信息安全技術(shù)(HCIA-Security)-第八次課-防火墻雙機(jī)熱備技術(shù)課件_第1頁
信息安全技術(shù)(HCIA-Security)-第八次課-防火墻雙機(jī)熱備技術(shù)課件_第2頁
信息安全技術(shù)(HCIA-Security)-第八次課-防火墻雙機(jī)熱備技術(shù)課件_第3頁
信息安全技術(shù)(HCIA-Security)-第八次課-防火墻雙機(jī)熱備技術(shù)課件_第4頁
信息安全技術(shù)(HCIA-Security)-第八次課-防火墻雙機(jī)熱備技術(shù)課件_第5頁
已閱讀5頁,還剩27頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、防火墻雙機(jī)熱備技術(shù)學(xué)完本課程后,您將能夠:掌握雙機(jī)熱備技術(shù)原理掌握雙機(jī)熱備基礎(chǔ)配置雙機(jī)熱備技術(shù)原理雙機(jī)熱備基本組網(wǎng)與配置雙機(jī)熱備技術(shù)產(chǎn)生的原因傳統(tǒng)的組網(wǎng)方式如圖所示,內(nèi)部用戶和外部用戶的交互報文全部通過Firewall A。如果Firewall A出現(xiàn)故障,內(nèi)部網(wǎng)絡(luò)中所有以Firewall A作為默認(rèn)網(wǎng)關(guān)的主機(jī)與外部網(wǎng)絡(luò)之間的通訊將中斷,通訊可靠性無法保證。Firewall A10.100.10.1/24PC服務(wù)器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24路由器冗余部署方案路由器組網(wǎng)中通過VRRP協(xié)議實現(xiàn)設(shè)備冗余:RouterA10.100.10.2MasterRouterBBackup10.100

2、.10.3RouterC10.100.10.4Backup備份組Virtual IP Address10.100.10.1PC服務(wù)器內(nèi)部網(wǎng)絡(luò)10.100.10.0/24VRRP在多區(qū)域防火墻組網(wǎng)中的應(yīng)用為防火墻上多個區(qū)域提供雙機(jī)備份功能時,需要在每一臺防火墻上配置多個VRRP備份組。DMZTrustUntrustUSG A10.100.20.0/24MasterUSG BBackup10.100.10.0/24備份組1Virtual IP Address10.100.10.1備份組2Virtual IP Address10.100.20.1備份組3Virtual IP Address202.3

3、8.10.1VRRP在防火墻應(yīng)用中存在的缺陷傳統(tǒng)VRRP方式無法實現(xiàn)主、備用防火墻狀態(tài)的一致性。USG AMasterUSG BBackupTrustDMZUntrustPC1PC2(1)(2)(3)(4)(7)會話表項Server(5)(6)(8)實際連線報文流徑(9)VRRP用于防火墻多區(qū)域備份為了保證所有VRRP備份組切換的一致性,在VRRP的基礎(chǔ)上進(jìn)行了擴(kuò)展,推出了VGMP(VRRP Group Management Protocol)來彌補(bǔ)此局限。DMZTrustUntrustUSG A10.100.20.0/24vUSG B10.100.10.0/24備份組 2備份組 3備份組 1

4、VGMP 管理組VGMP 管理組helloackVGMP基本原理當(dāng)防火墻上的VGMP為Active/Standby狀態(tài)時,組內(nèi)所有VRRP備份組的狀態(tài)統(tǒng)一為Active/Standby狀態(tài)。狀態(tài)為Active的VGMP也會定期向?qū)Χ税l(fā)送HELLO報文,通知Standby端本身的運(yùn)行狀態(tài)(包括優(yōu)先級、VRRP成員狀態(tài)等)。DMZTrustUntrustUSG A10.100.20.0/24USG B10.100.10.0/24備份組 2備份組 3備份組 1VGMP ActiveVGMP StandbyhelloackVGMP組管理狀態(tài)一致性管理VGMP管理組控制所有的VRRP備份組統(tǒng)一切換。搶占

5、管理當(dāng)原來出現(xiàn)故障的主設(shè)備故障恢復(fù)時,其優(yōu)先級也會恢復(fù),此時可以重新將自己的狀態(tài)搶占為主。HRP基本概念HRP(Huawei Redundancy Protocol)協(xié)議,用來實現(xiàn)防火墻雙機(jī)之間動態(tài)狀態(tài)數(shù)據(jù)和關(guān)鍵配置命令的備份。VRRP組1VRRP組2VRRP組3UntrustTrustDMZ會話表FWAFWBHRP心跳接口兩臺FW之間備份的數(shù)據(jù)是通過心跳口發(fā)送和接收的,是通過心跳鏈路(備份通道)傳輸?shù)?。心跳口必須是狀態(tài)獨(dú)立且具有IP地址的接口,可以是一個物理接口(GE接口),也可以是為了增加帶寬,由多個物理接口捆綁而成的一個邏輯接口Eth-Trunk。心跳接口的狀態(tài)HRP心跳接口共有五種狀態(tài)

