typeinterface-number,进入接口视图。
步骤3执行命令ipaddressip-address{mask|mask-length}[sub],配置接口IP地址。
步骤4执行命令vrrpvridvirtual-router-IDvirtual-ipvirtual-address[network-mask|network-mask-length][preference],配置备份组的虚拟IP地址。
虚拟地址可以是备份组所在网段中未被分配的IP地址,也可以是其他网段的IP地址。
如果配置为后者,则必须配置子网掩码或子网掩码长度。
需要同时配置接口IP地址,备份组的虚拟IP地址的配置才能生效。
Eudemon防火墙支持VRRP备份组的虚拟IP地址与对应的接口IP地址在同一网段和不在同一网段两种情况,但虚拟IP地址必须和对应接口的下一跳设备的IP地址在同一个网段。
步骤5执行命令vrrpvridvirtual-router-IDprioritypriority-value,配置备份组的优先级。
步骤6执行命令vrrpvridvirtual-router-IDpreempt-mode[timerdelayinterval],配置备份组的抢占方式和延迟时间。
步骤7执行命令vrrpauthentication-mode{md5|simple}key-string,配置备份组的认证方式和认证字。
一个接口上的备份组要配置相同的认证方式和认证字。
步骤8执行命令vrrpvridvirtual-router-IDtimeradvertiseinterval,配置备份组的定时器。
网络流量过大或不同的防火墙上的定时器差异等因素,会导致VRRP定时器超时并引起状态切换。
对于这种情况,可以通过延长两台防火墙发送通告报文的时间间隔来解决问题。
请注意,两台防火墙的时间间隔要配置为相同的数值。
VRRP定时器不能实时更新,如果想让新配置的时间值立即生效,可以通过shutdown接口等方式重新进行一次协商即可。
步骤9执行命令vrrpvrid