SecPath防火墙双机热备典型配置.docx
《SecPath防火墙双机热备典型配置.docx》由会员分享,可在线阅读,更多相关《SecPath防火墙双机热备典型配置.docx(43页珍藏版)》请在冰豆网上搜索。
SecPath防火墙双机热备典型配置
SecPath防火墙双机热备典型配置举例
关键词:
双机热备、主备模式、负载分担模式、数据同步、流量切换
摘要:
防火墙设备是所有信息流都必须通过的单一点,一旦故障所有信息流都会中断。
保障信息流不中断至关重要,这就需要解决防火墙设备单点故障问题。
双机热备技术可以保障即使在防火墙设备故障的情况下,信息流仍然不中断。
本文将介绍双机热备的概念、工作模式及典型应用等。
缩略语:
缩略语
英文全名
中文解释
ALG
ApplicationLevelGateway
应用层网关
ASPF
ApplicationSpecificPacketFilter
基于应用层的包过滤
NAT
NetworkAddressTranslator
网络地址转换
VRRP
VirtualRouterRedundancyProtocol
虚拟路由冗余协议
OSPF
OpenShortestPathFirst
开放最短路径优先
1特性简介3
1.1双机热备的工作机制3
2特性使用指南4
2.1使用场合4
2.2配置指南4
2.2.1双机热备组网应用配置指南4
2.2.2双机热备应用涉及的配置4
2.3注意事项4
3支持的设备和版本5
3.1设备版本5
3.2支持的设备5
3.3配置保存5
4配置举例6
4.1典型组网6
4.2设备基本配置9
4.2.1其他共同配置:
9
4.3双机热备业务典型配置举例9
4.3.1透明模式+主备模式9
4.3.2透明模式+负载分担模式14
4.3.3路由模式+主备模式17
4.3.4路由模式+负载分担模式19
4.3.5路由模式+主备模式+支持非对称路径21
4.3.6路由模式+负载分担模式+支持非对称路径28
4.3.7动态路由模式组网33
5相关资料33
1特性简介
双机热备在链路切换前,对会话信息进行主备同步;在设备故障后能将流量切换到其他备份设备,由备份设备继续处理业务,从而保证了当前的会话不被中断。
secpath防火墙具有多样化的组网方式,双机的组网应用也会很多种,本文试举几种双机热备的典型应用。
1.1双机热备的工作机制
互为备份的两台防火墙只负责会话信息备份,保证流量切换后会话连接不中断。
而流量的切换则依靠传统备份技术(如VRRP、动态路由)来实现,应用灵活,能适应各种组网环境。
另外需要使用专有的备份链路口进行会话信息的备份,该备份链路口不作数据转发,从而保障了备份的高可靠性及高性能。
A.在命令行下无法配置双机热备,只能在WEB页面上配置;
WEB配置页面:
B.必须配置心跳口,心跳口也须在WEB页面上配置,指定一个物理口后保存,重启,心跳口开始工作,心跳口在命令行和WEB页面下的接口管理中都不可见,但是双机热备配置页面下可见。
C.没有主备设备之分,工作中的设备称为主用设备比较合适些,两台防火墙的会话信息相互备份,主用设备上产生的会话会自动通过心跳口备份到备用设备上,目前只有稳态的会话才会进行备份;
D.主要有两种模式的组网:
静态路由模式和动态路由模式,静态路由模式组网依赖于VRRP,当一台设备Down机后,Vrrp的主备状态发生切换,工作的防火墙随之切换;动态路由模式依赖于动态路由协议,由于动态路由协议进行路由学习比VRRP切换慢,所以路由模式的双机热备主用设备切换时间较长;在这两种组网的基础上又可以配置为双主用模式、主备用模式;
E.目前版本仅支持对称路径的双机热备份,即报文来回都要通过同一台防火墙;若出报文从A出,回来的报文从B返回的话,称为非对称路径,在以后的版本将支持非对称的报文转发。
2特性使用指南
2.1使用场合
Secpath防火墙作为内外网的接入点,当设备出现故障便会导致内外网之间的网络业务的全部中断。
在这种关键业务点上如果只使用一台设备的话,无论其可靠性多高,系统都必然要承受因单点故障而导致网络中断的风险。
双机热备解决方案能够很好的解决这个问题。
2.2配置指南
2.2.1双机热备组网应用配置指南
双机热备典型组网应用包括以下内容:
●透明模式+主备模式
●透明模式+负载分担模式
●路由模式+主备模式
●路由模式+负载分担模式
●路由模式+主备模式+支持非对称路径
●路由模式+负载分担模式+支持非对称路径
2.2.2双机热备应用涉及的配置
用户必须在Web设置双机热备功能,命令行无法配置。
2.3注意事项
双机热备关于Web配置根据具体实例再作说明。
3支持的设备和版本
3.1设备版本
[f5000a-1]_disver
H3CComwarePlatformSoftware
ComwareSoftware,Version5.20,Beta3203
ComwarePlatformSoftwareVersionCOMWAREV500R002B62D001
H3CSecPathF5000-A5SoftwareVersionV300R002B01D012
Copyright(c)2004-2008HangzhouH3CTech.Co.,Ltd.Allrightsreserved.