6、:InvalidDownPeerdownReadyrunning雙機(jī)熱備的備份方式設(shè)備重啟后主備FW的配置自動同步會話快速備份自動備份手工批量備份雙機(jī)熱備技術(shù)原理雙機(jī)熱備基本組網(wǎng)與配置雙機(jī)熱備基本組網(wǎng)上下行業(yè)務(wù)接口工作在三層模式,連接二層設(shè)備時,需要在上下行的業(yè)務(wù)接口上配置VRRP備份組,使VGMP管理組能夠通過VRRP備份組監(jiān)測三層業(yè)務(wù)接口。USG_AMasterUSG_BBackup備份組1Virtual IP Address1.1.1.1/24G1/0/110.2.0.1/24PC1:1.1.1.10/24UntrustTrustG1/0/310.3.0.1/24G1/0/610.10.

7、0.1/24G1/0/610.10.0.2/24G1/0/110.2.0.2/24G1/0/310.3.0.2/24備份組2Virtual IP Address10.3.0.3/24PC2:10.3.0.10/24VRRP備份組配置命令 - CLI接口視圖下配置VRRP:執(zhí)行此命令時,指定active或standby參數(shù)后,即將該VRRP組加入了VGMP管理組的Active或Standby管理組。每個普通物理接口(GigabitEthernet接口)下最多配置255個VRRP組。vrrp vrid virtual-router-ID virtual-ip virtual-address ip-

8、mask | ip-mask-length active | standby HRP配置命令 - CLI指定心跳口啟用HRP備份功能啟用允許配置備用設(shè)備的功能啟用命令與狀態(tài)信息的自動備份啟用會話快速備份hrp interface interface-type interface-number remote ip-address | ipv6-address hrp enablehrp standby config enablehrp auto-sync config | connection-statushrp mirror session enableVRRP配置舉例 - CLIUSG_A關(guān)

9、于VRRP組1配置:USG_B關(guān)于VRRP組1的配置:USG_Ainterface GigabitEthernet 1/0/1 USG_A-GigabitEthernet 1/0/1 ip address 10.2.0.1 24USG_A-GigabitEthernet 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 activeUSG_Binterface GigabitEthernet 1/0/1 USG_B-GigabitEthernet1/0/1 ip address 10.2.0.2 24USG_B-GigabitEthernet

10、 1/0/1 vrrp vrid 1 virtual-ip 1.1.1.1 255.255.255.0 standbyHRP配置舉例 - CLIUSG_A關(guān)于HRP配置:USG_Ahrp enableUSG_Ahrp mirror session enableUSG_Ahrp interface GigabitEthernet 1/0/6查看VRRP狀態(tài) - CLI查看處于VRRP備份組中的接口狀態(tài)信息:HRP_Adisplay vrrp interface G1/0/3GigabitEthernet1/0/3 | Virtual Router 2 VRRP Group : Active st

11、ate : Active Virtual IP : 10.3.0.3 Virtual MAC : 0000-5e00-0102 Primary IP : 10.3.0.1 PriorityRun : 120 PriorityConfig:100 MasterPriority : 120 Preempt : YES Delay Time : 0 Advertisement Timer : 1 Auth Type : NONE Check TTL : YES查看HRP狀態(tài) - CLI查看處于Master狀態(tài)防火墻的狀態(tài)信息如下:HRP_Adis hrp stateThe firewalls con

12、fig state is: ACTIVE Current state of virtual routers configured as active: GigabitEthernet1/0/1 vrid 1 : active GigabitEthernet1/0/3 vrid 2 : active 防火墻配置界面 - Web點(diǎn)擊“系統(tǒng) 高可靠性 雙機(jī)熱備 配置”進(jìn)行雙機(jī)熱備相關(guān)配置。雙機(jī)熱備主用設(shè)備配置 - Web在雙機(jī)熱備配置界面點(diǎn)擊“配置”按鈕對主用設(shè)備USG_A的配置,在配置虛擬IP地址下點(diǎn)擊“新建”建立相應(yīng)VRRP備份組。雙機(jī)熱備備用設(shè)備配置 - Web在雙機(jī)熱備配置界面點(diǎn)擊“配置”按鈕對備用設(shè)備USG_B的配置,在配置虛擬IP地址下點(diǎn)擊“新建”建立相應(yīng)VRRP備份組。查看雙機(jī)熱備歷史切換信息 - Web在雙機(jī)熱備界面,點(diǎn)擊“詳細(xì)”可以查看雙機(jī)熱備

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論