CompiledOct31200814:
56:
27,RELEASESOFTWARE
H3CSecPathF5000-A5uptimeis0week,0day,0hour,51minutes
CPUtype:
RMIXLR7321000MHzCPU
2048MbytesDDR2SDRAMMemory
4MbytesFlashMemory
MPUAPCBVersion:
Ver.A
SWBAPCBVersion:
Ver.A
MPUABasicLogicVersion:
133.0
MPUAExtendLogicVersion:
133.0
SWBALogicVersion:
132.0
MPUALX30TFPGAVersion:
3.08
BasicBootWareVersion:
1.02
ExtendBootWareVersion:
1.02
[FIXEDPORT]CON(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0
[FIXEDPORT]AUX(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0
[FIXEDPORT]M-GE0/0(Hardware)Ver.A,(Driver)1.0,(Cpld)133.0
[SUBCARD1]NSQ1GT8C40(Hardware)Ver.A,(Driver)1.0,(Cpld)134.0
[SUBSLOT2]TheSubCardisnotpresent
[SUBSLOT3]TheSubCardisnotpresent
[SUBSLOT4]TheSubCardisnotpresent
3.2支持的设备
SecpathF5000-A5
3.3配置保存
每次配置完成后,注意进行配置的保存。
系统管理>配置维护>配置保存,点击<确定>。
4配置举例
4.1典型组网
图1双机热备(路由)典型组网
图2双机热备(透明)典型组网
图3双机热备(非对称主备)典型组网
图4双机热备(非对称双主)典型组网
4.2设备基本配置
4.2.1其他共同配置:
(1)接口模式:
M-G0/0为管理接口
InterfacePhysicalProtocolIPAddress
M-GigabitEthernet0/0upup192.1.1.1
4.3双机热备业务典型配置举例
4.3.1透明模式+主备模式
1.功能简述
主备模式就是只有一台防火墙处于工作状态,另一台处于备用状态,当主用设备Down机后,备用设备会接管工作。
2.典型配置步骤(组网图2)
1、防火墙运行在二层模式,配置如图所示的Vlan;
F5000A-B配置:
[f5000a-2]discu
sysnamef5000a-2
#
vlan12
#
interfaceGigabitEthernet1/6
portlink-modebridge
portaccessvlan12
#
interfaceGigabitEthernet1/8
portlink-modebridge
portaccessvlan12
#
interfaceGigabitEthernet1/9
portlink-modebridge
portaccessvlan12
F5000A-A配置:
[f5000a-1]discu
sysnamef5000a-1
#
vlan11
#
interfaceGigabitEthernet1/6
portlink-modebridge
portaccessvlan11
#
interfaceGigabitEthernet1/8
portlink-modebridge
portaccessvlan11
#
interfaceGigabitEthernet1/9
portlink-modebridge
portaccessvlan11
2、路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、vlan12两个网段;提供两个网关(15.1.1.1和16.1.1.1),并分别指回程路由。
F1000E配置:
[f1000e]discu
#
interfaceGigabitEthernet0/2
portlink-moderoute
ipaddress15.1.1.1255.255.255.0
#
interfaceGigabitEthernet0/3
portlink-moderoute
ipaddress16.1.1.1255.255.255.0
#
iproute-static150.1.1.0255.255.255.015.1.1.2
iproute-static150.1.1.0255.255.255.016.1.1.2preference100
iproute-static160.1.1.0255.255.255.015.1.1.3
iproute-static160.1.1.0255.255.255.016.1.1.3preference100
3、S56A和S56B上配置静态路由分别指向这两个网关,配置两条路由,使优先级不同。
实现当链路断时,使优先级高的静态路由失效。
S56A配置:
[lsw-up]discu
#
vlan11to14
#
interfaceVlan-interface11
ipaddress15.1.1.2255.255.255.0
#
interfaceVlan-interface12
ipaddress16.1.1.2255.255.255.0
#
interfaceVlan-interface13
ipaddress150.1.1.1255.255.255.0
#
interfaceGigabitEthernet1/0/11
portaccessvlan11
#
interfaceGigabitEthernet1/0/12
portaccessvlan12
#
interfaceGigabitEthernet1/0/13
portaccessvlan13
#
interfaceGigabitEthernet1/0/14
portaccessvlan14
#
iproute-static0.0.0.00.0.0.015.1.1.1preference60
iproute-static0.0.0.00.0.0.016.1.1.1preference100
S56B配置:
[lsw-down]discu
#
sysnamelsw-down
#
vlan11to14
#
interfaceVlan-interface11
ipaddress15.1.1.3255.255.255.0
#
interfaceVlan-interface12
ipaddress16.1.1.3255.255.255.0
#
interfaceVlan-interface13
ipaddress160.1.1.1255.255.255.0
#
interfaceGigabitEthernet1/0/11
portaccessvlan11
#
interfaceGigabitEthernet1/0/12
portaccessvlan12
#
interfaceGigabitEthernet1/0/13
portaccessvlan13
#
interfaceGigabitEthernet1/0/14
portaccessvlan14
#
iproute-static0.0.0.00.0.0.015.1.1.1preference60
iproute-static0.0.0.00.0.0.016.1.1.1preference100
B.WEB配置:
1.首先把F5000A相关接口加入域;
2.把需要联动的接口加入到同一联动组。
一旦其中一个接口down丢,组内其他接口同样down丢。
配置切换时F5000A结合透明方式接口组联动来实现
3.验证结果
●从PC-B到PC-A,从PC-C到PC-A通过默认路由,默认都走F5000A-A
tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
PressCTRL_Ctobreak
1160.1.1.12ms1ms1ms
215.1.1.11ms0ms1ms
3155.1.1.100ms1ms0ms
tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
1150.1.1.111ms5ms6ms
215.1.1.119ms3ms8ms
3155.1.1.109ms3ms3ms
●当F5000A-A出现故障后,则切换到F5000A-B上
[PC-B]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
PressCTRL_Ctobreak
1160.1.1.11ms2ms1ms
216.1.1.10ms1ms0ms
3155.1.1.101ms1ms0ms
[PC-C]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
1150.1.1.111ms4ms7ms
216.1.1.119ms3ms9ms
3155.1.1.108ms3ms4ms
4.注意事项
●本配置完成,清除防火墙中所做的配置,以防对其他配置产生影响。
4.3.2透明模式+负载分担模式
1.功能简述
双主组网就是两台防火墙都处于工作状态,每台设备负责转发一部分流量,实现负载分担,而当任一台设备Down机后,另一台设备会接管全部工作。
2.典型配置步骤(组网图2)
1、负载分担模式和主备模式区别在于路由配置。
2、路由器F1000E上配置两个网段(15.1.1.1和16.1.1.1)对应交换机的vlan11、vlan12两个网段;提供两个网关(15.1.1.1和16.1.1.1),
F1000E配置:
[f1000e]discu
#
interfaceGigabitEthernet0/2
portlink-moderoute
ipaddress15.1.1.1255.255.255.0
#
interfaceGigabitEthernet0/3
portlink-moderoute
ipaddress16.1.1.1255.255.255.0
#
iproute-static150.1.1.0255.255.255.015.1.1.2
iproute-static150.1.1.0255.255.255.016.1.1.2preference100
iproute-static160.1.1.0255.255.255.016.1.1.3
iproute-static160.1.1.0255.255.255.015.1.1.3preference100
3、S56A和S56B上配置静态路由分别指向这两个网关,配置两条路由,使优先级不同。
为了实现当链路断时,使优先级高的静态路由失效,配置切换时结合透明方式接口组联动来实现。
F1000E上分别指回程路由,使防火墙负载分担。
S56A配置:
[lsw-up]discu
#
vlan11to14
#
interfaceVlan-interface11
ipaddress15.1.1.2255.255.255.0
#
interfaceVlan-interface12
ipaddress16.1.1.2255.255.255.0
#
interfaceVlan-interface13
ipaddress150.1.1.1255.255.255.0
#
interfaceGigabitEthernet1/0/11
portaccessvlan11
#
interfaceGigabitEthernet1/0/12
portaccessvlan12
#
interfaceGigabitEthernet1/0/13
portaccessvlan13
#
interfaceGigabitEthernet1/0/14
portaccessvlan14
#
iproute-static0.0.0.00.0.0.015.1.1.1preference60
iproute-static0.0.0.00.0.0.016.1.1.1preference100
S56B配置:
[lsw-down]discu
#
sysnamelsw-down
#
vlan11to14
#
interfaceVlan-interface11
ipaddress15.1.1.3255.255.255.0
#
interfaceVlan-interface12
ipaddress16.1.1.3255.255.255.0
#
interfaceVlan-interface13
ipaddress160.1.1.1255.255.255.0
#
interfaceGigabitEthernet1/0/11
portaccessvlan11
#
interfaceGigabitEthernet1/0/12
portaccessvlan12
#
interfaceGigabitEthernet1/0/13
portaccessvlan13
#
interfaceGigabitEthernet1/0/14
portaccessvlan14
#
iproute-static0.0.0.00.0.0.016.1.1.1preference60
iproute-static0.0.0.00.0.0.015.1.1.1preference100
3.验证结果
●从PC-B到PC-A,从PC-C到PC-A通过默认路由进行负载分担,分别走F5000A-1和F5000A-2
[PC-B]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
1150.1.1.111ms6ms8ms
215.1.1.116ms3ms9ms
3155.1.1.108ms4ms3ms
[PC-C]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
PressCTRL_Ctobreak
1160.1.1.11ms2ms1ms
216.1.1.10ms1ms0ms
3155.1.1.101ms0ms1ms
●当F5000A-1和F5000A-2中有一个接口down了,则切换到另一台上。
如F5000A-1一个接口down,则切换到F5000-B上。
[PC-B]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30hopsmax,40bytespacket
1150.1.1.111ms4ms7ms
216.1.1.19ms3ms3ms
3155.1.1.1014ms3ms9ms
[PC-C]tracert155.1.1.10
tracerouteto155.1.1.10(155.1.1.10)30
升级会员 